Opzioni di accesso utente di Microsoft Entra Connect
Microsoft Entra Connect consente agli utenti di accedere alle risorse cloud e locali usando le stesse password. Questo articolo descrive i concetti chiave per ogni modello di identità che consente di scegliere l'identità che si vuole usare per l'accesso a Microsoft Entra ID.
Se si ha già familiarità con il modello di identità Microsoft Entra e si vuole ottenere altre informazioni su un metodo specifico, vedere il collegamento appropriato:
- Sincronizzazione dell'hash delle password con Single Sign-On senza soluzione di continuità (SSO)
- Autenticazione pass-through con Seamless Single Sign-On (SSO)
- SSO federato (con Active Directory Federation Services (AD FS))
- Federazione con PingFederate
Nota
È importante ricordare che configurando la federazione per Microsoft Entra ID, si stabilisce una relazione di trust tra il tenant di Microsoft Entra e i domini federati. Con questo trust gli utenti del dominio federato avranno accesso alle risorse cloud di Microsoft Entra all'interno del tenant.
Scelta del metodo di accesso utente per l'organizzazione
La prima decisione di implementare Microsoft Entra Connect è la scelta del metodo di autenticazione che gli utenti useranno per accedere. È importante assicurarsi di scegliere il metodo corretto che soddisfi i requisiti avanzati e di sicurezza dell'organizzazione. L'autenticazione è fondamentale perché convaliderà le identità dell'utente per accedere alle app e ai dati nel cloud. Per scegliere il metodo di autenticazione corretto, è necessario prendere in considerazione il tempo, l'infrastruttura esistente, la complessità e il costo per implementare la scelta. Questi fattori sono diversi per ogni organizzazione e possono cambiare nel tempo.
Microsoft Entra ID supporta i metodi di autenticazione seguenti:
-
Autenticazione Cloud - quando si sceglie questo metodo di autenticazione, Microsoft Entra ID gestisce il processo di autenticazione per l'accesso degli utenti. Con l'autenticazione cloud è possibile scegliere tra due opzioni:
- sincronizzazione dell'hash delle password (PHS) - Sincronizzazione hash delle password consente agli utenti di usare lo stesso nome utente e la stessa password usati in locale senza dover distribuire un'infrastruttura aggiuntiva oltre a Microsoft Entra Connect.
- l'autenticazione pass-through (PTA): questa opzione è simile alla sincronizzazione dell'hash delle password, ma fornisce una semplice convalida delle password usando agenti software on-premises per le organizzazioni con criteri di sicurezza e conformità rigorosi.
- autenticazione federata: quando si sceglie questo metodo di autenticazione, Microsoft Entra ID passerà il processo di autenticazione a un sistema di autenticazione attendibile separato, ad esempio AD FS o un sistema federativo di terze parti, per convalidare l'accesso dell'utente.
Per la maggior parte delle organizzazioni che vogliono solo abilitare l'accesso utente a Microsoft 365, applicazioni SaaS e altre risorse basate su ID di Microsoft Entra, è consigliabile usare l'opzione di sincronizzazione dell'hash delle password predefinita.
Per informazioni dettagliate sulla scelta di un metodo di autenticazione, vedere Scegliere il metodo di autenticazione appropriato per la soluzione di gestione delle identità ibrida Di Microsoft Entra
Sincronizzazione dell'hash delle password
Con la sincronizzazione dell'hash delle password, gli hash delle password utente vengono sincronizzati da Active Directory locale a Microsoft Entra ID. Quando le password vengono modificate o reimpostate in locale, i nuovi hash delle password vengono sincronizzati immediatamente con Microsoft Entra ID in modo che gli utenti possano usare sempre la stessa password per le risorse cloud e le risorse locali. Le password non vengono mai inviate all'ID Microsoft Entra o archiviate in Microsoft Entra ID in testo non crittografato. È possibile utilizzare la sincronizzazione degli hash delle password combinata con il write-back delle password per abilitare la reimpostazione della password self-service in Microsoft Entra ID.
È anche possibile abilitare Seamless SSO per gli utenti su macchine all’interno del dominio che sono nella rete aziendale. Con l'accesso Single Sign-On, gli utenti abilitati devono immettere solo un nome utente per consentire loro di accedere in modo sicuro alle risorse cloud.
Per altre informazioni, vedere l'articolo sincronizzazione dell'hash delle password.
Autenticazione tramite passaggio diretto
Con l'autenticazione pass-through, la password dell'utente viene convalidata rispetto al controller di Active Directory locale. Non è necessario che la password sia presente in Microsoft Entra ID in alcun formato. Ciò consente di valutare i criteri locali, ad esempio le restrizioni orarie di accesso, durante l'autenticazione ai servizi cloud.
