Condividi tramite


Descrizioni delle funzionalità di Microsoft 365

User account management

Microsoft supporta i metodi seguenti per la creazione, la gestione e l'autenticazione degli utenti. Questo argomento non include tuttavia informazioni sulle funzionalità di sicurezza che consentono o impediscono l'accesso alle singole risorse Microsoft, ad esempio il controllo degli accessi in base al ruolo in Microsoft Exchange Online o la configurazione della sicurezza in Microsoft SharePoint Online. Per informazioni dettagliate su queste funzionalità, vedere la descrizione del servizio Exchange Online e la descrizione del servizio SharePoint Online. Se sono necessarie informazioni sugli strumenti che consentono di eseguire attività amministrative, vedere Strumenti per gestire gli account Microsoft. Per informazioni su come eseguire attività di gestione quotidiane, vedere Attività di gestione comuni.

Serve assistenza per l'accesso, l'installazione o la disinstallazione o l'annullamento della sottoscrizione?: Ottenere assistenza per: accesso | installazione o disinstallazione di Office | Annullamento Office 365

Per altri problemi, visitare il Centro supporto tecnico Microsoft. Per ottenere supporto per Office 365 gestito da 21Vianet in Cina, contattare il team di supporto di 21Vianet.

Opzioni di accesso: Microsoft dispone di due sistemi che possono essere usati per le identità utente: account aziendale o dell'istituto di istruzione (identità cloud) e account federato (identità federata). Il tipo di identità influisce sull'esperienza utente e sulle opzioni di gestione degli account utente, oltre che sui requisiti hardware e software e su altre considerazioni di distribuzione.

Account aziendale o dell'istituto di istruzione (identità cloud): gli utenti ricevono Microsoft Entra credenziali cloud, separate da altre credenziali desktop o aziendali, per l'accesso ai servizi cloud Microsoft. Si tratta dell'identità predefinita che viene consigliata per poter minimizzare la complessità della distribuzione. Le password per gli account aziendali o dell'istituto di istruzione usano i criteri password Microsoft Entra ID.

Account federato (identità federata): per tutte le sottoscrizioni nelle organizzazioni con Active Directory locale che usano l'accesso Single Sign-On (SSO), gli utenti possono accedere ai servizi Microsoft usando le credenziali di Active Directory. I criteri password sono memorizzati e controllati dall'implementazione di Active Directory dell'azienda. Per ulteriori informazioni sull'accesso Single Sign-On, vedere Single Sign-On: roadmap.

Single Sign-On: Per le organizzazioni che usano l'accesso Single Sign-On, tutti gli utenti di un dominio devono usare lo stesso sistema di identità: identità cloud o identità federata. Ad esempio, è possibile avere un gruppo di utenti che necessitano solo di un'identità cloud perché non accedono ai sistemi locali e a un altro gruppo di utenti che usano microsoft e sistemi locali. Aggiungere due domini a Office 365, ad esempio contractors.contoso.com e staff.contoso.com, e configurare l'accesso SSO solo per uno di essi. L'intero dominio può essere convertito da cloud a federato o viceversa.

Autenticazione: Ad eccezione dei siti Internet per l'accesso anonimo creato con SharePoint Online, gli utenti devono essere autenticati quando accedono ai servizi Microsoft. Autenticazione moderna, autenticazione dell'identità cloud e autenticazione dell'identità federata. Microsoft usa l'autenticazione basata su moduli e il traffico di autenticazione in rete viene sempre crittografato con TLS/SSL usando la porta 443. Il traffico di autenticazione usa una percentuale trascurabile di larghezza di banda per i servizi Microsoft.

Autenticazione moderna : l'autenticazione moderna porta l'accesso basato su Microsoft Authentication Library alle app client di Office su più piattaforme. In questo modo, vengono abilitate le funzionalità di accesso, ad esempio, Multi-Factor Authentication (MFA), provider di identità di terze parti basati su SAML con applicazioni client di Office e autenticazione basata su smart card e certificato. Inoltre, Microsoft Outlook non deve più utilizzare il protocollo di autenticazione di base. Per altre informazioni, inclusa la disponibilità dell'autenticazione moderna nelle applicazioni di Office, vedere Funzionamento dell'autenticazione moderna per le app client di Office 2013 e Office 2016. L'autenticazione moderna è attivata per impostazione predefinita per Exchange Online. Per informazioni su come attivarlo o disattivarlo, vedere Abilitare l'autenticazione moderna in Exchange Online.

