Avvio rapido: Azure Active Directory Seamless Single Sign-On

  • Articolo

Azure Active Directory (Azure AD) Consente di accedere automaticamente agli utenti quando usano i desktop aziendali connessi alla rete aziendale. L'accesso Single Sign-On consente agli utenti di accedere facilmente alle applicazioni basate sul cloud senza usare altri componenti locali.

Per distribuire l'accesso SSO facile per Azure AD usando Azure AD Connect, completare i passaggi descritti nelle sezioni seguenti.

Verificare i prerequisiti

Accertarsi di aver soddisfatto i prerequisiti seguenti:

  • Configurare il server Azure AD Connect: se si usa l'autenticazione pass-through come metodo di accesso, non è necessario alcun altro controllo dei prerequisiti. Se si usa la sincronizzazione dell'hash delle password come metodo di accesso e esiste un firewall tra Azure AD Connect e Azure AD, assicurarsi che:

    • Usare Azure AD Connect versione 1.1.644.0 o successiva.

    • Se il firewall o il proxy consente, aggiungere le connessioni all'elenco *.msappproxy.net degli URL sulla porta 443. Se è necessario un URL specifico anziché un carattere jolly per la configurazione proxy, è possibile configurare tenantid.registration.msappproxy.net, dove tenantid è il GUID del tenant per cui si sta configurando la funzionalità. Se le eccezioni proxy basate su URL non sono possibili nell'organizzazione, è invece possibile consentire l'accesso agli intervalli IP del data center di Azure, aggiornati settimanalmente. Questo prerequisito è applicabile solo quando si abilita la funzionalità SSO senza problemi. Non è necessario per gli accessi utente diretti.

      Nota

      • Azure AD Connect versione 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 hanno un problema correlato alla sincronizzazione dell'hash delle password. Se non si intende usare la sincronizzazione hash delle password insieme all'autenticazione pass-through, vedere le note sulla versione di Azure AD Connect per altre informazioni.

  • Usare una topologia di Azure AD Connect supportata: assicurarsi di usare una delle topologie supportate di Azure AD Connect.

    Nota

    L'accesso SSO senza problemi supporta più foreste di Windows Server Active Directory locali (Windows Server AD), indipendentemente dal fatto che siano presenti Windows Server AD trust tra di essi.

  • Configurare le credenziali dell'amministratore di dominio: è necessario disporre delle credenziali di amministratore del dominio per ogni foresta Windows Server AD che:

    • Si esegue la sincronizzazione con Azure AD tramite Azure AD Connect.
    • Contiene gli utenti per cui si vuole abilitare l'accesso SSO facile.

  • Abilitare l'autenticazione moderna: per usare questa funzionalità, è necessario abilitare l'autenticazione moderna nel tenant.

  • Usare le versioni più recenti dei client Microsoft 365: per ottenere un'esperienza di accesso invisibile all'utente con client Microsoft 365,ad esempio con Outlook, Word o Excel, gli utenti devono usare versioni 16.0.8730.xxxx o successive.

Nota

Se si dispone di un proxy HTTP in uscita, assicurarsi che l'URL autologon.microsoftazuread-sso.com sia presente nell'elenco consentito. È consigliabile specificare questo URL in modo esplicito perché il carattere jolly potrebbe non essere accettato.

Abilitare la funzionalità

Abilitare l'accesso SSO facile tramite Azure AD Connect.

Nota

Se Azure AD Connect non soddisfa i requisiti, è possibile abilitare l'accesso Single Sign-On senza problemi usando PowerShell. Usare questa opzione se si dispone di più di un dominio per ogni foresta Windows Server AD e si vuole indirizzare il dominio per abilitare l'accesso Single Sign-On senza problemi.

Se si esegue una nuova installazione di Azure AD Connect, scegliere il percorso di installazione personalizzato. Nella pagina Accesso utente selezionare l'opzione Abilita accesso Single Sign-On .

Screenshot che mostra la pagina Accesso utente in Azure AD Connect, con Abilita accesso Single Sign-On selezionato.

Nota

L'opzione è disponibile per selezionare solo se il metodo di accesso selezionato è Sincronizzazione hash password o Autenticazione pass-through.

