Definire una strategia di adozione della soluzione ibrida di gestione delle identitàDefine a hybrid identity adoption strategy

In questa attività verrà definita la strategia di adozione della soluzione ibrida di gestione delle identità in modo che soddisfi i requisiti aziendali definiti in:In this task, you’ll define the hybrid identity adoption strategy for your hybrid identity solution to meet the business requirements that were discussed in :

Definire la strategia in base alle esigenze aziendaliDefine business needs strategy

Questa prima attività prevede la determinazione delle esigenze aziendali dell'organizzazione.The first task addresses determining the organizations business needs. È necessario prestare particolare attenzione per non correre il rischio di ampliare eccessivamente l'ambito.This can be very broad and scope creep can occur if you are not careful. Iniziare da un progetto semplice che possa tuttavia essere adattato e modificato con facilità in futuro.In the beginning keep it simple but always remember to plan for a design that will accommodate and facilitate change in the future. Indipendentemente dal tipo di progetto, semplice o estremamente complesso, Azure Active Directory è la piattaforma di gestione delle identità Microsoft che supporta Office 365, Microsoft Online Services e applicazioni compatibili con il cloud.Regardless of whether it is a simple design or an extremely complex one, Azure Active Directory is the Microsoft Identity platform that supports Office 365, Microsoft Online Services and cloud aware applications.

Definire una strategia di integrazioneDefine an integration strategy

Microsoft ha previsto tre principali scenari di integrazione, ovvero identità cloud, identità sincronizzate e identità federate.Microsoft has three main integration scenarios which are cloud identities, synchronized identities, and federated identities. È necessario valutare l'adozione di una di queste strategie di integrazione.You should plan on adopting one of these integration strategies. La strategia scelta può variare e le decisioni che intervengono nel processo decisionale possono basarsi sul tipo di esperienza utente che si vuole offrire, sull'eventuale infrastruttura esistente e sulla soluzione più conveniente in termini di costi.The strategy you choose can vary and the decisions in choosing one may include, what type of user experience you want to provide, do you have some of the existing infrastructure already in-place, and what is the most cost effective.

Gli scenari definiti nella figura precedente sono:The scenarios defined in the above figure are:

  • Identità cloud: si tratta di identità che esistono solo nel cloud.Cloud identities: these are identities that exist solely in the cloud. Nel caso di Azure AD, risiedono nella directory di Azure AD dell'organizzazione.In the case of Azure AD, they would reside specifically in your Azure AD directory.
  • Identità sincronizzate: si tratta di identità che esistono sia in locale che nel cloud.Synchronized: these are identities that exist on-premises and in the cloud. Grazie ad Azure AD Connect, questi utenti vengono creati o associati ad account Azure AD esistenti.Using Azure AD Connect, these users are either created or joined with existing Azure AD accounts. L'hash della password dell'utente viene sincronizzato dall'ambiente locale al cloud in ciò che viene chiamato un hash della password.The user’s password hash is synchronized from the on-premises environment to the cloud in what is called a password hash. Lo svantaggio di questa soluzione è che se un utente viene disabilitato nell'ambiente locale, la visualizzazione dello stato dell'account aggiornato in Azure AD può richiedere fino a 3 ore.When using synchronized the one caveat is that if a user is disabled in the on-premises environment, it can take up to 3 hours for that account status to show up in Azure AD. Questo è dovuto all'intervallo di tempo del processo di sincronizzazione.This is due to the synchronization time interval.
  • Identità federate: si tratta di identità che esistono sia in locale che nel cloud.Federated: these identities exist both on-premises and in the cloud. Grazie ad Azure AD Connect, questi utenti vengono creati o associati ad account Azure AD esistenti.Using Azure AD Connect, these users are either created or joined with existing Azure AD accounts.

Nota

Per altre informazioni sulle opzioni di sincronizzazione, vedere Integrazione delle identità locali con Azure Active Directory.For more information about the Synchronization options read Integrating your on-premises identities with Azure Active Directory.

