Obbiettivo:
- Sincronizzare gli utenti nei server Active Directory on-premise (Foreste AD locali su Windows Server 2016) con Office 365 \ Exchange Online \ Azure AD
- Single Sign-On tra utenti di dominio Windows ed account Outlook \ licenze Office 365
- Sincronia delle password in una o due vie
Prerequisiti:
- Deve essere presente un dominio locale Active Directory
- Il server di dominio deve avere installato almeno Windows Server 2016 o superiore
- Deve già essere presente un dominio collegato al pannello Office 365, e deve essere verificato
- Deve essere abilitato TLS 1.2. Eseguire script PowerShell di seguito.
Soluzione:
- Preparare gli utenti dell’Active Directory locali impostando il campo mail dell’utente e gli attributi “proxyAddresses”. Questi ultimi sono formattati come segue: SMTP in maiuscolo è l’email principale, smtp in minuscolo sono gli alias, seguiti dagli indirizzi mail.
- Aggiungere l’alias di dominio al dominio Active Directory: aprire “Domini e trust di Active Directory”, ed aprire la proprietà del primo elemento.
- Aggiungere il suffisso UPN alternativo ed applicare le modifiche, quest’ultimo deve essere pari al nome di dominio delle mail reali (es. nome della foresat contoso.local, aggiungere il dominio alternativo contoso.com)
- Scaricare ed installare l’ultima versione di Azure Active Directory Connect in un controller di dominio
- Il metodo utilizzato per sincronizzare gli utenti che andremo ad impostare sarà “Password Hash Syncronization”.
Questo metodo sincronizza l’hash delle password degli utenti locali su Office 365, e non viceversa, a meno che non abilitiamo in futuro l’opzione “writeback”.
- Inserire le credenziali dell’utente amministratore della tenant di Office 365 nella schermata “Connessione ad Azure AD”
- Inserire le credenziali di un utente amministratore di dominio locale per la creazione automatica di un utente per Azure AD
- Proseguiamo l’installazione lasciando il campo “Nome entità utente” su userPrincipalName (il nome dell’account Office 365 coinciderà con l’attributo appena selezionato)
- Mettiamo il segno di spunta su “Continua senza corrispondenza di tutti i suffissi UPN con i domini verificati”
Il prossimo passaggio indica al connettore di sincronizzare con Azure AD solamente gli utenti con il campo “mail” compilato.
Se volessimo sincronizzare solamente gli utenti membri di un gruppo, questa opzione è presente nella schermata “Filtro”
- Chiudere la configurazione senza avviare la prima sincronizzazione, rimuovendo il segno di spunta sull’ultima finestra di Azure AD Connect.
- Apriamo ora il programma “Syncronization Rule Editor” e modifichiamo la regola “In from AD – User Join” come da screenshot.
- Apriamo un PowerShell come amministratore e digitiamo i seguenti comandi
Import-Module ADSync
Get-ADSyncScheduler
- Per abilitare il ciclo di sincronizzazione (SyncCycleEnabled, in foto sopra era già abilitato) lanciamo il seguente comando
Set-ADSyncScheduler -SyncCycleEnabled $true
Dopo qualche minuto, sul pannello di Azure AD dovranno comparire gli utenti sincronizzati.
In alternativa, per forzare una sincronizzazione manuale, eseguire il seguente comando:
Start-ADSyncSyncCycle -PolicyType Delta
