Accesso Single Sign-On con distribuzioni ibride

  • Articolo

L'accesso Single Sign-On consente agli utenti di accedere sia alle organizzazioni locali che a Microsoft 365 o Office 365 con un singolo nome utente e password. Offre agli utenti un'esperienza di accesso familiare e consente agli amministratori di controllare facilmente i criteri di account per le cassette postali dell'organizzazione di Exchange Online utilizzando gli strumenti di gestione di Active Directory locali. Anche se non è necessario configurare una distribuzione ibrida con Single Sign-On abilitato, è consigliabile farlo. Senza l'accesso Single Sign-On, gli utenti dovranno ricordare due diversi set di credenziali, uno per l'organizzazione locale e uno per Microsoft 365 o Office 365. Ecco alcuni altri vantaggi dell'accesso Single Sign-On:

  • Archiviazione Exchange Online: quando viene distribuito l'accesso Single Sign-On, agli utenti di Outlook locali vengono richieste le credenziali quando accedono per la prima volta al contenuto archiviato nell'organizzazione Exchange Online. Tuttavia, gli utenti possono temporaneamente evitare di fornire le credenziali selezionando "salva la password", che gli verranno richieste solo quando la password dell'account locale verrà cambiata. Se il Single Sign-On non viene distribuito nelle organizzazioni di Exchange e Archiviazione Exchange Online è abilitata, il nome dell'entità utente (UPN) locale deve corrispondere al rispettivo account di Exchange Online e agli utenti verranno sempre chieste le credenziali quando accedono al loro archivio.

  • Controllo dei criteri: è possibile controllare i criteri degli account tramite Active Directory, che consente di gestire i criteri password, le restrizioni delle workstation, i controlli di blocco e altro ancora, senza dover eseguire attività aggiuntive nell'organizzazione di Microsoft 365 o Office 365.

  • Chiamate di supporto ridotte: le password dimenticate sono una fonte comune di chiamate di supporto in tutte le aziende. Se gli utenti hanno meno password da ricordare, è meno probabile che le dimentichino.

Durante la distribuzione dell'accesso Single Sign-On sono disponibili tre opzioni: sincronizzazione dell'hash delle password, autenticazione pass-through e federazione, ad esempio Active Directory Federation Services (AD FS). Tutte le opzioni vengono implementate da Microsoft Entra Connect. È consigliabile usare il metodo di sincronizzazione dell'hash delle password, a meno che non si abbia una necessità specifica che richiede la federazione. La sincronizzazione dell'hash delle password offre molti degli stessi vantaggi della federazione senza la complessità della distribuzione.

Per altre informazioni su ogni opzione, vedere Scegliere il metodo di autenticazione corretto per la soluzione di identità ibrida Microsoft Entra.

Importante

È consigliabile usare MFA per tutti gli account di accesso di utenti o amministratori in caso di distribuzioni ibride.