Disattivare la sync tra Active Directory ed Entra con Graph Explorer
Disattivare la sincronizzazione tra Entra ID e ADDS: guida pratica con Graph Explorer e PowerShell, passo dopo passo.
Questa settimana un post extra, scritto di getto direttamente dal campo!
Finisce un’era nel mio laboratorio: ho deciso di dismettere tutte le componenti on-prem: domain controller, certification authority, server Entra Connect. Ecco due metodi per farlo: uno con Microsoft Graph Explorer e l’altro con PowerShell.
🧭 Obiettivo
Disattivare la sincronizzazione con Active Directory e rimuovere gli attributi on-premises dagli utenti sincronizzati, rendendo il tutto cloud-only.
⚠️ Disclaimer
Non dovresti usare questo metodo per fare alcun tipo di troubleshooting. Disattivare la sync tra AD ed Entra è un’azione da intraprendere solo ed esclusivamente se hai intenzione di trasformare i tuoi utenti in cloud-only in maniera definitiva.
Se devi farlo in un ambiente di produzione, assicurati di aver svolto e completato tutte le attività propedeutiche per farlo in maniera sicura.
Le informazioni e le procedure descritte in questo documento sono fornite esclusivamente a scopo informativo e devono essere eseguite con la massima cautela. Non mi assumo alcuna responsabilità per eventuali danni, interruzioni di servizio o perdita di dati derivanti dall’applicazione delle indicazioni riportate, in particolare se implementate in ambienti di produzione.
Si raccomanda di testare sempre le procedure in un ambiente di sviluppo o staging prima di applicarle in produzione e di effettuare backup completi dei sistemi coinvolti.
Inoltre:
📎 Fonte: Turn off directory synchronization for Microsoft 365 - Microsoft 365 Enterprise | Microsoft Learn
🛠️ Metodo 1: Microsoft Graph Explorer
Accedi a Microsoft Graph Explorer
Vai su Microsoft Graph Explorer e accedi con un account Global Administrator.Modifica i permessi
Nella sezione Modify Permissions, concedi il permessoOrganization.ReadWrite.AllEsegui la richiesta PATCH
Inserisci la seguente richiesta, sostituendo{organization-id}con il tuo Tenant ID:
PATCH https://graph.microsoft.com/beta/organization/{organization-id}Corpo della richiesta JSON
{
“onPremisesSyncEnabled”: false
}Esegui la query
Clicca su Run Query. Le modifiche possono impiegare da 4–5 minuti fino a 72 ore per riflettersi nel portale Azure, a seconda della dimensione degli oggetti.
🛠️ Metodo 2: Microsoft Graph PowerShell
Installa i moduli PowerShell
Install-Module Microsoft.Graph -Force
Install-Module Microsoft.Graph.Beta -AllowClobber -ForceConnettiti con l’account amministratore
Connect-MgGraph -Scopes “Organization.ReadWrite.All,Directory.ReadWrite.All”Verifica lo stato attuale della sincronizzazione
Get-MgOrganization | Select OnPremisesSyncEnabledMemorizza il Tenant ID e i parametri
$organizationId = (Get-MgOrganization).Id
$params = @{ onPremisesSyncEnabled = $false }
Aggiorna la configurazione
Update-MgOrganization -OrganizationId $organizationId -BodyParameter $paramsVerifica che la modifica sia avvenuta
Get-MgOrganization | Select OnPremisesSyncEnabledDi serguito ecco lo script per intero.
# Install v1.0 and beta Microsoft Graph PowerShell modules
Install-Module Microsoft.Graph -Force
Install-Module Microsoft.Graph.Beta -AllowClobber -Force
# Connect With Hybrid Identity Administrator Account
Connect-MgGraph -scopes “Organization.ReadWrite.All,Directory.ReadWrite.All”
# Verify the current status of the DirSync Type
Get-MgOrganization | Select OnPremisesSyncEnabled
# Store the Tenant ID in a variable named organizationId
$organizationId = (Get-MgOrganization).Id
# Store the False value for the DirSyncEnabled Attribute
$params = @{
onPremisesSyncEnabled = $false
}
# Perform the update
Update-MgOrganization -OrganizationId $organizationId -BodyParameter $params
# Check that the command worked
Get-MgOrganization | Select OnPremisesSyncEnabled📎 Fonte: Turn off directory synchronization for Microsoft 365 - Microsoft 365 Enterprise | Microsoft Learn
✅ Risultato finale e conclusioni
Una volta completata la procedura, gli utenti precedentemente sincronizzati saranno convertiti in utenti cloud-only.
Enjoy!
Riccardo