Nicola FerriniDisabilitare la Directory Synchronization in Microsoft Entra ID e migrare a un ambiente Cloud Only
L’obiettivo della disabilitazione della Directory Synchronization è completare la transizione verso un’infrastruttura Cloud Only, eliminando la dipendenza dall’Active Directory on-premises e centralizzando completamente la gestione delle identità su Microsoft 365 ed Entra ID.
Disattivando la sincronizzazione tra ambiente locale e tenant Microsoft 365, gli account non saranno più gestiti tramite Active Directory on-premises ma direttamente dal cloud. Questo approccio consente di semplificare l’infrastruttura, ridurre i componenti da mantenere e rendere più immediata l’amministrazione degli utenti.
Prima di procedere è necessario verificare che tutti gli account e gli oggetti richiesti siano già presenti e correttamente configurati nel tenant Microsoft 365, evitando dipendenze residue dai sistemi locali. La modifica ha impatto diretto sulla gestione delle identità e deve quindi essere eseguita in modo controllato e pianificato.
Figura 1: Verifica dello stato di sincronizzazione di un account nel portale Microsoft Entra
Figura 2: Verifica dello stato di Microsoft Entra Connect Sync
Rimozione dei componenti di sincronizzazione dall’infrastruttura on-premises
Se l’obiettivo è dismettere definitivamente la sincronizzazione e portare il tenant in modalità Cloud Only, è consigliabile rimuovere preventivamente i componenti di sincronizzazione presenti nell’infrastruttura locale, come Microsoft Entra Connect Sync oppure Microsoft Entra Cloud Sync.
La disabilitazione della Directory Synchronization direttamente dal tenant, senza prima rimuovere gli agenti di sincronizzazione, potrebbe infatti generare uno stato incoerente nel portale Microsoft Entra. In alcuni casi la sincronizzazione potrebbe risultare disabilitata mentre funzionalità opzionali, come il Password Hash Synchronization, continuano ad apparire come abilitate. Sebbene questa condizione non comporti malfunzionamenti operativi, può creare confusione durante le verifiche amministrative e nelle attività di troubleshooting.
Per questo motivo è consigliabile procedere prima con la rimozione dei componenti di sincronizzazione dall’ambiente on-premises e successivamente disabilitare la Directory Synchronization dal tenant Microsoft 365.
Accedete al server dove è installato Microsoft Entra Connect e aprite Settings > Apps > Apps & features. Cercate quindi il componente Microsoft Entra Connect Sync e selezionate Uninstall per avviare la procedura di rimozione.
La disinstallazione del componente interrompe definitivamente la sincronizzazione tra Active Directory locale e Microsoft 365, evitando che nel tenant rimangano configurazioni o stati incoerenti relativi ai servizi di sincronizzazione.
Figura 3: Disinstallazione di Microsoft Entra Connect Sync dal server on-premises
Dopo la disinstallazione di Microsoft Entra Connect Sync è possibile notare che nel portale Microsoft Entra lo stato della sincronizzazione risulta ancora Enabled, mentre la funzionalità Password Hash Sync viene automaticamente indicata come Disabled.
Questo comportamento è normale e conferma che il server di sincronizzazione non è più operativo, anche se la Directory Synchronization risulta ancora attiva a livello di tenant. La sincronizzazione infatti deve essere disabilitata separatamente tramite Microsoft Graph PowerShell prima che il tenant venga convertito completamente in modalità Cloud Only.
Questa situazione può temporaneamente generare uno stato apparentemente incoerente nel portale Microsoft Entra, ma non comporta problematiche operative.
Figura 4: Stato di Microsoft Entra Connect dopo la disinstallazione del server di sincronizzazione
Disabilitazione della Directory Synchronization tramite Microsoft Graph PowerShell
Dopo aver rimosso Microsoft Entra Connect Sync dal server on-premises, è possibile procedere con la disabilitazione della Directory Synchronization direttamente dal tenant Microsoft 365.
L’operazione viene eseguita tramite Microsoft Graph PowerShell e consente di impostare il tenant in modalità Cloud Only, interrompendo definitivamente la gestione sincronizzata delle identità.
Prima di eseguire il comando è necessario installare il modulo Microsoft Graph PowerShell e autenticarsi al tenant Microsoft 365 con un account dotato dei privilegi amministrativi richiesti.
Una volta stabilita la connessione, eseguite il comando Update-MgOrganization impostando il parametro relativo alla sincronizzazione directory su false.
La propagazione della modifica non è immediata e può richiedere diverso tempo prima che lo stato venga aggiornato completamente nel portale Microsoft Entra.
Qui di seguito i comandi da utilizzare
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
# Install v1.0 Microsoft Graph PowerShell module Install-Module Microsoft.Graph -Force # Connect With Hybrid Identity Administrator Account Connect-MgGraph -scopes "Organization.ReadWrite.All,Directory.ReadWrite.All" # Verify the current status of the DirSync Type Get-MgOrganization | Select OnPremisesSyncEnabled # Store the Tenant ID in a variable named organizationId $organizationId = (Get-MgOrganization).Id # Perform the update Update-MgOrganization -OrganizationId $organizationId -onPremisesSyncEnabled:$false # Check that the command worked Get-MgOrganization | Select OnPremisesSyncEnabled |
Figura 5: Disabilitazione della Directory Synchronization tramite Microsoft Graph PowerShell
Dal portale Microsoft Entra è possibile verificare che la Directory Synchronization sia stata correttamente disabilitata.
Accedendo alla sezione Microsoft Entra Connect > Connect Sync, il servizio non risulterà più operativo e verrà mostrato lo stato Not installed. Anche il campo relativo all’ultima sincronizzazione indicherà che il processo non è mai stato eseguito oppure non è più disponibile.
Questo conferma che il tenant non utilizza più Microsoft Entra Connect Sync e che la gestione delle identità è stata completamente spostata sul cloud.
Figura 6: Verifica della disabilitazione della Directory Synchronization dal portale Microsoft Entra
La conferma finale della conversione in modalità Cloud Only può essere verificata direttamente dalle proprietà degli utenti nel portale Microsoft Entra.
Accedendo alla sezione Users > All users, il valore della colonna On-premises sync enabled risulterà impostato su No per gli account precedentemente sincronizzati. Questo indica che gli utenti non sono più collegati ad Active Directory on-premises e vengono ora gestiti esclusivamente dal cloud.
Da questo momento eventuali modifiche agli account, come password, attributi o appartenenze ai gruppi, dovranno essere amministrate direttamente da Microsoft Entra ID.
Figura 7: erifica dello stato Cloud Only degli utenti sincronizzati
Conclusioni
La disabilitazione della Directory Synchronization rappresenta l’ultimo passaggio per completare la transizione verso un’infrastruttura Cloud Only su Microsoft 365 ed Entra ID.
Una volta rimossa la sincronizzazione con Active Directory on-premises, la gestione degli utenti viene eseguita interamente dal cloud, semplificando l’infrastruttura e riducendo le dipendenze dai sistemi locali.
Prima di procedere in ambienti produttivi è comunque consigliabile verificare attentamente eventuali dipendenze applicative, processi automatici o servizi ancora integrati con Active Directory on-premises, così da evitare impatti operativi durante la migrazione.