Informazioni su Azure Active Directory
Azure Active Directory (Azure AD) è un servizio di gestione delle identità e degli accessi basato sul cloud. Azure AD consente ai dipendenti di accedere a risorse esterne, ad esempio Microsoft 365, la portale di Azure e migliaia di altre applicazioni SaaS. Azure Active Directory consente anche di accedere a risorse interne come le app nella intranet aziendale e a tutte le app cloud sviluppate per la propria organizzazione. Per informazioni su come creare un tenant, vedere Avvio rapido: Creare un nuovo tenant in Azure Active Directory.
Per informazioni sulle differenze tra Active Directory e Azure Active Directory, vedere Confrontare Active Directory con Azure Active Directory. È anche possibile fare riferimento ai poster di Microsoft Cloud for Enterprise Architects Series per comprendere meglio i servizi di gestione delle identità di base in Azure, ad esempio Azure AD e Microsoft-365.
Utenti di Azure AD
Azure AD offre diversi vantaggi ai membri dell'organizzazione in base al proprio ruolo:
Gli amministratori IT usano Azure AD per controllare l'accesso alle app e alle risorse dell'app, in base ai requisiti aziendali. Ad esempio, come amministratore IT, è possibile usare Azure AD per richiedere l'autenticazione a più fattori quando si accede a risorse aziendali importanti. È anche possibile usare Azure AD per automatizzare il provisioning utenti tra l'Windows Server AD esistente e le app cloud, tra cui Microsoft 365. Azure AD offre infine strumenti avanzati per contribuire automaticamente alla protezione delle identità e delle credenziali degli utenti e per la conformità con i requisiti di accesso definiti dalla governance. Per iniziare, iscriversi per ottenere una versione di valutazione gratuita di 30 giorni di Azure Active Directory Premium.
Gli sviluppatori di app possono usare Azure AD come provider di autenticazione basato su standard che consente di aggiungere l'accesso Single Sign-On (SSO) alle app che funzionano con le credenziali esistenti di un utente. Gli sviluppatori possono anche usare le API di Azure AD per creare esperienze personalizzate usando i dati dell'organizzazione. Per iniziare, iscriversi per ottenere una versione di valutazione gratuita di 30 giorni di Azure Active Directory Premium. Per altre informazioni, vedere anche Azure Active Directory per sviluppatori.
I sottoscrittori di Microsoft 365, Office 365, Azure o Dynamics CRM Online usano già Azure AD come ogni tenant di Microsoft 365, Office 365, Azure e Dynamics CRM Online è automaticamente un tenant di Azure AD. È possibile iniziare immediatamente a gestire l'accesso alle app cloud integrate.
Informazioni sulle licenze di Azure AD
I servizi aziendali Microsoft Online, ad esempio Microsoft 365 o Microsoft Azure, usano Azure AD per le attività di accesso e per proteggere le identità. Se si sottoscrive un servizio aziendale Microsoft Online, si ottiene automaticamente l'accesso ad Azure AD gratuito.
Per migliorare l'implementazione di Azure AD, è anche possibile aggiungere funzionalità a pagamento eseguendo l'aggiornamento alle licenze Azure Active Directory Premium P1 o Premium P2. Le licenze a pagamento di Azure AD sono basate sulla directory gratuita esistente. Le licenze offrono funzionalità self-service, monitoraggio avanzato, creazione di report sulla sicurezza e accesso sicuro per gli utenti mobili.
Nota
Per le opzioni relative ai prezzi di queste licenze, vedere Prezzi di Azure Active Directory.
Per altre informazioni sui prezzi di Azure AD, visitare il forum di Azure Active Directory.
Azure Active Directory Free. Offre funzionalità di gestione di utenti e gruppi, sincronizzazione di directory locali, report di base, modifica della password in modalità self-service per utenti cloud e accesso Single Sign-On in Azure, Microsoft 365 e molte app SaaS ampiamente diffuse.
Azure Active Directory Premium P1. Oltre alle funzionalità del livello Gratuito, il livello P1 consente agli utenti degli ambienti ibridi di accedere alle risorse locali e nel cloud. Supporta anche l'amministrazione avanzata, ad esempio gruppi dinamici, gestione dei gruppi self-service, Microsoft Identity Manager e funzionalità di writeback cloud, che consentono la reimpostazione della password self-service per gli utenti locali.
Azure Active Directory Premium P2. Oltre alle funzionalità dei livelli Gratuito e P1, il livello P2 offre anche Azure Active Directory Identity Protection per fornire alle app e ai dati aziendali cruciali l'accesso condizionale basato sul rischio e Privileged Identity Management per consentire l'individuazione, la limitazione e il monitoraggio degli amministratori e del rispettivo accesso alle risorse e per fornire l'accesso JIT quando necessario.
