Configurazione di un ID di accesso alternativo
Che cos'è l'ID di accesso alternativo?
Nella maggior parte degli scenari, gli utenti usano il proprio UPN (Nomi entità utente) per accedere ai propri account. Tuttavia, in alcuni ambienti a causa di criteri aziendali o dipendenze dell'applicazione line-of-business locali, gli utenti possono usare un altro tipo di accesso.
Nota
Le procedure consigliate consigliate da Microsoft devono corrispondere all'indirizzo SMTP primario. Questo articolo illustra la piccola percentuale di clienti che non possono correggere la corrispondenza dell'UPN.
Ad esempio, possono usare l'ID di posta elettronica per l'accesso e possono essere diversi dall'UPN. Ciò è particolarmente comune negli scenari in cui l'UPN non è instradabile. Prendere in considerazione un utente Jane Doe con upN jdoe@contoso.local
e indirizzo jdoe@contoso.com
di posta elettronica. Jane potrebbe non essere nemmeno consapevole dell'UPN perché ha sempre usato il suo ID di posta elettronica per l'accesso. L'uso di qualsiasi altro metodo di accesso anziché UPN costituisce un ID alternativo. Per altre informazioni sulla creazione dell'UPN, vedere Popolamento userPrincipalName di Azure AD.
Active Directory Federation Services (AD FS) consente alle applicazioni federate di usare AD FS di accedere tramite ID alternativo. In questo modo gli amministratori possono specificare un'alternativa all'UPN predefinita da usare per l'accesso. AD FS supporta già l'uso di qualsiasi forma di identificatore utente accettato da Active Directory Domain Services (AD DS). Se configurato per ID alternativo, AD FS consente agli utenti di accedere usando il valore ID alternativo configurato, ad esempio l'ID di posta elettronica. L'uso dell'ID alternativo consente di adottare provider SaaS come Office 365 senza modificare gli UPN locali. Consente inoltre di supportare applicazioni di servizio line-of-business con identità con provisioning consumer.
ID alternativo in Azure AD
Un'organizzazione potrebbe dover usare l'ID alternativo negli scenari seguenti:
- Il nome di dominio locale non è instradabile, ad esempio
contoso.local
, e di conseguenza il nome dell'entità utente predefinito non è instradabile (jdoe@contoso.local
). Impossibile modificare l'UPN esistente a causa delle dipendenze dell'applicazione locale o dei criteri aziendali. Azure AD e Office 365 richiedono che tutti i suffissi di dominio associati alla directory di Azure AD siano completamente internet instradabili. - L'UPN locale non corrisponde all'indirizzo di posta elettronica dell'utente e all'accesso a Office 365, gli utenti usano l'indirizzo di posta elettronica e l'UPN non possono essere usati a causa dei vincoli dell'organizzazione. Negli scenari indicati in precedenza, l'ID alternativo con AD FS consente agli utenti di accedere ad Azure AD senza modificare gli UPN locali.
Configurare l'ID di accesso alternativo
Usando Azure AD Connect è consigliabile usare Azure AD connect per configurare l'ID di accesso alternativo per l'ambiente.
- Per una nuova configurazione di Azure AD Connect, vedere Connettersi ad Azure AD per istruzioni dettagliate su come configurare l'ID alternativo e la farm AD FS.
- Per le installazioni di Azure AD Connect esistenti, vedere Modifica del metodo di accesso utente per istruzioni sulla modifica del metodo di accesso ad AD FS
Quando Azure AD Connect fornisce informazioni dettagliate sull'ambiente AD FS, verifica automaticamente la presenza della kb corretta in AD FS e configura AD FS per ID alternativo, incluse tutte le regole di attestazione necessarie per l'attendibilità federativa di Azure AD. Non è necessario alcun passaggio aggiuntivo all'esterno della procedura guidata per configurare l'ID alternativo.
Nota
Microsoft consiglia di usare Azure AD Connect per configurare l'ID di accesso alternativo.
