Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Che cos'è l'ID di accesso alternativo?
Nella maggior parte degli scenari, gli utenti usano l'UPN (User Principal Names) per accedere ai propri account. Tuttavia, in alcuni ambienti a causa di criteri aziendali o dipendenze di applicazioni line-of-business locali, gli utenti potrebbero usare un altro tipo di accesso.
Annotazioni
Le procedure consigliate da Microsoft sono l'abbinamento tra UPN e indirizzo SMTP primario. Questo articolo si rivolge alla piccola percentuale di clienti che non possono risolvere le discrepanze tra gli UPN affinché corrispondano.
Ad esempio, possono usare il loro indirizzo email per l'accesso e esso può essere differente dal loro UPN. Ciò è particolarmente comune negli scenari in cui l'UPN non è instradabile. Si consideri un utente Jane Doe con UPN jdoe@contoso.local
e indirizzo jdoe@contoso.com
di posta elettronica . Jane potrebbe non essere nemmeno a conoscenza dell'UPN perché ha sempre usato il suo ID di posta elettronica per l'accesso. L'uso di qualsiasi altro metodo di accesso anziché dell'UPN costituisce un ID alternativo. Per altre informazioni sulla creazione dell'UPN, vedere Popolamento di Microsoft Entra UserPrincipalName.
Active Directory Federation Services (AD FS) consente alle applicazioni federate che usano AD FS di accedere tramite ID alternativo. In questo modo gli amministratori possono specificare un'alternativa all'UPN predefinito da usare per l'accesso. AD FS supporta già l'uso di qualsiasi forma di identificatore utente accettato da Active Directory Domain Services (AD DS). Se configurata per l'ID alternativo, AD FS consente agli utenti di accedere usando il valore ID alternativo configurato, ad esempio l'ID di posta elettronica. L'uso dell'ID alternativo consente di adottare provider SaaS come Office 365 senza modificare gli UPN locali. Consente inoltre di supportare applicazioni di servizio aziendali con identità fornite dai consumatori.
ID alternativo in Microsoft Entra ID
Un'organizzazione potrebbe dover usare un ID alternativo negli scenari seguenti:
- Il nome di dominio locale non è instradabile, ad esempio
contoso.local
, e di conseguenza il nome dell'entità utente predefinito non è instradabile (jdoe@contoso.local
). Impossibile modificare l'UPN esistente a causa delle dipendenze dell'applicazione locale o dei criteri aziendali. Microsoft Entra ID e Office 365 richiedono che tutti i suffissi di dominio associati alla directory Microsoft Entra siano completamente instradabili su Internet. - L'UPN locale non è uguale all'indirizzo di posta elettronica dell'utente. Per accedere a Office 365, gli utenti utilizzano l'indirizzo di posta elettronica e l'UPN non può essere utilizzato a causa di vincoli organizzativi. Negli scenari indicati in precedenza, l'ID alternativo con AD FS consente agli utenti di accedere all'ID Microsoft Entra senza modificare gli UPN locali.
Configurare l'ID di accesso alternativo
Con Microsoft Entra Connect è consigliabile usare Microsoft Entra Connect per configurare l'ID di accesso alternativo per l'ambiente.
- Per una nuova configurazione di Microsoft Entra Connect, vedere Connettersi all'ID Microsoft Entra per istruzioni dettagliate su come configurare l'ID alternativo e la farm AD FS.
- Per le installazioni esistenti di Microsoft Entra Connect, vedere Modifica del metodo di accesso utente per istruzioni sulla modifica del metodo di accesso ad AD FS
Quando Microsoft Entra Connect fornisce informazioni dettagliate sull'ambiente AD FS, verifica automaticamente la presenza della knowledge base corretta in AD FS e configura AD FS per l'ID alternativo, incluse tutte le regole di attestazione appropriate necessarie per l'attendibilità federativa di Microsoft Entra. Non è necessario alcun passaggio aggiuntivo all'esterno della procedura guidata per configurare l'ID alternativo.
Annotazioni
Microsoft consiglia di usare Microsoft Entra Connect per configurare l'ID di accesso alternativo.
