Questo tutorial nasce dall’esigenza pratica di trovare un’alternativa a Google Meet per le riunioni (collegio dei docenti, formazione, ecc.) con più di 100 partecipanti, dal momento che l’applicazione di G Suite prevede questa possibilità solo nella versione Enterprise for Education e non in quella gratuita.

Il problema era trovare un modo di continuare a fare riunioni senza dover creare nuovi account, usando invece quelli di G Suite già esistenti, e soprattutto usando una piattaforma sicura.

La soluzione non è stata semplicissima ma molti colleghi mi hanno confermato di essere riusciti, tenete d’occhio la sezione Updates dell’articolo, nella quale ho aggiunto la soluzione a vari problemi segnalatemi.

La scelta è pertanto caduta su Office 365, che offre al pari di G Suite un set completo di app fruibili gratuitamente per le scuole.

I passaggi per fare in modo di accedere ad Office 365 senza dover creare nuovi account non sono semplicissimi, ma mi sono servito di queste due utilissime guide suggerite da Luca Di Fino sul suo blog, una per iscrivere la scuola ad Office 365 e l’altra per fare in modo che le app di questa piattaforma siano accessibili agli utenti G Suite con il loro account (senza dover creare un altro account!):

Guida per richiedere e attivare Office 365

Guida per il Single Sign-On (SSO) di G Suite

Della prima guida ho seguito fino all’attivazione delle licenze illimitate, visto che non è necessario aggiungere utenti. Della seconda, sono partito direttamente dal Single Sign-on, presupponendo che la scuola abbia solo account G Suite e nessuno su Office 365 (altrimenti ci sono altri passaggi da fare), per poi proseguire alla parte in cui spiega come far comunicare G Suite e Office 365, aggiungendo quest’ultima alle App SAML. Le operazioni da fare sono essenzialmente due:

  1. Federation (il single sign-on che permette di accedere ad un sistema tramite le credenziali di un altro)
  2. Provisioning (la definizione dei permessi, ruoli gruppi degli utenti)

Una volta configurato tutto correttamente, gli utenti dovranno semplicemente andare sulla loro Dashboard di G Suite, dove vedranno l’app Office 365 e, aprendola, le app di questa piattaforma che gli avrete abilitato dalla console di Office 365.

Si consiglia Microsoft Edge come browser per usare Teams, oppure scaricare l’app come spiegato sotto.

Ecco il video in cui spiego tutti i passaggi necessari, non dimenticate di mettere un like al video e iscrivervi al mio canale YouTube!

Alcune parti del video sono offuscate per coprire informazioni personali.

Ho tradotto la tabella degli attributi:

Attributo A cosa serve Valore
Domain Name Il dominio della scuola che vogliamo federare Il vostro dominio
Authentication Il metodo di autenticazione prescelto Federated
Federation Brand Name Per nostra referenza, va bene qualsiasi valore Google Cloud Identity
Issuer URI L'ID dell'Entità che effettua il SAML (Google) Entity ID (è nel file dei Metadata scaricato da G Suite)
Passive logon URI Il provider dell'identità (Google) Google SSO URL (è nel file dei Metadata scaricato da G Suite)
Active logon URI Il provider dell'identità (Google) Google SSO URL (è nel file dei Metadata scaricato da G Suite)
LogOffUri Dove l'utente deve essere reindirizzato quando fa il log out (qualsiasi indirizzo va bene) https://accounts.google.com/logout
Signing Certificate La chiave fornita da Google per il SSO X509 Certificate Value (è nel file dei Metadata scaricato da G Suite)
PreferredAuthenticationProtocol Il protocollo di autenticazione prescelto. SAMLP

Di seguito gli script di PowerShell:

$domainName = “VOSTRO DOMINIO”
$Authentication = “Federated”
$FederationBrandName = “Google Cloud Identity”
$IssuerUri = “VOSTRO ENTITY ID”
$PassiveLogOnUri = “VOSTRO GOOGLE SSO URL”
$ActiveLogOnUri = “VOSTRO GOOGLE SSO URL”
$LogOffUri = “https://accounts.google.com/logout”
$SigningCertificate = “VOSTRO CERTIFICATO X509”

