Guida introduttiva: Single Sign-On facile di Microsoft Entra

L'accesso Single Sign-On facile (Seamless SSO) di Microsoft Entra accede automaticamente agli utenti quando usano i desktop aziendali connessi alla rete aziendale. L'accesso Single Sign-On facile consente agli utenti di accedere facilmente alle applicazioni basate sul cloud senza usare altri componenti locali.

Per distribuire Seamless SSO for Microsoft Entra ID usando Microsoft Entra Connessione, completare i passaggi descritti nelle sezioni seguenti.

Verificare i prerequisiti

Accertarsi di aver soddisfatto i prerequisiti seguenti:

• Configurare il server microsoft Entra Connessione: se si usa l'autenticazione pass-through come metodo di accesso, non sono necessari altri controlli dei prerequisiti. Se si usa la sincronizzazione dell'hash delle password come metodo di accesso ed è presente un firewall tra Microsoft Entra Connessione e Microsoft Entra ID, assicurarsi che:

  • Si usa Microsoft Entra Connessione versione 1.1.644.0 o successiva.

  • Se il firewall o il proxy consente, aggiungere le connessioni all'elenco di indirizzi consentiti per *.msappproxy.net gli URL sulla porta 443. Se è necessario un URL specifico anziché un carattere jolly per la configurazione del proxy, è possibile configurare tenantid.registration.msappproxy.net, dove tenantid è il GUID del tenant per cui si sta configurando la funzionalità. Se le eccezioni proxy basate su URL non sono possibili nell'organizzazione, è invece possibile consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati settimanalmente. Questo prerequisito è applicabile solo quando si abilita la funzionalità Seamless SSO. Non è necessario per gli accessi diretti degli utenti.

    Nota

    • Microsoft Entra Connessione versioni 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 hanno un problema correlato alla sincronizzazione dell'hash delle password. Se non si intende usare la sincronizzazione dell'hash delle password insieme all'autenticazione pass-through, vedere le note sulla versione di Microsoft Entra Connessione per altre informazioni.

• Usare una topologia di Microsoft Entra Connessione supportata: assicurarsi di usare una delle topologie supportate da Microsoft Entra Connessione.

  Nota

  Seamless SSO supporta più foreste Di Windows Server Active Directory (Windows Server AD) locali, indipendentemente dal fatto che siano presenti trust di Windows Server AD tra di essi.

• Configurare le credenziali di amministratore di dominio: è necessario disporre delle credenziali di amministratore di dominio per ogni foresta di Windows Server AD che:

  • Si esegue la sincronizzazione con Microsoft Entra ID tramite Microsoft Entra Connessione.
  • Contiene gli utenti per cui si vuole abilitare l'accesso Single Sign-On facile.

• Abilitare l'autenticazione moderna: per usare questa funzionalità, è necessario abilitare l'autenticazione moderna nel tenant.

• Usare le versioni più recenti dei client Microsoft 365: per ottenere un'esperienza di accesso automatico con i client Microsoft 365 (ad esempio, con Outlook, Word o Excel), gli utenti devono usare le versioni 16.0.8730.xxxx o successive.

Nota

Se si dispone di un proxy HTTP in uscita, assicurarsi che l'URL autologon.microsoftazuread-sso.com sia presente nell'elenco elementi consentiti. È consigliabile specificare questo URL in modo esplicito perché il carattere jolly potrebbe non essere accettato.

Abilitare la funzionalità

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Abilitare l'accesso Single Sign-On facile tramite Microsoft Entra Connessione.

Nota

Se Microsoft Entra Connessione non soddisfa i requisiti, è possibile abilitare l'accesso Single Sign-On facile tramite PowerShell. Usare questa opzione se si dispone di più domini per ogni foresta di Windows Server AD e si vuole impostare come destinazione il dominio per abilitare l'accesso Single Sign-On facile per.

Se si sta eseguendo una nuova installazione di Microsoft Entra Connessione, scegliere il percorso di installazione personalizzato. Nella pagina Accesso utente selezionare l'opzione Abilita accesso Single Sign-On.

