Novità di Windows Server 2019

Questo articolo descrive alcune delle nuove funzionalità di Windows Server 2019. Windows Server 2019 si basa sulle solide fondamenta di Windows Server 2016 e include numerose innovazioni su quattro temi chiave: cloud ibrido, sicurezza, piattaforma per applicazioni e infrastruttura iperconvergente (HCI).

Generale

Windows Admin Center

Windows Admin Center è un'app distribuita in locale e basata su browser che consente di gestire server, cluster, infrastruttura iperconvergente e PC Windows 10. Non prevede costi aggiuntivi rispetto a Windows ed è pronta per essere usata in produzione.

È possibile installare Windows Admin Center in Windows Server 2019 e Windows 10 e versioni precedenti di Windows e Windows Server, e usarlo per gestire server e cluster che eseguono Windows Server 2008 R2 e versioni successive.

Per altre informazioni, vedi Windows Admin Center.

Esperienza desktop

Poiché Windows Server 2019 è un rilascio di LTSC (Long-Term Servicing Channel), include Esperienza desktop. Le versioni del canale semestrale (SAC) non includono l'esperienza desktop per impostazione predefinita; sono rigorosamente versioni dell'immagine del contenitore Server Core e Nano Server. Come per Windows Server 2016, durante l'installazione del sistema operativo puoi scegliere tra le installazioni Server Core o Server con Esperienza desktop.

Informazioni dettagliate di sistema

Informazioni dettagliate di sistema è una nuova funzione disponibile in Windows Server 2019 che offre funzionalità di analisi predittiva locale in modalità nativa per Windows Server. Queste funzionalità predittive, ognuna supportata da un modello di apprendimento automatico, analizzano in locale i dati di sistema di Windows Server, ad esempio i contatori delle prestazioni e gli eventi. System Insights consente di comprendere il funzionamento dei server e di ridurre le spese operative associate alla gestione reattiva dei problemi nelle distribuzioni di Windows Server.

Cloud ibrido

Funzionalità di compatibilità dell'app Server Core su richiesta

Funzionalità di compatibilità dell'app Server Core su richiesta migliora significativamente la compatibilità delle app includendo un subset di file binari e componenti da Windows Server con Esperienza desktop. Server Core è stato mantenuto il più snello possibile non aggiungendo l'ambiente grafico Esperienza desktop di Windows Server, aumentandone la funzionalità e la compatibilità.

Questa funzionalità su richiesta facoltativa è disponibile in un file ISO separato e può essere aggiunta solo alle immagini e alle installazioni dei componenti di base di Windows Server, tramite Gestione e manutenzione immagini distribuzione.

Ruolo Server di trasporto di Servizi di distribuzione Windows aggiunto a Server Core

Server di trasporto contiene solo i componenti di rete di base di Servizi di distribuzione Windows. È ora possibile usare Server Core con il ruolo Server di trasporto per creare spazi dei nomi multicast per la trasmissione di dati (incluse le immagini del sistema operativo) da un server autonomo. Può inoltre esserti utile se vuoi disporre di un server PXE che consenta ai client l'avvio PXE e il download dell'applicazione di installazione personalizzata.

Integrazione di Servizi Desktop remoto con Azure AD

Con l'integrazione di Azure AD è possibile usare i criteri di accesso condizionale, l'autenticazione a più fattori, l'autenticazione integrata con altre app SaaS che usano Azure AD e molto altro ancora. Per altre informazioni, vedere Integrazione di Azure AD Domain Services con la distribuzione di Servizi Desktop remoto.

Rete

Sono stati apportati diversi miglioramenti allo stack di rete core, ad esempio TCP Fast Open (TFO), Regolazione automatica della finestra di ricezione, IPv6 e altro ancora. Per altre informazioni, vedere il post relativo al miglioramento della funzionalità Stack di rete core.