La tabella seguente consente di determinare i vantaggi e gli svantaggi di ognuna delle strategie seguenti:The following table will help in determining the advantages and disadvantages of each of the following strategies:

StrategiaStrategy VantaggiAdvantages Svantaggi:Disadvantages
Identità cloudCloud identities Più facile da gestire per le organizzazioni di piccole dimensioni.Easier to manage for small organization.
Niente da installare in locale, nessun hardware aggiuntivo necessarioNothing to install on-premises- No additional hardware needed
Facile da disabilitare se l'utente lascia la societàEasily disabled if the user leaves the company
Gli utenti devono eseguire l'accesso per usare i carichi di lavoro nel cloud Users will need to sign-in when accessing workloads in the cloud
Le password per le identità cloud e locale possono essere uguali oppure noPasswords may or may not be the same for cloud and on-premises identities
Identità sincronizzateSynchronized La password locale consente di eseguire l'autenticazione sia alla directory locale che alla directory cloud On-premises password will authenticate both on-premises and cloud directories
Più facile da gestire per le organizzazioni di piccole, medie o grandi dimensioniEasier to manage for small, medium or large organizations
Gli utenti possono usufruire dell'accesso Single Sign-On per alcune risorseUsers can have single sign-on (SSO) for some resources
Metodo preferito di Microsoft per la sincronizzazioneMicrosoft preferred method for synchronization
Più facile da gestireEasier to manage
Alcuni clienti possono essere riluttanti a sincronizzare le directory con il cloud a causa di criteri specifici della societàSome customers may be reluctant to synchronize their directories with the cloud due specific company’s police
FederatoFederated Gli utenti possono usufruire dell'accesso Single Sign-On Users can have single sign-on (SSO)
Se un utente cessa di lavorare in azienda, l'account viene disabilitato immediatamente e l'accesso revocato,If a user is terminated or leaves, the account can,be immediately disabled and access revoked,
Supporta scenari avanzati che non sono disponibili con le identità sincronizzateSupports advanced scenarios that cannot be,accomplished with synchronized
Altri passaggi di configurazioneMore steps to setup and configure
Manutenzioni superioriHigher maintenance
Può richiedere hardware aggiuntivo per l'infrastruttura del servizio token di sicurezzaMay require additional hardware for the STS infrastructure
Può richiedere hardware aggiuntivo per installare il server federativo. Se si usa AD FS è necessario software aggiuntivoMay require additional hardware to install the federation server.Additional software is required if AD FS is used
È richiesta una configurazione estesa per SSORequire extensive setup for SSO
Punto critico di errore se il server federativo è inattivo, gli utenti non potranno eseguire l'autenticazioneCritical point of failure if the federation server is down, users won’t be able to authenticate

Esperienza clientClient experience

La strategia scelta determinerà l'esperienza di accesso per gli utenti.The strategy that you use will dictate the user sign-in experience. Le tabelle seguenti forniscono informazioni su ciò che gli utenti dovranno aspettarsi dall'esperienza di accesso.The following tables provide you with information on what the users should expect their sign-in experience to be. Si noti che non tutti i provider di identità federate supportano l'accesso Single Sign-On in tutti gli scenari.Note that not all federated identity providers support SSO in all scenarios.

Applicazioni di rete privata e aggiunte a un dominio:Doman-joined and private network applications:

Identità sincronizzataSynchronized Identity Identità federataFederated Identity
Web browserWeb Browsers Autenticazione basata su formForms based authentication Single Sign-On, potrebbe essere richiesto di fornire l'ID aziendalesingle sign on, sometimes required to supply organization ID
OutlookOutlook Richiesta di credenzialiPrompt for credentials Richiesta di credenzialiPrompt for credentials
Skype for Business (Lync)Skype for Business (Lync) Richiesta di credenzialiPrompt for credentials Single Sign-On per Lync, richiesta di credenziali per Exchangesingle-sign on for Lync, prompted credentials for Exchange
OneDrive for BusinessSkydrive Pro Richiesta di credenzialiPrompt for credentials Single Sign-Onsingle sign on
Abbonamento a Office Pro PlusOffice Pro Plus Subscription Richiesta di credenzialiPrompt for credentials Single Sign-Onsingle sign on

Risorse esterne o non attendibili:External or untrusted sources:

Identità sincronizzataSynchronized Identity Identità federataFederated Identity
Web browserWeb Browsers Autenticazione basata su formForms based authentication Autenticazione basata su formForms based authentication
Outlook, Skype for Business (Lync), OneDrive for Business, abbonamento a OfficeOutlook, Skype for Business (Lync), Skydrive Pro, Office subscription Richiesta di credenzialiPrompt for credentials Richiesta di credenzialiPrompt for credentials
Exchange ActiveSyncExchange ActiveSync Richiesta di credenzialiPrompt for credentials Single Sign-On per Lync, richiesta di credenziali per Exchangesingle-sign on for Lync, prompted credentials for Exchange
App per dispositivi mobiliMobile apps Richiesta di credenzialiPrompt for credentials Richiesta di credenzialiPrompt for credentials

