Condividi tramite

Configurare l'app servizio app o Funzioni di Azure per l'uso dell'accesso a Microsoft Entra

  • Articolo

Nota

A partire dal 1° giugno 2024, tutte le app servizio app appena create avranno la possibilità di creare un nome host predefinito univoco con una convenzione di denominazione .<app-name><region>-<random-hash>..azurewebsites.net I nomi delle app esistenti non cambieranno.

Esempio: myapp-ds27dh7271aah175.westus-01.azurewebsites.net

Per altre informazioni, vedere Nome host predefinito univoco per servizio app risorsa.

Selezionare un altro provider di autenticazione per passare a tale provider.

Questo articolo illustra come configurare l'autenticazione per app Azure Servizio o Funzioni di Azure in modo che l'app accinga gli utenti con Microsoft Identity Platform (Microsoft Entra) come provider di autenticazione.

Scegliere un tenant per l'applicazione e i relativi utenti

Prima che l'applicazione possa accedere agli utenti, è necessario registrarla in un tenant esterno o di forza lavoro. Se si rende disponibile l'app per i dipendenti o gli utenti guest aziendali, registrare l'app in un tenant della forza lavoro. Se l'app è destinata a consumer e clienti aziendali, registrarla in un tenant esterno.

  1. Accedere al portale di Azure e passare all'app.

  2. Nel menu a sinistra dell'app selezionare Autenticazione e quindi Aggiungi provider di identità.

  3. Nella pagina Aggiungi un provider di identità selezionare Microsoft come provider di identità per accedere alle identità Microsoft e Microsoft Entra.

  4. Per Tipo di tenant selezionare Configurazione della forza lavoro (tenant corrente) per dipendenti e guest aziendali oppure selezionare Configurazione esterna per i consumer e i clienti aziendali.

Scegliere la registrazione dell'app

La funzionalità di autenticazione servizio app può creare automaticamente una registrazione dell'app oppure è possibile usare una registrazione creata separatamente dall'utente o da un amministratore della directory.

Creare automaticamente una nuova registrazione dell'app, a meno che non sia necessario creare una registrazione dell'app separatamente. È possibile personalizzare la registrazione dell'app nell'interfaccia di amministrazione di Microsoft Entra in un secondo momento.

Le situazioni seguenti sono i casi più comuni per usare una registrazione dell'app esistente:

  • L'account non dispone delle autorizzazioni per creare registrazioni di app nel tenant di Microsoft Entra.
  • Si vuole usare una registrazione dell'app da un tenant Microsoft Entra diverso da quello in cui si trova l'app.
  • L'opzione per creare una nuova registrazione non è disponibile per i cloud per enti pubblici.

Creare e usare una nuova registrazione dell'app o usare una registrazione esistente creata separatamente.

Opzione 1: Creare e usare una nuova registrazione dell'app

Usare questa opzione, a meno che non sia necessario creare una registrazione dell'app separatamente. È possibile personalizzare la registrazione dell'app in Microsoft Entra dopo la creazione.

Nota

L'opzione per creare automaticamente una nuova registrazione non è disponibile per i cloud per enti pubblici. Definire invece una registrazione separatamente.

Immettere il nome per la registrazione della nuova app.

Selezionare il tipo di account supportato:

  • Tenant corrente: tenant singolo. Solo account in questa directory organizzativa. Tutti gli account utente e guest nella directory possono usare l'applicazione o l'API. Usare questa opzione se il gruppo di destinatari è interno all'organizzazione.
  • Qualsiasi directory di Microsoft Entra - Multi-tenant. Account in qualsiasi directory organizzativa. Tutti gli utenti con un account aziendale o dell'istituto di istruzione di Microsoft possono usare l'applicazione o l'API. Sono inclusi gli istituti di istruzione e le aziende che usano Office 365. Usare questa opzione se il gruppo di destinatari è costituito da clienti aziendali o di istituti di istruzione e per abilitare il multi-tenancy.
  • Qualsiasi account Microsoft Entra directory e account Microsoft personali. Account in qualsiasi directory organizzativa e account Microsoft personali (ad esempio, Skype, Xbox). Tutti gli utenti con un account aziendale o dell'istituto di istruzione o con un account Microsoft personale possono usare l'applicazione o l'API. Sono inclusi gli istituiti di istruzione e le aziende che usano Office 365, nonché gli account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per definire come destinazione il set più ampio di identità Microsoft e abilitare la multi-tenancy.
  • Solo account Microsoft personali. Account personali usati per accedere a servizi come Xbox e Skype. Usare questa opzione per specificare come destinazione il set più ampio di identità Microsoft.

