Account Microsoft
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Informazioni su come funziona un account Microsoft per migliorare la sicurezza e la privacy degli utenti e su come è possibile gestire i tipi di account dei consumatori nell’organizzazione.
Che cos'è un account Microsoft?
I siti, i servizi, le proprietà e i computer Microsoft che eseguono Windows 10 possono usare un account Microsoft come modo per identificare un utente. In precedenza un account Microsoft era chiamato Windows Live ID. Un account Microsoft ha segreti definiti dall'utente ed è costituito da un indirizzo di posta elettronica univoco e una password.
Quando un utente accede con un account Microsoft, il dispositivo viene connesso ai servizi cloud. L'utente può condividere molte delle impostazioni, delle preferenze e delle app tra i dispositivi.
Funzionamento di un account Microsoft
Un utente può usare un account Microsoft per accedere ai siti Web che supportano questo servizio usando un singolo set di credenziali. Le credenziali di un utente vengono convalidate da un server di autenticazione dell'account Microsoft associato a un sito Web. Un esempio di questa associazione è Microsoft Store. Quando un nuovo utente accede a un sito web abilitato all'uso degli account Microsoft, viene reindirizzato al server di autenticazione più vicino, che richiede un nome utente e una password. Windows utilizza lo Schannel Security Support Provider per aprire una connessione TLS/SSL (Transport Level Security/Secure Sockets Layer) per questa funzione. Gli utenti possono usare Gestione credenziali per archiviare le credenziali.
Quando un utente accede a un sito Web che permette l'utilizzo di un account Microsoft, un cookie a tempo limitato viene installato nel suo computer. Il cookie include un tag ID con crittografia triple DES. Il tag ID crittografato è stato concordato tra il server di autenticazione e il sito Web. Il tag ID viene inviato al sito Web e quest'ultimo inserisce un altro cookie HTTP crittografato e limitato nel tempo nel computer dell'utente. Finché il cookie è valido, all'utente non viene richiesto di immettere un nome utente e una password. Se un utente si disconnette dal proprio account Microsoft, questi cookie vengono rimossi.
Nota
La funzionalità dell'account locale di Windows è ancora disponibile in un ambiente gestito.
Come viene creato un account Microsoft
Per evitare frodi, il sistema Microsoft verifica l'indirizzo IP di un utente quando crea un account Microsoft. Un utente che tenta di creare più account Microsoft utilizzando lo stesso indirizzo IP viene bloccato nella creazione di altri account. Gli account Microsoft non sono progettati per essere creati in batch, ad esempio per un gruppo di utenti di dominio nell'azienda.
Per creare un account Microsoft, un utente ha due opzioni:
Usare un indirizzo di posta elettronica esistente. L'utente può usare il proprio indirizzo di posta elettronica valido per iscriversi a un account Microsoft. Il servizio trasforma l'indirizzo di posta elettronica dell'utente che ne fa richiesta in un account Microsoft. L'utente può scegliere una password separata da usare per l'account Microsoft.
Registrarsi per un indirizzo di posta elettronica Microsoft. Un utente può registrarsi per un account di posta elettronica attraverso i servizi di webmail di Microsoft. L'utente può usare l'account per accedere ai siti Web abilitati per l'uso degli account Microsoft.
Come vengono protette le informazioni sull'account Microsoft
Le informazioni sulle credenziali vengono crittografate due volte. La prima crittografia è basata sulla password dell'account. Le credenziali vengono crittografate di nuovo quando vengono inviate in Internet. I dati delle credenziali archiviati non sono disponibili per altri servizi Microsoft o per i servizi non Microsoft.
È necessaria una password complessa. Le password vuote non sono consentite.
Per altre informazioni, vedere Istruzioni per mantenere il tuo account Microsoft sicuro e protetto.
È necessaria una prova di identità secondaria. Prima che un utente possa accedere per la prima volta alle informazioni e alle impostazioni del profilo utente in un secondo computer Windows supportato, è necessario stabilire l'attendibilità di tale dispositivo. Per stabilire l'attendibilità, l'utente deve fornire una prova secondaria della propria identità. L'utente può dimostrare la propria identità inserendo un codice inviato a un numero di telefono cellulare o seguendo le istruzioni inviate a un indirizzo di posta elettronica alternativo specificato dall'utente nelle impostazioni dell'account.