Se si dispone già di un'installazione di Azure AD Connect, in Attività aggiuntive selezionare Modifica accesso utente e quindi selezionare Avanti. Se si usa Azure AD Connect versione 1.1.880.0 o successiva, l'opzione Abilita accesso Single Sign-On è selezionata per impostazione predefinita. Se si usa una versione precedente di Azure AD Connect, selezionare l'opzione Abilita accesso Single Sign-On .

Screenshot che mostra la pagina Attività aggiuntive con Modifica dell'accesso utente selezionato.

Continuare con la procedura guidata per abilitare l'accesso Single Sign-On pagina. Specificare le credenziali amministratore di dominio per ogni foresta Windows Server AD che:

  • Si esegue la sincronizzazione con Azure AD tramite Azure AD Connect.
  • Contiene gli utenti per cui si vuole abilitare l'accesso SSO facile.

Al termine della procedura guidata, l'accesso Single Sign-On è abilitato nel tenant.

Nota

Le credenziali amministratore di dominio non vengono archiviate in Azure AD Connect o in Azure AD. ma vengono usate solo per abilitare la funzionalità.

Per verificare che l'accesso Single Sign-On facile sia stato abilitato correttamente:

  1. Accedere alla portale di Azure con le credenziali dell'account amministratore identità ibrido per il tenant.
  2. Nel menu a sinistra, selezionare Azure Active Directory.
  3. Selezionare Azure AD Connect.
  4. Verificare che l'accesso Single Sign-On facile sia impostato su Abilitato.

Screenshot che mostra il riquadro Azure AD Connect nel portale di amministrazione.

Importante

L'accesso Single Sign-On consente di creare un account computer denominato AZUREADSSOACC in ogni foresta di Windows Server AD nella directory Windows Server AD locale. L'account AZUREADSSOACC computer deve essere fortemente protetto per motivi di sicurezza. Solo gli account amministratore di dominio devono essere autorizzati a gestire l'account computer. Assicurarsi che la delega Kerberos nell'account computer sia disabilitata e che nessun altro account in Windows Server AD disponga delle autorizzazioni di delega per l'account AZUREADSSOACC computer. Archiviare gli account computer in un'unità organizzativa in modo che siano sicuri da eliminazioni accidentali e solo gli amministratori di dominio possano accedervi.

Nota

Se si usano architetture Pass-the-Hash e Credential Theft Mitigation nell'ambiente locale, apportare modifiche appropriate per assicurarsi che l'account AZUREADSSOACC computer non finissi nel contenitore Quarantena.

Distribuire la funzionalità

È possibile implementare gradualmente l'accesso SSO facile agli utenti usando le istruzioni fornite nelle sezioni successive. Si inizia aggiungendo l'URL di Azure AD seguente a tutte le impostazioni dell'area Intranet utente selezionate tramite Criteri di gruppo in Windows Server AD:

https://autologon.microsoftazuread-sso.com

È anche necessario abilitare un'impostazione dei criteri dell'area Intranet denominata Consenti aggiornamenti alla barra di stato tramite script tramite Criteri di gruppo.

Nota

Le istruzioni seguenti funzionano solo per Internet Explorer, Microsoft Edge e Google Chrome in Windows (se Google Chrome condivide un set di URL del sito attendibili con Internet Explorer). Informazioni su come configurare Mozilla Firefox e Google Chrome in macOS.

Perché è necessario modificare le impostazioni dell'area Intranet utente

Per impostazione predefinita, un browser calcola automaticamente la zona corretta, Internet o Intranet, da un URL specifico. Ad esempio, http://contoso/ esegue il mapping all'area Intranet e http://intranet.contoso.com/ esegue il mapping alla zona Internet ( perché l'URL contiene un punto). I browser non inviano ticket Kerberos a un endpoint cloud, ad esempio l'URL di Azure AD, a meno che non si aggiunge esplicitamente l'URL all'area Intranet del browser.

Esistono due modi per modificare le impostazioni dell'area Intranet utente:

Opzione Considerazione relativa all'amministratore Esperienza utente
Criteri di gruppo Amministrazione blocca la modifica delle impostazioni dell'area Intranet Gli utenti non possono modificare le proprie impostazioni
Preferenza di Criteri di gruppo Amministrazione consente la modifica delle impostazioni dell'area Intranet Gli utenti non possono modificare le proprie impostazioni

Passaggi dettagliati dei criteri di gruppo

  1. Aprire l'Editor Gestione Criteri di gruppo.

  2. Modificare i criteri di gruppo applicati a tutti gli utenti o solo ad alcuni. Questo esempio è basato su Criterio dominio predefinito.