Non dimenticate di eseguire il seguente comando dopo aver inserito gli attributi:
Set-MsolDomainAuthentication -DomainName $domainName -Authentication $Authentication -FederationBrandName $FederationBrandName -IssuerUri $IssuerUri -ActiveLogOnUri $ActiveLogOnUri -PassiveLogOnUri $PassiveLogOnUri -LogOffUri $LogOffUri -SigningCertificate $SigningCertificate -PreferredAuthenticationProtocol SAMLP

Dopo aver eseguito il comando è possibile verificare l’effettiva federazione del dominio attraverso questo comando:

Get-MSolDomainFederationSettings -DomainName $domainName | Format-List *
Se si è sbagliato ad indicare le variabili o si sono utilizzate le variabili di esempio,  all’accesso da G Suite alle app Office 365 vedrete questo errore:

Message: AADSTS50107: The requested federation realm object ‘https://accounts.google.com/o/saml2?idpid=#########’ does not exist.

 

In tal caso, ridefinire correttamente le variabili ed eseguire di nuovo questo comando:
Set-MsolDomainFederationSettings -DomainName $domainName -PassiveLogOnUri $PassiveLogOnUri -IssuerUri $IssuerUri -ActiveLogOnUri $ActiveLogOnUri -PreferredAuthenticationProtocol Samlp

Updates:

  • Qualcuno mi diceva che non dovrebbe essere necessario inserire i record CNAME e SRV per usare Teams (ma dovete verificarlo).
  • Il dominio che usate con G Suite NON deve essere impostato come dominio principale in Office 365, quello principale deve essere quello onmicrosoft.com
  • L’account amministratore di Office 365 deve restare quello iniziale su dominio .onmicrosoft.com. Non usate esclusivamente un account federato come amministratore di Office 365 (come ad esempio l’account admin di G Suite).
  • Se PowerShell non trova il primo comando Connect-MsolService vi manca il modulo MSOL, vi basta istallarlo con i comandi: Install-Module MSOnline
    Import-Module Msonline
  • Come sperimentato dal collega Francesco Piccolo, che ringrazio per i sempre preziosi suggerimenti, è possibile attivare Office 365 anche a livello di unità organizzativa, non necessariamente usando il gruppo, che è solo per la fase di test. Se fate ciò, ricordatevi di togliere il provisioning al gruppo che avevate attivato inizialmente, altrimenti gli utenti presenti nella UO scelta non passeranno nella console di Office 365. Una volta passati, potete assegnare le licenze.
  • Abbiate pazienza quando fate il federation, i dati non si aggiornano subito, consiglio di aspettare qualche ora.
  • Consiglio vivamente di scaricare l’app di Teams per PC o al massimo usare Edge come browser per fare l’accesso a Teams, eviterete fastidiosi problemi di re-indirizzamento su Chrome.

Potete scaricare l’app di Teams per PC o dispositivo mobile da questo link. In questo video mostro come fare il login:

In merito al fatto che Teams non possa inviare email agli account G Suite sto cercando una soluzione, anche se come detto nel video non è poi così importante.

La configurazione richiede un po’ di esperienza ma è fattibile e vi assicuro che ho testato che funzioni, ad ogni modo non esitate a contattarmi nel caso voleste provare ad usare questa soluzione per la vostra scuola.

Modulo di contatto

Elenco dei corsi

A presto con nuovi consigli e soluzioni per la didattica digitale.

P.S. Io consiglio vivamente di provare a fare la procedura o contattarmi per una consulenza, ma se proprio non riusciste e il vostro problema sono solo i collegi docenti, potete sempre generare un Team con l’account amministratore di Office 365 e inviare il link ai docenti che entreranno come ospiti, inserendo nome e cognome. Per le presenze potete usare un modulo Google a cui ovviamente i docenti risponderanno con l’account G Suite.

©2018 Google LLC All rights reserved. Google and the Google logo are registered trademarks of Google LLC.