L'autenticazione pass-through utilizza un agente semplice su una macchina appartenente a un dominio di Windows Server nell'ambiente on-premises. Questo agente è in ascolto delle richieste di convalida delle password. Non è necessario che le porte in ingresso siano aperte a Internet.
Inoltre, è possibile abilitare il Single Sign-On per gli utenti su dispositivi collegati a un dominio presenti nella rete aziendale. Con l'accesso Single Sign-On, gli utenti abilitati devono immettere solo un nome utente per consentire loro di accedere in modo sicuro alle risorse cloud.
Per altre informazioni, vedere:
Federazione che utilizza una farm esistente o nuova con AD FS in Windows Server
Con l'accesso federato, gli utenti possono accedere ai servizi basati su ID di Microsoft Entra con le password locali. Anche se si trovano nella rete aziendale, non devono nemmeno immettere le password. Usando l'opzione di federazione con AD FS, è possibile distribuire una farm nuova o esistente con AD FS in Windows Server 2022. Se si sceglie di specificare una farm esistente, Microsoft Entra Connect configura l'attendibilità tra la farm e l'ID Microsoft Entra in modo che gli utenti possano accedere.
Implementare la federazione con AD FS in Windows Server 2022
Se stai distribuendo una nuova farm, hai bisogno di:
Server Windows Server 2022 per il server federativo.
Un server Windows Server 2022 per il Proxy delle applicazioni Web.
Un file pfx con un certificato TLS/SSL per il nome del servizio federativo previsto. Ad esempio: fs.contoso.com.
Se distribuisci una nuova farm o utilizzi una farm esistente, hai bisogno:
- Credenziali di amministratore locale nei server federativi.
- Credenziali di amministratore locale su qualsiasi server del gruppo di lavoro (non aggiunto a un dominio) sui quali si intende distribuire il ruolo di Proxy di applicazione Web.
- Il computer su cui si esegue la procedura guidata per potersi connettere a qualsiasi altro computer su cui si desidera installare AD FS o il Proxy dell'applicazione Web tramite Gestione Remota di Windows.
Per ulteriori informazioni, vedere Configurazione di SSO con AD FS.
Federazione con PingFederate
Con l'accesso federato, gli utenti possono accedere ai servizi basati su ID di Microsoft Entra con le password locali. Anche se si trovano nella rete aziendale, non devono nemmeno immettere le password.
Per altre informazioni sulla configurazione di PingFederate per l'uso con Microsoft Entra ID, vedere Ping Identity Support.
Per informazioni sulla configurazione di Microsoft Entra Connect tramite PingFederate, vedere installazione personalizzata di Microsoft Entra Connect
Accedere usando una versione precedente di AD FS o una soluzione di terze parti
Se l'accesso cloud è già stato configurato usando una versione precedente di AD FS (ad esempio AD FS 2.0) o un provider federativo di terze parti, è possibile scegliere di ignorare la configurazione di accesso utente tramite Microsoft Entra Connect. In questo modo sarà possibile ottenere la sincronizzazione più recente e altre funzionalità di Microsoft Entra Connect mentre si usa ancora la soluzione esistente per l'accesso.
Per altre informazioni, vedere l'elenco di compatibilità microsoft Entra di terze parti.
Accesso utente e UserPrincipalName
Informazioni su UserPrincipalName
In Active Directory il suffisso UserPrincipalName (UPN) predefinito è il nome DNS del dominio in cui è stato creato l'account utente. Nella maggior parte dei casi, si tratta del nome di dominio registrato come dominio aziendale su Internet. Tuttavia, è possibile aggiungere altri suffissi UPN usando Domini e trust di Active Directory.
L'UPN dell'utente ha il formato username@domain. Ad esempio, per un dominio di Active Directory denominato "contoso.com", un utente di nome John potrebbe avere l'UPN "john@contoso.com". L'UPN dell'utente è basato su RFC 822. Anche se l'UPN e il messaggio di posta elettronica condividono lo stesso formato, il valore dell'UPN per un utente potrebbe o meno essere uguale all'indirizzo di posta elettronica dell'utente.
NomeUtentePrincipale in Microsoft Entra ID
La procedura guidata di Microsoft Entra Connect usa l'attributo userPrincipalName o consente di specificare l'attributo (in un'installazione personalizzata) da utilizzare in locale come UserPrincipalName in Microsoft Entra ID. Si tratta del valore usato per l'accesso a Microsoft Entra ID. Se il valore dell'attributo userPrincipalName non corrisponde a un dominio verificato in Microsoft Entra ID, Microsoft Entra ID lo sostituisce con un valore predefinito .onmicrosoft.com.