Configurare manualmente l'ID alternativo
Per configurare l'ID di accesso alternativo, è necessario eseguire le attività seguenti:
Configurare i trust del provider di attestazioni DI AD FS per abilitare l'ID di accesso alternativo
Se si dispone di Windows Server 2012 R2, assicurarsi di avere installato KB2919355 in tutti i server AD FS. È possibile ottenerlo tramite Windows Update Services o scaricarlo direttamente.
Aggiornare la configurazione di AD FS eseguendo il cmdlet di PowerShell seguente in uno dei server federativi della farm (se si dispone di una farm WID, è necessario eseguire questo comando nel server AD FS primario nella farm):
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>
AlternateLoginID è il nome LDAP dell'attributo che si vuole usare per l'account di accesso.
LookupForests è l'elenco di DNS della foresta a cui appartengono gli utenti.
Per abilitare la funzionalità ID di accesso alternativo, è necessario configurare entrambi i parametri -AlternateLoginID e -LookupForests con un valore non null valido.
Nell'esempio seguente si abilitano funzionalità di ID di accesso alternative, in modo che gli utenti con account in contoso.com e fabrikam.com foreste possano accedere alle applicazioni abilitate per AD FS con l'attributo "mail".
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com
- Per disabilitare questa funzionalità, impostare il valore per entrambi i parametri da null.
Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL
Autenticazione moderna ibrida con ID alternativo
Importante
Di seguito sono stati testati solo i provider di identità DI AD FS e non i provider di identità di terze parti.
Exchange e Skype for Business
Se si usa l'ID di accesso alternativo con Exchange e Skype for Business, l'esperienza utente varia a seconda che si usi o meno HMA.
Nota
Per la migliore esperienza utente finale, Microsoft consiglia di usare l'autenticazione moderna ibrida.
o altre informazioni, vedere Panoramica dell'autenticazione moderna ibrida
Prerequisiti per Exchange e Skype for Business
Di seguito sono riportati i prerequisiti per ottenere l'accesso SSO con ID alternativo.
- Exchange Online deve essere attivata l'autenticazione moderna.
- Skype for Business (SFB) Online deve avere l'autenticazione moderna attivata.
- Exchange locale deve avere attivato l'autenticazione moderna. Exchange 2013 CU19 o Exchange 2016 CU18 è obbligatorio in tutti i server Exchange. Nessun exchange 2010 nell'ambiente.
- Skype for Business locale deve avere attivato l'autenticazione moderna.
- È necessario usare i client Exchange e Skype che dispongono dell'autenticazione moderna abilitata. Tutti i server devono eseguire SFB Server 2015 CU5.
- Skype for Business client in grado di eseguire l'autenticazione moderna
- iOS, Android, Windows Phone
- SFB 2016 (MA è ON per impostazione predefinita, ma assicurarsi che non sia stato disabilitato).
- SFB 2013 (MA è DISATTIVATo per impostazione predefinita, quindi assicurarsi che MA sia stato attivato).
- Desktop Mac SFB
- Client Exchange che sono in grado di eseguire l'autenticazione moderna e supportare le regkey ALTID
- Solo Office Pro Plus 2016
Versione di Office supportata
Configurazione della directory per l'accesso SSO con ID alternativo
L'uso di UN ID alternativo può causare richieste aggiuntive per l'autenticazione se queste configurazioni aggiuntive non vengono completate. Fare riferimento all'articolo per un possibile impatto sull'esperienza utente con ID alternativo.
Con la configurazione aggiuntiva seguente, l'esperienza utente è migliorata in modo significativo e è possibile ottenere richieste di autenticazione quasi zero per gli utenti ID alternativi nell'organizzazione.
Passaggio 1. Aggiornamento alla versione di Office richiesta
Office versione 1712 (build no 8827.2148) e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario DI ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Office versione 1712 (build no 8827.2148) e versioni successive.
Passaggio 2. Aggiornamento alla versione di Windows necessaria
Windows versione 1709 e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Windows versione 1709 e versioni successive.
