Azure AD Connect Group Writeback è una funzionalità relativamente nuova che consente di sincronizzare gruppi da Azure AD ad Active Directory. In questo articolo, esploreremo i dettagli di questa funzionalità e forniremo informazioni utili per la sua implementazione.
Impostazioni globali di Azure AD
Prima di iniziare, è importante comprendere le impostazioni globali di Azure AD che influenzano la funzionalità di Group Writeback. Utilizzando il modulo PowerShell di Azure AD Connect (ADSync), è possibile visualizzare queste impostazioni eseguendo il comando (Get-ADSyncGlobalSettings).parameters | sort Name | ft Name,Value.
Dalle impostazioni globali, possiamo notare che la funzionalità di UserWriteback è ancora disabilitata, ma sembra che potrebbe essere disponibile in futuro. È importante tenere presente che questa è la versione 1.0 di Azure AD Connect Group Writeback e ci si aspetta che vengano introdotte ulteriori flessibilità e miglioramenti in futuro.
Nuove regole di sincronizzazione in Azure AD Connect
Passiamo ora a esaminare le nuove regole di sincronizzazione per il Group Writeback in Azure AD Connect. È possibile accedere all'editor delle regole di sincronizzazione di Azure AD Connect dal menu Start, selezionando "Synchronization Rules Editor" sotto Azure AD Connect.
Nell'editor delle regole di sincronizzazione, possiamo notare la nuova regola di sincronizzazione "In from AAD - Group SOAInAAD" per il Group Writeback. Questa regola viene attivata quando l'attributo Azure AD cloudMastered è impostato su TRUE, il che indica ad Azure AD Connect di sincronizzare il gruppo in Active Directory.
Nella scheda delle regole di join, possiamo vedere che l'attributo Azure AD cloudAnchor viene replicato nell'attributo cloudAnchor di Active Directory. Nella scheda delle trasformazioni, possiamo vedere i mapping degli attributi dal target (Azure AD) alla sorgente (Active Directory).
È importante notare che queste regole non dovrebbero mai essere modificate direttamente. Se è necessario apportare modifiche, è consigliabile creare una nuova regola con una precedenza inferiore e disabilitare la regola corrente. Questo fornirà sempre un piano di fallback nel caso in cui sia necessario tornare alla configurazione precedente.
Utilizzo di Azure AD Connect Metaverse
Per comprendere meglio cosa accade durante la sincronizzazione dei gruppi, possiamo esaminare il metaverse di Azure AD Connect. Il metaverse è un database che memorizza gli oggetti provenienti da tutte le directory connesse, come Active Directory, Azure AD e LDAP.
Nell'immagine del metaverse, possiamo vedere l'attributo cloudAnchor, che tiene traccia del gruppo e delle modifiche apportate. L'attributo cloudMastered ci indica che si tratta di un gruppo esclusivamente cloud e non viene sincronizzato da Active Directory. Inoltre, notiamo l'attributo targetWritebackType, che è specifico per i gruppi abilitati per la posta elettronica in Microsoft 365.
Gruppi replicati in Active Directory
Passiamo ora ad analizzare i gruppi replicati in Active Directory. Utilizzando il cmdlet Get-ADGroup, possiamo visualizzare gli attributi unici di ogni gruppo. Di seguito è riportato un esempio di dump degli attributi di un gruppo di sicurezza di Azure AD, un gruppo di sicurezza di Microsoft 365 e un gruppo abilitato per la posta elettronica di Microsoft 365:
Get-ADGroup -Filter {DisplayName -eq '<Nome del gruppo>'} -Properties *
Gruppo di sicurezza di Azure AD 'AZ SG01':
GroupCategory = SecurityGroup
Scope = Universal
groupType = -2147483640
Gruppo di sicurezza di Microsoft 365 'M365 - SG01':
GroupCategory = DistributionGroup
Scope = Universal
groupType = 8
msExchRecipientDisplayType = 17 (nuovo valore per il gruppo di Azure AD)
msExchRecipientTypeDetails = 8796093022208 (nuovo valore per il gruppo di Azure AD)
Gruppo abilitato per la posta elettronica di Microsoft 365 'M365 - MESG01':
GroupCategory = SecurityGroup
Scope = Universal
groupType = -2147483640
msExchRecipientDisplayType = 17 (nuovo valore per il gruppo di Azure AD)
msExchRecipientTypeDetails = 8796093022208 (nuovo valore per il gruppo di Azure AD)Possibili casi d'uso
Ora che abbiamo esaminato i dettagli di Azure AD Connect Group Writeback, possiamo considerare alcuni possibili casi d'uso per questa funzionalità:
-
Migrazione tra tenant: Se stai eseguendo una migrazione tra tenant e utilizzi strumenti come Quest® OnDemand Migration per replicare gruppi da un tenant all'altro, puoi utilizzare Group Writeback per sincronizzare questi gruppi da Azure AD ad Active Directory. Questo semplifica notevolmente il processo di migrazione e ti consente di gestire i gruppi in Azure AD.
