Che cos'è l'identità ibrida con Azure Active Directory?

Oggi nelle aziende di piccole e grandi dimensioni si ricorre sempre più spesso a una combinazione di applicazioni locali e cloud e gli utenti devono poter accedere a tali applicazioni sia in locale che nel cloud. Per gestire gli utenti sia in locale che nel cloud è necessario affrontare scenari complessi.

Le soluzioni di gestione delle identità di Microsoft includono sia funzionalità locali che basate sul cloud, in modo da creare una singola identità utente per l'autenticazione e l'autorizzazione a tutte le risorse, indipendentemente dalla loro posizione. Tale identità costituisce la cosiddetta identità ibrida.

Con l'identità ibrida per Azure AD e la gestione delle identità ibride, questi scenari diventano realizzabili.

Per usare l'identità ibrida con Azure AD, a seconda degli scenari è possibile adottare uno dei tre metodi di autenticazione seguenti:

Questi metodi di autenticazione offrono anche funzionalità Single Sign-On. La funzionalità Single Sign-On consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale.

Per altre informazioni, vedere Scegliere il metodo di autenticazione appropriato per la soluzione ibrida di gestione delle identità di Azure AD.

Scenari comuni e raccomandazioni

Di seguito sono riportati alcuni scenari comuni di gestione di identità ibride e degli accessi con raccomandazioni riguardo all'opzione o alle opzioni di gestione delle identità ibride più appropriate per ciascuno di essi.

Esigenza: PHS e SSO1 PTA e SSO2 AD FS3
Sincronizzare automaticamente nel cloud nuovi account utente, di contatti o di gruppo creati in Active Directory locale. Consigliato Consigliato Consigliato
Configurare il tenant per scenari ibridi di Microsoft 365. Consigliato Consigliato Consigliato
Consentire agli utenti di accedere ai servizi cloud usando la propria password locale. Consigliato Consigliato Consigliato
Implementare l'accesso SSO usando le credenziali aziendali. Consigliato Consigliato Consigliato
Assicurarsi che gli hash delle password non vengano archiviati nel cloud. Consigliato Consigliato
Abilitare soluzioni di autenticazione a più fattori basate sul cloud. Consigliato Consigliato Consigliato
Abilitare soluzioni di autenticazione a più fattori locali. Consigliato
Supportare l'autenticazione tramite smart card per gli utenti.4 Consigliato

1 Sincronizzazione dell'hash delle password con Single Sign-On.

2 Autenticazione pass-through e Single Sign-On.

3 Single Sign-On federato con AD FS.

4 AD FS può essere integrato con l'infrastruttura a chiave pubblica aziendale per consentire l'accesso tramite certificati. Questi certificati possono essere certificati software distribuiti tramite canali di provisioning attendibili, ad esempio i certificati di gestione di dispositivi mobili (MDM) o l'oggetto Criteri di gruppo o smart card (comprese le schede PIV/CAC) o Hello for Business (cert-trust). Per altre informazioni sul supporto dell'autenticazione con smart card, vedere questo blog.

Requisiti di licenza per l'uso di Azure AD Connect

L'uso di questa funzionalità è gratuito ed è incluso nella sottoscrizione di Azure.

Passaggi successivi