Molti di voi hanno utilizzato Azure Active Directory Connect per gestire le identità ibride e la sincronizzazione degli utenti da Active Directory a Azure Active Directory (recentemente rinominato Microsoft Entra ID). Questa tecnologia moderna è chiamata Azure AD Connect cloud sync. In questo articolo, vi guiderò attraverso l’installazione e la configurazione di base di Azure AD Connect cloud sync e spiegherò come implementarlo nella vostra infrastruttura di Active Directory/Azure AD.
Cos’è Azure Active Directory Connect cloud sync?
Molti professionisti IT sono familiari con Azure AD Connect – il software di sincronizzazione che si utilizza per sincronizzare le identità dal tuo Active Directory locale ad Azure Active Directory e offrire un’esperienza di accesso singolo senza soluzione di continuità. La prossima evoluzione è portare tutto nel cloud.
Quindi, Microsoft è passata da un’applicazione software installata su un server connesso a dominio nel tuo ambiente locale a un semplice agente di provisioning. Un’impronta molto più leggera poiché tutto il “lavoro pesante” è ora fatto in Azure. Non c’è più bisogno di un database in locale – tutto ciò è fatto nel cloud.
Gli agenti leggeri sono stati il modo di procedere di recente. Questo è un vantaggio se di recente hai attraversato una fusione o un’acquisizione o stai pianificando una.
Azure AD Connect cloud sync è progettato per incontrare e realizzare i tuoi obiettivi di identità ibrida sincronizzando i tuoi utenti, contatti, gruppi, dispositivi e altro in Azure AD. Una nota importante: è possibile utilizzare Azure AD Connect fianco a fianco con l’agente di provisioning di sincronizzazione cloud!
Quali sono le differenze tra Azure AD Connect sync e Azure AD Connect cloud sync?
Ottima domanda! Ecco una tabella di Microsoft che mostra le comparazioni tra le due soluzioni.
| Feature | Azure AD Connect sync | Azure AD Connect cloud sync |
|---|---|---|
| Connect to a single on-premises AD forest | ● | ● |
| Connect to multiple on-premises AD forests | ● | ● |
| Connect to multiple disconnected on-premises AD forests | ● | |
| Lightweight agent installation model | ● | |
| Multiple active agents for high availability | ● | |
| Connect to LDAP directories | ● | |
| Support for user objects | ● | ● |
| Support for group objects | ● | ● |
| Support for contact objects | ● | ● |
| Support for device objects | ● | |
| Allow basic customization for attribute flows | ● | ● |
| Synchronize Exchange online attributes | ● | ● |
| Synchronize extension attributes 1-15 | ● | ● |
| Synchronize customer-defined AD attributes (directory extensions) | ● | ● |
| Support for Password Hash Sync | ● | ● |
| Support for Pass-Through Authentication | ● | |
| Support for federation | ● | ● |
| Seamless Single Sign-on | ● | ● |
| Supports installation on a Domain Controller | ● | ● |
| Support for Windows Server 2016 | ● | ● |
| Filter on Domains/OUs/groups | ● | ● |
| Filter on objects’ attribute values | ● | |
| Allow a minimal set of attributes to be synchronized (MinSync) | ● | ● |
| Allow removing attributes from flowing from AD to Azure AD | ● | ● |
| Allow advanced customization for attribute flows | ● | |
| Support for password writeback | ● | ● |
| Support for device writeback | ● | Customers should use Cloud Kerberos trust for this moving forward |
| Support for group writeback | ● | |
| Support for merging user attributes from multiple domains | ● | |
| Azure AD Domain Services support | ● | |
| Exchange hybrid writeback | ● | |
| Unlimited number of objects per AD domain | ● | |
| Support for up to 150,000 objects per AD domain | ● | ● |
| Groups with up to 50,000 members | ● | ● |
| Large groups with up to 250,000 members | ● | |
| Cross-domain references | ● | ● |
| On-demand provisioning | ● | |
| Support for US Government | ● | ● |
C’è uno scenario principale e diffuso attualmente non supportato dalla nuova funzionalità di sincronizzazione cloud di Azure AD Connect, ed è l’Exchange ibrido. Ecco la risposta attuale dalla documentazione di Microsoft:
La funzionalità di distribuzione ibrida di Exchange consente la coesistenza delle caselle di posta di Exchange sia in locale che in Microsoft 365. Azure AD Connect sincronizza un insieme specifico di attributi da Azure AD nel tuo directory in locale. L’agente di provisioning cloud attualmente non sincronizza questi attributi nel tuo directory in locale e quindi non è supportato come sostituto di Azure AD Connect.
Prerequisiti per l’installazione di Azure Active Directory Connect cloud sync
Microsoft menziona alcuni prerequisiti da tenere presente prima di iniziare l’installazione. Vediamoli qui.
- Nel portale di Azure:
- È necessario avere accesso a un account Global Administrator esclusivamente cloud.
