Informazioni su Azure Active Directory

Azure Active Directory (Azure AD) è un servizio di gestione delle identità e degli accessi basato sul cloud. Questo servizio consente ai dipendenti di accedere a risorse esterne, ad esempio Microsoft 365, portale di Azure e migliaia di altre applicazioni SaaS. Azure Active Directory consente anche loro di accedere alle risorse interne, ad esempio le app nella rete Intranet aziendale, insieme alle app cloud sviluppate per la propria organizzazione. Per altre informazioni sulla creazione di un tenant per l'organizzazione, vedere Avvio rapido: Creare un nuovo tenant in Azure Active Directory.

Per informazioni sulle differenze tra Active Directory e Azure Active Directory, vedere Confrontare Active Directory con Azure Active Directory. È anche possibile fare riferimento Microsoft poster di Cloud for Enterprise Architects Series per comprendere meglio i servizi di identità principali in Azure ad esempio Azure AD e Microsoft-365.

Utenti di Azure AD

Azure AD è destinato agli utenti seguenti:

  • Amministratori IT: come amministratore IT, usare Azure AD per controllare l'accesso alle app e alle risorse dell'app, in base ai requisiti aziendali. È ad esempio possibile usare Azure AD per richiedere l’autenticazione a più fattori in caso di accesso a risorse importanti dell'organizzazione. È anche possibile usare Azure AD per automatizzare il provisioning utenti tra i Windows Server AD esistenti e le app cloud, tra cui Microsoft 365. Azure AD offre infine strumenti avanzati per contribuire automaticamente alla protezione delle identità e delle credenziali degli utenti e per la conformità con i requisiti di accesso definiti dalla governance. Per iniziare, iscriversi per ottenere una versione di valutazione gratuita di 30 giorni di Azure Active Directory Premium.

  • Sviluppatori di app: come sviluppatore di app, è possibile usare Azure AD come approccio basato sugli standard per l'aggiunta dell'accesso Single Sign-On (SSO) all'app, consentendogli di usare le credenziali preesistenti di un utente. Azure AD fornisce anche API utili per la creazione di esperienze di app personalizzate usando i dati esistenti dell'organizzazione. Per iniziare, iscriversi per ottenere una versione di valutazione gratuita di 30 giorni di Azure Active Directory Premium. Per altre informazioni, vedere anche Azure Active Directory per sviluppatori.

  • Microsoft 365, Office 365, Azure o Dynamics CRM Online sottoscrittori: come sottoscrittore, si sta già usando Azure AD. Ogni tenant di Microsoft 365, Office 365, Azure e Dynamics CRM Online è automaticamente un tenant di Azure AD. È possibile iniziare immediatamente a gestire l'accesso alle app cloud integrate.

Informazioni sulle licenze di Azure AD

Microsoft servizi aziendali online, ad esempio Microsoft 365 o Microsoft Azure, richiedono Azure AD per le attività di accesso e per facilitare la protezione delle identità. Se si sottoscrive un servizio aziendale di Microsoft Online, si ottiene quindi automaticamente Azure AD con accesso a tutte le funzionalità gratuite.

Per migliorare l'implementazione di Azure AD, è anche possibile aggiungere funzionalità a pagamento eseguendo l'aggiornamento a licenze Azure Active Directory Premium P1 o Premium P2. Le licenze a pagamento di Azure AD sono basate sulla directory gratuita esistente. Le licenze offrono funzionalità self-service, monitoraggio avanzato, report di sicurezza e accesso sicuro per gli utenti mobili.

Nota

Per le opzioni relative ai prezzi di queste licenze, vedere Prezzi di Azure Active Directory.

Per altre informazioni sui prezzi di Azure AD, visitare il forum di Azure Active Directory.

  • Azure Active Directory Free. Offre funzionalità di gestione di utenti e gruppi, sincronizzazione di directory locali, report di base, modifica della password in modalità self-service per utenti cloud e accesso Single Sign-On in Azure, Microsoft 365 e molte app SaaS ampiamente diffuse.

  • Azure Active Directory Premium P1. Oltre alle funzionalità del livello Gratuito, il livello P1 consente agli utenti degli ambienti ibridi di accedere alle risorse locali e nel cloud. Supporta anche l'amministrazione avanzata, ad esempio gruppi dinamici, gestione dei gruppi self-service, Microsoft Identity Manager e funzionalità di write-back cloud, che consentono la reimpostazione della password self-service per gli utenti locali.

  • Azure Active Directory Premium P2. Oltre alle funzionalità dei livelli Gratuito e P1, il livello P2 offre anche Azure Active Directory Identity Protection per fornire alle app e ai dati aziendali cruciali l'accesso condizionale basato sul rischio e Privileged Identity Management per consentire l'individuazione, la limitazione e il monitoraggio degli amministratori e del rispettivo accesso alle risorse e per fornire l'accesso JIT quando necessario.

