Nicola FerriniConfigurare i filtri in Azure AD Connect
Azure AD Connect è lo strumento che permette di integrare Active Directory con Azure Active Directory e connettere gli utenti a Office 365, in modo tale che possano utilizzare i servizi cloud con la stessa identità che usano oggi per accedere alle proprie postazioni di lavoro ed ai software aziendali.
Figura 1: Principio di funzionamento di Azure AD Connect con sincronizzazione delle password
Per l’installazione di Azure AD Connect potete leggere l’articolo https://azure.microsoft.com/it-it/documentation/articles/active-directory-aadconnect/
Azure AD Connect include numerose funzionalità che è possibile abilitare:
- Filtri
- Sincronizzazione delle password
- Writeback delle password
- Writeback dei dispositivi
- Aggiornamento automatico del software
In questo articolo voglio mostrarvi come poter applicare uno o più filtri per limitare gli oggetti da sincronizzare tra la vostra directory on-premise ed Azure AD. Tutti gli utenti, i contatti, i gruppi e i computer Windows 10 sono sincronizzati per default, ma è possibile limitare gli oggetti sincronizzati in base ai domini, alle unità organizzative o agli attributi di Active Directory.
I motivi per cui potrebbe essere necessario impostare un filtro sono diversi:
- Creazione di un POC (proof of concept) con solo alcuni utenti del dominio
- Non tutti gli account del dominio devono avere accesso ad Office 365
- Ci sono utenti disabilitati che non volete siano presenti online in Azure AD.
Ci sono diversi modi per applicare un filtro con Azure AD Connect ed il filtro può essere applicato in qualsiasi momento.
È importante ricordare che tutti gli oggetti che poi rimuoverete con il filtro verranno anche rimossi da Azure AD (e spostati nel cestino)! Nel cestino poi rimarranno per 60 giorni e potranno essere ripristinati.
Nel caso rimuoviate un utente per sbaglio sarà possibile modificare il filtro di Azure AD Connect e risincronizzare la vostra directory on-premise con Azure AD. Questo permetterà di ripristinare l’utente dal cestino di Azure AD. Non sarà possibile però ripristinare gli altri oggetti, come ad esempio i gruppi.
Creazione dei filtri utilizzando il Synchronization Rule Editor
In questo articolo considererò già installato Azure AD Connect e vi mostrerò come modificare i filtri dopo aver effettuato l’installazione.
Attualmente io sto utilizzando la versione 1.1.614.0 di Azure AD Connect rilasciata il 5 Settembre 2017. Per una lista di tutte le versioni di Azure AD potete consultare la pagina Azure AD Connect: Cronologia delle versioni
Lanciate Azure AD Connect e scegliete di modificare le impostazioni di sincronizzazione. Una volta lanciato il wizard vi verrà richiesto di autenticarvi ad Office 365 (usate un Global Administrator del vostro Tenant) e di autenticarvi alla vostra foresta (usate un Enterprise Admin).
É possibile scegliere di filtrare solo alcune unità organizzative (OU). Nel mio caso ho deciso di sincronizzare solo gli oggetti contenuti nella OU che si chiama Office 365, come mostrato in figura:
Figura 2: Filtro applicato ad una organization unit
Se voleste filtrare solo alcuni gruppi, l’operazione può essere fatta solo durante il wizard iniziale, come mostrato in figura. Vedremo poi come modificare la scelta successivamente.
Figura 3: I Filtri ai gruppi effettuati durante il wizard iniziale
Filtri basati sugli attributi di AD
È possibile filtrare gli utenti in base ad alcuni attributi di Active Directory. Supponiamo infatti che non possiate modificare le Organizational Unit e spostarvi all’interno gli utenti; possiamo popolare alcuni attributi in Active Directory on-premises e poi decidere di sincronizzare solo gli utenti che possiedono l’attributo scelto.
Io ho scelto di sincronizzare tutti gli utenti di dominio il cui attributo extensionAttribute1 sia “Office365”. L’attributo è presente perchè nella mia infrastruttura è installato Microsoft Exchange e questo attributo è stato aggiunto come aggiormento dello Schema di AD prima dell’installazione.
Dalla console Active Directory Users and Computer ho popolato l’attributo usando l’Attribute Editor, come mostrato in figura:
Figura 4: Modifica dell’attributo ExtensionAttribute1 nelle proprietà dell’utente in AD
Per permettere la sincronizzazione dei soli utenti che possiedono quell’attributo è possibile usare il Synchronization Rule Editor di Azure AD Connect che potete lanciare dal menù di avvio.
Figura 5: Synchronization Rule Editor
Cliccando sul pulsante Add New Rule parte il wizard di configurazione. I filtri possono essere applicati sia in INBOUND da Active Directory verso il metaverse che in OUTBOUND dal metaverse verso Azure AD. È consigliabile applicare il filtro in INBOUND perché è il più semplice da gestire.
Creiamo quindi un filtro INBOUND popolando le informazioni richieste, come mostrato in figura:
Figura 6:Inbound synchronization rule
Nella schermata successiva applichiamo il filtro vero e proprio, cliccando su Add Group e aggiungendo una Clause, come mostrato in figura. Un gruppo può contenere una o più clausole ed è possibile utilizzare gli operatori logici AND e OR.
Figura 7: Creazione della clausola con la scelta dell’attributo da filtrare
Proseguiamo nel wizard di configurazione lasciando vuote le Join Rules e nella schermata relativa alle Transformation fate clic su Add Transformation, impostate FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitate False. Fate clic su Add per salvare la regola.
Figura 8: Applicazione delle Transformations
Per completare il filtro però è necessario creare una ulteriore regola di Inboud di sincronizzazione catch-all. Lanciate nuovamente il wizard e compilate i campi come mostrato in figura:
Figura 9: Creazione della regola di Catch-All
Lasciate vuoto Scoping filter e fate clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti. Lasciate vuote le Join Rules e quindi fare clic su Next. Fate clic su Add Transformation, impostare FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitare True. Fare clic su Add per salvare la regola, come mostrato in figura:
Applicare e verificare le modifiche
Dopo avere apportato le modifiche alla configurazione è necessario applicarle agli oggetti già presenti in Azure AD. Se la configurazione è stata modificata usando il filtro basato su attributo, è necessario eseguire la sincronizzazione completa.
Per effettuare la sincronizzazione avete due possibilità:
- Aprite un prompt dei comandi, spostatevi nella directory C:\Program Files\Microsoft Azure AD Sync\bin e lanciate DirectorySyncClientCmd.exe
- Aprite Powershell e usate la cmdlet Start-ADSyncSyncCycle -Policytype Initial
Per maggiori approfondimenti sull’utilità di pianificazione di Azure AD Connect vi rimando all’articolo https://azure.microsoft.com/it-it/documentation/articles/active-directory-aadconnectsync-feature-scheduler/
Conclusioni
Con i filtri è possibile controllare quali oggetti della directory locale volete sincronizzare in Azure AD, in modo tale da modificare la configurazione predefinita, che replica tutti gli oggetti. Basta modificare un attributo degli utenti da replicare su Azure AD (e quindi anche su Office 365) per avere un controllo più granulare di ciò che volete sia presente nel database di Azure AD.