È possibile modificare il nome della registrazione o i tipi di account supportati in un secondo momento.

Un segreto client viene creato come impostazione dell'applicazione slot-sticky denominata MICROSOFT_PROVIDER_AUTHENTICATION_SECRET. È possibile aggiornare questa impostazione in un secondo momento per usare i riferimenti a Key Vault se si vuole gestire il segreto in Azure Key Vault.

Opzione 2: Usare una registrazione esistente creata separatamente

Uno dei seguenti:

  • Selezionare Seleziona una registrazione dell'app esistente in questa directory e selezionare una registrazione dell'app dall'elenco a discesa.
  • Selezionare Specificare i dettagli di una registrazione dell'app esistente e specificare:
    • ID applicazione (client).
    • Segreto client (scelta consigliata). Valore segreto usato dall'applicazione per dimostrare la propria identità quando si richiede un token. Questo valore viene salvato nella configurazione dell'app come impostazione dell'applicazione slot-sticky denominata MICROSOFT_PROVIDER_AUTHENTICATION_SECRET. Se il segreto client non è impostato, le operazioni di accesso del servizio usano il flusso di concessione implicita OAuth 2.0, che non è* consigliato.
    • URL autorità di certificazione, che assume il formato <authentication-endpoint>/<tenant-id>/v2.0. Sostituire <authentication-endpoint> con il valore dell'endpoint di autenticazione specifico per l'ambiente cloud. Ad esempio, un tenant della forza lavoro in Azure globale userebbe "https://login.microsoftonline.com" come endpoint di autenticazione.

Se è necessario creare manualmente una registrazione dell'app in un tenant della forza lavoro, seguire la guida introduttiva per registrare un'applicazione . Durante il processo di registrazione, assicurarsi di prendere nota dei valori di ID applicazione (client) e segreto client.

Durante il processo di registrazione, nella sezione URI di reindirizzamento selezionare Web per piattaforma e digitare <app-url>/.auth/login/aad/callback. Ad esempio: https://contoso.azurewebsites.net/.auth/login/aad/callback.

Dopo la creazione, modificare la registrazione dell'app:

  1. Nel riquadro di spostamento a sinistra selezionare Esporre un'API>Aggiungi>salva. Questo valore identifica in modo univoco l'applicazione quando viene usata come risorsa, consentendo la richiesta di token che concedono l'accesso. Viene usato come prefisso per gli ambiti creati.

    Per un'app a tenant singolo, è possibile usare il valore predefinito, che è nel formato api://<application-client-id>. È anche possibile specificare un URI più leggibile, ad https://contoso.com/api esempio in base a uno dei domini verificati per il tenant. Per un'app multi-tenant, è necessario fornire un URI personalizzato. Per altre informazioni sui formati accettati per gli URI ID app, vedere le informazioni di riferimento sulle procedure consigliate per le registrazioni delle app.

  2. Seleziona Aggiungi un ambito.

    1. In Nome ambito immettere user_impersonation.
    2. In Chi può fornire il consenso selezionare Amministrazione e utenti se si vuole consentire agli utenti di fornire il consenso a questo ambito.
    3. Nelle caselle di testo immettere il nome dell'ambito del consenso e la descrizione da mostrare agli utenti nella pagina del consenso. Ad esempio, immettere Access <application-name>.
    4. Seleziona Aggiungi ambito.

  3. (Scelta consigliata) Per creare un segreto client:

    1. Nel riquadro di spostamento a sinistra selezionare Certificati e segreti>Segreti>client Nuovo segreto client.
    2. Immettere una descrizione e una scadenza e selezionare Aggiungi.
    3. Nel campo Valore copiare il valore del segreto client. Non verrà visualizzata di nuovo una volta che si esce da questa pagina.

  4. (Facoltativo) Per aggiungere più valori per URL di risposta, selezionare Autenticazione.