Passaggio 3. Configurare il Registro di sistema per gli utenti interessati usando criteri di gruppo
Le applicazioni office si basano sulle informazioni eseguite dall'amministratore della directory per identificare l'ambiente ID alternativo. Le chiavi del Registro di sistema seguenti devono essere configurate per consentire alle applicazioni di office di autenticare l'utente con ID alternativo senza visualizzare richieste aggiuntive.
Regkey da aggiungere | Nome dati regkey, tipo e valore | Windows 7/8 | Windows 10 | Descrizione |
---|---|---|---|---|
HKEY_CURRENT_USER\Software\Microsoft\AuthN | DomainHintREG_SZ contoso.com | Obbligatoria | Obbligatoria | Il valore di questa regkey è un nome di dominio personalizzato verificato nel tenant dell'organizzazione. Ad esempio, Contoso corp può fornire un valore di Contoso.com in questa regkey se Contoso.com è uno dei nomi di dominio personalizzati verificati nel tenant Contoso.onmicrosoft.com. |
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity | EnableAlternateIdSupportREG_DWORD1 | Obbligatorio per Outlook 2016 ProPlus | Obbligatorio per Outlook 2016 ProPlus | Il valore di questa regkey può essere 1/0 per indicare all'applicazione di Outlook se deve coinvolgere la logica di autenticazione dell'ID alternativo migliorata. |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts | *REG_DWORD 1 | Obbligatoria | Obbligatoria | Questa regkey può essere usata per impostare il servizio di sicurezza come zona attendibile nelle impostazioni Internet. La distribuzione di AD FS standard consiglia di aggiungere lo spazio dei nomi AD FS all'area Intranet locale per Internet Explorer. |
Nuovo flusso di autenticazione dopo una configurazione aggiuntiva
- r: L'utente viene effettuato il provisioning in Azure AD usando l'ID alternativo b: l'amministratore della directory esegue il push delle impostazioni di regkey necessarie per i computer client interessati
- L'utente esegue l'autenticazione nel computer locale e apre un'applicazione di office
- L'applicazione Office accetta le credenziali della sessione locale
- L'applicazione di Office esegue l'autenticazione ad Azure AD usando l'hint di dominio push da parte dell'amministratore e delle credenziali locali
- Azure AD autentica correttamente l'utente indirizzando l'area di autenticazione della federazione corretta e rilasciando un token
Applicazioni e esperienza utente dopo la configurazione aggiuntiva
Client non exchange e Skype for Business
Client | Informativa sul supporto | Osservazioni |
---|---|---|
Microsoft Teams | Supportato | |
OneDrive for Business | Supportato - Chiave del Registro di sistema lato client consigliata | Con l'ID alternativo configurato viene visualizzato l'UPN locale precompilato nel campo di verifica. Questa operazione deve essere modificata nell'identità alternativa usata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiede periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online. |
OneDrive for Business client per dispositivi mobili | Supportato | |
pagina di attivazione Office 365 Pro Plus | Supportato - Chiave del Registro di sistema lato client consigliata | Con l'ID alternativo configurato viene visualizzato l'UPN locale precompilato nel campo di verifica. Questa operazione deve essere modificata nell'identità alternativa usata. È consigliabile usare la chiave del Registro di sistema sul lato client annotata in questo articolo: Office 2013 e Lync 2013 richiede periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online. |
Exchange e Skype for Business client
Client | Istruzione di supporto - con HMA | Istruzione di supporto - senza HMA |
---|---|---|
Outlook | Supportato, nessun prompt aggiuntivo | Supportato con l'autenticazione moderna per Exchange Online: supportato con l'autenticazione regolare per Exchange Online:Supportatocon gli avvisi seguenti: |
Cartelle pubbliche ibride | Supportato, nessun prompt aggiuntivo. | Con l'autenticazione moderna per Exchange Online: supportatacon l'autenticazione regolare per Exchange Online: non supportata |
Delega cross-premise | Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida | Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida |
Accesso alle cassette postali di archiviazione (cassetta postale locale - archivio nel cloud) | Supportato, nessun prompt aggiuntivo | Supportato: gli utenti ricevono una richiesta aggiuntiva per le credenziali quando accedono all'archivio, devono specificare l'ID alternativo quando richiesto. |
Outlook Web Access | Supportato | Supportato |
Outlook Mobile Apps for Android, IOS e Windows Phone | Supportato | Supportato |
Skype for Business/Lync | Supportato, senza richieste aggiuntive | Supportato (ad eccezione di quanto indicato) ma esiste un potenziale per la confusione dell'utente. Nei client mobili l'ID alternativo è supportato solo se l'indirizzo SIP = indirizzo di posta elettronica = ID alternativo.Gli utenti potrebbero dover accedere due volte al client desktop Skype for Business, usando prima l'UPN locale e quindi usando l'ID alternativo. Si noti che l'indirizzo "Accesso" è effettivamente l'indirizzo SIP che potrebbe non essere uguale al "Nome utente", anche se spesso è). Quando viene richiesto per la prima volta un nome utente, l'utente deve immettere l'UPN, anche se viene precompilato in modo non corretto con l'ID alternativo o l'indirizzo SIP. Dopo che l'utente fa clic sull'accesso con l'UPN, il prompt nome utente viene visualizzato nuovamente, questa volta prepopolato con l'UPN. Questa volta l'utente deve sostituire questa operazione con l'ID alternativo e fare clic su Accedi per completare il processo di accesso. Nei client mobili gli utenti devono immettere l'ID utente locale nella pagina avanzata, usando il formato sam-style (dominio\username), non il formato UPN. Dopo aver completato l'accesso, se Skype for Business o Lync dice "Exchange richiede le credenziali", è necessario specificare le credenziali valide per la posizione della cassetta postale. Se la cassetta postale si trova nel cloud, è necessario specificare l'ID alternativo. Se la cassetta postale è locale, è necessario specificare l'UPN locale. |
Dettagli e considerazioni aggiuntive
Azure AD offre funzionalità diverse correlate all'ID di accesso alternativo
- La funzionalità di configurazione dell'ID di accesso alternativo di AD FS per gli ambienti dell'infrastruttura di identità federata1 descritta in questo articolo.
- Configurazione di Sincronizzazione di Azure AD Connect che definisce l'attributo locale usato come nome utente di Azure AD (userPrincipalName) per gli ambienti dell'infrastruttura di identità federata1 OR Gestita2 , parzialmente trattati in questo articolo.
- Accesso ad Azure AD con posta elettronica come funzionalità di ID di accesso alternativo per gli ambienti dell'infrastruttura di identità gestita2 .
La funzionalità ID di accesso alternativo descritta in questo articolo è disponibile per gli ambienti dell'infrastruttura di identità Federated1 . Non è supportato negli scenari seguenti:
- Attributo AlternateLoginID con domini non instradabili (ad esempio Contoso.local) che non possono essere verificati da Azure AD.
- Ambienti gestiti che non hanno distribuito AD FS. Fare riferimento alla documentazione di Azure AD Connect Sync o all'accesso ad Azure AD con posta elettronica come documentazione dell'ID di accesso alternativo . Se si decide di modificare la configurazione di Sincronizzazione di Azure AD Connect in un ambiente dell'infrastruttura di identità gestita2 , l'esperienza utente e le applicazioni dopo la sezione di configurazione aggiuntiva di questo articolo possono comunque essere applicabili mentre la configurazione di AD FS specifica non è più applicabile poiché non viene distribuito AD FS in un ambiente dell'infrastruttura di identità gestita2 .
Se abilitata, la funzionalità ID di accesso alternativo è disponibile solo per l'autenticazione nome utente/password in tutti i protocolli di autenticazione nome utente/password supportati da AD FS (SAML-P, WS-Fed, WS-Trust e OAuth).
Quando viene eseguita l'autenticazione integrata di Windows (WIA) (ad esempio, quando gli utenti tentano di accedere a un'applicazione aziendale in un computer aggiunto a un dominio da intranet e l'amministratore di AD FS ha configurato i criteri di autenticazione per l'uso di WIA per intranet), l'UPN viene usato per l'autenticazione. Se sono state configurate regole attestazioni per le relying party per la funzionalità ID di accesso alternativo, è necessario assicurarsi che tali regole siano ancora valide nel caso WIA.