21 Comments

  • R. FRONTE ha detto:

    Salve,
    per attivare questa procedura si devono abilitare le opzioni “federazione” e “single sign on” su Azure Active Directory, giusto?
    L’applicazione per fare questa abilitazione è Azure AD connect che non si può installare su Windows 10.
    Come posso fare?
    Grazie per la sua attenzione….
    R. Fronte

  • R. Fronte ha detto:

    Ho provato più volte ma non mi fa federare il dominio, mi dice che è managed non federated

  • Daniele ha detto:

    Salve,
    tutto chiaro e di immediata applicazione, tranne (nel mio caso) la parte che riguarda PowerShell. SOno riuscito a ottenere la creazione degli utenti GSuite in Microsoft365, ma ovviamnete, senza quel passaggio, il login non viene eseguito.
    Il messaggio d’errore che ottengo è sempre lo stesso, nonostante abbia provato con molteplici interventi che ho trovato in Rete:
    Chiedo aiuto!
    Grazie!
    Daniele

    PS C:\WINDOWS\system32> Connect-MsolService
    Connect-MsolService : Termine ‘Connect-MsolService’ non riconosciuto come nome di cmdlet, funzione, programma
    eseguibile o file script. Controllare l’ortografia del nome o verificare che il percorso sia incluso e corretto,
    quindi riprovare.
    In riga:1 car:1
    + Connect-MsolService
    + ~~~~~~~~~~~~~~~~~~~
    + CategoryInfo : ObjectNotFound: (Connect-MsolService:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

  • Mario Buonvino ha detto:

    Salve, ho capito bene che devo sostituire questa stringa con i miei attributi:

    Set-MsolDomainFederationSettings -DomainName $domainName -PassiveLogOnUri $PassiveLogOnUri -IssuerUri $IssuerUri -ActiveLogOnUri $ActiveLogOnUri -PreferredAuthenticationProtocol Samlp

    Ma non capisco dove devo mettere ad esempio il dominio che è fermimondolfo.onmicrosoft.com

    Grazie in anticipo

    • Lorenzo Redaelli ha detto:

      Ciao,

      no quel comando deve essere eseguito così com’è, dovrà prima inserire i valori delle variabili uno per uno come indicato sopra. Il dominio che deve inserire è quello che vuole federare, ossia quello di G Suite.

  • Rino ha detto:

    Ciao Lorenzo, intanto grazie per la tua guida ben descritta e dettagliata, adesso sto solo aspettando la verifica e l’accettazione da parte di Microsoft, provo a chiederti come e se possibile attivare le licenze in modo massivo a tutti gli utenti, grazie.

    • Lorenzo Redaelli ha detto:

      Ciao e grazie!

      Puoi selezionare fino a 100 utenti sulla console e poi cliccare su Gestisci licenze prodotto in alto.

      • Rino ha detto:

        Ciao Lorenzo,
        ricevo questo messaggio dall’app Microsoft di G-suite
        AADSTS50107: The requested federation realm object ‘https://accounts.google.com/o/saml2?idpid=C010ug3p3’ does not exist.

        Ho seguito tutto da powershell e non mi ha dato nessun errore, cosa può essere secondo te?
        Grazie.

  • daniele debiagi ha detto:

    ciao Lorenzo, grazie per la guida: seguito e impostato, molto utile. ho una domanda per un passo ulteriore
    effettuato correttamente il provisioning degli utenti da g suite verso office 365, bisogna assegnare le licenze: c’è modo di automatizzare questa procedura?
    io conosco pochissimo l’ambiente windows/office e l’uso di azure active directory; ho visto che su aad c’è modo di assegnare le licenze ad un gruppo, che è già un passo importante: mi manca di scoprire – se c’è modo – come assegnare automaticamente gli utenti ad un gruppo
    sono alla ricerca di una guida giusta, aad è un mondo inesplorato…

  • Rino ha detto:

    Ciao, come dominio predefinito deve essere quello onmicrosoft.com, giusto?

  • Fabrizio ha detto:

    Ciao Lorenzo, grazie innanzitutto per tutto il materiale utilissimo che hai messo a disposizione e poi volevo chiederti: ad alcuni utenti migrati in office 365 succede che al momento dell’accesso dalla dashboard vengono richieste numerose volte le credenziali ma non viene mai consentito l’accesso almeno che non entrino in modalità in incognito oppure non provino ad entrare con il mio pc. Ho fatto ripulire la cache ma nulla da fare, quale potrebbe essere il problema?
    Grazie in anticipo

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

%d blogger hanno fatto clic su Mi Piace per questo: