Configurazione di un ID di accesso alternativo

Che cos'è l'ID di accesso alternativo?

Nella maggior parte degli scenari, gli utenti usano il proprio UPN (Nomi entità utente) per accedere ai propri account. Tuttavia, in alcuni ambienti a causa di criteri aziendali o dipendenze dell'applicazione line-of-business locali, gli utenti possono usare un altro tipo di accesso.

Nota

Le procedure consigliate consigliate da Microsoft devono corrispondere all'indirizzo SMTP primario. Questo articolo illustra la piccola percentuale di clienti che non possono correggere la corrispondenza dell'UPN.

Ad esempio, possono usare l'ID di posta elettronica per l'accesso e possono essere diversi dall'UPN. Ciò è particolarmente comune negli scenari in cui l'UPN non è instradabile. Prendere in considerazione un utente Jane Doe con upN jdoe@contoso.local e indirizzo jdoe@contoso.comdi posta elettronica. Jane potrebbe non essere nemmeno consapevole dell'UPN perché ha sempre usato il suo ID di posta elettronica per l'accesso. L'uso di qualsiasi altro metodo di accesso anziché UPN costituisce un ID alternativo. Per altre informazioni sulla creazione dell'UPN, vedere Popolamento userPrincipalName di Azure AD.

Active Directory Federation Services (AD FS) consente alle applicazioni federate di usare AD FS di accedere tramite ID alternativo. In questo modo gli amministratori possono specificare un'alternativa all'UPN predefinita da usare per l'accesso. AD FS supporta già l'uso di qualsiasi forma di identificatore utente accettato da Active Directory Domain Services (AD DS). Se configurato per ID alternativo, AD FS consente agli utenti di accedere usando il valore ID alternativo configurato, ad esempio l'ID di posta elettronica. L'uso dell'ID alternativo consente di adottare provider SaaS come Office 365 senza modificare gli UPN locali. Consente inoltre di supportare applicazioni di servizio line-of-business con identità con provisioning consumer.

ID alternativo in Azure AD

Un'organizzazione potrebbe dover usare l'ID alternativo negli scenari seguenti:

1. Il nome di dominio locale non è instradabile, ad esempio contoso.local, e di conseguenza il nome dell'entità utente predefinito non è instradabile (jdoe@contoso.local). Impossibile modificare l'UPN esistente a causa delle dipendenze dell'applicazione locale o dei criteri aziendali. Azure AD e Office 365 richiedono che tutti i suffissi di dominio associati alla directory di Azure AD siano completamente internet instradabili.
2. L'UPN locale non corrisponde all'indirizzo di posta elettronica dell'utente e all'accesso a Office 365, gli utenti usano l'indirizzo di posta elettronica e l'UPN non possono essere usati a causa dei vincoli dell'organizzazione. Negli scenari indicati in precedenza, l'ID alternativo con AD FS consente agli utenti di accedere ad Azure AD senza modificare gli UPN locali.

Configurare l'ID di accesso alternativo

Usando Azure AD Connect è consigliabile usare Azure AD connect per configurare l'ID di accesso alternativo per l'ambiente.

• Per una nuova configurazione di Azure AD Connect, vedere Connettersi ad Azure AD per istruzioni dettagliate su come configurare l'ID alternativo e la farm AD FS.
• Per le installazioni di Azure AD Connect esistenti, vedere Modifica del metodo di accesso utente per istruzioni sulla modifica del metodo di accesso ad AD FS

Quando Azure AD Connect fornisce informazioni dettagliate sull'ambiente AD FS, verifica automaticamente la presenza della kb corretta in AD FS e configura AD FS per ID alternativo, incluse tutte le regole di attestazione necessarie per l'attendibilità federativa di Azure AD. Non è necessario alcun passaggio aggiuntivo all'esterno della procedura guidata per configurare l'ID alternativo.

Nota

Microsoft consiglia di usare Azure AD Connect per configurare l'ID di accesso alternativo.

Configurare manualmente l'ID alternativo

Per configurare l'ID di accesso alternativo, è necessario eseguire le attività seguenti:

Configurare i trust del provider di attestazioni DI AD FS per abilitare l'ID di accesso alternativo

1. Se si dispone di Windows Server 2012 R2, assicurarsi di avere installato KB2919355 in tutti i server AD FS. È possibile ottenerlo tramite Windows Update Services o scaricarlo direttamente.

