Active Directory è un protagonista assoluto dell’IT enterprise dagli anni 2000: praticamente ogni azienda italiana sopra i 20 dipendenti ha (o ha avuto) un domain controller Windows Server con utenti, gruppi, GPO, condivisioni di rete legate a dominio.local. È un’architettura che funziona, ma è anche un’architettura di 25 anni fa: server fisici o virtuali on-premises, backup da fare a mano, sincronizzazione delicata fra DC, GPO incomprensibili sedimentate negli anni, vulnerabile a Kerberoasting + Pass-the-Hash + Pass-the-Ticket.
Microsoft Entra ID (ex Azure AD) è il successore cloud-native: stesso ruolo di identity provider, ma con autenticazione moderna (OAuth 2.0, SAML 2.0, FIDO2), MFA nativo, Conditional Access, audit completo via Purview, niente server da manutenere. Da un paio d’anni Microsoft sta spingendo aggressivamente la migrazione: i nuovi tenant Microsoft 365 sono cloud-only di default, e le linee guida MSFT per le PMI sotto i 250 utenti suggeriscono apertamente di eliminare AD on-prem.
Vediamo quando ha senso davvero la migrazione per una PMI italiana, come si fa nella pratica, e quali sono i gotcha che fanno fallire i progetti fai-da-te.
Quando ha senso (e quando NO) eliminare AD on-prem
Scenari dove ha senso migrare ENTRO 6-12 mesi
- PMI 10-50 utenti già completamente su Microsoft 365 con AD on-prem che gestisce solo login PC + qualche share NTFS. Sopravvivenza di AD ha più costi che benefici.
- Sostituzione del file server già pianificata (verso SharePoint Online o OneDrive). Una volta tolte le condivisioni NTFS, il dominio AD perde la sua ragione principale di esistere.
- Server domain controller in scadenza fisica (Windows Server 2016 EOL gennaio 2027, Windows Server 2019 EOL gennaio 2029). Invece di reinstallare un DC nuovo, eliminarlo direttamente.
- Dopo un incidente di sicurezza che ha mostrato che il modello a domini con Kerberos è troppo fragile per la realtà attuale (es. dopo un ransomware con privilege escalation).
Scenari dove ha senso ASPETTARE
- Gestionali legacy che richiedono ancora autenticazione NTLM/Kerberos AD (alcuni ERP italiani datati, software di laboratorio scientifico, controllo di produzione manifattura). Senza modernizzare quelle app, non si può spegnere AD.
- PMI manifattura con macchinari controllati da PC fisici in officina, che si autenticano su domain controller locale anche senza internet (continuità in caso di link WAN down).
- Aziende > 250 utenti con uso pesante di GPO custom complesse: la migrazione esiste ma richiede un progetto strutturato di 6-12 mesi.
Nella maggior parte dei casi PMI (10-100 utenti, principalmente ufficio + smart working), la risposta giusta è migrare. Il costo annuale di mantenere AD on-prem (server + storage + backup + manutenzione + costi rari ma costosi di disaster recovery) supera quasi sempre il costo del progetto migrazione una tantum.
I 3 modelli di migrazione possibili
Modello A — Cloud-only “clean cut”
Si spegne AD on-prem e si crea un nuovo tenant Entra ID nativo. Tutti gli utenti accedono ai PC direttamente con account nome@miaazienda.it. I PC sono Entra Joined (non Hybrid Joined), gestiti con Intune.
Per chi: PMI 10-30 utenti, no app legacy, file server già migrato a SharePoint/OneDrive.
Pro: setup pulito, niente debito tecnico, niente Entra Connect da mantenere.
Contro: bisogna ricreare manualmente utenti, gruppi e accessi NTFS in cloud. Per oltre 50 utenti diventa scomodo senza tooling.
Modello B — Hybrid join transitorio (12-24 mesi)
Si installa Entra Connect che sincronizza utenti/gruppi/password da AD on-prem verso Entra ID. I PC sono Hybrid Joined: vedono sia AD sia Entra ID. Gli utenti possono accedere ai PC con stesso account M365 e a tutte le risorse on-prem e cloud.
Dopo 12-24 mesi, una volta migrate tutte le app legacy verso autenticazione moderna e file share verso SharePoint, si fa decommissioning del dominio AD.
Per chi: PMI 30-150 utenti con qualche app legacy ancora vincolata a AD.
Pro: utenti non si accorgono di nulla, transizione graduale.
Contro: Entra Connect server da mantenere durante la transizione, AD continua a esistere e a essere bersaglio di attacchi.
Modello C — Cloud Sync (senza Entra Connect)
Variante leggera di B usando Microsoft Entra Cloud Sync (agent leggero installato su un server già esistente, senza dedicare una VM intera a Entra Connect). Stesso modello hybrid, infrastruttura più piccola.
Per chi: PMI 20-100 utenti che fanno passaggio hybrid ma non vogliono un server Entra Connect dedicato.
Pro: footprint infrastruttura ridotto, gestione tramite portale Entra.
Contro: non supporta scenari custom complessi (filter avanzati, attribute mapping complessi).