Configurare controlli aggiuntivi

Configurare controlli aggiuntivi, che determinano quali richieste sono autorizzate ad accedere all'applicazione. È ora possibile personalizzare questo comportamento o modificare queste impostazioni in un secondo momento dalla schermata Autenticazione principale scegliendo Modifica accanto a Impostazioni di autenticazione.

Per Requisiti dell'applicazione client scegliere se:

  • Consenti richieste solo da questa applicazione
  • Consenti richieste da applicazioni client specifiche
  • Consenti richieste da qualsiasi applicazione (scelta non consigliata)

Per Requisito di identità scegliere se:

  • Consenti richieste da qualsiasi identità
  • Consenti richieste da identità specifiche

Per Requisito tenant scegliere se:

  • Consenti richieste solo dal tenant dell'autorità di certificazione
  • Consenti richieste da tenant specifici
  • Usare le restrizioni predefinite in base all'autorità emittente

L'app potrebbe comunque dover prendere decisioni di autorizzazione aggiuntive nel codice. Per altre informazioni, vedere Usare un criterio di autorizzazione predefinito.

Configurare impostazioni di autenticazione

Queste opzioni determinano il modo in cui l'applicazione risponde alle richieste non autenticate e le selezioni predefinite reindirizzeranno tutte le richieste di accesso con questo nuovo provider. È possibile modificare questo comportamento ora o modificare queste impostazioni in un secondo momento dalla schermata Autenticazione principale scegliendo Modifica accanto a Impostazioni di autenticazione. Per altre informazioni su queste opzioni, vedere Flusso di autenticazione.

Per Limitare l'accesso, decidere se:

  • Richiedere l'autenticazione
  • Consenti accesso non autenticato

Per le richieste non autenticate

  • Reindirizzamento trovato HTTP 302: consigliato per i siti Web
  • HTTP 401 Non autorizzato: consigliato per le API
  • HTTP 403 Non consentito
  • HTTP 404 Non trovato

Selezionare Archivio token (scelta consigliata). L'archivio token raccoglie, archivia e aggiorna i token per l'applicazione. È possibile disabilitare questa opzione in un secondo momento se l'app non richiede token o è necessario ottimizzare le prestazioni.

Aggiungere il provider di identità

Se è stata selezionata la configurazione della forza lavoro, è possibile selezionare Avanti: Autorizzazioni e aggiungere le autorizzazioni di Microsoft Graph necessarie per l'applicazione. Questi verranno aggiunti alla registrazione dell'app, ma è anche possibile modificarli in un secondo momento. Se è stata selezionata la configurazione esterna, è possibile aggiungere le autorizzazioni di Microsoft Graph in un secondo momento.

Selezionare Aggiungi.

È ora possibile usare Microsoft Identity Platform per l'autenticazione nell'app. Il provider verrà elencato nella schermata Autenticazione . Da qui è possibile modificare o eliminare questa configurazione del provider.

Per un esempio di configurazione dell'accesso a Microsoft Entra per un'app Web che accede a Archiviazione di Azure e Microsoft Graph, vedere questa esercitazione.

Autorizzare le richieste

Per impostazione predefinita, servizio app l'autenticazione gestisce solo l'autenticazione, determinando se il chiamante è chi dice di essere. L'autorizzazione, determinando se il chiamante deve avere accesso ad alcune risorse, è un passaggio aggiuntivo oltre l'autenticazione. Per altre informazioni su questi concetti, vedere Nozioni di base sull'autorizzazione di Microsoft Identity Platform.

L'app può prendere decisioni di autorizzazione nel codice. servizio app l'autenticazione fornisce alcuni controlli predefiniti, che possono essere utili, ma potrebbero non essere sufficienti per soddisfare le esigenze di autorizzazione dell'app.

Suggerimento

Le applicazioni multi-tenant devono convalidare l'autorità emittente e l'ID tenant della richiesta come parte di questo processo per assicurarsi che i valori siano consentiti. Quando servizio app l'autenticazione è configurata per uno scenario multi-tenant, non convalida il tenant da cui proviene la richiesta. Potrebbe essere necessario limitare un'app a tenant specifici, in base a se l'organizzazione ha effettuato l'iscrizione al servizio, ad esempio. Vedere le linee guida per Microsoft Identity Platform multi-tenant.