Autenticazione delle identità cloud : gli utenti con identità cloud vengono autenticati usando la richiesta/risposta tradizionale. Il Web browser viene reindirizzato al servizio di accesso Microsoft, in cui si digitano il nome utente e la password per l'account aziendale o dell'istituto di istruzione. Il servizio di accesso autentica le credenziali dell'utente e genera un token di servizio, che viene inviato dal Web browser al servizio richiesto per effettuare l'accesso.

Autenticazione dell'identità federata: gli utenti con identità federate vengono autenticati usando Active Directory Federation Services (AD FS) 2.0 o altri servizi token di sicurezza. Il Web browser viene reindirizzato al servizio di accesso Microsoft, in cui si digita l'ID aziendale nel formato UPN (User Principal Name), ad esempio: isabel@contoso.com. Il servizio di accesso determina che si fa parte di un dominio federato e offre il reindirizzamento al server federativo locale per l'autenticazione. Se si è connessi al desktop (aggiunto a un dominio), si viene autenticati (usando Kerberos o NTLMv2) e il servizio token di sicurezza locale genera un token di accesso, che il Web browser invia al servizio di accesso Microsoft. Utilizzando il token di accesso, il servizio di accesso genera un token di servizio che viene inviato dal Web browser al servizio richiesto per effettuare l'accesso. Per un elenco dei servizi token di sicurezza disponibili, vedere Single Sign-On: Roadmap.

Multi-Factor Authentication: Con Multi-Factor Authentication, gli utenti devono confermare una telefonata, un SMS o una notifica dell'app sul proprio smartphone dopo aver immesso correttamente la password. L'utente può accedere solo dopo la seconda autenticazione. Gli amministratori Microsoft possono registrare gli utenti per l'autenticazione a più fattori nel interfaccia di amministrazione di Microsoft 365. Altre informazioni su Multi-Factor Authentication.

Autenticazione rich client: Per i client avanzati, ad esempio le applicazioni desktop di Microsoft Office, l'autenticazione può essere eseguita in due modi: Microsoft Online Services Sign-In Assistant e Autenticazione di base/proxy tramite SSL. Per garantire l'individuazione e l'autenticazione appropriate dei servizi Microsoft, gli amministratori devono applicare un set di componenti e aggiornamenti a ogni workstation che usa client avanzati (ad esempio Microsoft Office 2010) e si connette a Office 365. La configurazione desktop è uno strumento automatizzato per configurare le workstation con gli aggiornamenti necessari. Per altre informazioni, vedere Usare le app desktop di Office correnti.

Microsoft Online Services Sign-In Assistant: il assistente di accesso, installato dal programma di installazione desktop, contiene un servizio client che ottiene un token del servizio dal servizio di accesso e lo restituisce al client completo. Se si dispone di un'identità cloud, viene visualizzata una richiesta di credenziali che il servizio client invia al servizio di accesso per l'autenticazione (tramite WS-Trust). Se si dispone di un'identità federata, il servizio client contatta innanzitutto il server AD FS 2.0 per autenticare le credenziali (usando Kerberos o NTLMv2) e ottenere un token di accesso inviato al servizio di accesso (usando WS-Federation e WS-Trust).

Autenticazione di base/proxy tramite SSL: il client outlook passa le credenziali di autenticazione di base tramite SSL a Exchange Online. Exchange Online proxy della richiesta di autenticazione alla piattaforma identity e quindi per Active Directory locale Server federativo (per SSO).