Tutti i dati del profilo utente vengono crittografati nel client prima che vengano trasmessi al cloud. Per impostazione predefinita, i dati dell'utente non vengono trasferiti su una rete WAN, in modo da proteggere i dati del profilo. Tutti i dati e le impostazioni che lasciano un dispositivo vengono trasmesse tramite il protocollo TLS/SSL.
Informazioni sulla sicurezza degli account Microsoft
Un utente può aggiungere informazioni di sicurezza al proprio account Microsoft tramite l'interfaccia Account nei computer che eseguono versioni supportate di Windows. In Account l'utente può aggiornare le informazioni di sicurezza fornite al momento della creazione dell'account. Queste informazioni di sicurezza includono un indirizzo di posta elettronica o un numero di telefono alternativo, in modo che, se la password viene compromessa o dimenticata, sia possibile inviare un codice di verifica per accertare la propria identità. Un utente può potenzialmente usare il proprio account Microsoft per archiviare i dati aziendali in un'app personale di OneDrive o di posta elettronica. Una pratica sicura da seguire consiste nel mantenere aggiornate le informazioni di sicurezza da parte del proprietario dell'account.
Account Microsoft nell'organizzazione
Anche se l'account Microsoft è stato concepito per essere utilizzato dai consumatori, è possibile che si verifichino situazioni in cui gli utenti del dominio potrebbero trarre vantaggio dall'utilizzo del loro account Microsoft personale nell'azienda. L'elenco seguente descrive alcuni vantaggi:
Scaricare le app dal Microsoft Store. Se l'azienda sceglie di distribuire app o software tramite Microsoft Store, un utente aziendale può usare un account Microsoft per scaricare e usare le app in un massimo di cinque dispositivi con qualsiasi versione di Windows 10, Windows 8.1, Windows 8 o Windows RT.
Single Sign-On. Un utente aziendale può usare le credenziali dell'account Microsoft per accedere ai dispositivi che eseguono Windows 10, Windows 8.1, Windows 8 o Windows RT. In questo scenario, Windows interagisce con l'app di Microsoft Store per offrire un'esperienza di autenticazione all'interno dell'app. Un utente può associare un account Microsoft alle proprie credenziali di accesso alle applicazioni o ai siti Web del Microsoft Store, in modo che queste credenziali siano disponibili in tutti i dispositivi che eseguono queste versioni supportate.
Sincronizzazione delle impostazioni personalizzate. Un utente può associare le impostazioni del sistema operativo usate più di frequente a un account Microsoft. Queste impostazioni sono disponibili ogni volta che un utente accede con quell'account in qualsiasi dispositivo che esegue una versione supportata di Windows e che è connesso al cloud. Dopo l'accesso di un utente, il dispositivo tenta automaticamente di ottenere le impostazioni dell'utente dal cloud e applicarle al dispositivo.
Sincronizzazione delle app. Le app di Microsoft Store possono archiviare impostazioni specifiche dell'utente in modo che queste siano disponibili in qualsiasi dispositivo. Come nel caso delle impostazioni del sistema operativo, le impostazioni delle app specifiche per l'utente sono disponibili ogni volta che l'utente accede con lo stesso account Microsoft in qualsiasi dispositivo che esegue una versione supportata di Windows e che è connesso al cloud. Dopo l'accesso dell'utente, il dispositivo scarica automaticamente le impostazioni dal cloud e le applica quando l'app viene installata.
Servizi di social media integrati. Le informazioni di contatto e lo stato degli amici e dei collaboratori di un utente vengono aggiornati automaticamente da siti come Outlook, Facebook, Twitter e LinkedIn. Un utente può anche accedere e condividere foto, documenti e altri file da siti come OneDrive, Facebook e Flickr.
Gestire gli account Microsoft nel dominio
A seconda dei modelli IT e aziendali, l'introduzione di account Microsoft nell'azienda potrebbe aggiungere complessità o offrire soluzioni. Prima di consentire l'uso di questi tipi di account nell'organizzazione, è necessario tenere conto delle seguenti considerazioni:
Limitare l'uso degli account Microsoft
Le impostazioni di Criteri di gruppo seguenti consentono di controllare l'uso degli account Microsoft nell'organizzazione:
App e servizi: blocca l'autenticazione utente dell'account Microsoft
Questa impostazione controlla se un utente può fornire un account Microsoft per l'autenticazione di un'app o un servizio.
Se questa impostazione è abilitata, tutte le app e i servizi in un dispositivo non possono usare un account Microsoft per l'autenticazione. Questa impostazione si applica sia agli utenti del dispositivo esistenti che ai nuovi utenti.