Se nel corso dell'attività 1 è stato determinato che è in uso un provider di identità di terze parti o che ne verrà usato uno per la federazione con Azure AD, è necessario essere a conoscenza delle funzionalità supportate seguenti:If you have determined from task 1 that you have a 3rd party IdP or are going to use one to provide federation with Azure AD, you need to be aware of the following supported capabilities:

  • Qualsiasi provider SAML 2.0 conforme per il profilo SP-Lite può supportare l'autenticazione ad Azure AD e alle applicazioni associateAny SAML 2.0 provider which is compliant for the SP-Lite profile can support authentication to Azure AD and associated applications
  • Supporta l'autenticazione passiva che semplifica l'autenticazione a Outlook Web App, SharePoint Online e così viaSupports passive authentication, which facilitates auth to OWA, SPO, etc.
  • I client di Exchange Online possono essere supportati usando il profilo Enhanced Client Profile per SAML 2.0Exchange Online clients can be supported via the SAML 2.0 Enhanced Client Profile (ECP)

È anche importante conoscere quali funzionalità non saranno disponibili:You must also be aware of what capabilities will not be available:

  • Senza WS-Trust/Federation tutti gli altri client attivi verranno interrottiWithout WS-Trust/Federation support, all other active clients will break
    • Questo significa che non sarà possibile usare le versioni del client Lync, del client OneDrive, dell'abbonamento a Office e di Office Mobile precedenti a Office 2016That means no Lync client, OneDrive client, Office Subscription, Office Mobile prior to Office 2016
  • La transizione di Office all'autenticazione passiva consentirà di supportare solo provider di identità SAML 2.0, ma il supporto sarà garantito esclusivamente client per clientTransition of Office to passive authentication will allow them to support pure SAML 2.0 IdPs, but support will still be on a client-by-client basis

Nota

Per l'elenco più aggiornato, vedere l'articolo http://aka.ms/ssoproviders.For the most updated list read the article http://aka.ms/ssoproviders.

Definire la strategia di sincronizzazioneDefine synchronization strategy

Questa attività permette di definire gli strumenti che verranno usati per sincronizzare i dati locali dell'organizzazione con il cloud e la topologia da adottare.In this task you will define the tools that will be used to synchronize the organization’s on-premises data to the cloud and what topology you should use. Poiché la maggior parte delle organizzazioni usa Active Directory, vengono fornite informazioni più dettagliate su come usare Azure AD Connect per rispondere alle domande precedenti.Because, most organizations use Active Directory, information on using Azure AD Connect to address the questions above is provided in some detail. Per gli ambienti in cui non è presente Active Directory, vengono fornite informazioni sull'uso di FIM 2010 R2 o MIM 2016 per poter pianificare questa strategia.For environments that do not have Active Directory, there is information about using FIM 2010 R2 or MIM 2016 to help plan this strategy. Tuttavia, le versioni future di Azure AD Connect supporteranno le directory LDAP, quindi, a seconda dei tempi previsti per l'adozione, è possibile che queste informazioni risultino utili.However, future releases of Azure AD Connect will support LDAP directories, so depending on your timeline, this information may be able to assist.

Strumenti di sincronizzazioneSynchronization tools

Negli anni sono stati creati numerosi strumenti di sincronizzazione per diversi scenari.Over the years, several synchronization tools have existed and used for various scenarios. Al momento, Azure AD Connect è lo strumento preferito per tutti gli scenari supportati.Currently Azure AD Connect is the go to tool of choice for all supported scenarios. Anche AAD Sync e DirSync sono ancora in circolazione e potrebbero ancora essere presenti nell'ambiente in uso.AAD Sync and DirSync are also still around and may even be present in your environment now.

Nota

Per le informazioni più recenti relative alle funzionalità supportate per ogni strumento, vedere l'articolo Confronto degli strumenti di integrazione directory .For the latest information regarding the supported capabilities of each tool, read Directory integration tools comparison article.

