Microsoft Entra Connect: migrare all’Application-Based Authentication (ABA) in modo sicuro e senza sorprese

Microsoft ha introdotto in Microsoft Entra Connect (ex Azure AD Connect) la Application-Based Authentication (ABA): al posto dell’account di servizio con password salvata localmente, l’accesso a Microsoft Entra ID avviene tramite app registration e certificato usando il client credentials flow di OAuth 2.0. Il risultato? Niente più password nel server, superficie d’attacco ridotta e pieno allineamento agli standard moderni.

Michele Ariis

8/6/20253 min read

Perché passare ad ABA

  • Addio password locali: l’autenticazione è “app-to-app” con certificato, non con credenziali utente.

  • Più sicurezza by design: l’uso di certificati e MSAL è coerente con i requisiti di autenticazione moderna e con l’evoluzione verso MFA obbligatoria nell’ecosistema Azure/Microsoft 365.

  • Gestione semplificata: il certificato può ruotare automaticamente; non devi più gestire scadenze di password degli account di sincronizzazione.

Prerequisiti e ruoli

  • Licenze: Microsoft Entra ID Free è sufficiente per usare Entra Connect e la sincronizzazione directory.

  • Ruolo minimo: l'utente di servizio dovrà avere Hybrid Identity Administrator (non serve Global Admin) - Se già presente un utente con il ruolo, lo vedrai da qui

Suggerimento: prima di iniziare, annota l’attuale Microsoft Entra Connector account (di solito Sync_*@tenant.onmicrosoft.com) così potrai verificarne l’eliminazione dopo la migrazione.

Migrazione step-by-step

  1. Scarica dalla sezione Entra ID → Entra Connect → Connect sync del portale l'ultima versione di Entra Connect Sync

  1. Avvia il setup (con privilegi di amministratore locale) dal server dov'è ora installato Entra Connect Sync e cliccare su Upgrade

  1. Verra ora richiesta la username e password dell'utenza che ha il ruolo di Hybrid Identity Administrator - Inseriamo la username e clicchiamo su Next per completare l'autenticazione

Hybrid Identity Administrator è un ruolo legato ad un utente usato per installare, configurare e aggiornare Entra Connect, ma non esegue la sincronizzazione.
Sync_@tenant.onmicrosoft.com è un account di servizio legacy utilizzato per autenticarsi e sincronizzare oggetti con Entra ID.
Il primo è usato solo in fase di gestione.
Il secondo operava in background nelle versioni precedenti a ABA.

  1. Clicchiamo su Upgrade per eseguire l'aggiornamento

  1. Una volta completate le operazioni, ci apparirà il messaggio sotto - clicchiamo su Exit

Ora, accedendo alla sezione App registrations di Entra ID, troveremo l’applicazione creata automaticamente durante l’aggiornamento ad Application-Based Authentication

L’account di sincronizzazione legacy verrà eliminato automaticamente al termine della migrazione ad Application-Based Authentication.

Best practice prima della migrazione

  • Pianifica una finestra di manutenzione breve (l’upgrade è rapido, ma meglio essere prudenti).

  • Esegui un backup della configurazione di Entra Connect e verifica la connettività verso Entra ID.

Conclusioni

La migrazione ad Application-Based Authentication (ABA) in Microsoft Entra Connect rappresenta un passo importante verso un’infrastruttura più sicura, moderna e semplice da gestire.
Il processo è quasi completamente automatizzato, riduce la superficie di attacco eliminando le credenziali statiche e introduce un meccanismo di autenticazione basato su app registration e certificato.
Con l’aggiornamento alla versione 2.5.76.0 o superiore, puoi completare la transizione in modo rapido, sicuro e senza impatti sui processi di sincronizzazione.

con il relativo certificato, la cui gestione (inclusa la rotazione) avverrà in modo completamente automatico.