I 7 gotcha che fanno fallire i progetti fai-da-te
Dalla nostra esperienza su 20+ migrazioni AD → Entra ID di PMI italiane negli ultimi 3 anni:
1. UPN diverso dal dominio email aziendale. Capita spesso: AD on-prem usa nome@miaazienda.local (dominio AD interno), ma le email Microsoft 365 sono nome@miaazienda.it. Fix obbligatorio prima della migrazione: cambiare l’UPN AD a nome@miaazienda.it per ogni utente. Senza questo step, Entra Connect sincronizza utenti con UPN sbagliato.
2. Password complexity policy diverse fra AD e Entra ID. AD on-prem di solito ha policy permissive (8 caratteri, 60 giorni di scadenza). Entra ID forza policy più stringenti per default. Senza piano di reset password coordinato, alcuni utenti restano con password che funzionano on-prem ma non in cloud.
3. Gruppi di sicurezza con membri orfani. AD ha tipicamente decine di gruppi creati negli anni con utenti ex-dipendenti, account di servizio dimenticati, gruppi nested di gruppi nested. Sincronizzandoli in Entra ID si porta dietro tutto il debito. Fix: audit gruppi prima della sync, eliminare i gruppi orfani.
4. GPO impossibili da migrare 1:1. Le Group Policy AD non esistono in Entra ID — l’equivalente è Intune Configuration Profiles + Settings Catalog. Ma non tutte le GPO sono mappabili (es. mapping drive H: su share interno automaticamente al login). Serve una fase di re-design policy prima della migrazione, non una traduzione automatica.
5. Stampanti di rete che smettono di funzionare. Se le stampanti sono pubblicate via Print Server AD, dopo la migrazione i PC Entra-joined non le vedono più. Soluzione: passare a Universal Print (cloud-based, niente print server) o a driver TCP/IP diretto sul PC.
6. Mapping unità di rete e share NTFS. Lo script net use H: \\fileserver\hr al login non funziona su PC Entra-joined. Soluzioni: migrare a SharePoint/OneDrive (preferibile) o usare Microsoft Defender for Storage + persistenza accessi tramite Azure Files con sync.
7. App legacy che non parlano OAuth/SAML. Software gestionali italiani vecchio stile autenticano solo con NTLM o Kerberos su dominio AD. Soluzioni: Entra Application Proxy (mette davanti un proxy che traduce OAuth → Kerberos), oppure modernizzazione applicativa, oppure si tiene quel singolo server in regime hybrid.
Roadmap tipica di un progetto migrazione
Per una PMI italiana 50-80 utenti con uso M365 + AD on-prem + alcune app legacy:
| Fase | Durata | Output |
|---|---|---|
| Discovery | 1 settimana | Inventario utenti/gruppi/GPO/app legacy + decisione modello A/B/C |
| Preparazione AD | 2 settimane | Cleanup gruppi orfani, UPN standardization, security baseline |
| Setup Entra Connect | 1 settimana | Installazione + sync iniziale + test su 5 utenti pilota |
| Pilot PC hybrid join | 2 settimane | 10 PC pilota Hybrid Joined + Intune enrollment |
| Rollout flotta | 4-6 settimane | Resto dei PC migrati a wave (10-15/settimana) |
| Migrazione app legacy | 4-8 settimane | App ridisegnate o messe dietro Application Proxy |
| Decommissioning AD | 1 settimana | Spegnimento DC + cleanup DNS + audit finale |
Totale: 15-21 settimane (~4-5 mesi). Per PMI 10-30 utenti senza legacy si scende a 4-6 settimane.
Costi tipici
Range orientativo per progetto chiavi-in-mano (consulenza + setup + supporto rollout):
- PMI 10-30 utenti, modello A cloud-only: 6.000-12.000 €
- PMI 30-80 utenti, modello B/C hybrid: 15.000-30.000 €
- PMI 80-200 utenti, modello B con app legacy: 40.000-80.000 €
A questo si aggiungono le licenze: Entra ID base è incluso in Microsoft 365 Business Premium (~25€/u/m), ma se servono Conditional Access avanzato o Identity Protection serve Entra ID P1 o P2 (add-on +6€/u/m).
ROI tipico: il break-even rispetto al mantenimento AD on-prem è a 18-24 mesi considerando il costo di un domain controller virtuale + storage + backup + skill IT specialistico.
Conclusione
La migrazione AD → Entra ID non è urgente per il 90% delle PMI italiane, ma diventa inevitabile entro 24-36 mesi. Aspettare l’EOL di Windows Server 2019 (gennaio 2029) significa fare la migrazione di corsa, sotto pressione, con tempi e budget compressi. Pianificarla ora — magari combinandola con un refresh hardware o un progetto Intune già in pipeline — è molto più economico e meno rischioso.
Per una discovery gratuita sulla tua infrastruttura AD attuale + valutazione del modello migrazione adatto (cloud-only / hybrid / cloud sync), parla con un nostro consulente: facciamo questi progetti regolarmente per le PMI italiane Microsoft-centric, anche in regime di assistenza sistemistica server durante la fase di transizione.