Accesso Single Sign-On facile di Microsoft Entra

  • Articolo

Che cos'è l'accesso Single Sign-On facile di Microsoft Entra?

L'accesso Single Sign-On (SSO) facile di Microsoft Entra consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale. Quando è abilitato, gli utenti non hanno bisogno di digitare le password per accedere a Microsoft Entra ID e, di solito non devono digitare nemmeno i nomi utente. Gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare componenti aggiuntivi in locale.

L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. L'accesso Single Sign-On facile non è applicabile ad Active Directory Federation Services (AD FS).

Seamless single sign-on

SSO tramite token di aggiornamento primario e Accesso Single Sign-On facile

Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso SSO tramite token di aggiornamento primario (PRT). Per Windows 7 e Windows 8.1, è consigliabile usare l'accesso Single Sign-On facile. L'accesso Single Sign-On facile richiede che il dispositivo dell'utente sia aggiunto a un dominio, ma non viene usato nei dispositivi aggiunti a Microsoft Entra a Windows 10 o nei dispositivi aggiunti a Microsoft Entra ibrido. L'accesso Single Sign-On in Microsoft Entra, l'aggiunta ibrida a Microsoft Entra e i dispositivi registrati di Microsoft Entra funzionano in base al token di aggiornamento primario (PRT)

L'accesso SSO tramite token di aggiornamento primario funziona dopo che i dispositivi sono stati registrati con Microsoft Entra ID per i dispositivi aggiunti a Microsoft Entra ibridi, aggiunti a Microsoft Entra o i dispositivi personali registrati tramite Aggiungi account aziendale o dell'istituto di istruzione. Per altre informazioni sul funzionamento dell'accesso Single Sign-On con Windows 10 tramite PRT, vedere: Primary Refresh Token (PRT) e Microsoft Entra ID

Vantaggi chiave

  • Miglioramento dell'esperienza utente
    • Gli utenti accedono automaticamente sia alle applicazioni locali sia a quelle basate su cloud.
    • Gli utenti non devono inserire ripetutamente le password.
  • Facilità di distribuzione e gestione
    • Non sono necessari componenti aggiuntivi locali per usare la funzionalità.
    • Funziona con qualsiasi metodo di autenticazione cloud: Sincronizzazione dell'hash delle password o Autenticazione pass-through.
    • Può essere implementato per alcuni o tutti gli utenti usando Criteri di gruppo.
    • Registrare dispositivi non Windows 10 con MICROSOFT Entra ID senza la necessità di un'infrastruttura AD FS. Per questa funzionalità è necessaria la versione 2.1 o successiva del client Workplace Join.

Caratteristiche essenziali delle funzionalità

  • Il nome utente di accesso può essere il nome utente predefinito locale (userPrincipalName) o un altro attributo configurato in Microsoft Entra Connessione (Alternate ID). Entrambi i casi d'uso funzionano perché Seamless SSO usa l'attestazione securityIdentifier nel ticket Kerberos per cercare l'oggetto utente corrispondente in Microsoft Entra ID.
  • L'accesso SSO facile è una funzionalità opportunistica. Se per qualsiasi motivo non riesce, l'esperienza di accesso dell'utente riprende il suo comportamento normale, ovvero l'utente deve inserire la propria password nella pagina di accesso.
  • Se un'applicazione (ad esempio, https://myapps.microsoft.com/contoso.com) inoltra un domain_hint parametro (OpenID Connessione) o whr (SAML), che identifica il tenant o login_hint il parametro , identificando l'utente, nella richiesta di accesso di Microsoft Entra, gli utenti vengono connessi automaticamente senza immettere nomi utente o password.
  • Gli utenti ottengono anche un'esperienza di accesso invisibile all'utente se un'applicazione , ad esempio , https://contoso.sharepoint.cominvia richieste di accesso agli endpoint dell'ID Di Microsoft Entra configurati come tenant, https://login.microsoftonline.com/contoso.com/<..> ovvero o https://login.microsoftonline.com/<tenant_ID>/<..> , anziché l'endpoint comune dell'ID Microsoft Entra, https://login.microsoftonline.com/common/<...>ovvero .
  • La disconnessione non è supportata. In questo modo gli utenti possono scegliere un altro account Microsoft Entra per l'accesso, anziché accedere automaticamente con Seamless SSO.
  • I client Microsoft 365 Win32 (Outlook, Word, Excel e altri) con versioni 16.0.8730.xxxx e successive sono supportati usando un flusso non interattivo. Per OneDrive, è necessario attivare la funzionalità di configurazione invisibile all'utente di OneDrive per un'esperienza di accesso automatico.
  • Può essere abilitata tramite la funzionalità di connessione di Microsoft Entra.
  • Questa è una funzionalità gratuita e non è necessaria alcuna edizione a pagamento di Microsoft Entra ID per usarla.
  • È supportato nei client basati su Web browser e nei client di Office che supportano l'autenticazione moderna su piattaforme e browser in grado di eseguire l'autenticazione Kerberos:
SO\Browser Internet Explorer Microsoft Edge* Google Chrome Mozilla Firefox Safari
Windows 10 Sì* Sì*** N/D
Windows 8.1 Sì* Sì**** Sì*** N/D
Windows 8 Sì* N/D Sì*** N/D
Windows Server 2012 R2 o versione successiva Sì** N/D Sì*** N/D
Mac OS X N/D N/D Sì*** Sì*** Sì***

Nota

Microsoft Edge legacy non è più supportato

*Richiede Internet Explorer versione 11 o successiva. (A partire dal 17 agosto 2021, le app e i servizi di Microsoft 365 non supporterà Internet Explorer 11).

**Richiede Internet Explorer versione 11 o successiva. Disabilitare la modalità protetta avanzata.

Richiede una configurazione aggiuntiva.

Microsoft Edge basato su Chromium

Passaggi successivi