Eseguire convalide dal codice dell'applicazione

Quando si eseguono controlli di autorizzazione nel codice dell'app, è possibile usare le informazioni sulle attestazioni che servizio app l'autenticazione rende disponibile. L'intestazione inserita x-ms-client-principal contiene un oggetto JSON con codifica Base64 con le attestazioni dichiarate sul chiamante. Per impostazione predefinita, queste attestazioni passano attraverso un mapping delle attestazioni, quindi i nomi delle attestazioni potrebbero non corrispondere sempre a quello visualizzato nel token. Ad esempio, viene eseguito il mapping dell'attestazione tid a http://schemas.microsoft.com/identity/claims/tenantid .

È anche possibile usare direttamente il token di accesso sottostante dall'intestazione inserita x-ms-token-aad-access-token .

Usare un criterio di autorizzazione predefinito

La registrazione dell'app creata autentica le richieste in ingresso per il tenant di Microsoft Entra. Per impostazione predefinita, consente anche a chiunque all'interno del tenant di accedere all'applicazione, che è adatta a molte applicazioni. Tuttavia, alcune applicazioni devono limitare ulteriormente l'accesso prendendo decisioni di autorizzazione. Il codice dell'applicazione è spesso la posizione migliore per gestire la logica di autorizzazione personalizzata. Tuttavia, per scenari comuni, Microsoft Identity Platform fornisce controlli predefiniti che è possibile usare per limitare l'accesso.

Questa sezione illustra come abilitare i controlli predefiniti usando l'API di autenticazione V2 servizio app. Attualmente, l'unico modo per configurare questi controlli predefiniti è tramite i modelli di Azure Resource Manager o l'API REST.

All'interno dell'oggetto API, la configurazione del provider di identità Microsoft Entra include una validation sezione che può includere un defaultAuthorizationPolicy oggetto come nella struttura seguente:

{
    "validation": {
        "defaultAuthorizationPolicy": {
            "allowedApplications": [],
            "allowedPrincipals": {
                "identities": []
            }
        }
    }
}
Proprietà Descrizione
defaultAuthorizationPolicy Raggruppamento di requisiti che devono essere soddisfatti per accedere all'app. L'accesso viene concesso in base a una logica su ognuna AND delle proprietà configurate. Quando allowedApplications e allowedPrincipals sono configurati entrambi, la richiesta in ingresso deve soddisfare entrambi i requisiti per essere accettati.
allowedApplications Elenco consentito di ID client dell'applicazione stringa che rappresentano la risorsa client che sta chiamando nell'app. Quando questa proprietà è configurata come matrice non vuoto, verranno accettati solo i token ottenuti da un'applicazione specificata nell'elenco.

Questo criterio valuta l'attestazione appid o azp del token in ingresso, che deve essere un token di accesso. Vedere le informazioni di riferimento sulle attestazioni di Microsoft Identity Platform.
allowedPrincipals Un raggruppamento di controlli che determinano se l'entità rappresentata dalla richiesta in ingresso può accedere all'app. La soddisfazione di allowedPrincipals si basa su una logica OR rispetto alle proprietà configurate.
identities (in allowedPrincipals) Elenco consentito di ID oggetto stringa che rappresentano utenti o applicazioni che hanno accesso. Quando questa proprietà è configurata come matrice non valida, il allowedPrincipals requisito può essere soddisfatto se l'utente o l'applicazione rappresentata dalla richiesta viene specificata nell'elenco. È previsto un limite di 500 caratteri nell'elenco delle identità.

Questo criterio valuta l'attestazione oid del token in ingresso. Vedere le informazioni di riferimento sulle attestazioni di Microsoft Identity Platform.

Inoltre, alcuni controlli possono essere configurati tramite un'impostazione dell'applicazione, indipendentemente dalla versione dell'API usata. L'impostazione dell'applicazione WEBSITE_AUTH_AAD_ALLOWED_TENANTS può essere configurata con un elenco delimitato da virgole di un massimo di 10 ID tenant, ad esempio "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebcebc") per richiedere che il token in ingresso provena da uno dei tenant specificati, come specificato dall'attestazione tid . L'impostazione WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL dell'applicazione può essere configurata su "true" o "1" per richiedere al token in ingresso di includere un'attestazione oid . Questa impostazione viene ignorata e considerata come true se allowedPrincipals.identities è stata configurata (poiché l'attestazione oid viene verificata in base a questo elenco specificato di identità).

