In questo articolo vengono fornite domande frequenti sull'accesso Single Sign-On facile (Seamless SSO) di Microsoft Entra. Visitare questa pagina regolarmente per nuovi contenuti.
Quali metodi di accesso funzionano con l'accesso Single Sign-On facile
L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. Questa funzionalità non può tuttavia essere usata con Active Directory Federation Services (ADFS).
L'accesso SSO facile è una funzionalità gratuita?
Seamless SSO è una funzionalità gratuita e non sono necessarie edizioni a pagamento di Microsoft Entra ID per usarlo.
L'accesso SSO facile è disponibile nel cloud Microsoft Azure Germania e nel cloud Microsoft Azure per enti pubblici?
L'accesso SSO facile è disponibile per il cloud di Azure per enti pubblici. Per informazioni dettagliate, vedere Considerazioni sulle identità ibride per Azure per enti pubblici.
Quali applicazioni sfruttano la funzionalità dei parametri 'domain_hint' o 'login_hint' di Seamless SSO?
La tabella contiene un elenco di applicazioni che possono inviare questi parametri all'ID Microsoft Entra. Questa azione offre agli utenti un'esperienza di accesso invisibile all'utente tramite Seamless SSO.:
| Nome applicazione | URL applicazione |
|---|---|
| Pannello di accesso | https://myapps.microsoft.com/contoso.com |
| Outlook nel Web | https://outlook.office365.com/contoso.com |
| Portali di Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Inoltre, gli utenti ottengono un'esperienza di accesso invisibile all'utente se un'applicazione invia richieste di accesso agli endpoint di Microsoft Entra configurati come tenant, https://login.microsoftonline.com/contoso.com/<ovvero ..> o https://login.microsoftonline.com/<tenant_ID>/<..> invece dell'endpoint comune di Microsoft Entra, https://login.microsoftonline.com/common/<ovvero ...>. La tabella include un elenco di applicazioni che effettuano questi tipi di richieste di accesso.
| Nome applicazione | URL applicazione |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Interfaccia di amministrazione di Microsoft Entra | https://portal.azure.com/contoso.com |
Nelle tabelle precedenti sostituire "contoso.com" con il nome di dominio per ottenere gli URL dell'applicazione corretti per il tenant.
Se si desidera che altre applicazioni utilizzino la nostra esperienza di accesso automatico, si prega di segnalarlo nella sezione commenti e suggerimenti.
Seamless SSO supporta 'Alternate ID' come nome utente, anziché 'userPrincipalName'?
Sì. Seamless SSO supporta Alternate ID come nome utente quando configurato in Microsoft Entra Connect, come illustrato di seguito. Non tutte le applicazioni Microsoft 365 supportano Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.
Qual è la differenza tra l'esperienza di accesso Single Sign-On fornita da Microsoft Entra join e Seamless SSO?
L'aggiunta a Microsoft Entra fornisce l'accesso SSO agli utenti se i dispositivi sono registrati con Microsoft Entra ID. Questi dispositivi non devono necessariamente essere aggiunti a un dominio. L'accesso SSO viene fornito usando token di aggiornamento primari o PRT e non Kerberos. L'esperienza utente è ottimale sui dispositivi Windows 10. L'accesso SSO viene eseguito automaticamente nel browser Microsoft Edge. Funziona anche in Chrome con l'uso di un'estensione del browser.
È possibile usare l'aggiunta a Microsoft Entra e l'accesso SSO facile nel tenant. Queste due funzionalità sono complementari. Se entrambe le funzionalità sono attivate, l'accesso SSO di Microsoft Entra join ha la precedenza su Seamless SSO.
Voglio registrare dispositivi non Windows 10 con Microsoft Entra ID, senza usare AD FS. è possibile usare l'accesso SSO facile?
Sì, per questo scenario è necessaria la versione 2.1 o versione successiva del client Workplace Join.
Come è possibile eseguire il rollover della chiave di decrittografia Kerberos dell'account computer 'AZUREADSSO'?
È importante eseguire spesso il rollover della chiave di decrittografia Kerberos dell'account computer (che rappresenta l'ID AZUREADSSO Microsoft Entra) creato nella foresta di Active Directory locale.
Importante
È consigliabile eseguire il rollover della chiave di decrittografia Kerberos almeno ogni 30 giorni usando il Update-AzureADSSOForest cmdlet . Quando si usa il Update-AzureADSSOForest cmdlet, assicurarsi di non eseguire il Update-AzureADSSOForest comando più di una volta per foresta. In caso contrario, la funzionalità si interrompe fino alla scadenza dei ticket Kerberos degli utenti e fino a quando non vengono nuovamente inviati da Active Directory locale.
Seguire questa procedura nel server locale in cui si esegue Microsoft Entra Connect:
Nota
Sono necessarie le credenziali di amministratore di dominio e amministratore identità ibrida per i passaggi.