2. Aggiornare la configurazione di AD FS eseguendo il cmdlet di PowerShell seguente in uno dei server federativi della farm (se si dispone di una farm WID, è necessario eseguire questo comando nel server AD FS primario nella farm):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID è il nome LDAP dell'attributo che si vuole usare per l'account di accesso.

LookupForests è l'elenco di DNS della foresta a cui appartengono gli utenti.

Per abilitare la funzionalità ID di accesso alternativo, è necessario configurare entrambi i parametri -AlternateLoginID e -LookupForests con un valore non null valido.

Nell'esempio seguente si abilitano funzionalità di ID di accesso alternative, in modo che gli utenti con account in contoso.com e fabrikam.com foreste possano accedere alle applicazioni abilitate per AD FS con l'attributo "mail".

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Per disabilitare questa funzionalità, impostare il valore per entrambi i parametri da null.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Autenticazione moderna ibrida con ID alternativo

Importante

Di seguito sono stati testati solo i provider di identità DI AD FS e non i provider di identità di terze parti.

Exchange e Skype for Business

Se si usa l'ID di accesso alternativo con Exchange e Skype for Business, l'esperienza utente varia a seconda che si usi o meno HMA.

Nota

Per la migliore esperienza utente finale, Microsoft consiglia di usare l'autenticazione moderna ibrida.

o altre informazioni, vedere Panoramica dell'autenticazione moderna ibrida

Prerequisiti per Exchange e Skype for Business

Di seguito sono riportati i prerequisiti per ottenere l'accesso SSO con ID alternativo.

• Exchange Online deve essere attivata l'autenticazione moderna.
• Skype for Business (SFB) Online deve avere l'autenticazione moderna attivata.
• Exchange locale deve avere attivato l'autenticazione moderna. Exchange 2013 CU19 o Exchange 2016 CU18 è obbligatorio in tutti i server Exchange. Nessun exchange 2010 nell'ambiente.
• Skype for Business locale deve avere attivato l'autenticazione moderna.
• È necessario usare i client Exchange e Skype che dispongono dell'autenticazione moderna abilitata. Tutti i server devono eseguire SFB Server 2015 CU5.
• Skype for Business client in grado di eseguire l'autenticazione moderna
  • iOS, Android, Windows Phone
  • SFB 2016 (MA è ON per impostazione predefinita, ma assicurarsi che non sia stato disabilitato).
  • SFB 2013 (MA è DISATTIVATo per impostazione predefinita, quindi assicurarsi che MA sia stato attivato).
  • Desktop Mac SFB
• Client Exchange che sono in grado di eseguire l'autenticazione moderna e supportare le regkey ALTID
  • Solo Office Pro Plus 2016

Versione di Office supportata

Configurazione della directory per l'accesso SSO con ID alternativo

L'uso di UN ID alternativo può causare richieste aggiuntive per l'autenticazione se queste configurazioni aggiuntive non vengono completate. Fare riferimento all'articolo per un possibile impatto sull'esperienza utente con ID alternativo.

Con la configurazione aggiuntiva seguente, l'esperienza utente è migliorata in modo significativo e è possibile ottenere richieste di autenticazione quasi zero per gli utenti ID alternativi nell'organizzazione.

Passaggio 1. Aggiornamento alla versione di Office richiesta

Office versione 1712 (build no 8827.2148) e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario DI ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Office versione 1712 (build no 8827.2148) e versioni successive.

Passaggio 2. Aggiornamento alla versione di Windows necessaria

Windows versione 1709 e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Windows versione 1709 e versioni successive.

Passaggio 3. Configurare il Registro di sistema per gli utenti interessati usando criteri di gruppo

Le applicazioni office si basano sulle informazioni eseguite dall'amministratore della directory per identificare l'ambiente ID alternativo. Le chiavi del Registro di sistema seguenti devono essere configurate per consentire alle applicazioni di office di autenticare l'utente con ID alternativo senza visualizzare richieste aggiuntive.

