Condividi tramite


Accesso utente con l'autenticazione pass-through di Microsoft Entra

Cos'è l'autenticazione pass-through Microsoft Entra?

L'autenticazione pass-through di Microsoft Entra consente agli utenti di accedere ad applicazioni locali e basate sul cloud usando le stesse password. Questa funzionalità offre agli utenti un'esperienza migliore, una password in meno da ricordare e riduce i costi del supporto IT perché è meno probabile che gli utenti dimentichino come eseguire l'accesso. Quando gli utenti accedono a Microsoft Entra ID, questa funzionalità convalida le password degli utenti direttamente in base all'Active Directory locale.

Questa funzionalità è un'alternativa alla sincronizzazione dell'hash delle password di Microsoft Entra, che offre lo stesso vantaggio dell'autenticazione cloud alle organizzazioni. Tuttavia, alcune organizzazioni che desiderano rafforzare la sicurezza di Active Directory locale e i criteri password possono scegliere di usare l'autenticazione pass-through. Consultare questa guida per un confronto tra i vari metodi di accesso di Microsoft Entra e come scegliere il metodo di accesso corretto per l'organizzazione.

Autenticazione pass-through di Microsoft Entra

È possibile combinare l'autenticazione pass-through con la funzionalità Accesso Single Sign-On facile. Se si dispone di computer Windows 10 o versioni successive, usare Microsoft Entra hybrid join (AADJ). In questo modo, quando gli utenti accedono ad applicazioni dai computer aziendali all'interno della rete aziendale, non devono digitare la password per eseguire l'accesso.

Vantaggi principali dati dall'uso dell'autenticazione pass-through di Microsoft Entra

  • Miglioramento dell'esperienza utente
    • Gli utenti usano le stesse password per accedere ad applicazioni in locale e basate su cloud.
    • Gli utenti passano meno tempo con il supporto tecnico per risolvere problemi relativi alle password.
    • Gli utenti possono completare le attività di gestione self-service delle password nel cloud.
  • Facilità di distribuzione e gestione
    • Non sono necessarie distribuzioni locali o configurazioni di rete complesse.
    • È necessario solo installare un agente leggero in locale.
    • Nessun sovraccarico di gestione. L'agente riceve automaticamente miglioramenti e correzioni di bug.
  • Protetto
    • Le password locali non vengono mai archiviate nel cloud in alcuna forma.
    • Protegge gli account utente usando facilmente i criteri di accesso condizionale di Microsoft Entra, tra cui Multi-Factor Authentication (MFA), bloccando l'autenticazione legacy e filtrando gli attacchi di forza bruta alle password.
    • L'agente esegue solo le connessioni in uscita dalla rete. Pertanto, non è necessario installarlo in una rete perimetrale.
    • La comunicazione tra un agente e Microsoft Entra ID viene protetta tramite l'autenticazione basata su certificati. Questi certificati vengono rinnovati automaticamente e periodicamente a distanza di pochi mesi da Microsoft Entra ID.
  • Disponibilità elevata
    • È possibile installare altri agenti su più server locali per ottenere una disponibilità elevata delle richieste di accesso.

Caratteristiche essenziali delle funzionalità

  • Supporta l'accesso utente in tutte le applicazioni basate su browser e nelle applicazioni client di Microsoft Office che usano l'autenticazione moderna.
  • I nomi utente di accesso possono essere il nome utente predefinito locale (userPrincipalName) o un altro attributo configurato in Microsoft Entra Connessione (noto come Alternate ID).
  • La funzionalità funziona perfettamente con le funzionalità di accesso condizionale, ad esempio Multi-Factor Authentication (MFA) per proteggere gli utenti.
  • Può essere integrata con la gestione delle password self-service basata sul cloud, che include le attività di writeback delle password in Active Directory locale e di protezione delle password tramite il divieto di specificare password usate comunemente.
  • Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste AD e se il routing del suffisso del nome è configurato correttamente.
  • È una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Microsoft Entra ID per utilizzarla.
  • Può essere abilitato tramite Microsoft Entra Connessione.
  • Usa un agente leggero locale che resta in ascolto e risponde alle richieste di convalida delle password.
  • L'installazione di più agenti garantisce la disponibilità elevata di richieste di accesso.
  • Protegge gli account locali dagli attacchi di forza bruta alle password nel cloud.

Passaggi successivi