Se non si è un amministratore di dominio e sono state assegnate le autorizzazioni dall'amministratore di dominio, è necessario chiamare Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Passaggio 1: Ottenere l'elenco delle foreste di Active Directory in cui è abilitato l'accesso Single Sign-On facile
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali di amministratore dell'identità ibrida del tenant. - Chiamare
Get-AzureADSSOStatus | ConvertFrom-Json. Questo comando fornisce un elenco di foreste di Active Directory (esaminare l'elenco "Domini") in cui questa funzionalità è stata abilitata.
Passaggio 2. Aggiornare la chiave di decrittografia Kerberos in ogni foresta AD in cui è stata impostata
- Chiamare
$creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.
Nota
Il nome utente delle credenziali di amministratore di dominio deve essere specificato nel formato del nome dell'account SAM (CONTOSO\johndoe oppure contoso.com\johndoe). Usare la parte del dominio del nome utente per individuare il controller di dominio dell'amministratore di dominio usando DNS.
Nota
L'account amministratore di dominio usato non deve essere un membro del gruppo Utenti protetti, In tal caso, l'operazione non riesce.
Chiamare
Update-AzureADSSOForest -OnPremCredentials $creds. Questo comando aggiorna la chiave di decrittografia di Kerberos per l'account computerAZUREADSSOin questa foresta di AD specifica e la aggiorna in Microsoft Entra ID.Ripetere i passaggi precedenti per ogni foresta di Active Directory in cui è stata configurata la funzionalità.
Nota
Se si aggiorna una foresta, diversa da Quella di Microsoft Entra Connect, assicurarsi che sia disponibile la connettività al server di catalogo globale (TCP 3268 e TCP 3269).
Importante
Questa operazione non deve essere eseguita nei server che eseguono Microsoft Entra Connect in modalità di gestione temporanea.
Come è possibile disabilitare l'accesso SSO facile?
Passaggio 1: Disabilitare la funzionalità nel tenant
Opzione A: Disabilitare tramite Microsoft Entra Connect
- Eseguire Microsoft Entra Connect, scegliere Cambia pagina di accesso utente e fare clic su Avanti.
- Deselezionare l'opzione Abilita accesso Single Sign-On . Continuare la procedura guidata.
Dopo aver completato la procedura guidata, l'accesso Single Sign-On facile viene disabilitato nel tenant. Verrà tuttavia visualizzato un messaggio con il testo seguente:
"Single Sign-On è ora disabilitato, ma esistono altri passaggi manuali da eseguire per completare la pulizia. Altre informazioni"
Per completare il processo di pulizia, seguire i passaggi 2 e 3 nel server locale in cui si esegue Microsoft Entra Connect.
Opzione B: Disabilitare tramite PowerShell
Eseguire i passaggi seguenti nel server locale in cui si esegue Microsoft Entra Connect:
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali di amministratore dell'identità ibrida del tenant. - Chiamare
Enable-AzureADSSO -Enable $false.
A questo punto l'accesso Single Sign-On facile è disabilitato, ma i domini rimangono configurati nel caso in cui si voglia abilitare l'accesso Single Sign-On facile. Per rimuovere completamente i domini dalla configurazione dell'accesso SSO facile, chiamare il cmdlet seguente dopo aver completato il passaggio 5 precedente: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Importante
La disabilitazione dell'accesso Single Sign-On facile con PowerShell non modifica lo stato in Microsoft Entra Connect. L'accesso Single Sign-On facile viene visualizzato come abilitato nella pagina Modifica accesso utente.
Nota
Se non si dispone di un server di sincronizzazione Microsoft Entra Connect, è possibile scaricarlo ed eseguire l'installazione iniziale. Non verrà configurato il server, ma decomprimerà i file necessari per disabilitare l'accesso SSO. Al termine dell'installazione msi, chiudere la procedura guidata di Microsoft Entra Connect ed eseguire i passaggi per disabilitare l'accesso Single Sign-On facile con PowerShell.
Passaggio 2. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facile
Seguire le attività da 1 a 4 se è stato disabilitato l'accesso Single Sign-On facile con Microsoft Entra Connect. Se invece è stato disabilitato l'accesso Single Sign-On facile con PowerShell, passare all'attività 5.
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali di amministratore dell'identità ibrida del tenant. - Chiamare
Get-AzureADSSOStatus | ConvertFrom-Json. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.
Passaggio 3. Eliminare manualmente l'account computer AZUREADSSO da ogni foresta di AD elencata.
Passaggi successivi
- Guida introduttiva : iniziare a usare Microsoft Entra Seamless SSO.
- Approfondimento tecnico: informazioni sul funzionamento di questa funzionalità.
- Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi a questa funzionalità.
- UserVoice: per l'invio di richieste di nuove funzionalità.