Sicurezza

Windows Defender Advanced Threat Protection (ATP)

Sensori avanzati della piattaforma e azioni di risposta di ATP espongono agli attacchi a livello di memoria e kernel e rispondono eliminando file dannosi e terminando processi dannosi.

• Per altre informazioni su Windows Defender ATP, vedi Panoramica delle funzionalità di Windows Defender ATP.

• Per altre informazioni sull'onboarding di server, vedi Eseguire l'onboarding dei server al servizio Windows Defender ATP.

Windows Defender ATP Exploit Guard è un nuovo set di funzionalità di prevenzione delle intrusioni host che consente di bilanciare il rischio di sicurezza e le esigenze di produttività. Windows Defender Exploit Guard è progettato per proteggere il dispositivo da un'ampia varietà di vettori di attacco e bloccare i comportamenti comunemente utilizzati negli attacchi malware. I componenti sono:

• Riduzione della superficie di attacco è un gruppo di controlli che le aziende possono abilitare per impedire l'ingresso di malware nel computer bloccando file dannosi sospetti, ad esempio file di Office, script, spostamento laterale, comportamento ransomware e minacce basate sulla posta elettronica.

• Protezione di rete protegge l'endpoint da minacce basate sul Web bloccando qualsiasi processo in uscita nel dispositivo per gli indirizzi host o IP non attendibili tramite Windows Defender SmartScreen.

• Accesso controllato alle cartelle protegge i dati sensibili da ransomware impedendo l'accesso di processi non attendibili alle cartelle protette.

• Protezione dagli exploit è un gruppo di misure di prevenzione per gli exploit di vulnerabilità (in sostituzione di EMET) che puoi configurare facilmente per proteggere il sistema e le applicazioni.

• Controllo di applicazioni di Windows Defender (noto anche come criteri di integrità del codice) è stato rilasciato in Windows Server 2016. La distribuzione è stata semplificata includendo i criteri di integrazione continua predefiniti. Il criterio predefinito consente tutti i file interni di Windows e le applicazioni Microsoft, ad esempio SQL Server, e blocca i file eseguibili noti che possono ignorare l'integrazione continua.

Sicurezza con Software Defined Networking (SDN)

Sicurezza con SDN offre numerose funzionalità per aumentare la fiducia dei clienti che eseguono carichi di lavoro, in locale, o come provider di servizi nel cloud.

Questi miglioramenti apportati alla sicurezza sono integrati nella piattaforma SDN completa introdotta in Windows Server 2016.

Per un elenco completo delle novità di SDN, vedi Novità di SDN per Windows Server 2019.

Miglioramenti alle macchine virtuali schermate

• Miglioramenti di succursale

  È ora possibile eseguire macchine virtuali schermate in computer con connettività intermittente al servizio Sorveglianza host usando le nuove funzionalità del server HGS di fallback e la modalità offline. Il server HGS di fallback ti consente di configurare un secondo gruppo di URL per Hyper-V per provare se è in grado di raggiungere il server HGS primario.

  Anche se non è possibile raggiungere HGS, la modalità offline consentirà di continuare ad avviare le macchine virtuali schermate. La modalità offline consente di avviare le macchine virtuali se la macchina virtuale è stata avviata correttamente una volta e la configurazione di sicurezza dell'host non è stata modificata.

• Miglioramenti alla risoluzione dei problemi

  Abbiamo anche semplificato la risoluzione dei problemi delle macchine virtuali schermate abilitando il supporto per la modalità sessione avanzata VMConnect e PowerShell Direct. Questi strumenti sono utili se si è persa la connettività di rete alla macchina virtuale ed è necessario aggiornarne la configurazione per ripristinare l'accesso.

  Queste funzionalità non devono essere configurate e vengono rese disponibili automaticamente quando una macchina virtuale schermata viene posizionata su un host Hyper-V che esegue Windows Server versione 1803 o successiva.

• Supporto di Linux

  Se esegui ambienti di sistema operativo misto, adesso Windows Server 2019 supporta l'esecuzione di Ubuntu, Red Hat Enterprise Linux e SUSE Linux Enterprise Server in macchine virtuali schermate.