Se abilitata, la funzionalità ID di accesso alternativo richiede almeno un server di catalogo globale da raggiungere dal server AD FS per ogni foresta di account utente supportata da AD FS. L'errore di raggiungere un server di catalogo globale nella foresta dell'account utente comporta il fallback di AD FS per l'uso dell'UPN. Per impostazione predefinita, tutti i controller di dominio sono server di catalogo globali.
Se abilitato, se il server AD FS trova più di un oggetto utente con lo stesso valore di ID di accesso alternativo specificato in tutte le foreste dell'account utente configurate, l'account di accesso non riesce.
Quando è abilitata la funzionalità ID di accesso alternativo, AD FS tenta di autenticare prima l'utente finale con ID di accesso alternativo e quindi di tornare a usare UPN se non riesce a trovare un account che può essere identificato dall'ID di accesso alternativo. È consigliabile assicurarsi che non siano presenti conflitti tra l'ID di accesso alternativo e l'UPN se si vuole comunque supportare l'account di accesso UPN. Ad esempio, l'impostazione dell'attributo di posta elettronica con l'UPN dell'altro blocca l'accesso dell'altro utente con l'UPN.
Se una delle foreste configurate dall'amministratore è inattiva, AD FS continua a cercare l'account utente con ID di accesso alternativo in altre foreste configurate. Se il server AD FS trova un oggetto utente univoco nelle foreste in cui è stata eseguita la ricerca, un utente accede correttamente.
È anche possibile personalizzare la pagina di accesso di AD FS per fornire agli utenti finali qualche suggerimento sull'ID di accesso alternativo. A tale scopo, è possibile aggiungere la descrizione della pagina di accesso personalizzata . Per altre informazioni, vedere Personalizzazione delle pagine di accesso di AD FS o personalizzazione della stringa "Accedi con l'account aziendale" sopra il campo nome utente (per altre informazioni, vedere Personalizzazione avanzata delle pagine di accesso di AD FS.
Il nuovo tipo di attestazione che contiene il valore dell'ID di accesso alternativo è http:schemas.microsoft.com/ws/2013/11/alternateloginid
1 Un ambiente dell'infrastruttura di identità federata rappresenta un ambiente con un provider di identità, ad esempio AD FS o un altro provider di identità di terze parti.
2 Un ambiente dell'infrastruttura di identità gestita rappresenta un ambiente con Azure AD come provider di identità distribuito con la sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through (PTA).
Contatori di eventi e prestazioni
Sono stati aggiunti i contatori delle prestazioni seguenti per misurare le prestazioni dei server AD FS quando è abilitato l'ID di accesso alternativo:
Autenticazioni id di accesso alternative: numero di autenticazioni eseguite tramite ID di accesso alternativo
Autenticazioni id di accesso alternative/sec: numero di autenticazioni eseguite tramite ID di accesso alternativo al secondo
Latenza media di ricerca per ID di accesso alternativo: latenza media di ricerca tra le foreste configurate da un amministratore per l'ID di accesso alternativo
Di seguito sono riportati vari casi di errore e l'impatto corrispondente sull'esperienza di accesso di un utente con gli eventi registrati da AD FS:
Casi di errore | Impatto sull'esperienza di accesso | Event |
---|---|---|
Impossibile ottenere un valore per SAMAccountName per l'oggetto utente | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8012: Impossibile trovare samAccountName per l'utente: '{0}'. |
L'attributo CanonicalName non è accessibile | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8013: CanonicalName: '{0}' dell'utente:'{1}' in formato non valido. |
Più oggetti utente si trovano in una foresta | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8015: trovato più account utente con identità '{0}' nella foresta '{1}' con identità: {2} |
Più oggetti utente si trovano in più foreste | Errore di accesso | ID evento 364 con messaggio di eccezione MSIS8014: trovato più account utente con identità '{0}' nelle foreste: {1} |