Le app o i servizi che hanno già effettuato l'autenticazione di un utente che ha usato un account Microsoft non sono interessati dall'attivazione di questa impostazione fino alla scadenza della cache di autenticazione. È consigliabile attivare questa impostazione prima che un utente effettui l'accesso a un dispositivo per evitare che i token memorizzati nella cache effettuino l'autenticazione di un account Microsoft.
Se questa impostazione è disabilitata o non configurata, le app e i servizi possono usare un account Microsoft per l'autenticazione. Questa opzione è disabilitata per impostazione predefinita.
Questa impostazione non influisce sulla possibilità per un utente di accedere a un dispositivo usando un account Microsoft o sulla possibilità per un utente di fornire un account Microsoft tramite il browser per l'autenticazione con un'app basata sul Web.
Il percorso di questa impostazione è Configurazione computer\Modelli amministrativi\Componenti di Windows\Account Microsoft.
Account: blocca gli account Microsoft
Questa impostazione previene l'utilizzo dell'app Impostazioni per aggiungere un account Microsoft per l'autenticazione Single Sign-On ai servizi Microsoft e alcuni servizi in background, nonché l'uso di un account Microsoft per il Single Sign-On in altre applicazioni o servizi.
Se questa impostazione è abilitata, un utente ha due opzioni:
L'utente non può aggiungere un account Microsoft. Gli account connessi esistenti possono comunque accedere al dispositivo e vengono visualizzati nella pagina Accedi. Tuttavia, un utente non può usare l'app Impostazioni per aggiungere un nuovo account connesso o per connettere un account locale a un account Microsoft.
L'utente non può aggiungere o accedere con un account Microsoft. Un utente non può aggiungere un nuovo account connesso (o connettere un account locale a un account Microsoft) o usare un account connesso esistente tramite Impostazioni.
Questa impostazione non influisce sull'aggiunta di un account Microsoft per l'autenticazione dell'app. Ad esempio, se questa impostazione è abilitata, un utente può comunque fornire un account Microsoft per l'autenticazione con un'app come Posta, ma l'utente non può usare l'account Microsoft per l'autenticazione Single Sign-On per altre app o servizi. Per altre app e servizi, all'utente viene richiesto di eseguire l'autenticazione.
Questa impostazione non è configurata per impostazione predefinita.
Il percorso di questa impostazione è Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza.
Configurare gli account connessi
Un utente può connettere un account Microsoft al proprio account di dominio e sincronizzare le impostazioni e le preferenze tra gli account. Sincronizzando le impostazioni e le preferenze tra account, l'utente visualizza lo stesso sfondo desktop, le impostazioni dell'app, la cronologia del browser e i preferiti e altre impostazioni dell'account Microsoft negli altri dispositivi.
Disconnettere un account connesso
Un utente può disconnettere un account Microsoft dal proprio account di dominio in qualsiasi momento: In Impostazioni PC, selezionare Utenti>Disconnetti>Fine.
Nota
La connessione di un account Microsoft a un account di dominio potrebbe limitare l'accesso ad alcune attività con privilegi elevati in Windows. Ad esempio, Utilità di pianificazione valuta l'account Microsoft connesso per l'accesso senza successo. In questo scenario, il proprietario dell'account deve disconnettere l'account.
Effettuare il provisioning degli account Microsoft nell'organizzazione
Un account Microsoft è un account utente privato. Microsoft non offre un modo per effettuare il provisioning degli account Microsoft per un'azienda. Le aziende devono usare account di dominio.
Controllo dell'attività dell'account
Poiché un account Microsoft è basato su Internet, Windows non ha modo di verificare un account Microsoft a meno che non sia associato a un account di dominio. Non è possibile controllare l'attività degli account non associati al dominio perché un utente può disconnettere l'account o lasciare il dominio in qualsiasi momento.
Reimpostare una password
Solo il proprietario di un account Microsoft può modificare la password associata all'account. Un utente può modificare la password per il proprio account Microsoft nel portale di accesso dell'account Microsoft.
Limitare l'installazione e l'utilizzo delle app
All'interno dell'organizzazione è possibile impostare i criteri di controllo delle applicazioni per regolare l'installazione e l'utilizzo delle app per gli account Microsoft. Per altre informazioni, vedere AppLocker e App in pacchetto e regole del programma di installazione delle app in pacchetto in AppLocker.