Configurazione dell'ID di accesso alternativo

Che cos'è l'ID di accesso alternativo?

Nella maggior parte degli scenari, gli utenti usano l'UPN (User Principal Names) per accedere ai propri account. Tuttavia, in alcuni ambienti a causa di criteri aziendali o dipendenze di applicazioni line-of-business locali, gli utenti potrebbero usare un altro tipo di accesso.

Annotazioni

Le procedure consigliate da Microsoft sono l'abbinamento tra UPN e indirizzo SMTP primario. Questo articolo si rivolge alla piccola percentuale di clienti che non possono risolvere le discrepanze tra gli UPN affinché corrispondano.

Ad esempio, possono usare il loro indirizzo email per l'accesso e esso può essere differente dal loro UPN. Ciò è particolarmente comune negli scenari in cui l'UPN non è instradabile. Si consideri un utente Jane Doe con UPN jdoe@contoso.local e indirizzo jdoe@contoso.comdi posta elettronica . Jane potrebbe non essere nemmeno a conoscenza dell'UPN perché ha sempre usato il suo ID di posta elettronica per l'accesso. L'uso di qualsiasi altro metodo di accesso anziché dell'UPN costituisce un ID alternativo. Per altre informazioni sulla creazione dell'UPN, vedere Popolamento di Microsoft Entra UserPrincipalName.

Active Directory Federation Services (AD FS) consente alle applicazioni federate che usano AD FS di accedere tramite ID alternativo. In questo modo gli amministratori possono specificare un'alternativa all'UPN predefinito da usare per l'accesso. AD FS supporta già l'uso di qualsiasi forma di identificatore utente accettato da Active Directory Domain Services (AD DS). Se configurata per l'ID alternativo, AD FS consente agli utenti di accedere usando il valore ID alternativo configurato, ad esempio l'ID di posta elettronica. L'uso dell'ID alternativo consente di adottare provider SaaS come Office 365 senza modificare gli UPN locali. Consente inoltre di supportare applicazioni di servizio aziendali con identità fornite dai consumatori.

ID alternativo in Microsoft Entra ID

Un'organizzazione potrebbe dover usare un ID alternativo negli scenari seguenti:

1. Il nome di dominio locale non è instradabile, ad esempio contoso.local, e di conseguenza il nome dell'entità utente predefinito non è instradabile (jdoe@contoso.local). Impossibile modificare l'UPN esistente a causa delle dipendenze dell'applicazione locale o dei criteri aziendali. Microsoft Entra ID e Office 365 richiedono che tutti i suffissi di dominio associati alla directory Microsoft Entra siano completamente instradabili su Internet.
2. L'UPN locale non è uguale all'indirizzo di posta elettronica dell'utente. Per accedere a Office 365, gli utenti utilizzano l'indirizzo di posta elettronica e l'UPN non può essere utilizzato a causa di vincoli organizzativi. Negli scenari indicati in precedenza, l'ID alternativo con AD FS consente agli utenti di accedere all'ID Microsoft Entra senza modificare gli UPN locali.

Configurare l'ID di accesso alternativo

Con Microsoft Entra Connect è consigliabile usare Microsoft Entra Connect per configurare l'ID di accesso alternativo per l'ambiente.

• Per una nuova configurazione di Microsoft Entra Connect, vedere Connettersi all'ID Microsoft Entra per istruzioni dettagliate su come configurare l'ID alternativo e la farm AD FS.
• Per le installazioni esistenti di Microsoft Entra Connect, vedere Modifica del metodo di accesso utente per istruzioni sulla modifica del metodo di accesso ad AD FS

Quando Microsoft Entra Connect fornisce informazioni dettagliate sull'ambiente AD FS, verifica automaticamente la presenza della knowledge base corretta in AD FS e configura AD FS per l'ID alternativo, incluse tutte le regole di attestazione appropriate necessarie per l'attendibilità federativa di Microsoft Entra. Non è necessario alcun passaggio aggiuntivo all'esterno della procedura guidata per configurare l'ID alternativo.

Annotazioni

Microsoft consiglia di usare Microsoft Entra Connect per configurare l'ID di accesso alternativo.

Configurare manualmente l'ID alternativo

Per configurare un ID di accesso alternativo, è necessario eseguire le attività seguenti:

Configurare i trust del provider di attestazioni AD FS per abilitare l'ID di accesso alternativo

1. Se si dispone di Windows Server 2012 R2, assicurarsi di aver installato KB2919355 in tutti i server AD FS. È possibile ottenerlo tramite Windows Update Services o scaricarlo direttamente.