Regkey da aggiungere	Nome dati regkey, tipo e valore	Windows 7/8	Windows 10	Descrizione
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Obbligatoria	Obbligatoria	Il valore di questa regkey è un nome di dominio personalizzato verificato nel tenant dell'organizzazione. Ad esempio, Contoso corp può fornire un valore di Contoso.com in questa regkey se Contoso.com è uno dei nomi di dominio personalizzati verificati nel tenant Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Obbligatorio per Outlook 2016 ProPlus	Obbligatorio per Outlook 2016 ProPlus	Il valore di questa regkey può essere 1/0 per indicare all'applicazione di Outlook se deve coinvolgere la logica di autenticazione dell'ID alternativo migliorata.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Obbligatoria	Obbligatoria	Questa regkey può essere usata per impostare il servizio di sicurezza come zona attendibile nelle impostazioni Internet. La distribuzione di AD FS standard consiglia di aggiungere lo spazio dei nomi AD FS all'area Intranet locale per Internet Explorer.

Nuovo flusso di autenticazione dopo una configurazione aggiuntiva

1. r: L'utente viene effettuato il provisioning in Azure AD usando l'ID
   alternativo b: l'amministratore della directory esegue il push delle impostazioni di regkey necessarie per i computer client interessati
2. L'utente esegue l'autenticazione nel computer locale e apre un'applicazione di office
3. L'applicazione Office accetta le credenziali della sessione locale
4. L'applicazione di Office esegue l'autenticazione ad Azure AD usando l'hint di dominio push da parte dell'amministratore e delle credenziali locali
5. Azure AD autentica correttamente l'utente indirizzando l'area di autenticazione della federazione corretta e rilasciando un token

Applicazioni e esperienza utente dopo la configurazione aggiuntiva

Client non exchange e Skype for Business

Client	Informativa sul supporto	Osservazioni
Microsoft Teams	Supportato	Microsoft Teams supporta AD FS (SAML-P, WS-Fed, WS-Trust e OAuth) e l'autenticazione moderna. Microsoft Teams principale, ad esempio canali, chat e funzionalità dei file funzionano con l'ID di accesso alternativo. Le app di terze parti devono essere esaminate separatamente dal cliente. Ciò avviee perché ogni applicazione ha i propri protocolli di autenticazione di supporto.
OneDrive for Business	Supportato - Chiave del Registro di sistema lato client consigliata	Con l'ID alternativo configurato viene visualizzato l'UPN locale precompilato nel campo di verifica. Questa operazione deve essere modificata nell'identità alternativa usata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiede periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online.
OneDrive for Business client per dispositivi mobili	Supportato
pagina di attivazione Office 365 Pro Plus	Supportato - Chiave del Registro di sistema lato client consigliata	Con l'ID alternativo configurato viene visualizzato l'UPN locale precompilato nel campo di verifica. Questa operazione deve essere modificata nell'identità alternativa usata. È consigliabile usare la chiave del Registro di sistema sul lato client annotata in questo articolo: Office 2013 e Lync 2013 richiede periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online.