- Avrai bisogno di un nome di dominio personalizzato in Azure che corrisponda al nome di dominio UPN nel tuo Active Directory. Se stai migrando da Azure AD Connect, questo dovrebbe già essere in atto, ma vale la pena notarlo.
- Nel tuo ambiente on-premises
- Avrai bisogno di una macchina connessa a dominio che esegua Windows Server 2016 o successivo. Hai bisogno di almeno 4 GB di RAM e di .NET Framework 4.7.1 o superiore. Il server ha semplicemente bisogno di accesso di rete ad almeno un controller di dominio nel tuo forest AD on-premises.
- Il firewall di bordo dovrà consentire che le porte in uscita 80 e 443 siano aperte dal tuo server qui ad Azure AD.
L’unico altro passaggio (opzionale) è disinstallare prima Azure AD Connect se è installato. Questo non è obbligatorio, ma per gli scopi di questo articolo, seguirò i semplici passaggi successivi.
E, è molto facile sfruttare l’alta disponibilità con questa configurazione. Basta installare l’agente di provisioning su più di un server nella tua rete. Vedrai i passaggi di seguito.
Disinstallazione di Azure AD Connect (opzionale)
- Accedi al tuo server Azure AD Connect e apri il Pannello di controllo.
- Apri il menu ‘Disinstalla un programma‘.
- Fai clic sull’entrata Microsoft Azure AD Connect e fai clic sul pulsante della barra degli strumenti Disinstalla.
La mia proposta qui è di assicurarsi che la casella di controllo sia selezionata per rimuovere tutto. Mi piace sempre disinstallare il software il più pulitamente possibile, facendo del mio meglio per non lasciare alcun residuo.
- Fai clic su Rimuovi e lascia che finisca.
Ecco, tutto eliminato. Ora, possiamo passare alle nuove fasi di installazione.
Come implementare la sincronizzazione cloud di Azure AD Connect nella tua infrastruttura AD / AAD
Come ho detto, puoi installare un agente di sincronizzazione cloud di Azure AD Connect con o senza un’installazione esistente di Azure AD Connect nel tuo ambiente. In questo caso, ho appena rimosso il mio software Azure AD Connect esistente, quindi abbiamo un tabula rasa. Iniziamo!
Installazione
Inizieremo sul mio server Windows Server 2022 aggiunto al dominio, WS22-FS02.
- Per prima cosa, accedi al Portale di Azure e accedi al sito Azure Active Directory (Azure AD).
- Nel menu di navigazione a sinistra, scorri verso il basso e fai clic su Azure AD Connect. Quindi, fai clic su Sincronizzazione cloud a sinistra di nuovo.
- Non sorprende che abbiamo un bel tabula rasa. Fai clic sul menu Agenti a sinistra, quindi fai clic su Scarica agente on-premises.
- Dopo aver scaricato l’agente, vai avanti e fai doppio clic sul file MSI. L’installazione inizierà.
- Seleziona la casella e clicca su Installa!
Successivamente, passiamo alla Configurazione.
Configurazione di Active Directory
Dopo l’installazione iniziale dell’agente, si avvierà la procedura guidata per la configurazione dell’agente di provisioning di Microsoft Azure Active Directory Connect. Dillo 5 volte in fretta. Accidenti, Microsoft. Sempre a colpire nel segno con i nomi dei prodotti!
- Sulla schermata di benvenuto, clicca su Avanti.
- Nella schermata ‘Seleziona Estensione‘, scegli Provisioning guidato da HR (Workday e SuccessFactors) / Sincronizzazione cloud di Azure AD Connect. Questo è lo scenario più probabile. Solo se hai intenzione di provvedere a delle applicazioni locali ad Azure, dovresti scegliere la seconda opzione.
- Clicca su Avanti.
- Successivamente, compare la schermata Connetti Azure AD, che richiede le credenziali del tuo Amministratore globale di Azure AD. Inseriscile e preparati per la MFA!
- Prossimo passo, la schermata Configura Account di Servizio. Qui, accetteremo il valore predefinito, Crea gMSA. Poiché stiamo chiedendo di creare un account gMSA per gestire la sincronizzazione da AD ad Azure AD, è necessario inserire un account con privilegi di Amministratore di Dominio. Inseriscilo e clicca su Avanti.
- Proseguendo, arriviamo alla schermata ‘Connetti Active Directory‘. Sì, hai ragione. Questo è piuttosto simile alla procedura guidata di installazione per l’installazione di Azure AD Connect.
- In ogni caso, verifica che il dominio corretto di Active Directory sia impostato. Se visualizzi degli errori, potresti avere digitato male le tue credenziali. Correggi se necessario e clicca su Avanti.
- Siamo arrivati all’ultima schermata di conferma. Verifica che tutto sembri corretto e clicca sul pulsante Conferma.
Configurazione di Azure AD
Passiamo ora ad Azure Active Directory. Per gestire la sincronizzazione cloud di Azure AD, torna nuovamente al Portale di Azure.
- Fai clic su Azure AD Connect e su Sincronizzazione cloud.