Configurare manualmente l'ID alternativo
Per configurare un ID di accesso alternativo, è necessario eseguire le attività seguenti:
Configurare i trust del provider di attestazioni AD FS per abilitare l'ID di accesso alternativo
Se si dispone di Windows Server 2012 R2, assicurarsi di aver installato KB2919355 in tutti i server AD FS. È possibile ottenerlo tramite Windows Update Services o scaricarlo direttamente.
Aggiornare la configurazione di AD FS eseguendo il cmdlet di PowerShell seguente in uno dei server federativi della farm (se si dispone di una farm WID, è necessario eseguire questo comando nel server AD FS primario nella farm):
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
AlternateLoginID è il nome LDAP dell'attributo che si vuole usare per l'accesso.
LookupForests è l'elenco di DNS della foresta a cui appartengono gli utenti.
Per abilitare la funzionalità di ID di accesso alternativo, è necessario configurare sia i parametri -AlternateLoginID che i parametri -LookupForests con un valore non Null valido.
Nell'esempio seguente si abilitano funzionalità di ID di accesso alternative in modo che gli utenti con account in contoso.com e fabrikam.com foreste possano accedere alle applicazioni abilitate per AD FS con il relativo attributo "mail".
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
- Per disabilitare questa funzionalità, impostare il valore per entrambi i parametri su null.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
Autenticazione moderna ibrida con ID alternativo
Importante
È stato testato solo contro AD FS e non contro provider di identità di terze parti.
Exchange e Skype for Business
Se si usa un ID di accesso alternativo con Exchange e Skype for Business, l'esperienza utente varia a seconda che si usi o meno HMA.
Annotazioni
Per un'esperienza utente finale ottimale, Microsoft consiglia di usare l'autenticazione moderna ibrida.
o altre informazioni, vedere Panoramica dell'autenticazione moderna ibrida
Prerequisiti per Exchange e Skype for Business
Di seguito sono riportati i prerequisiti per ottenere l'accesso SSO con ID alternativo.
- Exchange Online deve avere l'autenticazione moderna attivata.
- Skype for Business (SFB) Online deve avere l'autenticazione moderna attivata.
- Exchange locale deve avere l'autenticazione moderna attivata. Exchange 2013 CU19 o Exchange 2016 CU18 e versioni successive sono necessari su tutti i server Exchange. Nessun Exchange 2010 nell'ambiente.
- Skype for Business locale deve avere l'autenticazione moderna attivata.
- È necessario usare i client Exchange e Skype con l'autenticazione moderna abilitata. Tutti i server devono eseguire SFB Server 2015 CU5.
- Client Skype for Business che supportano l'autenticazione moderna
- iOS, Android, Windows Phone
- SFB 2016 (MA è ATTIVATO per impostazione predefinita, ma assicurarsi che non sia stato disabilitato).
- SFB 2013 (MA è disattivato per impostazione predefinita, quindi verificare che MA sia attivato).
- desktop SFB Mac
- Client di Exchange che supportano l'autenticazione moderna e supportano le chiavi regkey ALTID
- Solo Office Pro Plus 2016
Versione di Office supportata
Configurazione della directory per l'SSO con ID alternativo
L'uso dell'ID alternativo può causare richieste aggiuntive di autenticazione se queste configurazioni aggiuntive non vengono completate. Per un possibile impatto sull'esperienza utente con ID alternativo, vedere l'articolo.
Con la configurazione aggiuntiva seguente, l'esperienza utente è stata migliorata in modo significativo ed è possibile ottenere quasi zero richieste di autenticazione per gli utenti con ID alternativo nell'organizzazione.
Passaggio 1: Eseguire l'aggiornamento alla versione di Office richiesta
Office versione 1712 (build no 8827.2148) e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario di ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Office versione 1712 (build no 8827.2148) e versioni successive.
Passaggio 2: Eseguire l'aggiornamento alla versione di Windows richiesta
Windows versione 1709 e successive hanno aggiornato la logica di autenticazione per gestire lo scenario di ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Windows versione 1709 e successive.