Exchange e Skype for Business client

Client	Istruzione di supporto - con HMA	Istruzione di supporto - senza HMA
Outlook	Supportato, nessun prompt aggiuntivo	Supportato con l'autenticazione moderna per Exchange Online: supportato con l'autenticazione regolare per Exchange Online: Supportato con gli avvisi seguenti: È necessario trovarsi in un computer aggiunto a un dominio e connettersi alla rete aziendale È possibile usare solo ID alternativo negli ambienti che non consentono l'accesso esterno per gli utenti delle cassette postali. Ciò significa che gli utenti possono eseguire l'autenticazione solo nella cassetta postale in modo supportato quando sono connessi e aggiunti alla rete aziendale, in una VPN o connessi tramite computer di Accesso diretto, ma si ottengono un paio di richieste aggiuntive durante la configurazione del profilo di Outlook.
Cartelle pubbliche ibride	Supportato, nessun prompt aggiuntivo.	Con l'autenticazione moderna per Exchange Online: supportata con l'autenticazione regolare per Exchange Online: non supportata Le cartelle pubbliche ibride non sono in grado di espandere se gli ID alternativi vengono usati e pertanto non devono essere usati oggi con metodi di autenticazione regolari.
Delega cross-premise	Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida	Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida
Accesso alle cassette postali di archiviazione (cassetta postale locale - archivio nel cloud)	Supportato, nessun prompt aggiuntivo	Supportato: gli utenti ricevono una richiesta aggiuntiva per le credenziali quando accedono all'archivio, devono specificare l'ID alternativo quando richiesto.
Outlook Web Access	Supportato	Supportato
Outlook Mobile Apps for Android, IOS e Windows Phone	Supportato	Supportato
Skype for Business/Lync	Supportato, senza richieste aggiuntive	Supportato (ad eccezione di quanto indicato) ma esiste un potenziale per la confusione dell'utente. Nei client mobili l'ID alternativo è supportato solo se l'indirizzo SIP = indirizzo di posta elettronica = ID alternativo. Gli utenti potrebbero dover accedere due volte al client desktop Skype for Business, usando prima l'UPN locale e quindi usando l'ID alternativo. Si noti che l'indirizzo "Accesso" è effettivamente l'indirizzo SIP che potrebbe non essere uguale al "Nome utente", anche se spesso è). Quando viene richiesto per la prima volta un nome utente, l'utente deve immettere l'UPN, anche se viene precompilato in modo non corretto con l'ID alternativo o l'indirizzo SIP. Dopo che l'utente fa clic sull'accesso con l'UPN, il prompt nome utente viene visualizzato nuovamente, questa volta prepopolato con l'UPN. Questa volta l'utente deve sostituire questa operazione con l'ID alternativo e fare clic su Accedi per completare il processo di accesso. Nei client mobili gli utenti devono immettere l'ID utente locale nella pagina avanzata, usando il formato sam-style (dominio\username), non il formato UPN. Dopo aver completato l'accesso, se Skype for Business o Lync dice "Exchange richiede le credenziali", è necessario specificare le credenziali valide per la posizione della cassetta postale. Se la cassetta postale si trova nel cloud, è necessario specificare l'ID alternativo. Se la cassetta postale è locale, è necessario specificare l'UPN locale.

Dettagli e considerazioni aggiuntive

• Azure AD offre funzionalità diverse correlate all'ID di accesso alternativo

  • La funzionalità di configurazione dell'ID di accesso alternativo di AD FS per gli ambienti dell'infrastruttura di identità federata¹ descritta in questo articolo.
  • Configurazione di Sincronizzazione di Azure AD Connect che definisce l'attributo locale usato come nome utente di Azure AD (userPrincipalName) per gli ambienti dell'infrastruttura di identità federata¹ OR Gestita² , parzialmente trattati in questo articolo.
  • Accesso ad Azure AD con posta elettronica come funzionalità di ID di accesso alternativo per gli ambienti dell'infrastruttura di identità gestita² .

• La funzionalità ID di accesso alternativo descritta in questo articolo è disponibile per gli ambienti dell'infrastruttura di identità Federated¹ . Non è supportato negli scenari seguenti:

  • Attributo AlternateLoginID con domini non instradabili (ad esempio Contoso.local) che non possono essere verificati da Azure AD.
  • Ambienti gestiti che non hanno distribuito AD FS. Fare riferimento alla documentazione di Azure AD Connect Sync o all'accesso ad Azure AD con posta elettronica come documentazione dell'ID di accesso alternativo . Se si decide di modificare la configurazione di Sincronizzazione di Azure AD Connect in un ambiente dell'infrastruttura di identità gestita² , l'esperienza utente e le applicazioni dopo la sezione di configurazione aggiuntiva di questo articolo possono comunque essere applicabili mentre la configurazione di AD FS specifica non è più applicabile poiché non viene distribuito AD FS in un ambiente dell'infrastruttura di identità gestita² .

• Se abilitata, la funzionalità ID di accesso alternativo è disponibile solo per l'autenticazione nome utente/password in tutti i protocolli di autenticazione nome utente/password supportati da AD FS (SAML-P, WS-Fed, WS-Trust e OAuth).