HTTP/2 per un Web più veloce e sicuro

• Unione delle connessioni migliorata per un'esperienza di esplorazione senza interruzioni e correttamente crittografata.

• Negoziazione del pacchetto di crittografia lato server di HTTP/2 aggiornata per la prevenzione automatica di errori di connessione e facilità di distribuzione.

• Come provider di congestione TCP predefinito è stato configurato Cubic per offrire una maggiore velocità effettiva.

Reti crittografate

La crittografia di rete virtuale crittografa il traffico di rete virtuale tra le macchine virtuali all'interno di subnet che presentano l'etichetta Crittografia abilitata. Le reti crittografate usano anche Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni dei dati da parte di chiunque abbia accesso alla rete fisica.

Per maggiori informazioni, consultare la sezione Reti crittografate.

Controllo del firewell

Il controllo dell'auditing è una nuova funzionalità per il firewall SDN che registra qualsiasi flusso elaborato dalle regole del firewall SDN e dagli elenchi di controllo di accesso (ACL) per cui è abilitata la registrazione.

Peering di rete virtuale

Il peering di reti virtuali consente di connettere facilmente due reti virtuali. Dopo aver eseguito il peering, le reti virtuali vengono visualizzate nel monitoraggio come una sola.

Misurazione in uscita

La misurazione in uscita offre misurazioni di utilizzo per i trasferimenti di dati in uscita. Il controller di rete usa questa funzionalità per mantenere un elenco di tutti gli intervalli IP consentiti che vengono utilizzati all'interno di SDN per ogni rete virtuale. Questi elenchi considerano qualsiasi pacchetto diretto a una destinazione non inclusa negli intervalli IP da fatturare come trasferimento di dati in uscita.

Storage

Ecco alcune delle modifiche apportate all'archiviazione in Windows Server 2019. Per altre informazioni, vedi Novità nell'archiviazione.

Deduplicazione dati

• Deduplicazione dati supporta ora ReFS È ora possibile abilitare Deduplicazione dati ovunque sia possibile abilitare ReFS, aumentando l'efficienza di archiviazione fino al 95% con ReFS.

• API DataPort per traffico in ingresso/uscita ottimizzato ai volumi deduplicati Gli sviluppatori possono ora sfruttare le informazioni di cui dispone Deduplicazione dati su come archiviare dati in modo efficiente per spostarli tra server, volumi e cluster in modo efficiente.

Gestione risorse file server

È ora possibile impedire la creazione di un journal delle modifiche (o journal USN) in tutti i volumi all'avvio del servizio Gestione risorse file server. Impedendo la creazione del journal delle modifiche si può risparmiare spazio su ogni volume, ma si disabilita la classificazione dei file in tempo reale. Per altre informazioni, vedi Panoramica di Gestione risorse file server.

SMB

• Rimozione dell'autenticazione guest e SMB1 Windows Server non esegue più l'installazione del server e del client SMB1 per impostazione predefinita. Inoltre, la possibilità di eseguire l'autenticazione come Guest in SMB2 e versioni successive è disattivata per impostazione predefinita. Per altre informazioni, vedere l'articolo in cui è indicato che SMBv1 non è installato per impostazione predefinita in Windows 10 versione 1709 e Windows Server versione 1709.

• Sicurezza e compatibilità di SMB2/SMB3 È ora possibile disabilitare gli oplock in SMB2+ per le applicazioni legacy e richiedere la firma o la crittografia per ogni connessione da parte di un client. Per altre informazioni, vedere la guida del modulo SMBShare PowerShell.

Servizio di migrazione della risorsa di archiviazione

Il servizio di migrazione archiviazione semplifica la migrazione dei server a una versione più recente di Windows Server. Questo strumento grafico archivia i dati nei server, quindi trasferisce i dati e la configurazione in server più recenti. Il Servizio di migrazione archiviazione può anche spostare le identità dei server precedenti nei nuovi server, in modo gli utenti non debbano riconfigurare profili e app. Per maggiori informazioni, consultare la sezione Servizio di migrazione archiviazione.