Nota

L'opzione è disponibile per selezionare solo se il metodo di accesso selezionato è Sincronizzazione dell'hash delle password o Autenticazione pass-through.

Se si dispone già di un'installazione di Microsoft Entra Connessione, in Attività aggiuntive selezionare Cambia accesso utente e quindi selezionare Avanti. Se si usa Microsoft Entra Connessione versioni 1.1.880.0 o successive, l'opzione Abilita accesso Single Sign-On è selezionata per impostazione predefinita. Se si usa una versione precedente di Microsoft Entra Connessione, selezionare l'opzione Abilita accesso Single Sign-On.

Passare alla pagina Abilita accesso Single Sign-On tramite la procedura guidata. Specificare le credenziali di domain Amministrazione istrator per ogni foresta di Windows Server AD che:

• Si esegue la sincronizzazione con Microsoft Entra ID tramite Microsoft Entra Connessione.
• Contiene gli utenti per cui si vuole abilitare l'accesso Single Sign-On facile.

Al termine della procedura guidata, l'accesso Single Sign-On facile è abilitato nel tenant.

Nota

Le credenziali di domain Amministrazione istrator non vengono archiviate in Microsoft Entra Connessione o in Microsoft Entra ID. ma vengono usate solo per abilitare la funzionalità.

Per verificare che l'accesso Single Sign-On facile sia stato abilitato correttamente:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'identità ibrida Amministrazione istrator.
2. Passare a Gestione>ibrida delle identità>Microsoft Entra Connessione> Connessione sincronizzazione.
3. Verificare che l'accesso Single Sign-On facile sia impostato su Abilitato.

Importante

Seamless SSO crea un account computer denominato AZUREADSSOACC in ogni foresta di Windows Server AD nella directory di Windows Server AD locale. L'account AZUREADSSOACC computer deve essere fortemente protetto per motivi di sicurezza. Solo gli account domain Amministrazione istrator devono essere autorizzati a gestire l'account computer. Assicurarsi che la delega Kerberos nell'account computer sia disabilitata e che nessun altro account in Windows Server AD disponga delle autorizzazioni di delega per l'account AZUREADSSOACC computer. Archiviare gli account computer in un'unità organizzativa in modo che siano sicuri da eliminazioni accidentali e che solo i Amministrazione istratori di dominio possano accedervi.

Nota

Se si usano architetture di mitigazione pass-the-hash e furto di credenziali nell'ambiente locale, apportare le modifiche appropriate per assicurarsi che l'account AZUREADSSOACC computer non finirà nel contenitore Quarantena.

Distribuire la funzionalità

È possibile implementare gradualmente l'accesso Single Sign-On facile agli utenti usando le istruzioni fornite nelle sezioni successive. Per iniziare, aggiungere l'URL di Microsoft Entra seguente a tutte le impostazioni dell'area Intranet utente o selezionate tramite Criteri di gruppo in Windows Server AD:

https://autologon.microsoftazuread-sso.com

È anche necessario abilitare un'impostazione dei criteri dell'area Intranet denominata Consenti aggiornamenti alla barra di stato tramite script tramite Criteri di gruppo.

Nota

Le istruzioni seguenti funzionano solo per Internet Explorer, Microsoft Edge e Google Chrome in Windows (se Google Chrome condivide un set di URL di siti attendibili con Internet Explorer). Informazioni su come configurare Mozilla Firefox e Google Chrome in macOS.

Perché è necessario modificare le impostazioni dell'area Intranet utente

Per impostazione predefinita, un browser calcola automaticamente la zona corretta, ovvero Internet o Intranet, da un URL specifico. Ad esempio, http://contoso/ esegue il mapping all'area Intranet e http://intranet.contoso.com/ esegue il mapping all'area Internet , perché l'URL contiene un punto. I browser non inviano ticket Kerberos a un endpoint cloud, ad esempio all'URL di Microsoft Entra, a meno che non si aggiunga esplicitamente l'URL all'area Intranet del browser.

