Azure Active Directory è sicuramente uno dei migliori servizi di identity management sul cloud.
A prescindere dalla decisione di sincronizzare o meno i propri domini on-premise, Azure AD ci offre alcune funzionalità veramente utili e in grado di farci risparmiare risorse utili all'interno delle nostre sottoscrizioni Azure.
Prendiamo come esempio la classica farm SharePoint, con uno o più front-end, uno o più application server e un database server. Questa farm non può essere messa in piedi sul cloud di Microsoft, senza la presenza di una specifica macchina contente un domain controller.
Azure Active Directory mette a disposizione un servizio chiamato "Domain Services" che, in poche parole, ci permette di utilizzare le funzionalità di un dominio Windows, sul cloud e senza la necessità di avere una macchina come domain controller.
Vediamo quindi i passi per configurare una farm SharePoint di sviluppo, su Azure, sfruttando Azure Active Directory per i servizi di identity mangement.
Io sono partito dalla creazione di una nuova istanza di Azure Active Directory, diversa da quella di default, per tenere separato questo test dal resto delle risorse della mia sottoscrizione. 




E’ solitamente una best practice suddividere le risorse su sottoscrizioni Azure differenti, tenendo sempre sott'occhio i servizi che non possono essere spostati tra una sottoscrizione e l'altra.
Una volta creata la nuova istanza di Azure AD, è necessario creare una rete virtuale ad hoc in cui inserire tutte le macchine della nostra farm e da utilizzare per gli Azure AD services che verranno attivati. 


Io ho lasciato le configurazioni di default su questa rete privata, ma ovviamente potete specificare qualsiasi classe di indirizzi e qualsiasi altra configurazione che volete.
Attiviamo ora gli Azure AD domain services.
Per farlo, è necessario entrare all'interno delle configurazioni dell’istanza di Azure Active Directory che abbiamo precedentemente creato e abilitare i servizi richiesti, specificando il nome di dominio e la rete virtuale.


Fate click su "Salva" in basso nella pagina per confermare la creazione dei servizi.
Questa operazione è un po' lunga ma, una volta passati i minuti necessari alla configurazione, troverete in basso nella pagina gli indirizzi dei due server DNS che sono stati attivati assieme alla creazione degli Azure AD domain services.

Nota: è molto importante ricordarsi che all'interno di una sottoscrizione Azure, ci può essere solamente una singola istanza di Azure Active Directory con i domain services abilitati.



Ok ci siamo. In questo momento i nostri servizi di dominio sono stati creati, configurati e sono pronti per essere utilizzati.
Il primo passo per sfruttarne le potenzialità è quello di configurare il DNS della rete virtuale che abbiamo creato per contenere le nostre macchine virtuali. Andiamo quindi in modifica delle configurazioni della rete ed inseriamo i due indirizzi IP che sono stati generati all'attivazione degli Azure AD domain services.



Prima di partire con la creazione e la configurazione delle macchine, creiamo però un paio di utenti rispettivamente per eseguire le operazioni di amministrazione della directory cloud e per far girare i servizi di SharePoint.

Nota: per un ambiente di produzione è necessario seguire le guideline fornite da Microsoft per quanto riguarda la creazione degli utenti con cui far girare i vari servizi di SharePoint.

Per la creazione di un nuovo utente all’interno di Azure Active Directory con una specifica password, ti consiglio di leggere uno dei precedenti post. Tramite l’interfaccia grafica è possibile solamente creare utenti con l’obbligo di cambio password al prossimo accesso, dovrai quindi utilizzare PowerShell per la creazione di questi due utenti.


Configuriamo poi l’utente Admin come amministratore dell'istanza Azure Active Directory.
Ok bene, passiamo ora alla creazione delle macchine virtuali. Vediamo i passi per creare la prima, che sono gli stessi per configurare poi tutte le altre.
Selezioniamo l’opzione per creare una nuova macchina a partire dalla raccolta di immagini presente all'interno di Azure. Questo ci è utile per poter poi specificare configurazioni aggiuntive della macchina come la rete di appartenenza, l'account di archiviazione ed eventuali availability set. 




Una volta pronta la macchina virtuale, puoi verificare la corretta configurazione di rete tramite il prompt dei comandi. Vedrai configurati gli indirizzi IP dei due server DNS offerti dagli Azure AD domain services.


Questo significa che possiamo andare a modificare le impostazioni della macchina e scegliere di fare un join al dominio [vostrodominio].onmicrosoft.com, proprio come se fosse presente un domain controller all’interno della stessa rete virtuale Azure. 


Questo ci permette poi di configurare gli utenti di servizio di SharePoint che abbiamo precedentemente creato all'interno della nostra istanza di Azure Active Directory, pescandoli dal dominio cloud appena configurato.

Io trovo che questa funzionalità sia veramente utile.
Ricordatevi solo che può essere configurata una solo istanza di Azure Active Directory, con i domain services attivati, per ogni sottoscrizione Azure.