Ogni directory in Microsoft Entra ID include un nome di dominio predefinito, con il formato contoso.onmicrosoft.com, che consente di iniziare a usare Microsoft Entra o altri servizi online Microsoft. È possibile migliorare e semplificare l'esperienza di accesso usando domini personalizzati. Per informazioni sui nomi di dominio personalizzati in Microsoft Entra ID e su come verificare un dominio, vedere Aggiungere il nome di dominio personalizzato a Microsoft Entra ID.
Configurazione dell'accesso a Microsoft Entra
Configurazione dell'accesso di Microsoft Entra con Microsoft Entra Connect
L'esperienza di accesso a Microsoft Entra dipende dal fatto che Microsoft Entra ID possa corrispondere al suffisso UserPrincipalName di un utente sincronizzato con uno dei domini personalizzati verificati nella directory Microsoft Entra. Microsoft Entra Connect offre assistenza durante la configurazione delle impostazioni di accesso di Microsoft Entra, in modo che l'esperienza di accesso utente nel cloud sia simile all'esperienza locale.
Microsoft Entra Connect elenca i suffissi UPN definiti per i domini e tenta di associarli a un dominio personalizzato in Microsoft Entra ID. Quindi ti aiuta con l'azione appropriata che deve essere intrapresa. La pagina di accesso di Microsoft Entra elenca i suffissi UPN definiti per Active Directory locale e visualizza lo stato corrispondente per ogni suffisso. I valori di stato possono essere uno dei seguenti:
| Stato | Descrizione | Azione necessaria |
|---|---|---|
| Verificato | Microsoft Entra Connect ha trovato un dominio verificato corrispondente in Microsoft Entra ID. Tutti gli utenti per questo dominio possono accedere usando le credenziali locali. | Non è necessaria alcuna azione. |
| Non verificato | Microsoft Entra Connect ha trovato un dominio personalizzato corrispondente in Microsoft Entra ID, ma non è verificato. Il suffisso UPN degli utenti di questo dominio verrà modificato nel suffisso predefinito .onmicrosoft.com dopo la sincronizzazione se il dominio non viene verificato. | Verificare il dominio personalizzato in Microsoft Entra ID. |
| Non aggiunto | Microsoft Entra Connect non ha trovato un dominio personalizzato corrispondente al suffisso UPN. Il suffisso UPN degli utenti di questo dominio verrà modificato nel suffisso predefinito .onmicrosoft.com se il dominio non viene aggiunto e verificato in Entra ID. | Aggiungere e verificare un dominio personalizzato corrispondente al suffisso UPN. |
Nella pagina di accesso di Microsoft Entra sono elencati i suffissi UPN definiti per Active Directory locale e il dominio personalizzato corrispondente in Microsoft Entra ID con lo stato di verifica corrente. In un'installazione personalizzata, è ora possibile selezionare l'attributo per UserPrincipalName sulla pagina di accesso di Microsoft Entra.
È possibile fare clic sul pulsante aggiorna per recuperare nuovamente lo stato più recente dei domini personalizzati da Microsoft Entra ID.
Selezione dell'attributo per UserPrincipalName in Microsoft Entra ID
L'attributo userPrincipalName è l'attributo usato dagli utenti quando accedono all'ID Microsoft Entra e a Microsoft 365. È necessario verificare i domini (noti anche come suffissi UPN) usati in Microsoft Entra ID prima che gli utenti vengano sincronizzati.
È consigliabile mantenere l'attributo predefinito userPrincipalName. Se questo attributo non è indirizzabile e non può essere verificato, è possibile selezionare un altro attributo (ad esempio, posta elettronica) come attributo che contiene l'ID di accesso. Questa operazione è nota come ID alternativo. Il valore dell'attributo ID alternativo deve seguire lo standard RFC 822. È possibile usare un ID alternativo con SSO password e SSO federativo come soluzione di accesso.
Nota
L'uso di un ID alternativo non è compatibile con tutti i carichi di lavoro di Microsoft 365. Per altre informazioni, vedere Configurazione dell'ID di accesso alternativo.
Diversi stati di dominio personalizzati e il relativo effetto sull'esperienza di accesso con ID Entra
È molto importante comprendere la relazione tra gli stati del dominio personalizzato nella directory di Microsoft Entra e i suffissi UPN definiti in locale. Esaminiamo le diverse esperienze di accesso di Entra ID durante la configurazione della sincronizzazione tramite Microsoft Entra Connect.