Esistono due modi per modificare le impostazioni dell'area Intranet utente:

Opzione	Considerazione relativa all'amministratore	Esperienza utente
Criteri di gruppo	Amministrazione blocca la modifica delle impostazioni dell'area Intranet	Gli utenti non possono modificare le proprie impostazioni
Preferenza di Criteri di gruppo	Amministrazione consente di modificare le impostazioni dell'area Intranet	Gli utenti non possono modificare le proprie impostazioni

Procedura dettagliata di Criteri di gruppo

1. Aprire l'Editor Gestione Criteri di gruppo.

2. Modificare i criteri di gruppo applicati a tutti gli utenti o solo ad alcuni. Questo esempio è basato su Criterio dominio predefinito.

3. Passare a Criteri di configurazione>> utente Amministrazione Modelli>amministrativi Componenti>di Windows Internet Explorer>Internet Pannello di controllo> PaginaSicurezza. Selezionare Elenco assegnazioni da sito a zona.

   

4. Abilitare il criterio e quindi immettere i valori seguenti nella finestra di dialogo:

   • Nome valore: URL di Microsoft Entra in cui vengono inoltrati i ticket Kerberos.

   • Valore (dati): 1 indica l'area Intranet.

     Il risultato è simile all'esempio seguente:

     Nome valore: https://autologon.microsoftazuread-sso.com

     Valore (dati): 1

   Nota

   Se si vuole impedire ad alcuni utenti di usare l'accesso Single Sign-On facile (ad esempio, se questi utenti accedono a chioschi multimediali condivisi), impostare i valori precedenti su 4. Questa azione aggiunge l'URL di Microsoft Entra all'area con restrizioni e l'accesso Single Sign-On facile non riesce per tutti gli utenti.

5. Seleziona OK e quindi seleziona di nuovo OK.

   

6. Passare a Criteri di configurazione>> utente Amministrazione Modelli>di Windows Componenti>di Windows Internet Explorer>Internet Pannello di controllo> Area Intranet della pagina>Di sicurezza. Selezionare Consenti aggiornamenti alla barra di stato tramite script.

   

7. Abilitare l'impostazione del criterio e quindi fare clic su OK.

   

Procedura dettagliata per le preferenze di Criteri di gruppo

1. Aprire l'Editor Gestione Criteri di gruppo.

2. Modificare i criteri di gruppo applicati a tutti gli utenti o solo ad alcuni. Questo esempio è basato su Criterio dominio predefinito.

3. Passare a Preferenze di configurazione>utente Windows>Impostazioni> Registra>nuovo>elemento del Registro di sistema.

   

4. Immettere o selezionare i valori seguenti come illustrato e quindi selezionare OK.

   • Percorso chiave: Software\Microsoft\Windows\CurrentVersion\Internet Impostazioni\ZoneMap\Domains\microsoftazuread-sso.com\autologon

   • Nome valore: https

   • Tipo valore: REG_DWORD

   • Dati valore: 00000001

     

     

Considerazioni sul browser

Le sezioni successive contengono informazioni sull'accesso Single Sign-On facile specifico per diversi tipi di browser.

Mozilla Firefox (tutte le piattaforme)

Se si usano le impostazioni dei criteri di autenticazione nell'ambiente in uso, assicurarsi di aggiungere l'URL di Microsoft Entra (https://autologon.microsoftazuread-sso.com) alla sezione SPNEGO . È anche possibile impostare l'opzione PrivateBrowsing su true per consentire l'accesso Single Sign-On facile in modalità di esplorazione privata.

Safari (macOS)

Assicurarsi che il computer che esegue macOS sia aggiunto a Windows Server AD.

Le istruzioni per aggiungere il dispositivo macOS ad Windows Server AD non rientrano nell'ambito di questo articolo.

Microsoft Edge basato su Chromium (tutte le piattaforme)

Se sono state sottoposte a override le impostazioni dei criteri AuthNegotiateDelegateAllowlist o AuthServerAllowlist nell'ambiente, assicurarsi di aggiungere anche l'URL di Microsoft Entra (https://autologon.microsoftazuread-sso.com) a queste impostazioni dei criteri.

Microsoft Edge basato su Chromium (macOS e altre piattaforme non Windows)

Per Microsoft Edge basato su Chromium su macOS e altre piattaforme non Windows, vedere Microsoft Edge basato su Chromium Policy List per informazioni su come aggiungere l'URL di Microsoft Entra per l'autenticazione integrata all'elenco elementi consentiti.