Alle richieste che non soddisfano questi controlli predefiniti viene assegnata una risposta HTTP 403 Forbidden .

Configurare le app client per accedere alle servizio app

Nelle sezioni precedenti è stata registrata la servizio app o la funzione di Azure per autenticare gli utenti. Questa sezione illustra come registrare client nativi o app daemon in Microsoft Entra in modo che possano richiedere l'accesso alle API esposte dal servizio app per conto di utenti o utenti stessi, ad esempio in un'architettura a più livelli. Il completamento dei passaggi in questa sezione non è necessario se si vuole solo autenticare gli utenti.

Applicazione client nativa

È possibile registrare client nativi per richiedere l'accesso alle API dell'app servizio app per conto di un utente connesso.

  1. Dal menu del portale selezionare Microsoft Entra.

  2. Nel riquadro di spostamento a sinistra selezionare Registrazioni app> Nuova registrazione.

  3. Nella pagina Registra un'applicazione immettere un valore per Nome per la registrazione dell'app.

  4. In URI di reindirizzamento selezionare Client pubblico (per dispositivi mobili e desktop) e digitare l'URL <app-url>/.auth/login/aad/callback. Ad esempio: https://contoso.azurewebsites.net/.auth/login/aad/callback.

  5. Selezionare Registra.

  6. Dopo la creazione della registrazione dell'app, copiare il valore di ID applicazione (client).

    Nota

    Per un'applicazione di Microsoft Store, usare invece il SID pacchetto come URI.

  7. Nel riquadro di spostamento a sinistra selezionare Autorizzazioni>API Aggiungi un'autorizzazione>API personali.

  8. Selezionare la registrazione creata in precedenza per l'app del servizio app. Se la registrazione dell'app non viene visualizzata, assicurarsi di aver aggiunto l'ambito user_impersonation nella registrazione dell'app.

  9. Selezionare user_impersonation in Autorizzazioni delegate, quindi selezionare Aggiungi autorizzazioni.

È stata configurata un'applicazione client nativa che può richiedere l'accesso all'app servizio app per conto di un utente.

Applicazione client daemon (chiamate da servizio a servizio)

In un'architettura a più livelli, l'applicazione client può acquisire un token per chiamare un servizio app o un'app per le funzioni per conto dell'app client stessa (non per conto di un utente). Questo scenario è utile per le applicazioni daemon non interattive che eseguono attività senza un utente connesso. Usa la concessione di credenziali client OAuth 2.0 standard.

  1. Dal menu del portale selezionare Microsoft Entra.
  2. Nel riquadro di spostamento a sinistra selezionare Registrazioni app> Nuova registrazione.
  3. Nella pagina Registra un'applicazione immettere un valore per Nome per la registrazione dell'app.
  4. Per un'applicazione daemon, non è necessario un URI di reindirizzamento, quindi è possibile lasciare questo campo vuoto.
  5. Selezionare Registra.
  6. Dopo la creazione della registrazione dell'app, copiare il valore di ID applicazione (client).
  7. Nel riquadro di spostamento a sinistra selezionare Certificati e segreti>Segreti>client Nuovo segreto client.
  8. Immettere una descrizione e una scadenza e selezionare Aggiungi.
  9. Nel campo Valore copiare il valore del segreto client. Non verrà visualizzata di nuovo una volta che si esce da questa pagina.

È ora possibile richiedere un token di accesso usando l'ID client e il segreto client impostando il parametro resource sull'URI ID applicazione dell'app di destinazione. Il token di accesso risultante può quindi essere presentato all'app di destinazione usando l'intestazione di autorizzazione OAuth 2.0 standard e servizio app l'autenticazione convaliderà e userà il token come di consueto per indicare ora che il chiamante (in questo caso, non un utente) è autenticato.

Al momento, ciò consente a qualsiasi applicazione client nel tenant di Microsoft Entra di richiedere un token di accesso ed eseguire l'autenticazione all'app di destinazione. Se si vuole anche applicare l'autorizzazione per consentire solo determinate applicazioni client, è necessario eseguire alcune configurazioni aggiuntive.