  3. Passare alla pagina Criteri di configurazione> utenteModelli>amministrativi Componenti>di Windows Internet>Explorer>Internet Pannello di controllo>Security page. Selezionare Elenco assegnazioni sito a zona.

    Screenshot che mostra la pagina di sicurezza con Elenco assegnazioni di zona selezionata.

  4. Abilitare i criteri e quindi immettere i valori seguenti nella finestra di dialogo:

    • Nome valore: l'URL di Azure AD a cui vengono inoltrati i ticket Kerberos.

    • Valore (dati): 1 indica l'area Intranet.

      Il risultato è simile al seguente:

      Nome valore: https://autologon.microsoftazuread-sso.com

      Valore (dati): 1

    Nota

    Se si vuole impedire ad alcuni utenti di usare l'accesso Single Sign-On facile (ad esempio, se questi utenti accedono a chioschi multimediali condivisi), impostare i valori precedenti su 4. Questa azione aggiunge l'URL di Azure AD all'area con restrizioni e l'accesso SSO facile ha esito negativo per tutti gli utenti.

  5. Selezionare OK e quindi di nuovo OK.

    Screenshot che mostra la finestra Mostra contenuto con un'assegnazione di zona selezionata.

  6. Passare a Criteri di configurazione> utenteModelli>amministrativi>Componenti> di WindowsInternet Explorer Internet Pannello di controllo>>Area Intranet della pagina> Sicurezza. Selezionare Consenti aggiornamenti alla barra di stato tramite script.

    Screenshot che mostra la pagina Area Intranet con Consenti aggiornamenti alla barra di stato tramite script selezionato.

  7. Abilitare l'impostazione del criterio e quindi fare clic su OK.

    Screenshot che mostra la finestra Consenti aggiornamenti alla barra di stato tramite la finestra script con l'impostazione dei criteri abilitata.

Procedura dettagliata per le preferenze di Criteri di gruppo

  1. Aprire l'Editor Gestione Criteri di gruppo.

  2. Modificare i criteri di gruppo applicati a tutti gli utenti o solo ad alcuni. Questo esempio è basato su Criterio dominio predefinito.

  3. Passare aPreferenze>>di configurazione> utenteImpostazioni registro di sistemaNuovo>elemento del Registro> di sistema.

    Screenshot che mostra l'opzione Registro di sistema selezionata e l'elemento del Registro di sistema selezionato.

  4. Immettere o selezionare i valori seguenti, come illustrato, quindi selezionare OK.

    • Percorso chiave: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\microsoftazuread-sso.com\autologon

    • Nome valore: https

    • Tipo di valore: REG_DWORD

    • Dati valore: 00000001

      Screenshot che mostra l'Finestra Proprietà Nuovo Registro di sistema.

      Screenshot che mostra i nuovi valori elencati nell'editor del Registro di sistema.

Considerazioni sui browser

Le sezioni successive contengono informazioni sull'accesso Single Sign-On facile specifico per i diversi tipi di browser.

Mozilla Firefox (tutte le piattaforme)

Se si usano le impostazioni dei criteri di autenticazione nell'ambiente in uso, assicurarsi di aggiungere l'URL di Azure AD (https://autologon.microsoftazuread-sso.com) alla sezione SPNEGO . È anche possibile impostare l'opzione PrivateBrowsingsu true per consentire l'accesso Single Sign-On facile in modalità di esplorazione privata.

Safari (macOS)

Assicurarsi che il computer che esegue macOS sia aggiunto a Windows Server AD.

Le istruzioni per aggiungere il dispositivo macOS a Windows Server AD non rientrano nell'ambito di questo articolo.

Microsoft Edge basato su Chromium (tutte le piattaforme)

Se è stato eseguito l'override delle impostazioni dei criteri AuthNegotiateDelegateAllowlist o AuthServerAllowlist nell'ambiente, assicurarsi di aggiungere anche l'URL di Azure AD (https://autologon.microsoftazuread-sso.com) a queste impostazioni dei criteri.

