Come decidere tra Azure AD Connect e Azure AD Connect Cloud Sync

 Microsoft ha recentemente annunciato che Azure AD Connect Cloud Sync ha raggiunto GA (disponibilità generale), aggiungendo un'altra opzione per la sincronizzazione della directory con Microsoft 365. Questo articolo fornisce uno sfondo sulla sincronizzazione della directory e sul motivo per cui è fondamentale per il percorso verso il cloud. Quindi discuteremo le soluzioni e ti forniremo le informazioni necessarie per scegliere la soluzione giusta. Cominciamo con alcune basi.

Che cos'è Azure AD Sync e perché ne ho bisogno?

La maggior parte delle organizzazioni esegue Active Directory in locale. Questa directory è in genere l'origine dell'autorità per tutti gli utenti, i gruppi e i computer di un dominio Windows. Il dominio consente di gestire centralmente account, password, criteri e autorizzazioni locali.

Quando un'organizzazione locale decide di usare Microsoft 365, è necessario un modo per portare tali account locali in Azure AD per usare i nuovi servizi cloud come Exchange Online, Teams, SharePoint Online e così via. La maggior parte delle organizzazioni desidera utilizzare gli account locali esistenti anziché creare nuovi account e gestire password diverse. È qui che entra in gioco Azure AD Connect. Sia Azure AD Connect che Azure AD Connect Cloud Sync sincronizzano e collegano oggetti da Active Directory ad Azure AD e sincronizzano gli hashe delle password (non le password) per mantenere un'esperienza Single Sign-On.

Azure AD Connect

Azure AD Connect ha un passato lungo e storico. Si basa su Microsoft Identity Manager (MIM), utilizzato per collegare più sistemi autorevoli locali e archivi di autenticazione. MIM è la sesta generazione di soluzioni microsoft per la gestione delle identità da quando ha acquistato due tecnologie simili nel 1997 e nel 1999.

Mentre MIM può essere costoso e collega più directory autorevoli, Azure AD Connect è gratuito e appositamente progettato per collegare Active Directory ad Azure Active Directory. Questa è nota come identità ibrida.

Azure AD Connect è installato in un server locale aggiunto al dominio ed è persino supportato per essere installato in un controller di dominio. Richiede solo una connessione HTTPS in uscita ai server Microsoft 365.

Funzionalità

Fin dagli umili inizi della sincronizzazione di un singolo ad ad in un singolo tenant di Azure AD, le funzionalità di Azure AD Connect si sono espanse in modo significativo. Attualmente, questo include:

  • Sincronizzazione tra
    • Foresta singola, singolo tenant di Azure AD.
    • Più foreste, singolo tenant di Azure AD.
    • Foreste singole o multiple, più tenant di Azure AD (richiede che ogni oggetto sia rappresentato una sola volta in tutti i tenant).
    • Archivi di identità compatibili con LDAPv3.
  • Sincronizzazione hash password (PHS): usare Azure AD come provider di identità dell'organizzazione sincronizzando gli hash delle password con Azure AD.
  • Autenticazione pass-through (PTA): utilizzare i controller di dominio dell'organizzazione come provider di identità senza dover distribuire una configurazione ADFS completa.
  • Integrazione federativa con Active Directory Federation Services (ADFS).
  • Monitoraggio dello stato sia di Active Directory che del processo di sincronizzazione.
  • Gestione di un massimo di 10 GB di spazio nel database (fino a 100.000 oggetti) utilizzando LocalDB. Se l'organizzazione supera questo limite, utilizzare sql server completo.
  • Filtro unità organizzativa, gruppo o attributi.
  • Funzionalità di writeback ibrido di Exchange per le organizzazioni con Exchange Server.
  • Sincronizzazione degli indirizzi delle cartelle pubbliche di Exchange per il blocco dei bordi basato sulla directory.
  • Funzionalità di writeback delle password per supportare la reimpostazione della password self-service (SSPR).
  • Writeback del gruppo di Office 365 per evitare sovrapposizioni di indirizzi di posta elettronica.
  • Sincronizzazione degli attributi dell'estensione di directory per estendere lo schema in Azure AD per includere attributi specifici utilizzati dalle app LOB e da Esplora risorse di Microsoft Graph.
  • Solide funzionalità di modifica delle regole di sincronizzazione.
  • Funzionalità SSSO (Single Sign-On) senza soluzione di continuità che consentono agli utenti e ai computer aggiunti al dominio di accedere ai carichi di lavoro di Microsoft 365 senza che venga richiesto di accedere ogni volta.
  • Funzionalità ibride di Azure AD Join.
  • Funzionalità di writeback dei dispositivi che consentono alle organizzazioni di utilizzare l'accesso condizionale locale e Windows Hello.
  • La sincronizzazione della directory cambia ogni 30 minuti e la password cambia quasi immediatamente quando si utilizza la sincronizzazione hash della password.