Passaggio 3: Configurare il Registro di sistema per gli utenti interessati usando Criteri di gruppo
Le applicazioni di Office si basano sulle informazioni fornite dall'amministratore della directory per identificare l'ambiente ID alternativo. Le chiavi del Registro di sistema seguenti devono essere configurate per consentire alle applicazioni di Office di autenticare l'utente con ID alternativo senza visualizzare richieste aggiuntive.
Chiave di registro da aggiungere | Nome, tipo e valore dei dati regkey | finestre 7/8 | Windows 10 | Descrizione |
---|---|---|---|---|
HKEY_CURRENT_USER\Software\Microsoft\AuthN | DomainHint REG_SZ contoso.com |
Obbligatorio | Obbligatorio | Il valore di questa chiave di regkey è un nome di dominio personalizzato verificato nel tenant dell'organizzazione. Ad esempio, Contoso corp può fornire un valore di Contoso.com in questa chiave regkey se Contoso.com è uno dei nomi di dominio personalizzati verificati nel tenant Contoso.onmicrosoft.com. |
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity | EnableAlternateIdSupport REG_DWORD 1 |
Obbligatorio per Outlook 2016 ProPlus | Obbligatorio per Outlook 2016 ProPlus | Il valore di questa chiave di regkey può essere 1/0 per indicare all'applicazione Outlook se deve coinvolgere la logica di autenticazione dell'ID alternativo migliorata. |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts |
*
REG_DWORD 1 |
Obbligatorio | Obbligatorio | Questa chiave di registro può essere usata per impostare lo STS come zona attendibile nelle impostazioni di Internet. La distribuzione standard di AD FS consiglia di aggiungere lo spazio dei nomi AD FS all'area Intranet locale per Internet Explorer. |
Nuovo flusso di autenticazione dopo una configurazione aggiuntiva
- a: L'utente viene fornito in Microsoft Entra ID usando l'ID alternativo
b: L'amministratore della directory esegue il push delle impostazioni regkey necessarie per i computer client interessati - L'utente esegue l'autenticazione nel computer locale e apre un'applicazione office
- L'applicazione Office accetta le credenziali della sessione locale
- L'applicazione di Office esegue l'autenticazione all'ID Microsoft Entra usando l'hint di dominio inserito dall'amministratore e dalle credenziali locali
- Microsoft Entra ID autentica correttamente l'utente indirizzandolo all'area di autenticazione della federazione corretta e rilasciando un token
Applicazioni e esperienza utente dopo la configurazione aggiuntiva
Client non Exchange e Skype for Business
Cliente | Dichiarazione di supporto | Osservazioni: |
---|---|---|
Microsoft Teams | Sostenuto | |
OneDrive per le aziende | Supportato - Chiave del Registro di sistema lato client consigliata | Quando è configurato un ID alternativo, si nota che l'UPN locale è prepopolato nel campo di verifica. Questo deve essere modificato nell'identità alternativa attualmente utilizzata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiedono periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online. |
OneDrive for Business Mobile Client | Sostenuto | |
Pagina di attivazione di Office 365 Pro Plus | Supportato - Chiave del Registro di sistema lato client consigliata | Con l'ID alternativo configurato si noterà che l'UPN locale è prepopolato nel campo di verifica. Questo deve essere modificato nell'identità alternativa attualmente utilizzata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiedono periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online. |
I client di Exchange e Skype for Business
Cliente | Dichiarazione di supporto - con HMA | Dichiarazione di supporto - senza HMA |
---|---|---|
Prospettiva | Supportato, nessun prompt aggiuntivo | Supportato con l'autenticazione moderna per Exchange Online: supportato con per Exchange Online: supportato con le avvertenze seguenti: |
Cartelle pubbliche ibride | Supportato, nessun prompt aggiuntivo. | Con l'autenticazione moderna per Exchange Online: supportata con l'autenticazione regolare per Exchange Online: non supportata |
Delega tra sedi | Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida | Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida |
Accesso alle cassette postali di archiviazione (cassetta postale locale - archivio nel cloud) | Supportato, nessun prompt aggiuntivo | Supportato: gli utenti ricevono una richiesta aggiuntiva di credenziali quando accedono all'archivio, devono specificare l'ID alternativo quando richiesto. |