2. Aggiornare la configurazione di AD FS eseguendo il cmdlet di PowerShell seguente in uno dei server federativi della farm (se si dispone di una farm WID, è necessario eseguire questo comando nel server AD FS primario nella farm):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID è il nome LDAP dell'attributo che si vuole usare per l'accesso.

LookupForests è l'elenco di DNS della foresta a cui appartengono gli utenti.

Per abilitare la funzionalità di ID di accesso alternativo, è necessario configurare sia i parametri -AlternateLoginID che i parametri -LookupForests con un valore non Null valido.

Nell'esempio seguente si abilitano funzionalità di ID di accesso alternative in modo che gli utenti con account in contoso.com e fabrikam.com foreste possano accedere alle applicazioni abilitate per AD FS con il relativo attributo "mail".

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Per disabilitare questa funzionalità, impostare il valore per entrambi i parametri su null.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Autenticazione moderna ibrida con ID alternativo

Importante

È stato testato solo contro AD FS e non contro provider di identità di terze parti.

Exchange e Skype for Business

Se si usa un ID di accesso alternativo con Exchange e Skype for Business, l'esperienza utente varia a seconda che si usi o meno HMA.

Annotazioni

Per un'esperienza utente finale ottimale, Microsoft consiglia di usare l'autenticazione moderna ibrida.

o altre informazioni, vedere Panoramica dell'autenticazione moderna ibrida

Prerequisiti per Exchange e Skype for Business

Di seguito sono riportati i prerequisiti per ottenere l'accesso SSO con ID alternativo.

• Exchange Online deve avere l'autenticazione moderna attivata.
• Skype for Business (SFB) Online deve avere l'autenticazione moderna attivata.
• Exchange locale deve avere l'autenticazione moderna attivata. Exchange 2013 CU19 o Exchange 2016 CU18 e versioni successive sono necessari su tutti i server Exchange. Nessun Exchange 2010 nell'ambiente.
• Skype for Business locale deve avere l'autenticazione moderna attivata.
• È necessario usare i client Exchange e Skype con l'autenticazione moderna abilitata. Tutti i server devono eseguire SFB Server 2015 CU5.
• Client Skype for Business che supportano l'autenticazione moderna
  • iOS, Android, Windows Phone
  • SFB 2016 (MA è ATTIVATO per impostazione predefinita, ma assicurarsi che non sia stato disabilitato).
  • SFB 2013 (MA è disattivato per impostazione predefinita, quindi verificare che MA sia attivato).
  • desktop SFB Mac
• Client di Exchange che supportano l'autenticazione moderna e supportano le chiavi regkey ALTID
  • Solo Office Pro Plus 2016

Versione di Office supportata

Configurazione della directory per l'SSO con ID alternativo

L'uso dell'ID alternativo può causare richieste aggiuntive di autenticazione se queste configurazioni aggiuntive non vengono completate. Per un possibile impatto sull'esperienza utente con ID alternativo, vedere l'articolo.

Con la configurazione aggiuntiva seguente, l'esperienza utente è stata migliorata in modo significativo ed è possibile ottenere quasi zero richieste di autenticazione per gli utenti con ID alternativo nell'organizzazione.

Passaggio 1: Eseguire l'aggiornamento alla versione di Office richiesta

Office versione 1712 (build no 8827.2148) e versioni successive hanno aggiornato la logica di autenticazione per gestire lo scenario di ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Office versione 1712 (build no 8827.2148) e versioni successive.

Passaggio 2: Eseguire l'aggiornamento alla versione di Windows richiesta

Windows versione 1709 e successive hanno aggiornato la logica di autenticazione per gestire lo scenario di ID alternativo. Per sfruttare la nuova logica, i computer client devono essere aggiornati a Windows versione 1709 e successive.

Passaggio 3: Configurare il Registro di sistema per gli utenti interessati usando Criteri di gruppo

Le applicazioni di Office si basano sulle informazioni fornite dall'amministratore della directory per identificare l'ambiente ID alternativo. Le chiavi del Registro di sistema seguenti devono essere configurate per consentire alle applicazioni di Office di autenticare l'utente con ID alternativo senza visualizzare richieste aggiuntive.