Licenze per le funzionalità "Con pagamento in base al consumo". È anche possibile ottenere licenze per funzionalità come Azure Active Directory Business-to-Customer (B2C). B2C consente di fornire soluzioni di gestione delle identità e dell'accesso per le app rivolte ai clienti. Per altre informazioni, vedere la documentazione di Azure Active Directory B2C.
Per altre informazioni sull'associazione di una sottoscrizione di Azure ad Azure AD, vedere Associare o aggiungere una sottoscrizione di Azure ad Azure Active Directory. Per altre informazioni sull'assegnazione di licenze agli utenti, vedere Procedura: Assegnare o rimuovere licenze di Azure Active Directory.
Funzionalità disponibili in Azure AD
Dopo aver scelto la licenza di Azure AD, si otterrà l'accesso ad alcune o a tutte le funzionalità seguenti:
| Category | Descrizione |
|---|---|
| Gestione delle applicazioni | Gestire le app cloud e locali usando Application Proxy, Single Sign-On, il portale di App personali e le app SaaS (Software as a Service). Per altre informazioni, vedere Come fornire l'accesso remoto sicuro alle applicazioni locali e la Documentazione della gestione delle applicazioni. |
| Authentication | Consente di gestire la reimpostazione della password self-service di Azure Active Directory, Multi-Factor Authentication, l'elenco personalizzato di password escluse e il blocco intelligente. Per altre informazioni, vedere la Documentazione di Autenticazione di Azure AD. |
| Azure Active Directory per sviluppatori | Consente di creare app che accedono a tutte le identità Microsoft e ottengono token per chiamare Graph, altre API Microsoft o API personalizzate. Per altre informazioni, vedere Microsoft identity platform (Azure Active Directory per sviluppatori). |
| Business-to-Business (B2B) | Consente di gestire gli utenti guest e i partner esterni, mantenendo al tempo stesso il controllo sui propri dati aziendali. Per altre informazioni, vedere la Documentazione di Azure Active Directory B2B. |
| Business-to-Customer (B2C) | Consente di personalizzare e controllare la modalità con cui gli utenti accedono e gestiscono i propri profili quando usano le app. Per altre informazioni, vedere la documentazione di Azure Active Directory B2C. |
| Accesso condizionale | Consente di gestire l'accesso alle app cloud. Per altre informazioni, vedere la Documentazione sull'accesso condizionale di Azure AD. |
| Gestione dei dispositivi | Consente di gestire il modo in cui i dispositivi cloud o locali accedono ai dati aziendali. Per altre informazioni, vedere la Documentazione sulla gestione dei dispositivi in Azure AD. |
| Servizi di dominio | Consentono di aggiungere macchine virtuali di Azure a un dominio senza usare controller di dominio. Per altre informazioni, vedere la Documentazione di Azure AD Domain Services. |
| Utenti Enterprise | Gestire le assegnazioni delle licenze, accedere alle app e configurare i delegati usando gruppi e ruoli di amministratore. Per altre informazioni, vedere la Documentazione sulla gestione degli utenti in Azure Active Directory. |
| Identità ibrida | Consente di usare Azure Active Directory Connect e Connect Health per fornire una singola identità utente per l'autenticazione e l'autorizzazione per tutte le risorse, indipendentemente dalla posizione (sul cloud o in locale). Per altre informazioni, vedere la Documentazione di identità ibrida. |
| Identity Governance | Consente di gestire l'identità dell'organizzazione tramite controllo di accesso per dipendenti, partner aziendali, fornitori, servizi e app. È anche possibile eseguire verifiche di accesso. Per altre informazioni, vedere la Documentazione di Azure AD Identity Governance e Verifiche di accesso di Azure AD. |
| Identity Protection | Consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione, di configurare criteri per rispondere ad azioni sospette e quindi di intraprendere le azioni appropriate per risolverle. Per altre informazioni, vedere Azure AD Identity Protection. |
| Identità gestite per le risorse di Azure | Fornire ai servizi di Azure un'identità gestita automaticamente in Azure AD in grado di autenticare qualsiasi servizio di autenticazione supportato da Azure AD, incluso Key Vault. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure. |
| Privileged identity management (PIM) | Consente di gestire, controllare e monitorare l'accesso all'interno dell'organizzazione. Questa funzionalità include l'accesso alle risorse di Azure AD e di Azure, oltre che ad altri Microsoft Online Services, come Microsoft 365 o Intune. Per altre informazioni, vedere Azure AD Privileged Identity Management. |
| Report e monitoraggio | Consente di ottenere informazioni dettagliate sulla sicurezza e sui modelli di utilizzo dell'ambiente. Per altre informazioni, vedere Report e monitoraggio di Azure Active Directory. |
| Identità del carico di lavoro | Assegnare un'identità al carico di lavoro software (ad esempio un'applicazione, un servizio, uno script o un contenitore) per autenticare e accedere ad altri servizi e risorse. Per altre informazioni, vedere Domande frequenti sulle identità del carico di lavoro. |
Terminologia
Per una migliore comprensione di Azure AD e della rispettiva documentazione, è consigliabile esaminare la terminologia seguente.