- Fai clic sul pulsante ‘Nuova configurazione’ in alto per avviare il processo di configurazione nel cloud.
- Ecco la Nuova configurazione di sincronizzazione cloud. Le impostazioni predefinite dovrebbero andare bene assumendo che stai sincronizzando solo un dominio AD – nel mio caso ‘reinders.local’. Manteniamo spuntata la casella ‘Abilita la sincronizzazione dell’hash della password‘ per consentire la gestione automatica delle password.
- Fai clic su Crea in basso.
Ebbene, controlla questo! Abbiamo finito. Non so te, ma io preferisco QUASI SEMPRE le configurazioni basate su cloud rispetto al tradizionale software client ‘pesante’. È più pulito. Inoltre, possono iterare sull’interfaccia utente e aggiungere funzionalità molto più velocemente. E, poiché è basato su cloud, non devi preoccuparti degli aggiornamenti del software, dei server che vanno giù, ecc. Funziona sempre. Il cloud, il 100% del tempo, giusto?
Test – Verifica
Andiamo e abilitiamo semplicemente la configurazione. Possiamo affrontare i filtri di ambito, il mapping degli attributi, ecc. un po’ più tardi.
- Clicca sul pulsante Revisiona e abilita configurazione in alto, poi clicca su Abilita Configurazione.
- Dopo che sarà completato, aspetta circa 2 minuti, quindi aggiorna il tuo browser e clicca sulla scheda Panoramica in alto.
- Innanzitutto, vorrai inserire un indirizzo email per le notifiche. Clicca sulla scheda Proprietà e clicca sull’icona matita (Modifica) accanto a Base.
- Inserisci un indirizzo email amministrativo per ricevere avvisi sull’infrastruttura di sincronizzazione. Clicca su Applica in basso.
Ora, per quanto riguarda la convalida e la personalizzazione avanzata, torna alla Visualizzazione Utenti nel portale di Azure AD per visualizzare tutti i tuoi utenti. Ho notato che il numero di utenti è passato da 31 a 32. Quindi, so CHE QUALCOSA è successo. E, se stai davvero prestando attenzione, potresti ricordare che ho filtrato un utente in una specifica OU quando ho configurato Azure AD Connect. Quindi, poiché non ho ancora applicato alcun filtro, un nuovo utente è stato sincronizzato – John Reinders.
Lasciami passare attraverso le tre schermate di configurazione principali che utilizzerai per mantenere e regolare le impostazioni di sincronizzazione. La prima è Filtri di ambito.
Il default è sincronizzare tutti gli utenti nel tuo Active Directory. Puoi scegliere di sincronizzare solo determinati gruppi di sicurezza O SELEZIONARE unità organizzative (OU). E sì, questo è un esempio di un software basato su cloud che, al momento, è meno configurabile rispetto al software locale. Ma, questo sta cambiando continuamente. Alla fine, incorporeranno TUTTE le funzionalità e le opzioni in Azure AD Connect cloud sync.
Successivamente, vediamo il Mappatura degli attributi. Qui possiamo scegliere di modificare l’elenco predefinito degli attributi e come vengono sincronizzati da Active Directory ad Azure AD, e persino aggiungere elementi aggiuntivi cliccando su ‘+ Aggiungi mappatura attributi.’
State certi che ci sono molte opzioni qui. Come ho detto, Microsoft sta continuamente aggiungendo ulteriori funzionalità a questa funzionalità. Quindi, non stupitevi se notate che alcune di queste schermate cambiano o aggiungono/rimuovono parti. Questo è il cloud, ragazzi!
Infine, vediamo il Generatore di espressioni. Qui puoi davvero aggiungere personalizzazioni su come determinati attributi vengono sincronizzati, e come utilizzare espressioni per corrispondere a specifici attributi utente da un dominio Active Directory e altri attributi da un altro dominio AD per produrre il miglior oggetto singolo in Azure AD. Di nuovo, c’è molta potenza qui, e sarai familiare con la configurazione generale se hai utilizzato funzionalità personalizzate come le regole di sincronizzazione nel software Azure AD Connect.
Conclusione
Bene, questo è un sacco di informazioni. E, voglio sottolineare il più grande svantaggio di Azure AD Connect cloud sync – ha meno funzionalità e può supportare meno scenari rispetto ad Azure AD Connect.
Questo è normale e previsto. Azure AD Connect esiste da anni e Azure AD Connect cloud sync è stato rilasciato circa un anno fa. Quindi, naturalmente, c’è più funzionalità nel software più vecchio.
Il mio consiglio: Appena gli scenari supportati con Azure AD Connect cloud sync corrispondono al tuo ambiente, prendi i passi per migrare ad esso. Dopo aver utilizzato Azure AD Connect per diversi anni nei miei ‘lavori diurni’, la funzionalità cloud sembra molto buona – e MOLTO meno da amministrare e tenere d’occhio.
Non esitare a lasciare un commento o una domanda qui sotto e grazie per aver letto!
Source:
https://petri.com/install-azure-ad-connect-cloud-sync/