  • Licenze per le funzionalità "Con pagamento in base al consumo". È anche possibile ottenere licenze per le funzionalità aggiuntive, ad esempio Azure Active Directory Business-to-Customer (B2C). B2C consente di fornire soluzioni di gestione delle identità e dell'accesso per le app rivolte ai clienti. Per altre informazioni, vedere la documentazione di Azure Active Directory B2C.

Per altre informazioni sull'associazione di una sottoscrizione di Azure ad Azure AD, vedere Associare o aggiungere una sottoscrizione di Azure ad Azure Active Directory. Per altre informazioni sull'assegnazione delle licenze agli utenti, vedere Procedura: Assegnare o rimuovere licenze di Azure Active Directory.

Funzionalità disponibili in Azure AD

Dopo la scelta della licenza di Azure AD, sarà possibile accedere ad alcune o a tutte le funzionalità seguenti per l'organizzazione:

Category Descrizione
Gestione delle applicazioni Gestire le app cloud e locali usando Application Proxy, Single Sign-On, il portale di App personali e Le app Software as a Service (SaaS). Per altre informazioni, vedere Come fornire l'accesso remoto sicuro alle applicazioni locali e la Documentazione della gestione delle applicazioni.
Authentication Consente di gestire la reimpostazione della password self-service di Azure Active Directory, Multi-Factor Authentication, l'elenco personalizzato di password escluse e il blocco intelligente. Per altre informazioni, vedere la Documentazione di Autenticazione di Azure AD.
Azure Active Directory per sviluppatori Consente di creare app che accedono a tutte le identità Microsoft e ottengono token per chiamare Graph, altre API Microsoft o API personalizzate. Per altre informazioni, vedere Microsoft identity platform (Azure Active Directory per sviluppatori).
Business-to-Business (B2B) Consente di gestire gli utenti guest e i partner esterni, mantenendo al tempo stesso il controllo sui propri dati aziendali. Per altre informazioni, vedere la Documentazione di Azure Active Directory B2B.
Business-to-Customer (B2C) Consente di personalizzare e controllare la modalità con cui gli utenti accedono e gestiscono i propri profili quando usano le app. Per altre informazioni, vedere la documentazione di Azure Active Directory B2C.
Accesso condizionale Consente di gestire l'accesso alle app cloud. Per altre informazioni, vedere la Documentazione sull'accesso condizionale di Azure AD.
Gestione dei dispositivi Consente di gestire il modo in cui i dispositivi cloud o locali accedono ai dati aziendali. Per altre informazioni, vedere la Documentazione sulla gestione dei dispositivi in Azure AD.
Servizi di dominio Consentono di aggiungere macchine virtuali di Azure a un dominio senza usare controller di dominio. Per altre informazioni, vedere la Documentazione di Azure AD Domain Services.
Utenti Enterprise Gestire le assegnazioni di licenza, l'accesso alle app e configurare i delegati usando gruppi e ruoli di amministratore. Per altre informazioni, vedere la Documentazione sulla gestione degli utenti in Azure Active Directory.
Identità ibrida Consente di usare Azure Active Directory Connect e Connect Health per fornire una singola identità utente per l'autenticazione e l'autorizzazione per tutte le risorse, indipendentemente dalla posizione (sul cloud o in locale). Per altre informazioni, vedere la Documentazione di identità ibrida.
Identity Governance Consente di gestire l'identità dell'organizzazione tramite controllo di accesso per dipendenti, partner aziendali, fornitori, servizi e app. È anche possibile eseguire verifiche di accesso. Per altre informazioni, vedere la Documentazione di Azure AD Identity Governance e Verifiche di accesso di Azure AD.
Identity Protection Consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione, di configurare criteri per rispondere ad azioni sospette e quindi di intraprendere le azioni appropriate per risolverle. Per altre informazioni, vedere Azure AD Identity Protection.
Identità gestite per le risorse di Azure Fornire ai servizi di Azure un'identità gestita automaticamente in Azure AD che può autenticare qualsiasi servizio di autenticazione supportato da Azure AD, tra cui Key Vault. Per altre informazioni, vedere Informazioni sulle identità gestite per le risorse di Azure.
Privileged identity management (PIM) Consente di gestire, controllare e monitorare l'accesso all'interno dell'organizzazione. Questa funzionalità include l'accesso alle risorse di Azure AD e di Azure, oltre che ad altri Microsoft Online Services, come Microsoft 365 o Intune. Per altre informazioni, vedere Azure AD Privileged Identity Management.
Report e monitoraggio Consente di ottenere informazioni dettagliate sulla sicurezza e sui modelli di utilizzo dell'ambiente. Per altre informazioni, vedere Report e monitoraggio di Azure Active Directory.