Esperienza di accesso: L'esperienza di accesso cambia a seconda del tipo di identità in uso:

Servizio Identità cloud Identità federativa
Outlook 2016 Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
Outlook 2013 Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
Outlook 2010 o Office 2007 in Windows 7 Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
Outlook 2010 o Office Outlook 2007 in Windows Vista Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
Microsoft Exchange ActiveSync Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
POP, IMAP, Outlook per Mac Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2
Esperienze Web: interfaccia di amministrazione di Microsoft 365/Outlook sul web/SharePoint Online/Office per il web Richiede l'accesso a ogni sessione del browser 4 Richiede l'accesso a ogni sessione 3
Office 2010 o Office 2007 con SharePoint Online Richiede l'accesso a ogni sessione SharePoint Online4 Richiede l'accesso a ogni sessione SharePoint Online3
Skype for Business online Richiede l'accesso a ogni sessione 1 Nessuna richiesta
Outlook per Mac Richiede l'accesso a ogni sessione 1 Richiede l'accesso a ogni sessione 2

1 Quando richiesto per la prima volta, è possibile salvare la password per un uso futuro. Non si riceverà un'altra richiesta fino a quando non si modifica la password.
2 Immettere le credenziali aziendali. È possibile salvare la password e non verrà richiesto di nuovo fino a quando la password non viene modificata.
3 Tutte le app richiedono l'immissione o la selezione del nome utente per l'accesso. Non viene richiesta la password se il computer è aggiunto al dominio. Se si seleziona Mantieni l'accesso , non verrà richiesto di nuovo fino alla disconnessione.
4 Se si seleziona Mantieni l'accesso , non verrà richiesto di nuovo fino alla disconnessione.

Creare account utente: Esistono diversi modi per aggiungere utenti. Per altre informazioni, vedere Aggiungere utenti singolarmente o in blocco - Amministrazione Guida e Aggiungere utenti e assegnare licenze - Amministratore di Microsoft 365 | Microsoft Docs. Se si usa Office 365 gestito da 21Vianet in Cina, vedere Creare o modificare account utente in Office 365 gestito da 21Vianet - Amministrazione Guida.

Eliminare gli account utente: La modalità di eliminazione degli account dipende dal fatto che si usi o meno la sincronizzazione della directory. Se non si usa la sincronizzazione della directory, è possibile eliminare gli account usando la pagina di amministrazione o Windows PowerShell. Se si usa la sincronizzazione della directory, è necessario eliminare gli utenti da Active Directory locale anziché da Office 365.

Account eliminati: Quando un account viene eliminato, diventa inattivo. Dopo circa 30 giorni dall'eliminazione è possibile ripristinare l'account. Per altre informazioni sull'eliminazione e il ripristino di account, vedere Eliminare gli utenti e ripristinare gli utenti oppure, se si usa Office 365 gestito da 21Vianet in Cina, vedere Creare o modificare account utente in Office 365 gestiti da 21Vianet - Amministrazione Guida.

Gestione delle password: I criteri e le procedure per la gestione delle password dipendono dal sistema di gestione delle identità.

Gestione delle password delle identità cloud: Quando si usano le identità cloud, le password vengono generate automaticamente al momento della creazione dell'account. Per i requisiti di complessità delle password per le identità cloud, vedere criterio password. Per aumentare la sicurezza, gli utenti devono modificare le password quando accedono per la prima volta ai servizi Microsoft. Di conseguenza, prima che gli utenti possano accedere ai servizi Microsoft, devono accedere al interfaccia di amministrazione di Microsoft 365, dove viene richiesto di modificare le password. Gli amministratori possono impostare il criterio di scadenza per le password. Per ulteriori informazioni, vedere Impostazione di criteri di scadenza della password per l'utente.

Reimpostazione della password dell'identità cloud: Sono disponibili diversi strumenti per reimpostare le password per gli utenti con identità cloud: Amministrazione reimposta la password,l'utente modifica le password con Outlook sul web, i diritti di reimpostazione delle password in base al ruolo e reimposta le password usando Windows PowerShell.

Amministrazione reimposta la password: se gli utenti perdono o dimenticano le password, gli amministratori possono reimpostare le password degli utenti nell'interfaccia di amministrazione o usando Windows PowerShell. Gli utenti possono cambiare la password solo se conoscono quella corrente. Per i piani aziendali, se gli amministratori perdono o dimenticano le password, un amministratore diverso con il ruolo Amministratore globale può reimpostare le password degli amministratori nel interfaccia di amministrazione di Microsoft 365 o usando Windows PowerShell. Per ulteriori informazioni, vedere Reimpostare la password dell'amministratore. Se si lavora in Office 365 gestito da 21Vianet in Cina, vedere Modificare o reimpostare le password in Office 365 gestito da 21Vianet.