-
Implementazione di servizi cloud: Se stai implementando servizi cloud come Microsoft Endpoint Manager, SharePoint, Teams o PowerApps e desideri utilizzare gruppi cloud di Azure AD, ma hai anche la necessità di avere la membership dei gruppi in Active Directory locale per altri scopi, Group Writeback può essere la soluzione ideale. Puoi creare e gestire i gruppi in Azure AD e Group Writeback si occuperà di sincronizzarli in Active Directory.
È importante pianificare attentamente l'implementazione di questa funzionalità, tenendo conto delle convenzioni di denominazione, dei requisiti specifici delle applicazioni cloud e locali e dei casi d'uso aziendali.
Note importanti sull'implementazione
Prima di implementare Azure AD Connect Group Writeback, è necessario tenere presente alcune note importanti:
-
Spostamento dei gruppi: È possibile spostare un gruppo di Microsoft 365 o di sicurezza di Azure AD da una OU di Active Directory all'altra. Tuttavia, durante l'esecuzione della sincronizzazione delta di Azure AD Connect, il gruppo verrà spostato nuovamente nella OU in cui è stato originariamente creato. È importante tenere presente questo comportamento durante la gestione dei gruppi.
-
Autorizzazioni degli utenti: Se un utente di Exchange Online è proprietario di un gruppo di sicurezza di Microsoft 365 o di un gruppo di sicurezza di posta elettronica di Microsoft 365, può amministrare questi gruppi tramite OWA o Outlook. Possono aggiungere o rimuovere membri, gestire le conversazioni di gruppo e modificare le impostazioni di recapito delle email.
-
Visualizzazione dei gruppi: I gruppi di posta elettronica di Microsoft 365 o i gruppi di sicurezza di Microsoft 365 (Distribution List) non vengono visualizzati nell'elenco globale degli indirizzi (GAL) di Exchange locale. Questo è importante se si utilizza un ambiente ibrido di Exchange e si sta considerando il passaggio ai gruppi di Microsoft 365 in Azure AD. Gli utenti con caselle di posta locali non saranno in grado di visualizzare questi gruppi nell'elenco globale degli indirizzi.
-
Identità sincronizzate: È necessario configurare le identità sincronizzate di Active Directory per tutti i membri dei gruppi di Azure AD che si desidera sincronizzare in Active Directory. Ciò significa che è possibile aggiungere qualsiasi oggetto utente di Active Directory a un gruppo di Microsoft 365 di Azure AD e sincronizzarlo. Tuttavia, se si aggiungono identità esclusive di Azure AD, queste non verranno visualizzate in Active Directory e la membership del gruppo non sarà coerente.
Conclusioni
In questo articolo, abbiamo esaminato Azure AD Connect Group Writeback in dettaglio. Abbiamo esplorato le impostazioni globali di Azure AD, le nuove regole di sincronizzazione e l'utilizzo del metaverse di Azure AD Connect. Abbiamo anche discusso dei possibili casi d'uso e delle note importanti da tenere a mente durante l'implementazione.
Azure AD Connect Group Writeback è una funzionalità potente che consente di sincronizzare gruppi tra Azure AD e Active Directory. Con una corretta pianificazione e configurazione, è possibile sfruttare al massimo questa funzionalità per semplificare la gestione dei gruppi e migliorare l'integrazione tra i servizi cloud e l'infrastruttura locale.