Chiave di registro da aggiungere	Nome, tipo e valore dei dati regkey	finestre 7/8	Windows 10	Descrizione
HKEY_CURRENT_USER\Software\Microsoft\AuthN	DomainHint REG_SZ contoso.com	Obbligatorio	Obbligatorio	Il valore di questa chiave di regkey è un nome di dominio personalizzato verificato nel tenant dell'organizzazione. Ad esempio, Contoso corp può fornire un valore di Contoso.com in questa chiave regkey se Contoso.com è uno dei nomi di dominio personalizzati verificati nel tenant Contoso.onmicrosoft.com.
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity	EnableAlternateIdSupport REG_DWORD 1	Obbligatorio per Outlook 2016 ProPlus	Obbligatorio per Outlook 2016 ProPlus	Il valore di questa chiave di regkey può essere 1/0 per indicare all'applicazione Outlook se deve coinvolgere la logica di autenticazione dell'ID alternativo migliorata.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com\sts	* REG_DWORD 1	Obbligatorio	Obbligatorio	Questa chiave di registro può essere usata per impostare lo STS come zona attendibile nelle impostazioni di Internet. La distribuzione standard di AD FS consiglia di aggiungere lo spazio dei nomi AD FS all'area Intranet locale per Internet Explorer.

Nuovo flusso di autenticazione dopo una configurazione aggiuntiva

1. a: L'utente viene fornito in Microsoft Entra ID usando l'ID alternativo
   b: L'amministratore della directory esegue il push delle impostazioni regkey necessarie per i computer client interessati
2. L'utente esegue l'autenticazione nel computer locale e apre un'applicazione office
3. L'applicazione Office accetta le credenziali della sessione locale
4. L'applicazione di Office esegue l'autenticazione all'ID Microsoft Entra usando l'hint di dominio inserito dall'amministratore e dalle credenziali locali
5. Microsoft Entra ID autentica correttamente l'utente indirizzandolo all'area di autenticazione della federazione corretta e rilasciando un token

Applicazioni e esperienza utente dopo la configurazione aggiuntiva

Client non Exchange e Skype for Business

Cliente	Dichiarazione di supporto	Osservazioni:
Microsoft Teams	Sostenuto	Microsoft Teams supporta AD FS (SAML-P, WS-Fed, WS-Trust e OAuth) e l'autenticazione moderna. Le funzionalità principali di Microsoft Teams, ad esempio canali, chat e file, funzionano con l'ID di accesso alternativo. Le app di prima e terza parte devono essere esaminate separatamente dal cliente. Ciò è dovuto al fatto che ogni applicazione ha i propri protocolli di autenticazione di supporto.
OneDrive per le aziende	Supportato - Chiave del Registro di sistema lato client consigliata	Quando è configurato un ID alternativo, si nota che l'UPN locale è prepopolato nel campo di verifica. Questo deve essere modificato nell'identità alternativa attualmente utilizzata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiedono periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online.
OneDrive for Business Mobile Client	Sostenuto
Pagina di attivazione di Office 365 Pro Plus	Supportato - Chiave del Registro di sistema lato client consigliata	Con l'ID alternativo configurato si noterà che l'UPN locale è prepopolato nel campo di verifica. Questo deve essere modificato nell'identità alternativa attualmente utilizzata. È consigliabile usare la chiave del Registro di sistema lato client annotata in questo articolo: Office 2013 e Lync 2013 richiedono periodicamente le credenziali a SharePoint Online, OneDrive e Lync Online.

