Autore: Nicola Ferrini
Azure AD Connect è lo strumento che permette di integrare Active Directory con Azure Active Directory in modo tale che possano utilizzare i servizi cloud, as esempio Office 365, con la stessa identità che usano oggi per accedere alle proprie postazioni di lavoro ed ai software aziendali. Per l’installazione di Azure AD Connect (che non tratterò in questo articolo) vi rimando all’articolo Azure Active Directory: Sync con Active Directory Locale
Azure AD Connect include numerose funzionalità che è possibile abilitare:
- Filtri
- Sincronizzazione delle password
- Writeback delle password
- Writeback dei dispositivi
- Aggiornamento automatico del software
In questo articolo voglio mostrarvi in dettaglio come poter applicare uno o più filtri per limitare gli oggetti da sincronizzare tra la vostra directory on-premise ed Azure AD. Tutti gli utenti, i contatti, i gruppi e i computer Windows 10 sono sincronizzati in maniera predefinita, ma è possibile limitare gli oggetti sincronizzati in base ai domini, alle unità organizzative o agli attributi.
I motivi per cui potrebbe essere necessario impostare un filtro sono diversi:
- Creazione di un POC (proof of concept) con solo alcuni utenti del dominio
- Non tutti gli account del dominio devono avere accesso ad Office 365
- Ci sono utenti disabilitati che non volete siano presenti online
Ci sono diversi modi per applicare un filtro con Azure AD Connect ed il filtro può essere applicato in qualsiasi momento. È importante ricordare che tutti gli oggetti che poi rimuoverete con il filtro verranno anche rimossi da Azure AD (e spostati nel cestino)!
Nel caso rimuoviate un utente per sbaglio sarà possibile modificare il filtro di Azure AD Connect e risincronizzare la vostra directory on-premise con Azure AD. Questo permetterà di ripristinare l’utente dal cestino di Azure AD. Non sarà possibile però ripristinare gli altri oggetti, come ad esempio i gruppi.
Creazione dei Filtri
In questo articolo vedremo come modificare i filtri dopo aver effettuato l’installazione, partendo dalla versione 1.1.110.0 di Azure AD Connect rilasciata a Febbraio 2016.
Lanciate Azure AD Connect e scegliete di modificare le impostazioni di sincronizzazione. Una volta lanciato il wizard vi verrà richiesto di autenticarvi ad Office 365 (usate un Global Administrator) e di autenticarvi alla vostra foresta (usate un Enterprise Admin).
É possibile scegliere di filtrare solo alcune unità organizzative (OU). Nel mio caso ho deciso di sincronizzare solo gli oggetti contenuti nella OU che si chiama Office 365, come mostrato nella figura 1.
Figura 1 – Filtro applicato ad una organization unit
Se voleste filtrare solo alcuni gruppi, l’operazione può essere fatta solo durante il wizard iniziale, come mostrato nella figura 2. Vedremo poi come modificare la scelta successivamente.
Figura 2 – I Filtri ai gruppi effettuati durante il wizard iniziale
Filtri basati sugli attributi di AD
Sicuramente interessante è la possibilità di filtrare gli utenti in base ad alcuni attributi. Supponiamo infatti che non possiate modificare le Organizational Unit e spostarci all’interno gli utenti. Possiamo popolare alcuni attributi in Active Directory on-premises e poi decidere di sincronizzare solo gli utenti che possiedono l’attributo scelto.
Supponiamo di voler sincronizzare tutti gli utenti di dominio il cui attributo extensionAttribute1 sia “Office365”. Da Active Directory Users and Computer popoliamo l’attributo usando l’attribute editor, come mostrato nella figura 3.
Figura 3 – Modifica dell’attributo ExtensionAttribute1 nelle proprietà dell’utente in AD
Per permettere la sincronizzazione dei soli utenti che possiedono quell’attributo è possibile usare il Synchronization Rule Editor, figura 4, di Azure AD Connect che potete lanciare dal menù di avvio.
Figura 4 – Synchronization Rule Editor
Cliccando sul pulsante Add New Rule parte il wizard di configurazione. I filtri possono essere applicati sia in Inbound da Active Directory verso il metaverse che in Outbound dal metaverse verso Azure AD. È consigliabile applicare il filtro in Inbound perché è il più semplice da gestire. Creiamo quindi un filtro Inbound popolando le informazioni richieste, come mostrato nella figura 5.
Figura 5 – Inbound synchronization rule
Nella schermata successiva applichiamo il filtro vero e proprio, cliccando su Add Group e aggiungendo una Clause, come mostrato nella figura 6. Un gruppo può contenere una o più clausole ed è possibile utilizzare gli operatori logici AND e OR.
Figura 6 – Creazione della clausola con la scelta dell’attributo da filtrare
Proseguiamo nel wizard di configurazione lasciando vuote le Join Rules e nella schermata relativa alle Transformation, figura 7, fate clic su Add Transformation, impostate FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitate False. Fate clic su Add per salvare la regola.
Figura 7 – Applicazione delle Transformations
Per completare il filtro però è necessario creare una ulteriore regola di Inbound di sincronizzazione catch-all. Lanciate nuovamente il wizard e compilate i campi come mostrato nella figura 8.
Figura 8 – Creazione della regola di Catch-All
Lasciate vuoto Scoping filter e fate clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti. Lasciate vuote le Join Rules e quindi fare clic su Next. Fate clic su Add Transformation, impostare FlowType su Constant, selezionare l’attributo di destinazione cloudFiltered e nella casella di testo Source digitare True. Fare clic su Add per salvare la regola, come mostrato nella figura 9.
Figura 9 – Creazione regola Sync
Applicare e Verificare le Modifiche
Dopo avere apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti in Azure AD. Se la configurazione è stata modificata usando il filtro basato su attributo, è necessario eseguire la sincronizzazione completa. Per effettuare la sincronizzazione avete due possibilità:
- Aprite un prompt dei comandi, spostatevi nella directory C:\Program Files\Microsoft Azure AD Sync\bin e lanciate DirectorySyncClientCmd.exe
- Aprite PowerShell e usate la cmdlet Start-ADSyncSyncCycle
Per maggiori approfondimenti sull’utilità di pianificazione di Azure AD Connect vi rimando all’articolo: https://azure.microsoft.com/it-it/documentation/articles/active-directory-aadconnectsync-feature-scheduler/
Conclusioni
Con i filtri è possibile controllare quali oggetti della directory locale volete sincronizzare in Azure AD, in modo tale da modificare la configurazione predefinita, che replica tutti gli oggetti in tutti i domini delle foreste configurate. Basta modificare semplicemente un attributo degli utenti da replicare su Azure AD (e quindi anche su Office 365) per avere un controllo più granulare.