Accesso Single Sign-On facile di Microsoft Entra
Che cos'è l'accesso Single Sign-On facile di Microsoft Entra?
L'accesso Single Sign-On (SSO) facile di Microsoft Entra consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale. Quando è abilitato, gli utenti non hanno bisogno di digitare le password per accedere a Microsoft Entra ID e, di solito non devono digitare nemmeno i nomi utente. Gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare componenti aggiuntivi in locale.
L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. L'accesso Single Sign-On facile non è applicabile ad Active Directory Federation Services (AD FS).
accesso Single Sign-On tramite token di aggiornamento primario rispetto a Seamless SSO
Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare SSO con token di aggiornamento primario (PRT). Per Windows 7 e Windows 8.1, è consigliabile usare l'accesso Single Sign-On facile. L'accesso Single Sign-On facile richiede che il dispositivo dell'utente sia aggiunto a un dominio, ma non viene usato nei dispositivi Windows 10 aggiunti a Microsoft Entra o nei dispositivi aggiunti a Microsoft Entra ibrido. L'accesso Single Sign-On nei dispositivi aggiunti a Microsoft Entra, Microsoft Entra ibrido e Microsoft Entra registrato funziona in base al Token di aggiornamento primario (PRT)
L'accesso SSO tramite token di aggiornamento primario funziona dopo che i dispositivi sono stati registrati con Microsoft Entra ID per i dispositivi aggiunti a Microsoft Entra ibridi, aggiunti a Microsoft Entra o i dispositivi personali registrati tramite Aggiungi account aziendale o dell'istituto di istruzione. Per altre informazioni sul funzionamento dell'accesso Single Sign-On con Windows 10 tramite PRT, vedere: Token di aggiornamento primario (PRT) e Microsoft Entra ID
Vantaggi chiave
-
Miglioramento dell'esperienza utente
- Gli utenti accedono automaticamente sia alle applicazioni locali sia a quelle basate su cloud.
- Gli utenti non devono inserire ripetutamente le password.
-
Facilità di distribuzione e gestione
- Non sono necessari componenti aggiuntivi locali per usare la funzionalità.
- Funziona con qualsiasi metodo di autenticazione cloud: Sincronizzazione dell'hash delle password o Autenticazione pass-through.
- Può essere implementato per alcuni o tutti gli utenti usando Criteri di gruppo.
- Registrare dispositivi non Windows 10 con Microsoft Entra ID, senza che sia necessaria un'infrastruttura AD FS. Per questa funzionalità è necessaria la versione 2.1 o successiva del client Workplace Join.
Caratteristiche essenziali delle funzionalità
- Il nome utente usato per l'accesso può essere il nome utente predefinito locale (
userPrincipalName
) o un altro attributo configurato in Microsoft Entra Connect (Alternate ID
). Sono supportati entrambi i casi d'uso, perché l'accesso Single Sign-On facile usa l'attestazionesecurityIdentifier
nel ticket Kerberos per cercare l'oggetto utente corrispondente in Microsoft Entra ID. - L'accesso SSO facile è una funzionalità opportunistica. Se per qualche motivo ha esito negativo, l'esperienza di accesso dell'utente ritorna al comportamento normale, ovvero l'utente deve immettere la propria password nella pagina di accesso.
- Se un'applicazione, ad esempio
https://myapps.microsoft.com/contoso.com
, inoltra un parametrodomain_hint
(OpenID Connect) owhr
(SAML) per identificare il tenant o un parametrologin_hint
per identificare l'utente nella richiesta di accesso a Microsoft Entra, l'accesso degli utenti viene effettuato automaticamente, senza la necessità di immettere i nomi utente o le password. - Gli utenti possono inoltre usufruire di un'esperienza di accesso automatico nei casi in cui un'applicazione, ad esempio
https://contoso.sharepoint.com
, invii richieste di accesso agli endpoint di Microsoft Entra ID configurati come tenant, ovverohttps://login.microsoftonline.com/contoso.com/<..>
ohttps://login.microsoftonline.com/<tenant_ID>/<..>
, anziché all'endpoint comune di Microsoft Entra ID (https://login.microsoftonline.com/common/<...>
). - La disconnessione non è supportata. In questo modo gli utenti possono scegliere di eseguire l'accesso con un altro account di Microsoft Entra anziché accedere automaticamente tramite l'accesso Single Sign-On facile.
- I client Microsoft 365 Win32 (Outlook, Word, Excel e altri) con versioni 16.0.8730.xxxx e successive sono supportati usando un flusso non interattivo. Per OneDrive, è necessario attivare la funzionalità di configurazione silenziosa per un'esperienza di accesso senza interruzioni.
- Può essere abilitata tramite la funzionalità di connessione di Microsoft Entra.
- Questa è una funzionalità gratuita e non è necessaria alcuna edizione a pagamento di Microsoft Entra ID per usarla.
- Può essere usata per i client basati su Web browser e i client di Office che supportano l'autenticazione moderna nelle piattaforme e nei browser idonei per l'autenticazione Kerberos:
SO\Browser | Internet Explorer | Microsoft Edge**** | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Sì* | Sì | Sì | Sì*** | N/D |
Windows 8.1 | Sì* | Sì**** | Sì | Sì*** | N/D |
Windows 8 | Sì* | N/D | Sì | Sì*** | N/D |
Windows Server 2012 R2 o versione successiva | Sì** | N/D | Sì | Sì*** | N/D |
Mac OS X | N/D | N/D | Sì*** | Sì*** | Sì*** |
Nota
La versione legacy di Microsoft Edge non è più supportata
*Richiede Internet Explorer versione 11 o successiva. (A partire dal 17 agosto 2021, le app e i servizi di Microsoft 365 non supporteranno Internet Explorer 11).
**Richiede Internet Explorer versione 11 o successiva. Disabilitare la modalità protetta avanzata.
***Richiede configurazione aggiuntiva.
****Microsoft Edge basato su Chromium
Passaggi successivi
- Avvio rapido: avvio ed esecuzione di Accesso Single Sign-On facile di Microsoft Entra.
- Piano di distribuzione - Piano di distribuzione dettagliato.
- Approfondimento tecnico: informazioni sul funzionamento di questa funzionalità.
- Domande frequenti: risposte alle domande più frequenti.
- Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi a questa funzionalità.
- UserVoice: per l'invio di richieste di nuove funzionalità.