Windows Admin Center versione 1910 ha aggiunto la possibilità di distribuire macchine virtuali di Azure. Questo aggiornamento integra la distribuzione di macchine virtuali di Azure nel Servizio Migrazione archiviazione. Per altre informazioni, vedere migrazione di macchine virtuali di Azure.

È anche possibile accedere alle seguenti funzionalità post-release-to-manufacturing (RTM) quando si esegue l'agente di orchestrazione del Server migrazione archiviazione in Windows Server 2019 con KB5001384 installato o in Windows Server 2022:

• Migrazione di utenti e gruppi locali al nuovo server.
• Eseguire la migrazione dell'archiviazione dai cluster di failover, eseguire la migrazione ai cluster di failover ed eseguire la migrazione tra server autonomi e cluster di failover.
• Migrazione degli archivi da un server Linux che usa Samba.
• Sincronizzare più facilmente le condivisioni migrate in Azure usando Sincronizzazione file di Azure.
• Migrazione a nuove reti, ad esempio Azure.
• Eseguire la migrazione di server Common Internet File System (CIFS) NetApp da matrici NetApp Federated Authentication Service (FAS) a server e cluster Windows.

Spazi di archiviazione diretta

Ecco un elenco delle novità in Spazi di archiviazione diretta. Per informazioni dettagliate, vedi Novità in Spazi di archiviazione diretta. Vedi anche Azure Stack HCI per informazioni sull'acquisizione di sistemi convalidati di Spazi di archiviazione diretta.

• Deduplicazione e compressione dei volumi ReFS
• Supporto nativo per la memoria persistente
• Resilienza annidata per l'infrastruttura iperconvergente a due nodi periferica
• Cluster a due server con un'unità flash USB di controllo
• Supporto di Windows Admin Center
• Cronologia delle prestazioni
• Scalabilità fino a 4 PB per ogni cluster
• Parità accelerata con mirroring 2 volte più veloce
• Rilevamento dell'outlier con latenza unità
• Delimitazione manuale dell'allocazione dei volumi per aumentare la tolleranza di errore

Replica archiviazione

Ecco le novità introdotte in Replica di archiviazione. Per informazioni dettagliate, vedi Novità in Replica di archiviazione.

• Replica di archiviazione è ora disponibile in Windows Server 2019 Standard Edition.
• Il failover di test è una nuova funzionalità che consente il montaggio dell'archiviazione di destinazione per convalidare i dati di replica o di backup. Per altre informazioni, vedi Domande frequenti su Replica di archiviazione.
• Miglioramenti alle prestazioni del log per Replica di archiviazione
• Supporto di Windows Admin Center

Clustering di failover

Ecco un elenco delle novità in Clustering di failover. Per informazioni dettagliate, vedi Novità in Clustering di failover.

• Set di cluster
• Cluster compatibili con Azure
• Migrazione di cluster tra domini
• Controllo USB
• Miglioramenti all'infrastruttura cluster
• L'aggiornamento compatibile con i cluster supporta Spazi di archiviazione diretta
• Miglioramenti al controllo della condivisione file
• Protezione avanzata del cluster
• Il cluster di failover non usa più l'autenticazione NTLM

Piattaforma applicativa

Contenitori di Linux in Windows

È ora possibile eseguire contenitori basati su Linux e Windows nello stesso host contenitore usando lo stesso daemon docker. È ora possibile avere un ambiente costituito da host contenitori eterogenei che offre flessibilità agli sviluppatori di applicazioni.

Supporto incorporato per Kubernetes

Windows Server 2019 prosegue i miglioramenti in fatto di elaborazione, rete e archiviazione introdotti dai rilasci di Canale semestrale, necessari per supportare Kubernetes su Windows. Altri dettagli sono disponibili nelle versioni future di Kubernetes.

