In questo articolo vediamo come attivare il Writeback della password da AD da Microsoft 365 al nostro dominio locale on prem.
Il Write back della password è una funzionalità di sincronizzazione che permette la modificare della password in cloud e di sincronizzarla nel nostro dominio locale, permettendo anche il reset self service della password direttamente da Microsoft 365.
Accedendo infatti all’integrazione locale su Azure si può vedere che non sia attivata
https://portal.azure.com/#view/Microsoft_AAD_IAM/PasswordResetMenuBlade/~/OnPremisesIntegration
In questo caso abbiamo già configurato Azure AD Connect e già sincronizzato in locale, se è non è ancora stato configurato è possibile seguire questi passi in fase di prima installazione.
Quindi apriamo AD Connect e procediamo con la configurazione
Quello che dobbiamo scegliere è personalizza opzioni di sincronizzazione
Autenticarsi quindi a Microsoft 365
In seguito nella sezione funzionalità facoltative abilitiamo Writeback password.
Quindi procediamo fino all’ultimo step.
A questo punto la configurazione è stata cmpletata
(La funzionalità writeback è possibile disattivale in qualunque momento, questa disattiverà di nuovo la configurazione su Azure)
Ritornando sulla configurazione self service possiamo vedere che il writeback è attivo
In questa fase il writeback è già attiva e funzionante. Cambiando la password dell’utente sincronizzato in Microsoft 365 verrà cambiata anche nel dominio locale.
Ora tramite proprietà possiamo attivare le reimpostazione della password, che consente al utente tramite MFA di resettarsi la password da remoto se dimenticata o scaduta.
Per fare questo possiamo creiamo un gruppo per poi poter decidere a chi dare questa possibilità di eseguire il recupero e reset, se non c’è bisogno di autorizzare parte degli utenti possiamo selezionare Tutti.
Alcune considerazioni sui cambi e scadenze password
Una volta cambiata la password tramite cambia password da profilo utente in Microsoft 365, oppure tramite la funzionalità di reset della password se dimenticata, la password verrà cambiata sia online che nel nostro dominio on prem.
E’ chiaro che se la procedura la faccio in un dispositivo joinato “fuori azienda”, le credenziali di questo pc rimarranno le stesse fino quando il dispositivo non riuscirà a contattare Active Direcotory (anche in VPN per esempio). Perché vanga cambiata anche nel pc è necessario che sia configurato in modalità ibrida (è necessaria una licenza E3 o E5)
Se la password scade nel dominio on prem (oppure cambiamo la password nel AD on prem con la richiesta di modifica al login successivo) e abbiamo configurato il connettore in modalità sincronizzazione hash, non verrà chiesto il cambio password al successivo login su Microsoft 365 e la password in cloud rimarrà sempre la stessa e attiva (questo anche se non configuriamo il writeback della password).
Il motivo è che la modalità hash disattiva di default la scadenza della password e non è previsto dal connettore di sincronizzare la nuova se cambiamo la password dal dominio on prem se c’è il cambio obbligato. Per fare questo si consiglia di configurare la modalità pass through nel Azude AD sync. (questo lo vedremo presto nel nuovo articolo..)