Altre informazioni su Azure AD Connect: Come funziona e procedure consigliate per la sincronizzazione dei dati

Azure AD Connect Cloud Sync

Microsoft si rende conto che è un peccato che il percorso dell'organizzazione verso il cloud-first richieda l'installazione di più software in locale. Azure AD Connect Cloud Sync è un'alternativa al servizio cloud del software Azure AD Connect. L'organizzazione distribuisce uno o più agenti leggeri nell'ambiente locale per eseguire il bridge di Active Directory e Azure AD. La configurazione viene eseguita nel cloud.

Il servizio fornisce alcune delle funzionalità e delle funzionalità disponibili da Azure AD Connect, rendendolo utile per alcuni scenari di fusione e acquisizione. È importante notare che Azure AD Connect Cloud Sync non supporta Exchange hybrid, il che riduce il numero di scenari utili.

Funzionalità

Azure AD Connect Cloud Sync ha molte delle stesse funzionalità e funzionalità di Azure AD Connect con le differenze seguenti:

  • Modello di installazione agente leggero.
  • Aggiunge disponibilità elevata utilizzando più agenti.
  • Consente la connettività a più foreste Active Directory locali disconnesse
  • Sincronizza le modifiche alla directory più frequentemente di Azure AD Connect.
  • Può essere usato oltre ad Azure AD Connect.
  • Non supporta il writeback ibrido di Exchange.
  • Non supporta archivi di identità compatibili con LDAPv3.
  • Non supporta gli oggetti dispositivo.
    • Nessun join ibrido di Azure AD.
    • Nessun supporto per Windows Hello.
  • Non supporta la sincronizzazione degli attributi di directory.
  • Non supporta l'autenticazione pass-through (PTA).
  • Non supporta le funzionalità di modifica delle regole di sincronizzazione.
  • Non supporta il writeback per password, dispositivi o gruppi.
  • Non supporta riferimenti tra domini.

Come puoi vedere, ci sono diverse lacune nelle funzionalità che limitano l'uso di Azure AD Connect Cloud Sync. Si prevede che Microsoft potrebbe colmare queste lacune con aggiornamenti futuri. Il fatto che si tratta di un servizio basato sul cloud significa che possono iterare piuttosto rapidamente. Tuttavia, non mi aspetterei il supporto ibrido di Exchange in qualsiasi momento presto.

Casi d'uso appropriati per ogni

La scelta della soluzione di sincronizzazione della directory da utilizzare richiede una comprensione completa delle esigenze dell'organizzazione.

Azure AD Connect ha il maggior numero di funzionalità e compatibilità. Quasi tutti i clienti che si incontrano utilizzano Exchange Server o Exchange Online. La mancanza di supporto ibrido di Exchange con Azure AD Connect Cloud Sync limita l'uso di tale soluzione.

Se non è necessario il supporto ibrido di Exchange o nessuna delle altre funzionalità non supportate, Azure AD Connect Cloud Sync può essere un modo semplice e veloce per configurare la sincronizzazione della directory di Active Directory con Azure AD. Gli esempi includono fusioni e acquisizioni in cui l'organizzazione acquisita ha un'esperienza IT limitata. Installando un agente semplice e leggero in un server di dominio, l'organizzazione acquirente può configurare e gestire la sincronizzazione della directory dal tenant.

Le diapositive e i video di marketing che introducono Azure AD Connect Cloud Sync parlano spesso del "pesante investimento infrastrutturale" necessario per Azure AD Connect. Un database LocalDB viene installato con Azure AD Connect e ha un limite di 10 GB (circa 100.000 oggetti). A meno che Active Directory dell'organizzazione non superi questo problema, non è necessario un'infrastruttura aggiuntiva. Azure AD Connect può essere installato in qualsiasi server aggiunto al dominio esistente che esegue Windows Server 2012 o versione successiva o direttamente in un controller di dominio. Richiede solo una connessione HTTPS in uscita a Internet.

Le organizzazioni con oltre 100.000 oggetti probabilmente risparmieranno denaro con Azure AD Connect Cloud Sync poiché non richiede una distribuzione completa di SQL Server. Tuttavia, le organizzazioni di queste dimensioni in genere eseguono Exchange.

Uno scenario in cui Azure AD Connect Cloud Sync potrebbe essere utile è uno scenario in cui un'organizzazione dispone di Active Directory locale ma usa Google Workspace per la posta elettronica. Questa organizzazione può sincronizzare la propria directory con Azure AD e quindi iniziare a migrare la posta di Google a Exchange Online.

Azure AD Connect Cloud Sync è anche la scelta appropriata quando ci si connette a più foreste Active Directory locali disconnesse. Azure AD Connect richiede connettività line-of-site tra più foreste Active Directory locali. Ciò può essere utile in alcuni scenari di fusione e acquisizione.

In definitiva, è necessario distribuire Azure AD Connect Cloud Sync se fornisce le caratteristiche e la compatibilità di cui l'organizzazione ha bisogno. In caso contrario, sarà necessario usare Azure AD Connect più completo.

Considerazioni sulla sicurezza per la protezione dell'accesso ad Azure AD Connect e Azure AD Connect Cloud Sync

Le organizzazioni devono trattare qualsiasi server che esegue Azure AD Connect o l'agente Azure AD Connect Cloud Sync come una risorsa di livello 0, o uguale a un controller di dominio, poiché è responsabile della sincronizzazione della directory con Azure AD.