• Rete di contenitori in Windows Server 2019 migliora notevolmente l'usabilità di Kubernetes in Windows. È stata migliorata la resilienza della rete della piattaforma e il supporto dei plug-in di rete dei contenitori.

• I carichi di lavoro distribuiti su Kubernetes sono in grado di usare la sicurezza di rete per proteggere i servizi di Linux e Windows con strumenti incorporati.

Miglioramenti ai contenitori

• Identità integrata avanzata

  L'autenticazione integrata di Windows nei contenitori è stata resa più semplice e affidabile, risolvendo così diverse limitazioni rispetto alle versioni precedenti di Windows Server.

• Migliore compatibilità delle applicazioni

  La containerizzazione di applicazioni basate su Windows è ora più semplice: è stata migliorata la compatibilità delle app per l'immagine windowsservercore esistente. Per le applicazioni con più dipendenze API, è ora disponibile una terza immagine di base: windows.

• Dimensioni ridotte e prestazioni superiori

  Le dimensioni di download dell'immagine contenitore di base, la dimensione su disco e i tempi di avvio sono stati migliorati per accelerare i flussi di lavoro del contenitore.

• Esperienza di gestione con Windows Admin Center (anteprima)

  Vedere quali contenitori sono in esecuzione nel computer e gestire i singoli contenitori con una nuova estensione per Windows Admin Center non è mai stato così semplice. Cerca l'estensione "Containers" nel feed pubblico di Windows Admin Center.

Miglioramenti all'ambiente di calcolo

• Ordine di avvio per le macchine virtuali Anche l'ordine di avvio per le macchine virtuali è stato migliorato con il riconoscimento del sistema operativo e delle applicazioni, offrendo trigger migliorati per quando una macchina virtuale viene considerata avviata prima di avviare quella successiva.

• Il supporto della memoria della classe di archiviazione per macchine virtuali consente di creare volumi NTFS ad accesso diretto in DIMM non volatili e di esporli in macchine virtuali Hyper-V. Le macchine virtuali Hyper-V possono ora sfruttare i vantaggi delle prestazioni a bassa latenza dei dispositivi di memoria della classe di archiviazione.

• Supporto della memoria persistente per macchine virtuali Hyper-V Per usare la velocità effettiva elevata e la bassa latenza della memoria persistente (nota anche come memoria della classe di archiviazione) nelle macchine virtuali, è ora possibile proiettarla direttamente nelle macchine virtuali. La memoria persistente consente di ridurre notevolmente la latenza di transazione del database o i tempi di ripristino per i database in memoria a bassa latenza in caso di errore.

• Archiviazione contenitori - volumi di dati persistenti I contenitori di applicazioni ora hanno accesso permanente ai volumi. Per altre informazioni, vedere la pagina relativa al supporto di archiviazione contenitore con volumi condivisi cluster (CSV), spazi di archiviazione diretta (S2D), mapping globale SMB.

• Formato di file di configurazione della macchina virtuale (aggiornato) È stato aggiunto il file di stato della macchina virtuale guest (.vmgs) per le macchine virtuali con una versione di configurazione pari a 8.2 o superiore. Il file di stato della macchina virtuale guest include informazioni sullo stato dei dispositivi che in precedenza facevano parte del file di stato del runtime della macchina virtuale.

Reti crittografate

Reti codificate: la codifica di rete virtuale consente la codifica del traffico di rete virtuale tra le macchine virtuali che comunicano tra loro all'interno di subnet contrassegnate come Codifica abilitata. Viene inoltre utilizzato Datagram Transport Layer Security (DTLS) nella subnet virtuale per crittografare i pacchetti. DTLS impedisce intercettazioni, manomissioni e contraffazioni da parte di chiunque abbia accesso alla rete fisica.

Miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali

I miglioramenti alle prestazioni di rete per i carichi di lavoro virtuali consentono di ottimizzare la velocità effettiva di rete sulle macchine virtuali senza dover costantemente sincronizzare o effettuare il provisioning eccessivo dell'host. Il miglioramento delle prestazioni riduce le operazioni e i costi di manutenzione, aumentando la densità disponibile degli host. Queste nuove funzionalità includono:

• Coda di più macchine virtuali dinamica (d.VMMQ)

• Unione segmenti ricevuti (RSC) nel commutatore virtuale

Low Extra Delay Background Transport

Low Extra Delay Background Transport (LEDBAT) è un provider di controllo della congestione della rete, ottimizzato per la latenza, che è stato progettato per concedere automaticamente larghezza di banda a utenti e applicazioni. LEDBAT usa la larghezza di banda disponibile mentre la rete non è in uso. Questa tecnologia è stata progettata per l'uso nella distribuzione di aggiornamenti critici di grandi dimensioni in un ambiente IT senza influire sui servizi per i clienti e sulla larghezza di banda associata.

Servizio Ora di Windows

Il servizio Ora di Windows include un reale supporto di secondi intercalari conforme a UTC, un nuovo protocollo orario chiamato Precision Time Protocol e tracciabilità end-to-end.

Gateway SDN ad alte prestazioni

I gateway SDN ad alte prestazioni in Windows Server 2019 migliorano notevolmente le prestazioni per le connessioni IPsec e GRE, fornendo una velocità effettiva molto elevata con un utilizzo della CPU molto inferiore.

Nuova estensione dell'interfaccia di distribuzione e di Windows Admin Center per SDN

Con Windows Server 2019, è facile ora eseguire operazioni di distribuzione e gestione tramite una nuova interfaccia utente di sviluppo e un'estensione di Windows Admin Center che consentono a tutti di sfruttare le potenzialità di SDN.

Sottosistema di Windows per Linux (WSL)

WSL consente agli amministratori di server di usare gli strumenti e gli script esistenti per Linux in Windows Server. Molti dei miglioramenti illustrati nel blog dedicato alle funzionalità della riga di comando, come le attività in background, DriveFS, WSLPath e molti altri ancora, sono stati estesi a Windows Server.

Active Directory Federation Services

Active Directory Federation Services (AD FS) per Windows Server 2019 include le modifiche seguenti.

Accessi protetti

Gli accessi protetti con AD FS includono ora gli aggiornamenti seguenti:

• Gli utenti possono ora usare prodotti di autenticazione di terze parti come primo fattore senza esporre le password. Nei casi in cui il provider di autenticazione esterno può dimostrare due fattori, può usare l'autenticazione a più fattori (MFA).

• Gli utenti possono ora usare le password come fattore aggiuntivo dopo aver usato un'opzione non password come primo fattore. Questo supporto integrato migliora l'esperienza complessiva di AD FS 2016, che richiede il download di un adattatore GitHub.

• Gli utenti possono ora creare moduli di valutazione dei rischi plug-in personalizzati per bloccare determinati tipi di richieste durante la fase di preautenticazione. Questa funzionalità semplifica l'uso dell'intelligence cloud, ad esempio la protezione delle identità, per bloccare utenti o transazioni rischiosi. Per altre informazioni, vedi Creare plug-in con il modello di valutazione dei rischi di AD FS 2019.

• Migliora la progettazione di correzione rapida di Extranet Smart Lockout (ESL) aggiungendo le funzionalità seguenti:

  • È ora possibile usare la modalità di controllo mentre è protetta dalla funzionalità classica di blocco extranet.

  • Gli utenti possono ora usare soglie di blocco indipendenti per posizioni familiari. Questa funzionalità consente di eseguire più istanze di app all'interno di un account di servizio comune per eseguire il rollover delle password con interruzioni minime.

Altri miglioramenti della sicurezza

AD FS 2019 include i miglioramenti seguenti per la sicurezza:

• Remote PowerShell using SmartCard Sign-in consente agli utenti di connettersi da remoto ad AD FS con smart card eseguendo comandi di PowerShell. Gli utenti possono anche usare questo metodo per gestire tutte le funzioni di PowerShell, inclusi i cmdlet multinodo.

