Configurare la sincronizzazione selettiva delle password con AADConnect

In questo articolo vedremo come configurare AADConnect per sincronizzare l’hash delle password in Azure AD, per uno specifico gruppo di utenti.

In generale, possiamo suddividere i clienti in due tipologie:

  • quelli che vogliono utilizzare la modern identity per le applicazioni cloud e decidono di sincronizzare gli hash da un sistema di identità on-premise (Active Directory);
  • quelli che non sono a proprio agio con la sincronizzazione dell’hash delle password sul cloud pubblico ed utilizzano i metodi tradizionali per l’accesso alle app cloud come l’ADFS.

In questo blog, ci focalizzeremo in particolare su questo secondo gruppo di clienti che predilige un approccio graduale alla modern identity e procede a step iniziando da un piccolo set di utenti per la sincronizzazione.

Facciamo un esempio: i clienti potrebbero volere che alcuni utenti abbiano l’hash delle password solo su Azure.
Gli scenari sono dei più vari: ad esempio, supportare le applicazioni basate su Kerberos in Azure AD e modificare l’approccio della migrazione per le applicazioni cloud.
Il metodo di sincronizzazione dell’hash delle password ti offre numerosi vantaggi ed abilita le applicazioni alla Modern cloud identity.
Ti rimandiamo al seguente articolo per maggiori informazioni: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization#how-password-hash-synchronization-works.

Approccio
Per gli utenti che vogliono sincronizzare l’hash della password su Azure AD, utilizzeremo l’attributo AD “adminDescription” come filtro. In questo esempio sincronizzeremo la password quando il valore ‘adminDescription’ dell’utente sarà uguale a ‘SyncHash‘.
Creeremo due regole custom di sincronizzazione in AADConnect:

  • La prima che sincronizzerà gli utenti e le loro password hashes;
  • La seconda che sincronizzerà solo gli utenti.

La regola di default con il password sync abilitato, verrà disabilitata.

IMPORTANTE: consigliamo di effettuare le operazioni dapprima in ambiente Dev/Test.

Riepilogo modifiche:
Di seguito riassumiamo le attività che devi eseguire per configurare AADConnect per la sincronizzazione selettiva dell’hash delle password:

  • Disabilitare la regola di default con la sincronizzazione dell’hash delle password.
  • Creare le due regole di sincronizzazione personalizzate che sincronizzeranno gli utenti con Azure AD: una con l’hash delle password e una senza.
  • Abilitare la sincronizzazione tramite la procedura guidata di configurazione di AAD Connect.
  • Convalidare la sincronizzazione delle password.

Passaggi:

  1. Sul server AADConnect, assicurati che la voce Password Hash Sync sia disabilitata.

2. Apri il Synchronization Rules Editor ed imposta il “Password Sync” su “On” ed il ” Rule Type” su “Standard”.

3. Seleziona la regola “In from AD – User AccountEnabled” e fai click su “Edit”. Ti apparirà un popup che suggerisce di creare una copia modificabile e di disabilitare la regola originale. Fai click su “Yes“.

  1. Prima di tutto, configura la regola di sincronizzazione senza l’hash delle password.
  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – No Pass Sync”.
  • Cambia la precedence in ’99’ o nel valore minimo disponibile.
  • Mantieni entrambe le caselle “Enable Password Sync” e “Disabled” senza flag e fai click su “Next”.

Nella schermata “Scoping filter” fai click su “Add clause” e seleziona “adminDescription” “NOTEQUAL” “SyncHash”. Poi, clicca su “Next”.

  1. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta nessuna modifica. Fai click su “Save”.
  2. Verrà creata una nuova regola personalizzata senza Password Hash sync.

8. Ora vediamo come creare la regola personalizzata con la sincronizzazione dell’hash delle password abilitata.
Ancora una volta, cerca la regola standard “In from AD – User AccountEnabled“, selezionala e fai click su “Edit”.
Clicca “Yes” quando ti viene richiesto di creare una nuova regola.

9. Come indicato nella procedura precedente:

  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – Pass Hash Sync“.
  • Cambia la precedence in ’98’ o nel valore minimo disponibile.
  • Seleziona la casella di “Enable Password Sync” e fai click su “Next”.

10. Nella schermata “Scoping filter“, fai click su “Add clause” e seleziona “adminDescription” “EQUAL” “SyncHash” e clicca su “Next”.

11. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta alcuna modifica. Fai click su “Save”.

12. Assicurati di avere abilitato una sola regola per la sincronizzazione delle password. Mantieni la regola standard “In from AD – User AccountEnabled” disabilitata per ricevere il flusso dell’hash delle password solo dalla personalizzazione che hai appena creato.

13. Per confermare l’applicazione delle regole, esegui “Full Sync Preview” per utenti casuali con e senza il flag “adminDescription” aggiornato.

14. Gli utenti con “AdminDescription” equals “SyncHash” dovrebbero avere la regola “Pass Hash Sync” applicata.

15. Gli utenti senza flag “AdminDescription” dovrebbero avere la regola “No Pass Sync” applicata.

16. Dopo la convalida tramite “Full Sync preview”, esegui “Full Sync Cycle” per consentire a tutti gli utenti di utilizzare le nuove regole personalizzate.

Start-ADSyncSyncCycle -PolicyType Initial

17. Al termine del Full Sync, assicurati che le regole siano state applicate per tutti gli utenti. A questo punto, potrai abilitare la sincronizzazione dell’hash delle password tramite la procedura guidata di configurazione di AAD Connect.

18. Per confermare che gli utenti con il flag ‘adminDescription’ stanno sincronizzando la password in Azure, cerca i seguenti event log sul server AAD Connect.

Event IDEsempio di eventoCausa
656Password Change Request – Anchor : H552hI9GwEykZwof74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08La sincronizzazione della password indica che è stata rilevata una modifica e tenta di sincronizzarla con Azure AD. Ciò identifica l’utente o gli utenti la cui password è stata cambiata. Ogni lotto contiene almeno un utente fino ad un massimo di 50.
657Password Change Result – Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success.Utenti la cui password è stata sincronizzata correttamente.

Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/configure-selective-password-synchronization-with-aadconnect/ba-p/1459434