  1. Definire un ruolo dell'app nel manifesto della registrazione dell'app che rappresenta il servizio app o l'app per le funzioni che si vuole proteggere.
  2. Nella registrazione app che rappresenta il client che deve essere autorizzato selezionare Autorizzazioni API>Aggiungi un'autorizzazione>API personali.
  3. Selezionare la registrazione app creata in precedenza. Se la registrazione app non è visualizzata, verificare di aver aggiunto un ruolo dell'app.
  4. In Autorizzazioni applicazione selezionare il ruolo dell'app creato in precedenza e quindi selezionare Aggiungi autorizzazioni.
  5. Assicurarsi di selezionare Concedi il consenso amministratore per autorizzare l'applicazione client a richiedere l'autorizzazione.
  6. Analogamente allo scenario precedente (prima dell'aggiunta di eventuali ruoli), è ora possibile richiedere un token di accesso per la stessa resource di destinazione e il token di accesso includerà un'attestazione roles contenente i ruoli dell'app autorizzati per l'applicazione client.
  7. All'interno del servizio app di destinazione o del codice dell'app per le funzioni, è ora possibile verificare che i ruoli previsti siano presenti nel token (questa operazione non viene eseguita dall'autenticazione servizio app). Per altre informazioni, vedere Accedere alle attestazioni utente.

È stata configurata un'applicazione client daemon che può accedere all'app del servizio app usando la propria identità.

Procedure consigliate

Indipendentemente dalla configurazione usata per configurare l'autenticazione, le procedure consigliate seguenti mantengono più sicuro il tenant e le applicazioni:

  • Configurare ogni app servizio app con la propria registrazione dell'app in Microsoft Entra.
  • Assegnare a ogni app del servizio app le autorizzazioni specifiche e il consenso.
  • Evitare la condivisione delle autorizzazioni tra ambienti usando registrazioni di app separate per slot di distribuzione distinti. Quando si esegue il test di nuovo codice, questa procedura consente di evitare problemi che influiscono sull'app di produzione.

Eseguire la migrazione a Microsoft Graph

Alcune app meno recenti potrebbero anche essere state configurate con una dipendenza dal graph di Azure AD deprecato, che è pianificato per il ritiro completo. Ad esempio, il codice dell'app potrebbe aver chiamato Azure AD Graph per controllare l'appartenenza al gruppo come parte di un filtro di autorizzazione in una pipeline middleware. Le app devono passare a Microsoft Graph seguendo le indicazioni fornite da Microsoft Entra come parte del processo di deprecazione di Azure AD Graph. In seguito a queste istruzioni, potrebbe essere necessario apportare alcune modifiche alla configurazione dell'autenticazione di servizio app. Dopo aver aggiunto le autorizzazioni di Microsoft Graph alla registrazione dell'app, è possibile:

  1. Aggiornare l'URL dell'autorità di certificazione per includere il suffisso "/v2.0", se non è già stato fatto.

  2. Rimuovere le richieste di autorizzazioni di Azure AD Graph dalla configurazione di accesso. Le proprietà da modificare dipendono dalla versione dell'API di gestione in uso:

    • Se si usa l'API V1 (/authsettings), questa si trova nella additionalLoginParams matrice.
    • Se si usa l'API V2 (/authsettingsV2), questa si trova nella loginParameters matrice.

    È necessario rimuovere qualsiasi riferimento a "https://graph.windows.net", ad esempio. Questo include il resource parametro (che non è supportato dall'endpoint "/v2.0") o qualsiasi ambito richiesto specificamente da Azure AD Graph.

    È anche necessario aggiornare la configurazione per richiedere le nuove autorizzazioni di Microsoft Graph configurate per la registrazione dell'applicazione. È possibile usare l'ambito predefinito per semplificare questa configurazione in molti casi. A tale scopo, aggiungere un nuovo parametro scope=openid profile email https://graph.microsoft.com/.defaultdi accesso .

Con queste modifiche, quando servizio app l'autenticazione tenta di accedere, non richiederà più le autorizzazioni per Azure AD Graph e otterrà invece un token per Microsoft Graph. Qualsiasi uso di tale token dal codice dell'applicazione deve anche essere aggiornato, in base alle indicazioni fornite da Microsoft Entra.

Passaggi successivi