Nell’ultimo post ho dato una dimostrazione dell’utilizzo del nuovo strumento Azure AD connect per integrare il tuo dominio on premise con Azure Active Directory. Il processo è abbastanza semplice, ma una domanda che ho ricevuto è: come faccio a integrare il mio abbonamento a Office 365 e gli utenti con il mio dominio on premise? Beh, grazie allo strumento, questo processo è abbastanza facile se hai fatto il passo di assicurare che i tuoi account utente di Office 365 corrispondano strettamente ai tuoi account di dominio esistenti. Se non è così, allora probabilmente dovrai fare un po’ di pulizia manuale prima dell’integrazione. Coprirò alcuni di questi passaggi manuali più avanti nel post.
Dettagli
Quando si crea un abbonamento a Office 365, Microsoft provvederà effettivamente a fornire un’istanza di Azure Active Directory per voi dietro le quinte. Se hai un abbonamento Azure, puoi connettere i due in modo da poter gestire il tuo dominio O365 dal portale di gestione Azure. Quindi, in sostanza, il processo è molto simile a quello precedente, a parte qualche piccola modifica alla configurazione. Il primo cambiamento è durante il passo Identificazione degli utenti. Qui dovrete selezionare un attributo di Active Directory che corrisponderà agli account on premise e online. Nel mio caso è stato molto semplice dato che gli indirizzi email erano gli stessi, così ho scelto l’attributo Mail. I SID possono essere la vostra scelta per gli scenari Exchange.
Poi, nel passo Optional Features potete selezionare la casella di controllo accanto a “Azure AD app and attribute filtering” per permettere allo strumento Connect di conoscere altre applicazioni che dovrebbero essere sincronizzate.
Una volta selezionata l’opzione Apps, lo strumento attiverà una nuova sezione dove potrete impostare opzioni più esplicite su applicazioni e attributi. Lo strumento è abbastanza intelligente da mappare ulteriori attributi AD per integrare correttamente le applicazioni con gli utenti del tuo dominio.
Ho scelto tutte le applicazioni predefinite nel caso in cui volessi aggiungere strumenti Microsoft Online in futuro. Si può essere più granulari anche sugli attributi specifici di AD, ma li ho lasciati così come sono. Dopo aver completato la procedura guidata e la prima sincronizzazione, i vostri utenti dovrebbero iniziare a comparire in O365.
Questo copre la parte facile quando i vostri utenti e la struttura sono abbastanza semplici. Tuttavia, gli ambienti di produzione sono spesso tutt’altro che semplici. Ecco alcune cose di cui dovreste essere consapevoli:
- Active Directory deve avere certe impostazioni configurate per funzionare correttamente con il single sign-on. In particolare, il nome principale dell’utente (UPN), o nome di accesso, deve essere impostato in modo specifico per ogni utente. Utilizza il Microsoft Deployment Readiness Tool per ispezionare il tuo ambiente Active Directory e generare un rapporto che include informazioni sul fatto che tu sia pronto o meno a impostare il single sign-on e quali modifiche devi fare per prepararti al single sign-on.
- Il dominio che scegli di federare deve essere registrato come dominio pubblico con una società di registrazione di domini o all’interno dei tuoi server DNS pubblici.
- Se hai già impostato la sincronizzazione di Active Directory, l’UPN dell’utente potrebbe non corrispondere all’UPN on-premises dell’utente definito in Active Directory. Per risolvere questo problema, rinominare l’UPN dell’utente utilizzando il cmdlet Set-MsolUserPrincipalName nel modulo Microsoft Azure Active Directory per Windows PowerShell.