| Termine o concetto | Descrizione |
|---|---|
| Identità | Una cosa che può essere autenticata. Un'identità può essere un utente con un nome utente e password. Le identità includono anche le applicazioni o altri server che potrebbero richiedere l'autenticazione tramite certificati o chiavi private. |
| Account | Un'identità che contiene dati associati. Non è possibile avere un account senza un'identità. |
| Account Azure AD | Identità creata tramite Azure AD o un altro servizio cloud Microsoft, ad esempio Microsoft 365. Le identità vengono archiviate in Azure AD e sono accessibili alle sottoscrizioni dei servizi cloud dell'organizzazione. Questo account viene a volte definito account aziendale o dell'istituto di istruzione. |
| Amministratore dell'account | Il ruolo Amministratore della sottoscrizione classica corrisponde concettualmente al proprietario di fatturazione di una sottoscrizione. Questo ruolo consente di gestire tutte le sottoscrizioni in un account. Per altre informazioni, vedere Ruoli di Azure, ruoli di Azure AD e ruoli di amministratore della sottoscrizione classica. |
| Amministratore del servizio | Il ruolo Amministratore della sottoscrizione classica consente di gestire tutte le risorse di Azure, incluso l'accesso. Questo ruolo ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. Per altre informazioni, vedere Ruoli di Azure, ruoli di Azure AD e ruoli di amministratore della sottoscrizione classica. |
| Proprietario | Questo ruolo consente di gestire tutte le risorse di Azure, incluso l'accesso. Questo ruolo è basato su un sistema di autorizzazione più recente denominato Controllo degli accessi in base al ruolo di Azure che fornisce la gestione degli accessi a granularità fine alle risorse di Azure. Per altre informazioni, vedere Ruoli di Azure, ruoli di Azure AD e ruoli di amministratore della sottoscrizione classica. |
| Amministrazione globale di Azure AD | Questo ruolo di amministratore viene assegnato automaticamente a chiunque abbia creato il tenant di Azure AD. È possibile avere più amministratori globali ma solo gli amministratori globali possono assegnare ruoli di amministratore, inclusi altri ruoli di amministratore globale, agli utenti. Per altre informazioni sui diversi ruoli di amministratore, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory. |
| Sottoscrizione di Azure | Usata per pagare i servizi cloud di Azure. È possibile avere più sottoscrizioni, collegate a una carta di credito. |
| Tenant di Azure | istanza dedicata e attendibile di Azure AD. Il tenant viene creato automaticamente quando l'organizzazione si iscrive a una sottoscrizione del servizio cloud Microsoft. Queste sottoscrizioni includono Microsoft Azure, Microsoft Intune o Microsoft 365. Un tenant di Azure rappresenta una singola organizzazione. |
| Tenant singolo | I tenant di Azure che accedono ad altri servizi in un ambiente dedicato vengono considerati tenant singoli. |
| Multi-tenant | I tenant di Azure che accedono ad altri servizi in un ambiente condiviso in più organizzazioni sono considerati multi-tenant. |
| Directory di Azure AD | Ogni tenant di Azure ha una directory di Azure AD dedicata e attendibile. La directory di Azure AD include gli utenti, i gruppi e le app del tenant e viene usata per eseguire funzioni di gestione delle identità e dell'accesso per le risorse del tenant. |
| Dominio personalizzato | Ogni nuova directory di Azure AD include un nome di dominio iniziale, ad esempio domainname.onmicrosoft.com. Oltre a tale nome iniziale, è anche possibile aggiungere i nomi di dominio dell'organizzazione. I nomi di dominio dell'organizzazione includono i nomi usati per eseguire attività aziendali e gli utenti usano per accedere alle risorse dell'organizzazione, all'elenco. L'aggiunta di nomi di dominio personalizzati consente di creare nomi familiari per gli utenti, ad esempio alain@contoso.com. |
| Account Microsoft | Account personali che forniscono l'accesso ai prodotti Microsoft orientati ai consumatori e ai servizi cloud. Questi prodotti e servizi includono Outlook, OneDrive, Xbox LIVE o Microsoft 365. L'account Microsoft viene creato e archiviato nel sistema di account delle identità degli utenti gestito da Microsoft. |