L'installazione e la configurazione di Azure AD Connect devono essere eseguite con un account Enterprise Admin in Active Web e richiedono un account amministratore globale nel tenant.

Azure AD Connect Cloud Sync deve essere installato con un account Active Directory con autorizzazione di amministratore locale per il server o le autorizzazioni di amministratore di dominio per un controller di dominio e richiede un account tenant con ruoli di amministratore di identità ibrido o amministratore globale nel tenant.

Per Azure AD Connect, l'account utente utilizzato per installarlo viene aggiunto automaticamente al gruppo di sicurezza ADSyncAdmins locale. La procedure consigliata è aggiungere Domain Admins a questo gruppo in modo che più di un account possa gestire la sincronizzazione della directory. Rimuovere il singolo account utente usato per installare Azure AD Connect da questo gruppo.

L'account utilizzato per la configurazione richiede diritti specifici e viene utilizzato solo per l'installazione o la configurazione. La sincronizzazione della directory non avrà alcun impatto se l'account è disabilitato o eliminato.

Entrambe le soluzioni di sincronizzazione utilizzano il TLS più alto disponibile in Windows Server. Per assicurarsi che Azure AD Connect e Azure AD Connect Cloud Sync utilizzino TLS 1.2 per impostare le chiavi del Registro di sistema seguenti, riavviare il server:

sommario

Sia Azure AD Connect che Azure AD Connect Cloud Sync offrono alle organizzazioni modi per sincronizzare Active Accesso con Azure AD. Entrambe le soluzioni sono facili da distribuire e forniscono le funzionalità necessarie alle organizzazioni per offrire un'esperienza di accesso unificata a Microsoft 365.

Comprendere i requisiti dell'organizzazione. Azure AD Connect Cloud Sync è il modo preferito per sincronizzare Active Directory locale con Azure AD, supponendo di poter andare avanti con le relative limitazioni. Azure AD Connect offre la maggior parte delle funzionalità di sincronizzazione ricche di funzionalità, incluso il supporto ibrido di Exchange.

Dal punto di vista della sicurezza, considera il server o l'agente Azure AD Connect dell'organizzazione come un controller di dominio e altre risorse di livello 0.

Commenti

Posta un commento

Post popolari in questo blog

How to reset an Office 365 install to the initial activation/install state

Immagine
1.   Remove Office 365 license for Subscription based installs (not Shared Computer Licensing scenarios): To remove the Office 365 license, you must run two cscript command lines. The command lines are:         A. Run  C:\program files <x86>\Microsoft office\office15>cscript ospp.vbs /dstatus The above command line will generate a report of the currently installed/activated license.  (See Below) NOTE: You might see multiple licenses in the /dstatus report.         B. Make note of value for “ Last 5 characters of installed product key”         C.  Run  C:\program files <x86>\Microsoft office\office15>cscript ospp.vbs /unpkey:“Last 5 of installed product key”   For example:   C:\program files <x86>\Microsoft office\office15>cscript ospp.vbs /unpkey:WB222  (See Below) Repeat the step above if necessary until all keys are removed. After running the /unpkey: command line you will see a “Product Key uninstall successful” message. You can now close
Continua a leggere

Manage Room Mailbox by using PowerShell

In the current article, we will review how to use PowerShell commands for managing Room mailbox in Exchange Online environment. Resource Mailbox is a special type or a Mailbox that uses for the management of meeting Rooms and Equipment. The Resource Mailbox doesn’t require a license. Management of Resource Mailbox could be implemented by using one of the following options: Self-management – the Resource Mailbox will be configured for automation of accepting meeting requests (or decline meeting request if a former meeting request was already set). Resource Mailbox delegate – The delegate is the person that will accept the meeting requests and approve or decline the meeting requests. The term “resource Mailbox” includes two types of Mailboxes – Room Mailbox and Equipment Mailbox. There is a small difference between the two types of the resource mailbox but the use, and the purpose are quite similar (most of the examples will relate to room Mailbox). A Little confession:
Continua a leggere

Come e quando smantellare i server Exchange in una distribuzione ibrida

Immagine
Articolo tratto da technet di microsoft . Una delle opzioni più interessanti per ottenere una società a Exchange Online è quello di utilizzare l'approccio distribuzione ibrida descritto nel  Piano di una distribuzione ibrida di Exchange Online in Office 365  . Questa è l'unica opzione che permette di facilmente a bordo e caselle di posta off-board (tutte le altre opzioni native sono sul bordo). Oltre alla capacità di off-board, una configurazione ibrida ha le seguenti opzioni principali: Questo argomento vi aiuterà a capire le opzioni per lo smantellamento di cambio ibrido, e quando ognuno di queste opzioni dovrebbe essere attuato. Ci sono molte variazioni a quando e come disattivare i server ibridi di Exchange. Prendendo il tempo di comprendere le implicazioni e pianificare correttamente la disattivazione totale o parziale dei server locali è importante. Disponibilità tra sedi  . Questo ti permette di vedere / informazioni sulla disponibilità di un utente, mentr
Continua a leggere