• La personalizzazione dell'intestazione HTTP consente agli utenti di personalizzare le intestazioni HTTP create durante le risposte ad AD FS. La personalizzazione dell'intestazione include i tipi di intestazioni seguenti:

  • HSTS, che consente solo di usare gli endpoint AD FS sugli endpoint HTTPS per un browser conforme da applicare.

  • Opzioni X-frame, che consente agli amministratori di AD FS di consentire a relying party specifiche di incorporare iFrame per le pagine di accesso interattive di AD FS. È consigliabile usare questa intestazione solo sugli host HTTPS.

  • Intestazione futura. È anche possibile configurare più intestazioni future.

  Per altre informazioni, vedere Personalizzare le intestazioni di risposta di sicurezza HTTP con AD FS 2019.

Funzionalità di autenticazione e criteri

AD FS 2019 include le funzionalità di autenticazione e criteri seguenti:

• Gli utenti possono ora creare regole per specificare il provider di autenticazione che il provider di autenticazione richiama per l'autenticazione aggiuntiva. Questa funzionalità consente di eseguire la transizione tra provider di autenticazione e proteggere app specifiche con requisiti speciali per provider di autenticazione aggiuntivi.

• Restrizioni facoltative per le autenticazioni dei dispositivi basate su TLS (Transport Layer Security) in modo che solo le applicazioni che richiedono TLS possano usarle. Gli utenti possono limitare le autenticazioni dei dispositivi basate su TLS client in modo che solo le applicazioni che eseguono l'accesso condizionale basato su dispositivo possano usarle. Questa funzionalità impedisce richieste indesiderate di autenticazione del dispositivo per le applicazioni che non richiedono l'autenticazione del dispositivo basata su TLS.

• AD FS supporta ora il rollforward delle credenziali di secondo fattore in base alla validità delle credenziali del secondo fattore. Questa funzionalità consente agli utenti di richiedere solo TFA per la prima transazione, quindi richiede solo il secondo fattore su base periodica. È possibile usare questa funzionalità solo nelle applicazioni che possono fornire un parametro aggiuntivo nella richiesta, poiché non è un'impostazione configurabile in AD FS. Microsoft Entra ID supporta questo parametro se si configura l'impostazione Memorizza MFA per X Days per avere supportMFA impostato su True nelle impostazioni di attendibilità del dominio federato microsoft Entra ID.

Miglioramenti dell'accesso Single Sign-On

AD FS 2019 include anche i miglioramenti seguenti per l'accesso Single Sign-On (SSO):

• AD FS ora usa un flusso di esperienza utente impaginato e un'interfaccia utente centrata che offre un'esperienza di accesso più semplice per gli utenti. Questa modifica rispecchia le funzionalità offerte in Azure AD. Potrebbe essere necessario aggiornare il logo e le immagini di sfondo dell'organizzazione in base alla nuova interfaccia utente.

• È stato risolto un problema che causava la mancata persistenza dello stato MFA quando si usa l'autenticazione del token di aggiornamento primario (PRT) nei dispositivi Windows 10. Gli utenti dovrebbero ora essere richiesti meno spesso per le credenziali del secondo fattore. L'esperienza dovrebbe ora essere coerente quando l'autenticazione del dispositivo ha esito positivo sull'autenticazione TLS e PRT del client.

Supporto per la creazione di app line-of-business moderne

AD FS 2019 include le funzionalità seguenti per supportare la creazione di app line-of-business moderne:AD FS 2019 includes the following features to support building modern line-of-business apps (LOB):

• AD FS include ora il supporto del profilo del flusso di dispositivo OAuth per l'accesso tramite dispositivi senza una superficie di attacco dell'interfaccia utente per supportare esperienze di accesso avanzate. Questa funzionalità consente agli utenti di completare l'accesso in un dispositivo diverso. L'esperienza interfaccia della riga di comando di Azure (INTERFACCIA della riga di comando) in Azure Stack richiede questa funzionalità ed è anche possibile usarla in altri scenari.