Per le informazioni seguenti, si supponga di essere interessati al suffisso UPN contoso.com, che viene usato nella directory locale come parte di UPN, ad esempio user@contoso.com.
Impostazioni rapide/Sincronizzazione dell'hash delle password
| stato | Effetto sull'esperienza di accesso dell'utente con l'ID Entra |
|---|---|
| Non aggiunto | In questo caso, nella directory Microsoft Entra non è stato aggiunto alcun dominio personalizzato per contoso.com. Gli utenti che dispongono di UPN in locale con il suffisso @contoso.com non potranno usare l'UPN locale per accedere all'ID Entra. Dovranno invece usare un nuovo UPN fornito da Microsoft Entra ID aggiungendo il suffisso per la directory predefinita di Microsoft Entra. Ad esempio, se si esegue la sincronizzazione degli utenti con la directory di Microsoft Entra contoso.onmicrosoft.com, all'utente locale user@contoso.com verrà assegnato un UPN di user@contoso.onmicrosoft.com. |
| Non verificato | In questo caso, è disponibile un dominio personalizzato contoso.com aggiunto nella directory Microsoft Entra. Tuttavia, non è ancora verificato. Se si procede con la sincronizzazione degli utenti senza verificare il dominio, agli utenti verrà assegnato un nuovo UPN da Microsoft Entra ID, proprio come nello scenario "Non aggiunto". |
| Verificato | In questo caso, è disponibile un dominio personalizzato contoso.com già aggiunto e verificato in Microsoft Entra ID per il suffisso UPN. Gli utenti potranno usare il proprio UserPrincipalName locale, ad esempio user@contoso.com, per accedere a Entra dopo la sincronizzazione con Microsoft Entra ID. |
Federazione di AD FS
Non è possibile creare una federazione con il dominio .onmicrosoft.com predefinito in Microsoft Entra ID o un dominio personalizzato non verificato in Microsoft Entra ID. Quando si esegue la procedura guidata di Microsoft Entra Connect, se si seleziona un dominio non verificato con cui creare una federazione, Microsoft Entra Connect richiede di creare i record necessari in cui è ospitato il DNS per il dominio. Per altre informazioni, vedere Verificare il dominio Microsoft Entra selezionato per la federazione.
Se è stata selezionata l'opzione di accesso utente Federazione con AD FS, è necessario disporre di un dominio personalizzato per continuare a creare una federazione in Microsoft Entra ID. Per la nostra discussione, questo significa che dovremmo avere un dominio personalizzato contoso.com aggiunto nella directory di Microsoft Entra.
| Stato | Effetto sull'esperienza di accesso dell'utente con Entra ID |
|---|---|
| Non aggiunto | In questo caso, Microsoft Entra Connect non ha trovato un dominio personalizzato corrispondente per il suffisso UPN contoso.com nella directory Microsoft Entra. È necessario aggiungere un dominio personalizzato contoso.com se è necessario che gli utenti eseseguono l'accesso usando AD FS con l'UPN locale ( ad esempio user@contoso.com). |
| Non verificato | In questo caso, Microsoft Entra Connect richiede i dettagli appropriati su come verificare il dominio in un secondo momento. |
| Verificato | In questo caso, è possibile procedere con la configurazione senza ulteriori azioni. |
Modifica del metodo di accesso dell'utente
È possibile modificare il metodo di accesso utente dalla federazione, dalla sincronizzazione dell'hash delle password o dall'autenticazione pass-through usando le attività disponibili in Microsoft Entra Connect dopo la configurazione iniziale di Microsoft Entra Connect con la procedura guidata. Eseguire di nuovo la procedura guidata di Microsoft Entra Connect e verrà visualizzato un elenco di attività che è possibile eseguire. Selezionare Modifica accesso dell'utente dall'elenco delle attività.
Nella pagina successiva viene chiesto di specificare le credenziali per Microsoft Entra ID.
Nella pagina di accesso utente selezionare l'accesso utente desiderato.
Nota
Se si sta effettuando solo un passaggio temporaneo alla sincronizzazione dell'hash delle password, selezionare la casella di controllo Non convertire gli account utente. La mancata verifica dell'opzione converte ogni utente in federato e può richiedere diverse ore.
Passaggi successivi
- Altre informazioni su l'integrazione delle identità locali con Microsoft Entra ID.
- Altre informazioni sui concetti di progettazione di Microsoft Entra Connect.