Sincronizzare gli utenti da Entra ID (Azure AD)

Microsoft Entra ID, precedentemente noto come Azure AD, è una soluzione di gestione delle identità e degli accessi (IAM) basata su cloud. Fornisce un approccio integrato alla gestione delle directory, all'accesso alle applicazioni e alla protezione delle identità. L'amministrazione centralizzata di queste funzionalità può essere gestita in modo efficiente tramite il centro di amministrazione di Microsoft Entra.

È possibile integrare facilmente i propri ambienti Entra ID con MyQ X. Ciò potrebbe significare che gli utenti sono gestiti esclusivamente in Entra ID, che gli utenti in ambienti ibridi sono gestiti con Entra ID Connect o che gli utenti stampano da dispositivi Entra ID Joined o Entra ID Registered.

Prerequisiti

Prima di avviare la sincronizzazione o durante i preparativi per la creazione delle origini di sincronizzazione degli utenti, è necessario procedere come segue:

Valutare il proprio ambiente e se è necessario sincronizzare nuovi utenti o aggiornare quelli già sincronizzati in precedenza da altre fonti (molto probabilmente un Active Directory locale).
Considerare il tipo di account, ad esempio se si tratta di account solo cloud o se utilizzano il modello ibrido; vedere di seguito per ulteriori risorse sull'identità ibrida con Microsoft.
Qual è lo stato dei dispositivi da cui verrà eseguita la stampa su MyQ? Sono registrati con Entra ID, collegati a Entra ID o collegati in modo ibrido? Ciò potrebbe influire sulla configurazione del rilevamento degli utenti per l'autenticazione dei lavori di Stampa (vedere Identificare il metodo di autenticazione dei lavori di Stampa).

Selezionare il metodo di sincronizzazione

Metodo	Consigliato se
Origine utenti Entra ID	Tutti gli utenti sono in Entra ID (account solo cloud). La tua organizzazione utilizza un'identità ibrida con Entra ID Connect. Gli utenti stamperanno da dispositivi BYOD con un account aziendale o scolastico a cui hanno effettuato l'accesso (Entra ID Joined).
LDAP (Servizi di dominio Entra ID richiesti*)	La tua organizzazione utilizza un'identità ibrida con Entra ID Connect.

Metodo

Consigliato se

Origine utenti Entra ID

Tutti gli utenti sono in Entra ID (account solo cloud).
La tua organizzazione utilizza un'identità ibrida con Entra ID Connect.
Gli utenti stamperanno da dispositivi BYOD con un account aziendale o scolastico a cui hanno effettuato l'accesso (Entra ID Joined).

LDAP

(Servizi di dominio Entra ID richiesti*)

La tua organizzazione utilizza un'identità ibrida con Entra ID Connect.

*Microsoft Entra ID Domain Services offre servizi di dominio gestiti, tra cui l'adesione al dominio, i criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM. Il servizio elimina la necessità di distribuire controller di dominio nel cloud. Si tratta di un servizio a pagamento di Microsoft.

Identità ibrida

Ulteriori risorse:

Connessione di MyQ a Entra ID

Le istruzioni dettagliate su come connettersi a Entra ID sono disponibili qui:

Set Up Entra ID with Microsoft Graph API

Queste guide descrivono come connettere il server MyQ a Entra ID per scopi generali (alcune organizzazioni scelgono di utilizzare Entra ID come server di autenticazione, piuttosto che per sincronizzare gli utenti). Tuttavia, per utilizzare Entra ID specificamente per sincronizzare gli utenti, è necessario configurare ulteriormente la connessione in base alle proprie esigenze.

I dettagli completi delle impostazioni disponibili e su come utilizzarle sono disponibili qui:

User Synchronization from Microsoft Entra ID with Microsoft Graph

Inoltre, in questa guida esamineremo alcuni casi d'uso comuni della sincronizzazione e quali impostazioni devono essere utilizzate per configurarli correttamente.

Utilizzo di Entra ID come unica fonte di sincronizzazione autorevole

Per molte organizzazioni, Entra ID sarà l'unica fonte di utenti aggiunti a MyQ. Ciò significa che quando un nuovo utente entra a far parte dell'organizzazione o la lascia, l'operazione verrà elaborata esclusivamente in Entra ID, con queste modifiche inviate a MyQ tramite sincronizzazione.