Topologie supportateSupported topologies

Quando si definisce una strategia di sincronizzazione, è necessario determinare la topologia da usare.When defining a synchronization strategy, the topology that is used must be determined. A seconda delle informazioni definite nel passaggio 2, è possibile stabilire la topologia corretta da usare.Depending on the information that was determined in step 2 you can determine which topology is the proper one to use. La topologia singola di Azure AD a foresta singola è quella più comune ed è costituita da una singola foresta Active Directory e una singola istanza di Azure AD.The single forest, single Azure AD topology is the most common and consists of a single Active Directory forest and a single instance of Azure AD. Questa topologia verrà usata nella maggior parte degli scenari ed è la topologia prevista quando si usa l'installazione rapida di Azure AD Connect come illustrato nella figura seguente.This is going to be used in a majority of the scenarios and is the expected topology when using Azure AD Connect Express installation as shown in the figure below.

Scenario a foresta singola Le organizzazioni di grandi e piccole dimensioni hanno spesso più foreste, come illustrato nella figura 5. Single Forest Scenario It is very common for large and even small organizations to have multiple forests, as shown in Figure 5.

Nota

Per altre informazioni sulle diverse topologie locali e di Azure AD con il servizio di sincronizzazione Azure AD Connect, vedere l'articolo Topologie per Azure AD Connect.For more information about the different on-premises and Azure AD topologies with Azure AD Connect sync read the article Topologies for Azure AD Connect.

Scenario a più foresteMulti-Forest Scenario

In questo caso, se le affermazioni seguenti sono vere, sarà necessario valutare la topologia singola di Azure AD a più foreste:If this the case then the multi-forest-single Azure AD topology should be considered if the following items are true:

  • Gli utenti hanno una sola identità in tutte le foreste. La sezione relativa all'identificazione univoca degli utenti riportata di seguito descrive in dettaglio questo aspetto.Users have only 1 identity across all forests – the uniquely identifying users section below describes this in more detail.
  • L'utente esegue l'autenticazione alla foresta in cui risiede la propria identitàThe user authenticates to the forest in which their identity is located
  • Il nome dell'entità utente e l'ancoraggio di origine (ID immutabile) provengono da questa forestaUPN and Source Anchor (immutable id) will come from this forest
  • Azure AD Connect può accedere a tutte le foreste. Questo significa che non è necessario che venga aggiunto a un dominio e che può essere collocato in una rete perimetrale, se risulta più sempliceAll forests are accessible by Azure AD Connect – this means it does not need to be domain joined and can be placed in a DMZ if this facilitates this.
  • Gli utenti hanno una sola cassetta postaleUsers have only one mailbox
  • La foresta che ospita la cassetta postale dell'utente garantisce la migliore qualità dei dati per gli attributi visibili nell'Elenco indirizzi globale di ExchangeThe forest that hosts a user’s mailbox has the best data quality for attributes visible in the Exchange Global Address List (GAL)
  • Se non è presente una cassetta postale per l'utente, è possibile usare qualsiasi foresta per recuperare questi valoriIf there is no mailbox on the user, then any forest may be used to contribute these values
  • Se è disponibile una cassetta postale collegata, è presente anche un altro account in una foresta diversa usato per l'accesso.If you have a linked mailbox, then there is also another account in a different forest used to sign in.

Nota

Gli oggetti presenti sia in locale sia nel cloud sono "connessi" tramite un identificatore univoco.Objects that exist in both on-premises and in the cloud are “connected” via a unique identifier. Nel contesto della sincronizzazione della directory questo identificatore univoco viene indicato come SourceAnchor.In the context of Directory Synchronization, this unique identifier is referred to as the SourceAnchor. Nel contesto del servizio Single Sign-On invece questo identificatore viene indicato come ImmutableId.In the context of Single Sign-On, this is referred to as the ImmutableId. Concetti di progettazione per Azure AD Connect .Design concepts for Azure AD Connect for more considerations regarding the use of SourceAnchor.

Se le affermazioni precedenti non sono vere e sono presenti più account attivi o più cassette postali, Azure AD Connect selezionerà un account o una cassetta postale e ignorerà gli altri.If the above are not true and you have more than one active account or more than one mailbox, Azure AD Connect will pick one and ignore the other. Se sono presenti cassette postali collegate ma non sono presenti altri account, gli account non verranno esportati in Azure AD e l'utente non sarà membro di alcun gruppo.If you have linked mailboxes but no other account, these accounts will not be exported to Azure AD and that user will not be a member of any groups. Questo comportamento è diverso da quanto accadeva in passato con DirSync ed è intenzionale, al fine di garantire un supporto migliore degli scenari con più foreste.This is different from how it was in the past with DirSync and is intentional to better support these multi-forest scenarios. La figura seguente mostra uno scenario con più foreste.A multi-forest scenario is shown in the figure below.