I client di Exchange e Skype for Business

Cliente	Dichiarazione di supporto - con HMA	Dichiarazione di supporto - senza HMA
Prospettiva	Supportato, nessun prompt aggiuntivo	Supportato con l'autenticazione moderna per Exchange Online: supportato con per Exchange Online: supportato con le avvertenze seguenti: Devi essere su un computer membro di un dominio e connesso alla rete aziendale È possibile usare l'ID alternativo solo negli ambienti che non consentono l'accesso esterno per gli utenti delle cassette postali. Ciò significa che gli utenti possono eseguire l'autenticazione solo nella cassetta postale in modo supportato quando sono connessi e aggiunti alla rete aziendale, in una VPN o connessi tramite computer di Accesso diretto, ma si ottengono un paio di richieste aggiuntive durante la configurazione del profilo di Outlook.
Cartelle pubbliche ibride	Supportato, nessun prompt aggiuntivo.	Con l'autenticazione moderna per Exchange Online: supportata con l'autenticazione regolare per Exchange Online: non supportata Le cartelle pubbliche ibride non sono in grado di espandersi se vengono usati ID alternativi e pertanto non devono essere usati oggi con metodi di autenticazione regolari.
Delega tra sedi	Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida	Vedere Configurare Exchange per supportare le autorizzazioni delle cassette postali delegate in una distribuzione ibrida
Accesso alle cassette postali di archiviazione (cassetta postale locale - archivio nel cloud)	Supportato, nessun prompt aggiuntivo	Supportato: gli utenti ricevono una richiesta aggiuntiva di credenziali quando accedono all'archivio, devono specificare l'ID alternativo quando richiesto.
Outlook Web Access	Sostenuto	Sostenuto
Outlook Mobile Apps for Android, IOS e Windows Phone	Sostenuto	Sostenuto
Skype for Business/ Lync	Supportato, senza richieste aggiuntive	Supportato (ad eccezione di quanto indicato) ma esiste una potenziale confusione per l'utente. Nei client mobili l'ID alternativo è supportato solo se l'indirizzo SIP = indirizzo di posta elettronica = ID alternativo. Gli utenti potrebbero dover accedere due volte al client desktop Skype for Business, prima di tutto usando l'UPN locale e quindi usando l'ID alternativo. Si noti che "Indirizzo di accesso" è in realtà l'indirizzo SIP che potrebbe non essere uguale a "Nome utente", anche se spesso è). Quando viene richiesto per la prima volta un nome utente, l'utente deve immettere l'UPN, anche se è precompilato in modo non corretto con l'ID alternativo o l'indirizzo SIP. Dopo che l'utente fa clic su "accedi" con l'UPN, viene visualizzata nuovamente la richiesta del nome utente, questa volta precompilata con l'UPN. Questa volta l'utente deve sostituirlo con l'ID alternativo e fare clic su Accedi per completare il processo di accesso. Nei client per dispositivi mobili gli utenti devono immettere l'ID utente locale nella pagina avanzata, usando il formato sam-style (dominio\nomeutente), non il formato UPN. Dopo aver eseguito l'accesso, se Skype for Business o Lync indica che "Exchange richiede le credenziali", è necessario fornire le credenziali valide per la posizione della cassetta postale. Se la cassetta postale si trova nel cloud, è necessario specificare l'ID alternativo. Se la cassetta postale è locale, è necessario specificare l'UPN locale.

Dettagli aggiuntivi e considerazioni

• Microsoft Entra ID offre diverse funzionalità correlate all'ID di accesso alternativo

  • La funzionalità di configurazione dell'ID di accesso alternativo di AD FS per gli ambienti dell'infrastruttura di identità federata¹ descritta in questo articolo.
  • La configurazione di Microsoft Entra Connect Sync che definisce quale attributo locale è utilizzato come nome utente Microsoft Entra (userPrincipalName) per gli ambienti infrastrutturali di identità federata1 o gestita², parzialmente trattata in questo articolo.
  • Accesso a Microsoft Entra ID con posta elettronica come funzionalità di ID di accesso alternativo per gli ambienti dell'infrastruttura di identità gestita².

• La funzionalità ID di accesso alternativo descritta in questo articolo è disponibile per gli ambienti dell'infrastruttura di identità Federated¹ . Non è supportato negli scenari seguenti:

  • Attributo AlternateLoginID con domini non instradabili (ad esempio Contoso.local) che non possono essere verificati dall'ID Microsoft Entra.
  • Ambienti gestiti che non dispongono della distribuzione di AD FS. Fare riferimento alla documentazione di Microsoft Entra Connect Sync o all'accesso a Microsoft Entra ID con posta elettronica come documentazione relativa all'ID di accesso alternativo . Se si decide di modificare la configurazione di Microsoft Entra Connect Sync in un ambiente dell'infrastruttura di gestione^{delle identità 2} , l'esperienza utente e le applicazioni dopo la sezione di configurazione aggiuntiva di questo articolo possono essere ancora applicabili mentre la configurazione specifica di AD FS non è più applicabile perché non viene distribuito AD FS in un ambiente dell'infrastruttura di identità gestita² .

• Se abilitata, la funzionalità alternativa id di accesso è disponibile solo per l'autenticazione nome utente/password in tutti i protocolli di autenticazione nome utente/password supportati da AD FS (SAML-P, WS-Fed, WS-Trust e OAuth).