Outlook Web Access | Sostenuto | Sostenuto |
Outlook Mobile Apps for Android, IOS e Windows Phone | Sostenuto | Sostenuto |
Skype for Business/ Lync | Supportato, senza richieste aggiuntive | Supportato (ad eccezione di quanto indicato) ma esiste una potenziale confusione per l'utente. Nei client mobili l'ID alternativo è supportato solo se l'indirizzo SIP = indirizzo di posta elettronica = ID alternativo. Gli utenti potrebbero dover accedere due volte al client desktop Skype for Business, prima di tutto usando l'UPN locale e quindi usando l'ID alternativo. Si noti che "Indirizzo di accesso" è in realtà l'indirizzo SIP che potrebbe non essere uguale a "Nome utente", anche se spesso è). Quando viene richiesto per la prima volta un nome utente, l'utente deve immettere l'UPN, anche se è precompilato in modo non corretto con l'ID alternativo o l'indirizzo SIP. Dopo che l'utente fa clic su "accedi" con l'UPN, viene visualizzata nuovamente la richiesta del nome utente, questa volta precompilata con l'UPN. Questa volta l'utente deve sostituirlo con l'ID alternativo e fare clic su Accedi per completare il processo di accesso. Nei client per dispositivi mobili gli utenti devono immettere l'ID utente locale nella pagina avanzata, usando il formato sam-style (dominio\nomeutente), non il formato UPN. Dopo aver eseguito l'accesso, se Skype for Business o Lync indica che "Exchange richiede le credenziali", è necessario fornire le credenziali valide per la posizione della cassetta postale. Se la cassetta postale si trova nel cloud, è necessario specificare l'ID alternativo. Se la cassetta postale è locale, è necessario specificare l'UPN locale. |
Dettagli aggiuntivi e considerazioni
Microsoft Entra ID offre diverse funzionalità correlate all'ID di accesso alternativo
- La funzionalità di configurazione dell'ID di accesso alternativo di AD FS per gli ambienti dell'infrastruttura di identità federata1 descritta in questo articolo.
- La configurazione di Microsoft Entra Connect Sync che definisce quale attributo locale è utilizzato come nome utente Microsoft Entra (userPrincipalName) per gli ambienti infrastrutturali di identità federata1 o gestita2, parzialmente trattata in questo articolo.
- Accesso a Microsoft Entra ID con posta elettronica come funzionalità di ID di accesso alternativo per gli ambienti dell'infrastruttura di identità gestita2.
La funzionalità ID di accesso alternativo descritta in questo articolo è disponibile per gli ambienti dell'infrastruttura di identità Federated1 . Non è supportato negli scenari seguenti:
- Attributo AlternateLoginID con domini non instradabili (ad esempio Contoso.local) che non possono essere verificati dall'ID Microsoft Entra.
- Ambienti gestiti che non dispongono della distribuzione di AD FS. Fare riferimento alla documentazione di Microsoft Entra Connect Sync o all'accesso a Microsoft Entra ID con posta elettronica come documentazione relativa all'ID di accesso alternativo . Se si decide di modificare la configurazione di Microsoft Entra Connect Sync in un ambiente dell'infrastruttura di gestionedelle identità 2 , l'esperienza utente e le applicazioni dopo la sezione di configurazione aggiuntiva di questo articolo possono essere ancora applicabili mentre la configurazione specifica di AD FS non è più applicabile perché non viene distribuito AD FS in un ambiente dell'infrastruttura di identità gestita2 .
Se abilitata, la funzionalità alternativa id di accesso è disponibile solo per l'autenticazione nome utente/password in tutti i protocolli di autenticazione nome utente/password supportati da AD FS (SAML-P, WS-Fed, WS-Trust e OAuth).
Quando viene eseguita l'autenticazione integrata di Windows (WIA), ad esempio quando gli utenti tentano di accedere a un'applicazione aziendale in un computer aggiunto a un dominio dalla intranet e l'amministratore di AD FS ha configurato i criteri di autenticazione per l'uso di WIA per Intranet, viene usato l'UPN per l'autenticazione. Se sono state configurate regole di attestazione per le parti affidabili per la funzionalità di identificativo di accesso alternativo, è necessario assicurarsi che tali regole siano ancora valide nel caso WIA.