• Non è più necessario che il parametro Resource usi AD FS, in linea con le specifiche OAUth correnti. I client devono ora fornire solo l'identificatore di attendibilità della relying party come parametro di ambito con autorizzazioni richieste.

• È possibile usare le intestazioni CORS (Cross-Origin Resource Sharing) nelle risposte ad AD FS. Queste nuove intestazioni consentono agli utenti di compilare applicazioni a pagina singola che consentono alle librerie JavaScript lato client di convalidare la firma id_token eseguendo una query per le chiavi di firma dal documento di individuazione OIDC (Open ID Connect) in AD FS.

• AD FS include il supporto di Proof Key for Code Exchange (PKCE) per il flusso di codice di autenticazione sicuro all'interno di OAuth. Questo livello aggiuntivo di sicurezza impedisce agli attori malintenzionati di dirottare il codice e di riprovarlo da un client diverso.

• È stato risolto un problema secondario che causava l'invio dell'attestazione x5t da parte di AD FS. AD FS invia ora anche un'attestazione kid per indicare l'hint id chiave per la verifica della firma.

Miglioramenti del supporto

Gli amministratori possono ora configurare AD FS per consentire agli utenti di inviare segnalazioni errori ed eseguirne il debug come file ZIP per la risoluzione dei problemi. Gli amministratori possono anche configurare una connessione SMTP (Simple Mail Transfer Protocol) per inviare automaticamente il file ZIP a un account di posta elettronica di valutazione. Un'altra impostazione consente agli amministratori di creare automaticamente un ticket per il sistema di supporto in base a tale messaggio di posta elettronica.

Aggiornamenti della distribuzione

Gli aggiornamenti della distribuzione seguenti sono ora inclusi in AD FS 2019:

• AD FS ha una funzione simile alla versione di Windows Server 2016 che semplifica l'aggiornamento delle server farm di Windows Server 2016 in server farm di Windows Server 2019. Un server Windows Server 2019 aggiunto a una server farm di Windows Server 2016 si comporta solo come un server Windows Server 2016 fino a quando non si è pronti per l'aggiornamento. Per altre informazioni vedere Aggiornamento ad AD FS in Windows Server 2016.

Aggiornamenti SAML

AD FS 2019 include gli aggiornamenti SAML (Security Assertion Markup Language) seguenti:

• Sono stati risolti problemi nel supporto federazione aggregato, ad esempio InCommon, in queste aree:

  • Miglioramento del ridimensionamento per molte entità nel documento di metadati della federazione aggregato. In precedenza, il ridimensionamento per queste entità avrebbe avuto esito negativo e restituirà un messaggio di errore ADMIN0017.

  • È ora possibile eseguire query usando il parametro ScopeGroupID eseguendo il Get-AdfsRelyingPartyTrustsGroup cmdlet di PowerShell.

  • Miglioramento della gestione delle condizioni di errore per i valori entityID duplicati.

Specifica della risorsa di tipo Azure AD nel parametro di ambito

Nelle versioni precedenti AD FS richiede che la risorsa e l'ambito desiderati siano inclusi in un parametro separato in una richiesta di autenticazione. Ad esempio, la richiesta OAuth di esempio seguente contiene un parametro di ambito:

https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login

Con AD FS in Windows Server 2019, ora puoi passare il valore della risorsa incorporato nel parametro relativo all'ambito (scope). Questa modifica è coerente con l'autenticazione rispetto all'ID Microsoft Entra.

Il parametro di ambito può ora essere organizzato come elenco separato da spazi che struttura ogni entità come risorsa o ambito.

Nota

È possibile specificare una sola risorsa nella richiesta di autenticazione. Se si includono più risorse nella richiesta, AD FS restituisce un errore e l'autenticazione non riesce.