• Quando viene eseguita l'autenticazione integrata di Windows (WIA), ad esempio quando gli utenti tentano di accedere a un'applicazione aziendale in un computer aggiunto a un dominio dalla intranet e l'amministratore di AD FS ha configurato i criteri di autenticazione per l'uso di WIA per Intranet, viene usato l'UPN per l'autenticazione. Se sono state configurate regole di attestazione per le parti affidabili per la funzionalità di identificativo di accesso alternativo, è necessario assicurarsi che tali regole siano ancora valide nel caso WIA.

• Se abilitata, la funzionalità di ID di accesso alternativo richiede che almeno un server di catalogo globale sia raggiungibile dal server AD FS per ogni foresta di account utente supportata da AD FS. Il mancato raggiungimento di un server di catalogo globale nella foresta dell'account utente porta AD FS a ripiegare sull'utilizzo dell'UPN. Per impostazione predefinita, tutti i controller di dominio sono server di catalogo globali.

• Se abilitato, se il server AD FS trova più di un oggetto utente con lo stesso valore di ID di accesso alternativo specificato in tutte le foreste utente configurate, l'accesso fallisce.

• Quando la funzionalità di ID di accesso alternativo è abilitata, AD FS tenta di autenticare prima l'utente finale con ID di accesso alternativo e quindi eseguire il fallback per usare l'UPN se non riesce a trovare un account che può essere identificato dall'ID di accesso alternativo. Assicurarsi che non ci siano conflitti tra l'ID di accesso alternativo e l'UPN se si vuole ancora supportare l'account di accesso UPN. Ad esempio, l'impostazione dell'attributo di posta elettronica con l'UPN dell'altro impedisce all'altro di accedere con il proprio UPN.

• Se una delle foreste configurate dall'amministratore è inattiva, AD FS continua a cercare l'account utente con ID di accesso alternativo in altre foreste configurate. Se il server AD FS trova un oggetto utente univoco nelle foreste in cui è stata eseguita la ricerca, un utente accede correttamente.

• È anche possibile personalizzare la pagina di accesso di AD FS per fornire agli utenti finali alcuni suggerimenti sull'ID di accesso alternativo. È possibile farlo aggiungendo la descrizione della pagina di accesso personalizzata . Per altre informazioni, vedere Personalizzazione delle pagine di accesso di AD FS o personalizzazione della stringa "Accedi con account aziendale" sopra il campo nome utente (per altre informazioni, vedere Personalizzazione avanzata delle pagine di accesso ad AD FS.

• Il nuovo tipo di attestazione che contiene il valore dell'ID di accesso alternativo è http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Un ambiente dell'infrastruttura di identità federata rappresenta un ambiente con un provider di identità, ad esempio AD FS o un altro provider di identità di terze parti.

² Un ambiente di infrastruttura per la gestione delle identità rappresenta un ambiente con Microsoft Entra ID come fornitore di identità implementato con sincronizzazione dell'hash delle password (PHS) o autenticazione pass-through (PTA).

Eventi e contatori delle prestazioni

Sono stati aggiunti i contatori delle prestazioni seguenti per misurare le prestazioni dei server AD FS quando è abilitato un ID di accesso alternativo:

• Autenticazione con ID di accesso alternativo: numero di autenticazioni eseguite usando l'ID di accesso alternativo

• Autenticazione con ID di accesso alternativo/sec: numero di autenticazioni eseguite usando l'ID di accesso alternativo al secondo

• Latenza di ricerca media per ID di accesso alternativo: latenza di ricerca media tra le foreste configurate da un amministratore per l'ID di accesso alternativo

Di seguito sono riportati diversi casi di errore e l'impatto corrispondente sull'esperienza di accesso di un utente con gli eventi registrati da AD FS:

Casi di errore	Impatto sull'esperienza di accesso	Evento
Impossibile ottenere un valore per SAMAccountName per l'oggetto utente	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8012: Impossibile trovare samAccountName per l'utente: '{0}'.
L'attributo CanonicalName non è accessibile	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8013: CanonicalName: '{0}' dell'utente:'{1}' è in formato non valido.
Più oggetti utente si trovano in una foresta	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8015: è stato trovato più di un account utente con identità '{0}' nella foresta '{1}' con identità: {2}
Più oggetti utente si trovano in più foreste	Errore di accesso	ID evento 364 con messaggio di eccezione MSIS8014: trovato più account utente con identità '{0}' nelle foreste: {1}

Vedere anche

Operazioni di AD FS