Terminologia

Per una migliore comprensione di Azure AD e della rispettiva documentazione, è consigliabile esaminare la terminologia seguente.

Termine o concetto Descrizione
Identità Una cosa che può essere autenticata. Un'identità può essere un utente con un nome utente e password. Le identità includono anche le applicazioni o altri server che potrebbero richiedere l'autenticazione tramite certificati o chiavi private.
Account Un'identità che contiene dati associati. Non è possibile avere un account senza identità.
Account Azure AD Identità creata tramite Azure AD o un altro servizio cloud Microsoft, ad esempio Microsoft 365. Le identità vengono archiviate in Azure AD e sono accessibili alle sottoscrizioni dei servizi cloud dell'organizzazione. Questo account viene a volte definito account aziendale o dell'istituto di istruzione.
Amministratore dell'account Il ruolo Amministratore della sottoscrizione classica corrisponde concettualmente al proprietario di fatturazione di una sottoscrizione. Questo ruolo consente di gestire tutte le sottoscrizioni in un account. Per altre informazioni, vedere Ruoli di amministratore sottoscrizione classico, ruoli di Azure e ruoli di amministratore di Azure AD.
Amministratore del servizio Il ruolo Amministratore della sottoscrizione classica consente di gestire tutte le risorse di Azure, incluso l'accesso. Questo ruolo ha un accesso equivalente a quello di un utente cui viene assegnato il ruolo di proprietario nell'ambito della sottoscrizione. Per altre informazioni, vedere Ruoli di amministratore sottoscrizione classico, ruoli di Azure e ruoli di amministratore di Azure AD.
Proprietario Questo ruolo consente di gestire tutte le risorse di Azure, incluso l'accesso. Questo ruolo è basato su un sistema di autorizzazione più recente denominato Controllo degli accessi in base al ruolo di Azure che fornisce una gestione degli accessi con granularità fine alle risorse di Azure. Per altre informazioni, vedere Ruoli di amministratore sottoscrizione classico, ruoli di Azure e ruoli di amministratore di Azure AD.
Amministrazione globale di Azure AD Questo ruolo di amministratore viene assegnato automaticamente a chiunque abbia creato il tenant di Azure AD. È possibile avere più amministratori globali ma solo gli amministratori globali possono assegnare ruoli di amministratore, inclusi altri ruoli di amministratore globale, agli utenti. Per altre informazioni sui diversi ruoli di amministratore, vedere Autorizzazioni del ruolo di amministratore in Azure Active Directory.
Sottoscrizione di Azure Usata per pagare i servizi cloud di Azure. È possibile avere più sottoscrizioni, collegate a una carta di credito.
Tenant di Azure istanza dedicata e attendibile di Azure AD. Il tenant viene creato automaticamente quando l'organizzazione si iscrive a una sottoscrizione del servizio cloud Microsoft. Queste sottoscrizioni includono Microsoft Azure, Microsoft Intune o Microsoft 365. Un tenant di Azure rappresenta una singola organizzazione.
Tenant singolo I tenant di Azure che accedono ad altri servizi in un ambiente dedicato vengono considerati tenant singoli.
Multi-tenant I tenant di Azure che accedono ad altri servizi in un ambiente condiviso in più organizzazioni sono considerati multi-tenant.
Directory di Azure AD Ogni tenant di Azure ha una directory di Azure AD dedicata e attendibile. La directory di Azure AD include gli utenti, i gruppi e le app del tenant e viene usata per eseguire funzioni di gestione delle identità e dell'accesso per le risorse del tenant.
Dominio personalizzato Ogni nuova directory di Azure AD include un nome di dominio iniziale, ad esempio domainname.onmicrosoft.com. Oltre a tale nome iniziale, è anche possibile aggiungere i nomi di dominio dell'organizzazione. I nomi di dominio dell'organizzazione includono i nomi usati per svolgere attività aziendali e gli utenti usano per accedere alle risorse dell'organizzazione, all'elenco. L'aggiunta di nomi di dominio personalizzati consente di creare nomi familiari per gli utenti, ad esempio alain@contoso.com.
Account Microsoft Account personali che forniscono l'accesso ai prodotti Microsoft e ai servizi cloud orientati ai consumatori. Questi prodotti e servizi includono Outlook, OneDrive, Xbox LIVE o Microsoft 365. L'account Microsoft viene creato e archiviato nel sistema di account delle identità degli utenti gestito da Microsoft.

Passaggi successivi