Il Directory Sync tool è un componente ADFS 3.0 che fornisce la sincronizzazione tra l'Active Directory (On-Premise) e Office 365 (Windows Azure Active Directory).
La configurazione di DirSync ed Active Directory Federation Services abilitano la funzione di singolo sign-on dove gli utenti sono logati in Office 365 automaticamente senza dover inserire la password quando già sono logati nel proprio computer membro del dominio.
Blog serie
ADFS 3.0 setup UPN suffix per Office 365 SSO - pt. 1
ADFS 3.0 certificato SSL signing request - pt. 2
ADFS 3.0 installazione Server ADFS - pt. 3
ADFS 3.0 installazione Server WAP - pt. 4
ADFS 3.0 federare Office 365 - pt. 5
ADFS 3.0 installazione Directory Sync tool - pt. 6
ADFS 3.0 distribuire Office 365 - pt. 7
Prerequisiti
- Microsoft Directory Sync tool
- .NET Framework 3.5.1
Attivare la sincronizzazione AD
Prima di procedere con l'installazione del tool DirSync, la sincronizzazione di Active Directory deve essere abilitata nel portale di Office 365.
Effetture il login al portale Office 365 come admin, posizionarsi in USERS > Active Users e cliccare sul link Set up nella riga Active Directory synchronization.
Dal portale, posizionarsi al punto tre e cliccare sul bottone Activate.
Cliccare nuovamente Activate per confermare.
Quando il sistema visualizza il messaggio Active Directory synchronization is activated, la sincronizzazione è abilitata e gli utenti possono essere modificati solo dalla propria on-premises Active Directory.
Posizionarsi nel punto cinque e cliccare sul bottone Download per scaricare il tool Directory Sync 64-bit only.
Il tool richiede la presenza di .NET Framework 3.5.1 nel server per essere installato. Aggiungere il componente richiesto prima di eseguire l'installer di DirSync.
Installare il tool Directory Sync
Lanciare l'esecuzione dell'installer del tool Directory Sync e cliccare su Next nell finestra di Welcome.
Accettare l'EULA e cliccare su Next.
Lasciare il folder di installazione di default e cliccare su Next.
Il tool viene installato nel sistema.
Quando l'installazione viene completata, cliccare su Next.
Abilitare l'opzione Start Configuration Wizard now quindi cliccare su Finish per uscire dal Wizard.
Il Configuration Wizard si avvia mostrando la pagina di Welcome. Cliccare su Next per procedere.
Inserire lo User name e la Password dell'Administrator di Office 365 e cliccare su Next.
Inserire lo User name e la Password dell'Enterprise Administrator di Active Directory e cliccare su Next.
Spuntare l'opzione Enable Hybrid Deployment per consentire al Windows Azure Active Directory Sync tool l'accesso in scrittura alla directory locale. Cliccare su Next per continuare.
Spuntare l'opzione Enable Password Sync per sincronizzare le password dell'utente dalla on-premises Directory e cliccare su Next.
Il tool viene configurato nel sistema.
Quando la configurazione viene completata, cliccare su Next.
NON abilitare l'opzione Synchronize your directories now per evitare di effettuare una sincronizzazione completa del domino dell'on-premises AD. Cliccare su Finish per uscire dal Wizard.
Impostare le OU da sincronizzare
Per sincronizzare solo specifiche OU con Windows Azure, il sistema deve essere configurato per includere solamente le OU richieste.
Avviare il Synchronization Service Manager salvato in "C:\Program Files\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell\miisclient.exe e posizionarsi nella sezione Management Agents. Effettuare un click con il tasto destro sull'agent Active Directory Connector e selezionare Properties.
Selezionare la proprietà Configure Directory Partitions e cliccare sul bottone Containers.
Inserire le credenziali dell'Administrator di Active Directory e cliccare su OK.
Selezionare le OU da sincronizzare (nell'esempio 365 DL Groups e 365 Users) e cliccare su OK.
Cliccare sul bottone Refresh per visualizzare le directory partitions aggiornate.
Le partizioni aggiornate vengono visualizzate nella parte destra della schermata. Cliccare su OK per salvare la configurazione.
Cliccare su OK per salvare le modifiche sul server.
Quando la configurazione è stata salvata cliccare su Close.
Nella proprietà Configure Attribute Flow è possibile visualizzare l'andamento della sincronizzazione. Cliccare su OK per chiudere la finestra.
Forzare la sincronizzazione utilizzando la PowerShell
Per forzare una sincronizzazione completa, aprire la shell PowerShell ed importare il modulo DirSync.
Se compare il messaggio di errore:
"Import Module: File … cannot be loaded because the execution of scripts is disabled on this system."
è necessario eseguire il comando:
PS C:\> Set-ExecutionPolicy RemoteSigned
Ora è possibile importare il modulo DirSync ed eseguire la sincronizzazione between your Active Directory and Office 365.
PS C:\> Import-Module DirSync
PS C:\> Start-OnlineCoexistenceSync -FULLSync
Quando la sincronizzazione viene completata correttamente, lo Status degli utenti è indicato come Synced with Active Directory.
L'ultimo step della configurazione è illustrato nella parte 7 che consiste nella distribuzione di Office 365 nei client della rete.