Microsoft Edge basato su Chromium (macOS e altre piattaforme non Windows)

Per Microsoft Edge basato su Chromium su macOS e altre piattaforme non Windows, vedere Microsoft Edge basato su Chromium Policy List per informazioni su come aggiungere l'URL di Azure AD per l'autenticazione integrata all'elenco elementi consentiti.

Google Chrome (tutte le piattaforme)

Se è stato eseguito l'override delle impostazioni dei criteri AuthNegotiateDelegateAllowlist o AuthServerAllowlist nell'ambiente, assicurarsi di aggiungere anche l'URL di Azure AD (https://autologon.microsoftazuread-sso.com) a queste impostazioni dei criteri.

macOS

L'uso delle estensioni di Active Directory di terze parti Criteri di gruppo per implementare l'URL di Azure AD in Firefox e Google Chrome per gli utenti macOS non rientra nell'ambito di questo articolo.

Limitazioni note dei browser

L'accesso Single Sign-On facile non funziona in Internet Explorer se il browser è in esecuzione in modalità protetta avanzata. Seamless SSO supporta la versione successiva di Microsoft Edge basata su Chromium e funziona in modalità InPrivate e Guest per impostazione predefinita. Microsoft Edge (legacy) non è più supportato.

Potrebbe essere necessario configurare AmbientAuthenticationInPrivateModesEnabled per gli utenti InPrivate o guest in base alla documentazione corrispondente:

Testare l'accesso Single Sign-On facile

Per testare la funzionalità per un utente specifico, verificare che siano soddisfatte tutte le condizioni seguenti:

  • L'utente esegue l'accesso da un dispositivo aziendale.
  • Il dispositivo viene aggiunto al dominio Windows Server AD. Non è necessario che il dispositivo sia aggiunto ad Azure AD.
  • Il dispositivo ha una connessione diretta al controller di dominio, nella rete cablata o wireless aziendale o tramite una connessione di accesso remoto, ad esempio una connessione VPN.
  • È stata implementata la funzionalità per questo utente tramite Criteri di gruppo.

Per testare uno scenario in cui l'utente immette un nome utente, ma non una password:

  • Accedere a https://myapps.microsoft.com. Assicurarsi di cancellare la cache del browser o di usare una nuova sessione del browser privato con uno dei browser supportati in modalità privata.

Per testare uno scenario in cui l'utente non deve immettere un nome utente o una password, usare uno dei passaggi seguenti:

  • Accedere a https://myapps.microsoft.com/contoso.onmicrosoft.com. Assicurarsi di cancellare la cache del browser o di usare una nuova sessione del browser privato con uno dei browser supportati in modalità privata. Sostituire contoso con il nome del tenant.
  • Accedere a https://myapps.microsoft.com/contoso.com in una nuova sessione privata del browser. Sostituire contoso.com con un dominio verificato (non un dominio federato) nel tenant.

Rinnovare le chiavi

In Abilita la funzionalità Azure AD Connect crea account computer (che rappresentano Azure AD) in tutte le foreste Windows Server AD in cui è stato abilitato l'accesso SSO facile. Per altre informazioni, vedere Accesso Single Sign-On facile di Azure Active Directory: Approfondimento tecnico.

Importante

La chiave di decrittografia Kerberos in un account computer, se persa, può essere usata per generare ticket Kerberos per qualsiasi utente nella relativa foresta Windows Server AD. Eventuali attori malintenzionati possono quindi rappresentare gli accessi di Azure AD per gli utenti di cui è stata compromessa la chiave. È consigliabile eseguire periodicamente il rollover di queste chiavi di decrittografia Kerberos o almeno una volta ogni 30 giorni.

Per istruzioni su come eseguire il rollover delle chiavi, vedere Accesso Single Sign-On facile di Azure Active Directory: Domande frequenti.

Importante

Non è necessario farlo subito dopo aver abilitato la funzionalità. Rinnovare le chiavi di decrittografia Kerberos almeno una volta ogni 30 giorni.

Passaggi successivi

  • Approfondimento tecnico: informazioni sul funzionamento della funzionalità Seamless Single Sign-On.
  • Domande frequenti: risposte alle domande frequenti sull'accesso Single Sign-On facile.
  • Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi alla funzionalità Seamless Single Sign-On.
  • UserVoice: usare il forum di Azure Active Directory per inviare richieste di nuove funzionalità.