• Quando viene eseguita l'autenticazione integrata di Windows (WIA) (ad esempio, quando gli utenti tentano di accedere a un'applicazione aziendale in un computer aggiunto a un dominio da intranet e l'amministratore di AD FS ha configurato i criteri di autenticazione per l'uso di WIA per intranet), l'UPN viene usato per l'autenticazione. Se sono state configurate regole attestazioni per le relying party per la funzionalità ID di accesso alternativo, è necessario assicurarsi che tali regole siano ancora valide nel caso WIA.

• Se abilitata, la funzionalità ID di accesso alternativo richiede almeno un server di catalogo globale da raggiungere dal server AD FS per ogni foresta di account utente supportata da AD FS. L'errore di raggiungere un server di catalogo globale nella foresta dell'account utente comporta il fallback di AD FS per l'uso dell'UPN. Per impostazione predefinita, tutti i controller di dominio sono server di catalogo globali.

• Se abilitato, se il server AD FS trova più di un oggetto utente con lo stesso valore di ID di accesso alternativo specificato in tutte le foreste dell'account utente configurate, l'account di accesso non riesce.

• Quando è abilitata la funzionalità ID di accesso alternativo, AD FS tenta di autenticare prima l'utente finale con ID di accesso alternativo e quindi di tornare a usare UPN se non riesce a trovare un account che può essere identificato dall'ID di accesso alternativo. È consigliabile assicurarsi che non siano presenti conflitti tra l'ID di accesso alternativo e l'UPN se si vuole comunque supportare l'account di accesso UPN. Ad esempio, l'impostazione dell'attributo di posta elettronica con l'UPN dell'altro blocca l'accesso dell'altro utente con l'UPN.

• Se una delle foreste configurate dall'amministratore è inattiva, AD FS continua a cercare l'account utente con ID di accesso alternativo in altre foreste configurate. Se il server AD FS trova un oggetto utente univoco nelle foreste in cui è stata eseguita la ricerca, un utente accede correttamente.

• È anche possibile personalizzare la pagina di accesso di AD FS per fornire agli utenti finali qualche suggerimento sull'ID di accesso alternativo. A tale scopo, è possibile aggiungere la descrizione della pagina di accesso personalizzata . Per altre informazioni, vedere Personalizzazione delle pagine di accesso di AD FS o personalizzazione della stringa "Accedi con l'account aziendale" sopra il campo nome utente (per altre informazioni, vedere Personalizzazione avanzata delle pagine di accesso di AD FS.

• Il nuovo tipo di attestazione che contiene il valore dell'ID di accesso alternativo è http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Un ambiente dell'infrastruttura di identità federata rappresenta un ambiente con un provider di identità, ad esempio AD FS o un altro provider di identità di terze parti.

² Un ambiente dell'infrastruttura di identità gestita rappresenta un ambiente con Azure AD come provider di identità distribuito con la sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through (PTA).

Contatori di eventi e prestazioni

Sono stati aggiunti i contatori delle prestazioni seguenti per misurare le prestazioni dei server AD FS quando è abilitato l'ID di accesso alternativo:

• Autenticazioni id di accesso alternative: numero di autenticazioni eseguite tramite ID di accesso alternativo

• Autenticazioni id di accesso alternative/sec: numero di autenticazioni eseguite tramite ID di accesso alternativo al secondo

• Latenza media di ricerca per ID di accesso alternativo: latenza media di ricerca tra le foreste configurate da un amministratore per l'ID di accesso alternativo

Di seguito sono riportati vari casi di errore e l'impatto corrispondente sull'esperienza di accesso di un utente con gli eventi registrati da AD FS:

Casi di errore	Impatto sull'esperienza di accesso	Event
Impossibile ottenere un valore per SAMAccountName per l'oggetto utente	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8012: Impossibile trovare samAccountName per l'utente: '{0}'.
L'attributo CanonicalName non è accessibile	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8013: CanonicalName: '{0}' dell'utente:'{1}' in formato non valido.
Più oggetti utente si trovano in una foresta	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8015: trovato più account utente con identità '{0}' nella foresta '{1}' con identità: {2}
Più oggetti utente si trovano in più foreste	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8014: trovato più account utente con identità '{0}' nelle foreste: {1}

Vedere anche

Operazioni di AD FS