Se abilitata, la funzionalità di ID di accesso alternativo richiede che almeno un server di catalogo globale sia raggiungibile dal server AD FS per ogni foresta di account utente supportata da AD FS. Il mancato raggiungimento di un server di catalogo globale nella foresta dell'account utente porta AD FS a ripiegare sull'utilizzo dell'UPN. Per impostazione predefinita, tutti i controller di dominio sono server di catalogo globali.
Se abilitato, se il server AD FS trova più di un oggetto utente con lo stesso valore di ID di accesso alternativo specificato in tutte le foreste utente configurate, l'accesso fallisce.
Quando la funzionalità di ID di accesso alternativo è abilitata, AD FS tenta di autenticare prima l'utente finale con ID di accesso alternativo e quindi eseguire il fallback per usare l'UPN se non riesce a trovare un account che può essere identificato dall'ID di accesso alternativo. Assicurarsi che non ci siano conflitti tra l'ID di accesso alternativo e l'UPN se si vuole ancora supportare l'account di accesso UPN. Ad esempio, l'impostazione dell'attributo di posta elettronica con l'UPN dell'altro impedisce all'altro di accedere con il proprio UPN.
Se una delle foreste configurate dall'amministratore è inattiva, AD FS continua a cercare l'account utente con ID di accesso alternativo in altre foreste configurate. Se il server AD FS trova un oggetto utente univoco nelle foreste in cui è stata eseguita la ricerca, un utente accede correttamente.
È anche possibile personalizzare la pagina di accesso di AD FS per fornire agli utenti finali alcuni suggerimenti sull'ID di accesso alternativo. È possibile farlo aggiungendo la descrizione della pagina di accesso personalizzata . Per altre informazioni, vedere Personalizzazione delle pagine di accesso di AD FS o personalizzazione della stringa "Accedi con account aziendale" sopra il campo nome utente (per altre informazioni, vedere Personalizzazione avanzata delle pagine di accesso ad AD FS.
Il nuovo tipo di attestazione che contiene il valore dell'ID di accesso alternativo è http:schemas.microsoft.com/ws/2013/11/alternateloginid
1 Un ambiente dell'infrastruttura di identità federata rappresenta un ambiente con un provider di identità, ad esempio AD FS o un altro provider di identità di terze parti.
2 Un ambiente di infrastruttura per la gestione delle identità rappresenta un ambiente con Microsoft Entra ID come fornitore di identità implementato con sincronizzazione dell'hash delle password (PHS) o autenticazione pass-through (PTA).
Eventi e contatori delle prestazioni
Sono stati aggiunti i contatori delle prestazioni seguenti per misurare le prestazioni dei server AD FS quando è abilitato un ID di accesso alternativo:
Autenticazione con ID di accesso alternativo: numero di autenticazioni eseguite usando l'ID di accesso alternativo
Autenticazione con ID di accesso alternativo/sec: numero di autenticazioni eseguite usando l'ID di accesso alternativo al secondo
Latenza di ricerca media per ID di accesso alternativo: latenza di ricerca media tra le foreste configurate da un amministratore per l'ID di accesso alternativo
Di seguito sono riportati diversi casi di errore e l'impatto corrispondente sull'esperienza di accesso di un utente con gli eventi registrati da AD FS:
Casi di errore | Impatto sull'esperienza di accesso | Evento |
---|---|---|
Impossibile ottenere un valore per SAMAccountName per l'oggetto utente | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8012: Impossibile trovare samAccountName per l'utente: '{0}'. |
L'attributo CanonicalName non è accessibile | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8013: CanonicalName: '{0}' dell'utente:'{1}' è in formato non valido. |
Più oggetti utente si trovano in una foresta | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8015: è stato trovato più di un account utente con identità '{0}' nella foresta '{1}' con identità: {2} |
Più oggetti utente si trovano in più foreste | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8014: trovato più account utente con identità '{0}' nelle foreste: {1} |