In questi casi, è importante regolare alcune impostazioni per garantire che Entra ID abbia il pieno controllo su tutti i tuoi utenti MyQ attivi.

In Utenti da importare, selezionare Tutti gli utenti.
Le opzioni Disattiva utenti mancanti e Aggiungi nuovi utenti devono essere abilitate.
Nella scheda Gruppi, non deve essere selezionato alcun gruppo in Ignora gruppi.

Una volta configurate queste impostazioni, a condizione che la sincronizzazione venga eseguita regolarmente, gli utenti MyQ rifletteranno accuratamente gli utenti attuali in Entra ID. È possibile modificare le impostazioni per la sincronizzazione automatica regolare degli utenti in Impostazioni > Pianificazione attività.

Utilizzo di più account Entra ID per la sincronizzazione con MyQ

Ora è possibile utilizzare più tenant Entra ID negli ambienti MyQ per sincronizzare e autenticare gli utenti. Ciò è particolarmente utile in contesti di infrastrutture di stampa condivise, come quelli del settore pubblico, in cui più organizzazioni gestiscono le stampanti da un'unica sede, mentre ciascuna utilizza il proprio Entra ID.

Segui più volte la stessa procedura descritta sopra per stabilire diverse connessioni a tenant Entra ID separati, assicurandoti di assegnare a ciascun tenant un nome chiaro e univoco, che consentirà agli amministratori di identificare quale sia rilevante in un dato momento.

Ogni tenant Entra ID può quindi essere configurato separatamente per la sincronizzazione degli utenti. Ad esempio, da uno potresti voler sincronizzare tutti gli utenti, mentre da un altro solo gruppi particolari. In questi casi è di particolare importanza tenere conto di impostazioni quali Alias, Accoppia per ID oggetto e, potenzialmente, Crea alias normalizzato dal nome visualizzato, per garantire che gli utenti con credenziali simili o identiche possano essere correttamente differenziati.

Per ulteriori informazioni su questa opzione, Multiple Entra ID tenants with MyQclicca qui.

Utilizzo di Entra ID per sincronizzare gli utenti e come server di autenticazione

In molti casi, è preferibile sia sincronizzare gli utenti da Entra ID, sia utilizzarlo come server di autenticazione. Per farlo, assicurarsi che l'opzione Usa come server di autenticazione sia abilitata nella scheda Utenti.

Ciò consentirà agli utenti di questo tenant Entra ID di accedere con le proprie credenziali Microsoft, incluse eventuali opzioni di autenticazione a due fattori che potrebbero essere state abilitate. Ciò garantisce un'esperienza di accesso semplificata e sicura.

Alias normalizzati per i dispositivi collegati a Entra ID

L'opzione Crea alias normalizzato dal nome visualizzato può essere utile, specialmente per le organizzazioni con un numero elevato di utenti, per garantire che le credenziali Entra ID possano essere correttamente riconosciute e mappate agli utenti MyQ corretti.

Un dispositivo collegato a Entra ID è definito come un dispositivo di proprietà e gestito dall'azienda, che viene autenticato utilizzando un ID esistente in Entra ID e solo con quell'ID.

Se abilitata, questa opzione completerà le seguenti trasformazioni per gli utenti interessati displayName:

Rimuove gli spazi.
Rimuove i seguenti caratteri " [ ] : ; | = + * ? < > / \ , @.
Rimuove tutti i caratteri con codici ASCII inferiori a 32 decimali (20 esadecimali).
Rimuove il carattere con codice ASCII 127 decimale (7F esadecimale)
Mantiene tutti gli altri caratteri internazionali (UTF-8) come apostrofi, ěščřžýáíé, ecc.
La lunghezza massima dell’alias dovrebbe essere di soli 20 caratteri dopo il processo di trasformazione (troncato a 20 caratteri).
Il risultato viene aggiunto come alias dell'utente in cima agli altri alias configurati nella fonte di sincronizzazione.

Limitazione nota: se due o più utenti hanno lo stesso nome completo sincronizzato da Entra ID, l'alias normalizzato verrà creato solo per il primo utente. Non c'è modo di distinguere i proprietari dei Lavori di Stampa in questo caso nell'ambiente Entra ID poiché il driver della stampante fornisce solo il nome e il cognome dell'utente concatenati.