Google Chrome (tutte le piattaforme)

Se sono state sottoposte a override le impostazioni dei criteri AuthNegotiateDelegateAllowlist o AuthServerAllowlist nell'ambiente, assicurarsi di aggiungere anche l'URL di Microsoft Entra (https://autologon.microsoftazuread-sso.com) a queste impostazioni dei criteri.

macOS

L'uso delle estensioni di Criteri di gruppo di Active Directory di terze parti per implementare l'URL di Microsoft Entra in Firefox e Google Chrome per gli utenti macOS non rientra nell'ambito di questo articolo.

Limitazioni note dei browser

L'accesso Single Sign-On facile non funziona in Internet Explorer se il browser è in esecuzione in modalità protetta avanzata. Seamless SSO supporta la versione successiva di Microsoft Edge basata su Chromium e funziona in modalità InPrivate e Guest per impostazione predefinita. Microsoft Edge (legacy) non è più supportato.

Potrebbe essere necessario configurare AmbientAuthenticationInPrivateModesEnabled per gli utenti InPrivate o guest in base alla documentazione corrispondente:

• Microsoft Edge Chromium
• Google Chrome

Testare l'accesso Single Sign-On facile

Per testare la funzionalità per un utente specifico, verificare che siano soddisfatte tutte le condizioni seguenti:

• L'utente esegue l'accesso da un dispositivo aziendale.
• Il dispositivo viene aggiunto al dominio di Windows Server AD. Il dispositivo non deve essere aggiunto a Microsoft Entra.
• Il dispositivo ha una connessione diretta al controller di dominio, nella rete cablata aziendale o wireless o tramite una connessione di accesso remoto, ad esempio una connessione VPN.
• La funzionalità è stata implementata all'utente tramite Criteri di gruppo.

Per testare uno scenario in cui l'utente immette un nome utente, ma non una password:

• Accedere a https://myapps.microsoft.com. Assicurarsi di cancellare la cache del browser o di usare una nuova sessione del browser privato con uno dei browser supportati in modalità privata.

Per testare uno scenario in cui l'utente non deve immettere un nome utente o una password, usare uno dei passaggi seguenti:

• Accedere a https://myapps.microsoft.com/contoso.onmicrosoft.com. Assicurarsi di cancellare la cache del browser o di usare una nuova sessione del browser privato con uno dei browser supportati in modalità privata. Sostituire contoso con il nome del tenant.
• Accedere a https://myapps.microsoft.com/contoso.com in una nuova sessione privata del browser. Sostituire contoso.com con un dominio verificato (non un dominio federato) nel tenant.

Rinnovare le chiavi

In Abilita la funzionalità, Microsoft Entra Connessione crea account computer (che rappresentano l'ID Microsoft Entra) in tutte le foreste di Windows Server AD in cui è stato abilitato l'accesso SSO facile. Per altre informazioni, vedere Single Sign-On facile di Microsoft Entra: Approfondimento tecnico.

Importante

La chiave di decrittografia Kerberos in un account computer, se persa, può essere usata per generare ticket Kerberos per qualsiasi utente nella foresta di Windows Server AD. Gli attori malintenzionati possono quindi rappresentare gli accessi a Microsoft Entra per gli utenti compromessi. È consigliabile eseguire periodicamente il rollover di queste chiavi di decrittografia Kerberos o almeno una volta ogni 30 giorni.

Per istruzioni su come eseguire il rollover delle chiavi, vedere Single Sign-On facile di Microsoft Entra: domande frequenti.

Importante

Non è necessario farlo subito dopo aver abilitato la funzionalità. Rinnovare le chiavi di decrittografia Kerberos almeno una volta ogni 30 giorni.

Passaggi successivi

• Approfondimento tecnico: informazioni sul funzionamento della funzionalità Accesso Single Sign-On facile.
• Domande frequenti: risposte alle domande frequenti sull'accesso Single Sign-On facile.
• Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi alla funzionalità Accesso Single Sign-On facile.
• UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.