Guide

Exchange Online Writeback: sincronizzare le modifiche cloud con Active Directory on-premises

Dario Fadda Maggio 21, 2026

Il problema storico degli ambienti ibridi Exchange

Chiunque abbia gestito un ambiente ibrido Exchange-Active Directory conosce bene il dolore: le caselle email esistono su Exchange Online, ma gli attributi che le descrivono — indirizzi proxy, parametri di routing, configurazioni di delivery — devono essere sempre sincronizzati con l’Active Directory on-premises. Le applicazioni line-of-business leggono questi dati direttamente dall’AD locale, e se Exchange Online e l’AD si disallineano, iniziano i problemi: email che non arrivano, rubriche inconsistenti, applicazioni interne che non trovano gli indirizzi corretti.

Fino ad oggi, la soluzione era mantenere almeno un server Exchange on-premises solo per gestire questo ciclo di scrittura degli attributi. Un server costoso da mantenere, aggiornare e mettere in sicurezza, la cui unica ragione di esistere era permettere la modifica degli attributi Exchange nell’Active Directory locale. Microsoft lo aveva già ammesso esplicitamente: il percorso verso l’abbandono dell’ultimo Exchange server on-premises era bloccato proprio da questo nodo tecnico.

Con la public preview del Writeback per Cloud-Managed Remote Mailboxes, annunciata a maggio 2026, questo nodo comincia finalmente a sciogliersi.

Cosa cambia con il Writeback di Exchange Online

La nuova funzionalità consente a Exchange Online di sincronizzare automaticamente le modifiche agli attributi Exchange dalla cloud verso l’Active Directory on-premises, invertendo il flusso tradizionale. Finora la sincronizzazione era unidirezionale: dall’AD locale verso Exchange Online, gestita da Microsoft Entra Connect Sync (o dal predecessore Azure AD Connect). Ora, con il writeback abilitato, qualsiasi modifica apportata a un mailbox cloud-managed — un nuovo indirizzo proxy, una modifica al display name Exchange, una variazione nei parametri di routing — viene automaticamente propagata all’AD on-premises tramite Microsoft Entra Cloud Sync.

Il risultato pratico è che l’AD locale rimane sempre aggiornato, e le applicazioni on-premises che leggono direttamente gli attributi Exchange dall’AD continuano a funzionare correttamente — anche dopo aver spostato la gestione delle mailbox completamente nel cloud.

Architettura della soluzione

Il writeback utilizza Microsoft Entra Cloud Sync come layer di trasporto tra Exchange Online e l’AD on-premises. Un aspetto importante da sottolineare: Entra Cloud Sync non sostituisce Entra Connect Sync. Le due soluzioni coesistono fianco a fianco. Le organizzazioni che usano già Entra Connect Sync per la sincronizzazione identità non devono disinstallare o sostituire nulla — installano semplicemente un agent Entra Cloud Sync aggiuntivo e configurano il nuovo flusso di writeback.

Il percorso di dati completo è quindi:

  1. L’amministratore modifica un attributo Exchange Online (es. aggiunge un alias email)
  2. Exchange Online propaga la modifica a Microsoft Entra ID
  3. Entra Cloud Sync rileva la modifica e la scrive nell’Active Directory on-premises
  4. Le applicazioni LOB leggono il dato aggiornato dall’AD locale in tempo reale

Come abilitare il Writeback: configurazione passo per passo

Il prerequisito fondamentale è avere almeno un agent Microsoft Entra Cloud Sync installato e configurato per il dominio AD target. Una volta soddisfatto questo requisito, la configurazione del writeback avviene dall’interfaccia di Entra ID:

Microsoft Entra Admin Center
→ Identity → Hybrid Management → Entra Connect
→ Cloud Sync → Configurations
→ New configuration → EXO to AD attribute sync (Preview)


Nella pagina di configurazione, si verifica che l’agent selezionato corrisponda al dominio corretto, quindi si conferma con Create. Dalla scheda Overview della nuova configurazione, si clicca Start provisioning per avviare il flusso di sincronizzazione.

Una volta avviato, il sistema inizia a monitorare le modifiche agli attributi Exchange nelle mailbox cloud-managed e a propagarle verso l’AD on-premises. Non è richiesta nessuna configurazione aggiuntiva sull’Exchange Server on-premises — anzi, questo è esattamente il punto: con questa funzionalità attiva, l’Exchange server locale non è più necessario per il writeback degli attributi.

Limiti della Preview e roadmap

La funzionalità è attualmente in Public Preview con alcune limitazioni da tenere presenti:

  • Limite di mailbox: Durante la preview il writeback supporta tenant con meno di 200.000 mailbox cloud-managed. Il limite verrà rimosso o aumentato alla General Availability.
  • GA target: Microsoft ha indicato la fine di giugno 2026 come obiettivo per la General Availability.
  • Attributi supportati: Il writeback copre gli attributi Exchange designati — indirizzi proxy, parametri di routing, attributi mail-related — non l’intera struttura dell’oggetto AD.

Implicazioni strategiche per i sysadmin

Questa funzionalità rappresenta un passo concreto verso quello che Microsoft chiama “Last Exchange Server Retirement” — la possibilità di eliminare definitivamente l’ultimo server Exchange on-premises dalle infrastrutture ibride senza perdere funzionalità critiche.

Per i team IT, significa valutare concretamente un percorso di dismissione hardware e software che finora era rimasto bloccato. Un server Exchange on-premises richiede licenze, hardware dedicato (o VM), aggiornamenti cumulativi, patching della sicurezza e competenze specializzate per la manutenzione. Eliminarlo non è solo un risparmio economico: riduce la superficie d’attacco e semplifica l’architettura complessiva.

Naturalmente, prima di pianificare la dismissione, è necessario verificare alcune condizioni:

  • Tutte le mailbox gestite on-premises devono essere migrate a Exchange Online come cloud-managed remote mailboxes
  • Le applicazioni LOB che leggono attributi Exchange dall’AD devono essere testate nel nuovo scenario di writeback
  • La latenza di sincronizzazione di Entra Cloud Sync deve essere compatibile con le esigenze delle applicazioni
  • I flussi di email che usano connettori on-premises devono essere valutati separatamente

Conclusione

Il writeback di Exchange Online verso Active Directory on-premises è una delle novità più rilevanti per i sysadmin che gestiscono ambienti Microsoft ibridi. Risolve un problema tecnico che aveva bloccato molte organizzazioni nella loro transizione al cloud-only per anni, togliendo l’ultimo alibi per mantenere un server Exchange on-premises attivo.

Il fatto che sia ancora in preview suggerisce di non pianificare dismissioni immediate, ma è il momento giusto per iniziare i test in ambienti non produttivi, validare la compatibilità con le applicazioni LOB e costruire il piano di migrazione. La GA prevista per fine giugno 2026 potrebbe arrivare in coincidenza con la scadenza dei certificati Secure Boot: due scadenze importanti da non ignorare nello stesso mese.

Fonti: Microsoft Tech Community – Writeback for Cloud-Managed Remote Mailboxes, Microsoft Learn – Cloud-based management of Exchange attributes, Petri IT Knowledgebase – Exchange Online Writeback

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Exchange Online Writeback: sincronizzare le modifiche cloud con Active Directory on-premises, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community