L'utente modifica le password con Outlook sul web: la pagina delle opzioni di Outlook sul web include un collegamento ipertestuale Modifica password, che reindirizza gli utenti alla pagina Cambia password. L'utente deve conoscere la password precedente. Per ulteriori informazioni, vedere Modificare la password. Se si usa Office 365 gestito da 21Vianet in Cina, vedere Modificare o reimpostare le password in Office 365 gestito da 21Vianet.

Diritti delle password di reimpostazione in base al ruolo : per i piani aziendali, agli utenti autorizzati, ad esempio il personale del supporto tecnico, è possibile assegnare il diritto utente Reimposta password e il diritto di modificare le password usando ruoli predefiniti o personalizzati senza diventare amministratori completi dei servizi. Per impostazione predefinita nei piani aziendali, gli amministratori con il ruolo Amministratore globale, Amministratore password o Amministratore gestione utenti possono modificare le password. Per ulteriori informazioni, vedere Assegnazione di ruoli di amministratore.

Reimpostare le password usando Windows PowerShell: gli amministratori del servizio possono usare Windows PowerShell per reimpostare le password.

Gestione federata delle password di identità: Quando si usano identità federate, le password vengono gestite in Active Directory. Il servizio token di sicurezza locale negozia l'autenticazione con il gateway federativo senza passare le password di Active Directory locali degli utenti su Internet per Office 365. Vengono utilizzati criteri password locali o, per i client Web, l'identificazione a due fattori. Outlook sul web non include un collegamento ipertestuale Modifica password. Gli utenti possono cambiare password utilizzando gli strumenti standard locali o tramite le opzioni di accesso del proprio PC desktop.

Sincronizzazione directory: Se si dispone di Sincronizzazione directory con accesso Single Sign-On (SSO) abilitato nell'ambiente dell'organizzazione e si verifica un'interruzione che influisce sul provider di identità federato, il backup della sincronizzazione password per l'accesso federato offre l'opzione per passare manualmente al dominio in Sincronizzazione password. L'uso di Sincronizzazione password consentirà agli utenti di accedere mentre l'interruzione è stata risolta. Informazioni su come passare da Single Sign-On a Password Sync.

Gestione delle licenze: Una licenza consente a un utente di accedere a un set di servizi Microsoft. Un amministratore assegna una licenza a ogni utente per il servizio al quale desidera accedere. Per esempio, è possibile assegnare a un utente l'accesso a Skype for Business online, ma non a SharePoint Online.

Fatturazione: Gli amministratori della fatturazione Microsoft possono apportare modifiche ai dettagli della sottoscrizione, ad esempio il numero di licenze utente e il numero di servizi aggiuntivi usati dall'azienda. Vedere Assegnare o rimuovere una licenza. Se si usa Office 365 gestito da 21Vianet, vedere Assegnare o rimuovere licenze in Office 365 gestito da 21Vianet.

Gestione dei gruppi: I gruppi di sicurezza vengono usati in SharePoint Online per controllare l'accesso ai siti. I gruppi di sicurezza possono essere creati nel interfaccia di amministrazione di Microsoft 365. Per ulteriori informazioni sui gruppi di protezione, vedere Creare, modificare o eliminare un gruppo di sicurezza.

Microsoft Entra servizi: Microsoft Entra ID offre funzionalità complete di gestione delle identità e degli accessi ai Office 365. Unisce servizi di directory, governance d'identità avanzata, gestione degli accessi all'applicazione e una piattaforma basata su standard compositi per sviluppatori. Altre informazioni sulle edizioni Free, Basic e Premium di Microsoft Entra ID.

Disponibilità delle funzionalità: Per visualizzare la disponibilità delle funzionalità tra i piani, vedere Microsoft 365 e Office 365 descrizione del servizio della piattaforma.