Azure Active Directory: Configurazione Filtri nel Sync

Silvio Di BenedettoArticoli Cloud, Microsoft Azure
Microsoft Azure

Autore: Nicola Ferrini

 

Azure AD Connect è lo strumento che permette di integrare Active Directory con Azure Active Directory in modo tale che possano utilizzare i servizi cloud, as esempio Office 365, con la stessa identità che usano oggi per accedere alle proprie postazioni di lavoro ed ai software aziendali. Per l’installazione di Azure AD Connect (che non tratterò in questo articolo) vi rimando all’articolo Azure Active Directory: Sync con Active Directory Locale

 

Azure AD Connect include numerose funzionalità che è possibile abilitare:

 

  • Filtri
  • Sincronizzazione delle password
  • Writeback delle password
  • Writeback dei dispositivi
  • Aggiornamento automatico del software

 

In questo articolo voglio mostrarvi in dettaglio come poter applicare uno o più filtri per limitare gli oggetti da sincronizzare tra la vostra directory on-premise ed Azure AD. Tutti gli utenti, i contatti, i gruppi e i computer Windows 10 sono sincronizzati in maniera predefinita, ma è possibile limitare gli oggetti sincronizzati in base ai domini, alle unità organizzative o agli attributi.

 

I motivi per cui potrebbe essere necessario impostare un filtro sono diversi:

 

  • Creazione di un POC (proof of concept) con solo alcuni utenti del dominio
  • Non tutti gli account del dominio devono avere accesso ad Office 365
  • Ci sono utenti disabilitati che non volete siano presenti online

 

Ci sono diversi modi per applicare un filtro con Azure AD Connect ed il filtro può essere applicato in qualsiasi momento. È importante ricordare che tutti gli oggetti che poi rimuoverete con il filtro verranno anche rimossi da Azure AD (e spostati nel cestino)!

 

Nel caso rimuoviate un utente per sbaglio sarà possibile modificare il filtro di Azure AD Connect e risincronizzare la vostra directory on-premise con Azure AD. Questo permetterà di ripristinare l’utente dal cestino di Azure AD. Non sarà possibile però ripristinare gli altri oggetti, come ad esempio i gruppi.

 

Creazione dei Filtri

In questo articolo vedremo come modificare i filtri dopo aver effettuato l’installazione, partendo dalla versione 1.1.110.0 di Azure AD Connect rilasciata a Febbraio 2016.

 

Lanciate Azure AD Connect e scegliete di modificare le impostazioni di sincronizzazione. Una volta lanciato il wizard vi verrà richiesto di autenticarvi ad Office 365 (usate un Global Administrator) e di autenticarvi alla vostra foresta (usate un Enterprise Admin).

 

É possibile scegliere di filtrare solo alcune unità organizzative (OU). Nel mio caso ho deciso di sincronizzare solo gli oggetti contenuti nella OU che si chiama Office 365, come mostrato nella figura 1.

 

2016_03_21_AADC_02
Figura 1 – Filtro applicato ad una organization unit

 

Se voleste filtrare solo alcuni gruppi, l’operazione può essere fatta solo durante il wizard iniziale, come mostrato nella figura 2. Vedremo poi come modificare la scelta successivamente.

 

2016_03_21_AADC_03
Figura 2 – I Filtri ai gruppi effettuati durante il wizard iniziale

 

Filtri basati sugli attributi di AD

Sicuramente interessante è la possibilità di filtrare gli utenti in base ad alcuni attributi. Supponiamo infatti che non possiate modificare le Organizational Unit e spostarci all’interno gli utenti. Possiamo popolare alcuni attributi in Active Directory on-premises e poi decidere di sincronizzare solo gli utenti che possiedono l’attributo scelto.

 

Supponiamo di voler sincronizzare tutti gli utenti di dominio il cui attributo extensionAttribute1 sia “Office365”. Da Active Directory Users and Computer popoliamo l’attributo usando l’attribute editor, come mostrato nella figura 3.

2016_03_21_AADC_04
Figura 3 – Modifica dell’attributo ExtensionAttribute1 nelle proprietà dell’utente in AD

 

Per permettere la sincronizzazione dei soli utenti che possiedono quell’attributo è possibile usare il Synchronization Rule Editor, figura 4, di Azure AD Connect che potete lanciare dal menù di avvio.

 

2016_03_21_AADC_05
Figura 4 – Synchronization Rule Editor

 

Cliccando sul pulsante Add New Rule parte il wizard di configurazione. I filtri possono essere applicati sia in Inbound da Active Directory verso il metaverse che in Outbound dal metaverse verso Azure AD. È consigliabile applicare il filtro in Inbound perché è il più semplice da gestire. Creiamo quindi un filtro Inbound popolando le informazioni richieste, come mostrato nella figura 5.

 

2016_03_21_AADC_06
Figura 5 – Inbound synchronization rule

 

Nella schermata successiva applichiamo il filtro vero e proprio, cliccando su Add Group e aggiungendo una Clause, come mostrato nella figura 6. Un gruppo può contenere una o più clausole ed è possibile utilizzare gli operatori logici AND e OR.

 

2016_03_21_AADC_07
Figura 6 – Creazione della clausola con la scelta dell’attributo da filtrare

 

Proseguiamo nel wizard di configurazione lasciando vuote le Join Rules e nella schermata relativa alle Transformation, figura 7, fate clic su Add Transformation, impostate FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitate False. Fate clic su Add per salvare la regola.

 

2016_03_21_AADC_08
Figura 7 – Applicazione delle Transformations

 

Per completare il filtro però è necessario creare una ulteriore regola di Inbound di sincronizzazione catch-all. Lanciate nuovamente il wizard e compilate i campi come mostrato nella figura 8.

 

2016_03_21_AADC_09
Figura 8 – Creazione della regola di Catch-All

 

Lasciate vuoto Scoping filter e fate clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti. Lasciate vuote le Join Rules e quindi fare clic su Next. Fate clic su Add Transformation, impostare FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitare True. Fare clic su Add per salvare la regola, come mostrato nella figura 9.

 

2016_03_21_AADC_10
Figura 9 – Creazione regola Sync

 

Applicare e Verificare le Modifiche

Dopo avere apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti in Azure AD. Se la configurazione è stata modificata usando il filtro basato su attributo, è necessario eseguire la sincronizzazione completa. Per effettuare la sincronizzazione avete due possibilità:

 

  1. Aprite un prompt dei comandi, spostatevi nella directory C:\Program Files\Microsoft Azure AD Sync\bin e lanciate DirectorySyncClientCmd.exe
  2. Aprite PowerShell e usate la cmdlet Start-ADSyncSyncCycle

 

Per maggiori approfondimenti sull’utilità di pianificazione di Azure AD Connect vi rimando all’articolo: https://azure.microsoft.com/it-it/documentation/articles/active-directory-aadconnectsync-feature-scheduler/

 

Conclusioni

Con i filtri è possibile controllare quali oggetti della directory locale volete sincronizzare in Azure AD, in modo tale da modificare la configurazione predefinita, che replica tutti gli oggetti in tutti i domini delle foreste configurate. Basta modificare semplicemente un attributo degli utenti da replicare su Azure AD (e quindi anche su Office 365) per avere un controllo più granulare.