Configurare Azure AD Connect Cloud Provisioning (Cloud Sync)

Azure AD Connect Cloud Provisioning Sync è un nuovo agent Microsoft progettato per la sincronizzazione di utenti, gruppi e contatti tra Active Directory on-premises ed Azure AD. Può essere usato insieme al servizio di sincronizzazione di Azure AD Connect e offre i vantaggi seguenti:

  • Supporto per la sincronizzazione di più foreste, utile nel caso ci siano fusioni o acquisizioni tra aziende.
  • Installazione semplificata e agent leggero.
  • Configurazione della sincronizzazione gestita nel cloud.
  • Distribuzione di più agent per assicurare l’alta disponibilità.

AGGIORNAMENTO del 03-02-2021: Azure AD Connect Cloud Provisioning adesso si chiama Azure AD Connect Cloud Sync ed è stato rilasciato in general availability (GA) il 3 febbraio 2021. Maggiori info alla pagina https://techcommunity.microsoft.com/t5/azure-active-directory-identity/strengthen-your-hybrid-identity-with-these-new-azure-ad-connect/ba-p/1994721

Grazie al provisioning di identità (il processo di creazione di un oggetto in base a determinate condizioni, mantenendo l’oggetto aggiornato ed eliminandolo quando le condizioni non vengono più soddisfatte), al nuovo utente che entra a far parte dell’azienda viene creato un account utente corrispondente nel cloud, in Active Directory e nelle varie applicazioni a cui l’utente deve poter accedere. In questo modo l’utente può iniziare a lavorare e avrà accesso fin dal primo giorno alle applicazioni e ai sistemi necessari.

Figura 1: Schema di funzionamento di Azure AD Connect Cloud Provisioning Sync

Differenze tra Azure AD Connect e Azure AD Connect Cloud Provisioning Sync

La principale differenza tra Azure AD Connect e Azure AD Connect Cloud Provisioning Sync consiste nella gestione delle configurazioni effettuate direttamente nel cloud dal portale di Microsoft Azure. Una volta che l’agent è stato distribuito on-premises, il resto delle configurazioni verrà effettuato solo online.

È bene sottolineare però che ci sono altre differenze sostanziali, raggruppate nella tabella seguente:

 

Installazione di Azure AD Connect Cloud Provisioning Sync

Per installare e configurare il provisioning di Azure AD Connect è necessario:

  • Un account amministratore per il tenant di Azure AD (global administrator)
  • Un server locale dove installare l’agente di provisioning con Windows 2012 R2 o versione successiva con almeno 4 GB di RAM e il runtime di .NET 4.7.1 o versione successiva.
  • Eseguire lo strumento IdFix per preparare gli attributi di directory per la sincronizzazione.
  • Configurare sul firewall le porte 80 e 443 in uscita tra i server in cui verrà installato l’agent e Azure AD

NOTA: L’agente di provisioning può attualmente essere installato solo in server in lingua inglese. L’installazione di un Language Pack in lingua inglese in un server non in lingua inglese non è consentita e genererà un errore di installazione dell’agente.

Collegatevi al portale di Azure AD e nel menu a sinistra selezionate Azure AD Connect. Cliccate sul link Manage provisoning (Preview)

Figura 2: Funzionalità di provisioning di Azure AD Connect

Scaricate l’agente di provisioning di Azure AD Connect dal portale di Azure cliccando sul link Download Agent

Figura 3: Download Agent dal portale di Azure

Eseguite il programma di installazione di Azure AD Connect Provisioning Agent (AADConnectProvisioningAgent.Installer) e accettate le condizioni di licenza e cliccate su Install.

Figura 4: Installazione di Azure AD Connect Provisioning Agent

Figura 5: Installazione di Azure AD Connect Provisioning Agent completata

Al termine dell’operazione verrà avviata la configurazione guidata. Accedete con un account che sia Global Administrator di Azure AD.

Figura 6: Accesso ad Azure AD con le credenziali di Global Administrator di Azure AD

Nella schermata Connect Active Directory selezionate Add directory. Accedete con un account amministratore che abbia i privilegi di Enterprise Admin di Active Directory on-premises.

Figura 7: Inserimento delle credenziali di Enterprise Admin

Figura 8: Aggiunta della foresta di AD locale

Figura 9: Conferma delle configurazioni scelte

Figura 10: Configurazione di Azure AD Connect Provisioning Agent completata

Per verificare se l’agente viene visto da Azure, accedete al portale di Azure e da Azure Active Directory > Azure AD Connect > Azure AD Provisioning (preview) selezionate il pulsante Review all agents.

Nella schermata On-premises provisioning agents verranno visualizzati gli agent installati. Verificare che l’agente in questione sia presente e contrassegnato come attivo.

Figura 11: On-premises provisioning agents attivi

Nel nodo Azure AD Connect potete anche verificare che la sincronizzazione degli account e delle password tra Active Directory locale e Azure AD è attiva.

Figura 12: La sincronizzazione con Azure AD è abilitata

L’agent è stato installato ma è necessario configurarlo e abilitarlo prima di avviare la sincronizzazione degli utenti. Per configurare un nuovo agent, cliccate sul pulsante + New Configuration.

Figura 13: Creazione di una nuova configurazione per Azure AD Provisioning

Nella schermata di configurazione il dominio locale viene prepopolato. È possibile cliccare su Edit Scope Filters se si vuol limitare il numero di account di AD locale che si vogliono sincronizzare. Immettete un indirizzo di posta elettronica per ricevere notifiche nel caso in cui non stia funzionando il provisioning e spostate il selettore per abilitare la configurazione. Salvate la configurazione cliccando sul pulsante Salva.

Figura 14: Configurazioni del provisioning

A questo punto la configurazione sarà disponibile nel portale di Azure. Per effettuare modifiche alla configurazione vi basterà cliccare sul nome della configurazione, corrispondente al dominio che ste sincronizzando.

Figura 15: Configurazione di Azure AD Provisioning completata

Se non volete attendere la successiva esecuzione pianificata, attivate l’esecuzione del provisioning cliccando sulla configurazione e usando il pulsante Restart provisioning.

Figura 16: Avvio manuale dell’operazione di provisioning

Conclusioni

Azure AD Connect Cloud Provisioning Sync semplifica di molto la creazione delle identità online e la sincronizzazione con l’Active Directory locale, ma al momento offre meno possibilità rispetto al classico Azure AD Connect. È decisamente un prodotto che è destinato ad essere migliorato in futuro e la possibilità di gestire dal pannello di Azure le configurazioni di sincronizzazione è molto comoda.

Per maggiori informazioni visitate la pagina ufficiale delle domande frequenti su Azure AD Connect Cloud Sync | Microsoft Docs