Condividi tramite

Accesso Single Sign-On facile di Microsoft Entra

  • Articolo

Che cos'è l'accesso Single Sign-On facile di Microsoft Entra?

L'accesso Single Sign-On (SSO) facile di Microsoft Entra consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale. Quando è abilitato, gli utenti non hanno bisogno di digitare le password per accedere a Microsoft Entra ID e, di solito non devono digitare nemmeno i nomi utente. Gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare componenti aggiuntivi in locale.

L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. L'accesso Single Sign-On facile non è applicabile ad Active Directory Federation Services (AD FS).

Accesso Single Sign-on facile

accesso Single Sign-On tramite token di aggiornamento primario rispetto a Seamless SSO

Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso Single Sign-On tramite token di aggiornamento primario (PRT). Per Windows 7 e Windows 8.1, è consigliabile usare l'accesso Single Sign-On facile. L'accesso Single Sign-On facile richiede che il dispositivo dell'utente sia aggiunto a un dominio, ma non viene usato nei dispositivi Windows 10 aggiunti a Microsoft Entra o nei dispositivi aggiunti a Microsoft Entra ibrido. L'accesso Single Sign-On nei dispositivi aggiunti a Microsoft Entra, Microsoft Entra ibrido e Microsoft Entra registrato funziona in base al Token di aggiornamento primario (PRT)

L'accesso SSO tramite token di aggiornamento primario funziona dopo che i dispositivi sono stati registrati con Microsoft Entra ID per i dispositivi aggiunti a Microsoft Entra ibridi, aggiunti a Microsoft Entra o i dispositivi personali registrati tramite Aggiungi account aziendale o dell'istituto di istruzione. Per altre informazioni sul funzionamento dell'accesso Single Sign-On con Windows 10 tramite PRT, vedere: Token di aggiornamento primario (PRT) e Microsoft Entra ID

Vantaggi chiave

  • Miglioramento dell'esperienza utente
    • Gli utenti accedono automaticamente sia alle applicazioni locali sia a quelle basate su cloud.
    • Gli utenti non devono inserire ripetutamente le password.
  • Facilità di distribuzione e gestione
    • Non sono necessari componenti aggiuntivi locali per usare la funzionalità.
    • Funziona con qualsiasi metodo di autenticazione cloud: Sincronizzazione dell'hash delle password o Autenticazione pass-through.
    • Può essere implementato per alcuni o tutti gli utenti usando Criteri di gruppo.
    • Registrare dispositivi non Windows 10 con Microsoft Entra ID, senza che sia necessaria un'infrastruttura AD FS. Per questa funzionalità è necessaria la versione 2.1 o successiva del client Workplace Join.

Caratteristiche essenziali delle funzionalità

  • Il nome utente usato per l'accesso può essere il nome utente predefinito locale (userPrincipalName) o un altro attributo configurato in Microsoft Entra Connect (Alternate ID). Sono supportati entrambi i casi d'uso, perché l'accesso Single Sign-On facile usa l'attestazione securityIdentifier nel ticket Kerberos per cercare l'oggetto utente corrispondente in Microsoft Entra ID.
  • L'accesso SSO facile è una funzionalità opportunistica. Se per qualche motivo ha esito negativo, l'esperienza di accesso dell'utente ritorna al comportamento normale, ovvero l'utente deve immettere la propria password nella pagina di accesso.
  • Se un'applicazione, ad esempio https://myapps.microsoft.com/contoso.com, inoltra un parametro domain_hint (OpenID Connect) o whr (SAML) per identificare il tenant o un parametro login_hint per identificare l'utente nella richiesta di accesso a Microsoft Entra, l'accesso degli utenti viene effettuato automaticamente, senza la necessità di immettere i nomi utente o le password.
  • Gli utenti possono inoltre usufruire di un'esperienza di accesso automatico nei casi in cui un'applicazione, ad esempio https://contoso.sharepoint.com, invii richieste di accesso agli endpoint di Microsoft Entra ID configurati come tenant, ovvero https://login.microsoftonline.com/contoso.com/<..> o https://login.microsoftonline.com/<tenant_ID>/<..>, anziché all'endpoint comune di Microsoft Entra ID (https://login.microsoftonline.com/common/<...>).
  • La disconnessione non è supportata. In questo modo gli utenti possono scegliere di eseguire l'accesso con un altro account di Microsoft Entra anziché accedere automaticamente tramite l'accesso Single Sign-On facile.
  • I client Microsoft 365 Win32 (Outlook, Word, Excel e altri) con versioni 16.0.8730.xxxx e successive sono supportati usando un flusso non interattivo. Per OneDrive, è necessario attivare la funzionalità di configurazione automatica di OneDrive per un'esperienza di accesso automatico.
  • Può essere abilitata tramite la funzionalità di connessione di Microsoft Entra.
  • Questa è una funzionalità gratuita e non è necessaria alcuna edizione a pagamento di Microsoft Entra ID per usarla.
  • Può essere usata per i client basati su Web browser e i client di Office che supportano l'autenticazione moderna nelle piattaforme e nei browser idonei per l'autenticazione Kerberos:
SO\Browser Internet Explorer Microsoft Edge**** Google Chrome Mozilla Firefox Safari
Windows 10 Sì* Sì*** N/D
Windows 8.1 Sì* Sì**** Sì*** N/D
Windows 8 Sì* N/D Sì*** N/D
Windows Server 2012 R2 o versione successiva Sì** N/D Sì*** N/D
Mac OS X N/D N/D Sì*** Sì*** Sì***

Nota

La versione legacy di Microsoft Edge non è più supportata

*Richiede Internet Explorer versione 11 o successiva. (A partire dal 17 agosto 2021, le app e i servizi di Microsoft 365 non supporteranno Internet Explorer 11).

**Richiede Internet Explorer versione 11 o successiva. Disabilitare la modalità protetta avanzata.

***Richiede configurazione aggiuntiva.

****Microsoft Edge basato su Chromium

Passaggi successivi