Topologia multipla di Azure AD a più foresteMulti-forest multiple Azure AD scenario

È opportuno che in Azure AD sia presente una singola directory per ogni organizzazione ma è supportato lo scenario multiplo se si mantiene una relazione 1:1 tra il server del servizio di sincronizzazione Azure AD Connect e una directory Azure AD.It is recommended to have just a single directory in Azure AD for an organization but it is supported it a 1:1 relationship is kept between an Azure AD Connect sync server and an Azure AD directory. Per ogni istanza di Azure AD, sarà necessaria un'installazione di Azure AD Connect.For each instance of Azure AD, you will need an installation of Azure AD Connect. Per impostazione predefinita, Azure AD è isolato e gli utenti in una istanza di Azure AD non potranno visualizzare gli utenti in un'altra istanza.Also, Azure AD, by design is isolated and users in one instance of Azure AD will not be able to see users in another instance.

È invece consentita e supportata la connessione di un'istanza locale di Active Directory a più directory di Azure AD, come illustrato nella figura seguente:It is possible and supported to connect one on-premises instance of Active Directory to multiple Azure AD directories as shown in the figure below:

Scenario di filtro a singola forestaSingle-forest filtering scenario

Per questo scenario, devono essere vere le affermazioni seguenti:In order to do this the following must be true:

  • I server del servizio di sincronizzazione Azure AD Connect devono essere configurati per l'applicazione di filtri, in modo che ogni server includa un set di oggetti che si escludono a vicenda su cui operare,Azure AD Connect sync servers must be configured for filtering so they each have a mutually exclusive set of objects. ad esempio definendo l'ambito di ogni server in modo che corrisponda a un dominio o a una unità organizzativa specifica.This done, for example, by scoping each server to a particular domain or OU.
  • Un dominio DNS può essere registrato solo in una singola directory di Azure AD, in modo che anche i nomi dell'entità utente (UPN) degli utenti nell'istanza locale di AD possano usare spazi dei nomi separatiA DNS domain can only be registered in a single Azure AD directory so the UPNs of the users in the on-premises AD must use separate namespaces
  • Gli utenti in un'istanza di Azure AD potranno visualizzare solo gli utenti inclusi nella stessa istanza,Users in one instance of Azure AD will only be able to see users from their instance. ma non quelli in altre istanzeThey will not be able to see users in the other instances
  • Solo una delle directory di Azure AD può abilitare la distribuzione ibrida di Exchange con l'istanza locale di Active DirectoryOnly one of the Azure AD directories can enable Exchange hybrid with the on-premises AD
  • L'esclusione reciproca si applica anche al writeback.Mutual exclusivity also applies to write-back. Alcune funzionalità di writeback non sono quindi supportate con questa topologia, perché presuppongono una singola configurazione locale.This makes some write-back features not supported with this topology since these assume a single on-premises configuration. Sono inclusi:This includes:
    • Writeback dei gruppi con la configurazione predefinitaGroup write-back with default configuration
    • Writeback dei dispositiviDevice write-back

Tenere presente che le funzionalità seguenti non sono supportate e non devono essere scelte come implementazione:Be aware that the following is not supported and should not be chosen as an implementation:

  • Non è supportato lo scenario che prevede più server del servizio di sincronizzazione Azure AD Connect connessi alla stessa directory di Azure AD, anche se sono configurati per sincronizzare set di oggetti che si escludono a vicendaIt is not supported to have multiple Azure AD Connect sync servers connecting to the same Azure AD directory even if they are configured to synchronize mutually exclusive set of object
  • Non è supportata la sincronizzazione dello stesso utente in più directory di Azure AD.It is unsupported to sync the same user to multiple Azure AD directories.
  • Non è inoltre supportata la modifica della configurazione per fare in modo che gli utenti di un'istanza di Azure AD vengano visualizzati come contatti in un'altra directory di Azure AD.It is also unsupported to make a configuration change to make users in one Azure AD to appear as contacts in another Azure AD directory.
  • Non è consentito modificare il servizio di sincronizzazione Azure AD Connect per la connessione a più directory di Azure AD.It is also unsupported to modify Azure AD Connect sync to connect to multiple Azure AD directories.
  • Come previsto da progettazione, le directory di Azure AD sono isolate.Azure AD directories are by design isolated. Non è supportata la modifica della configurazione del servizio di sincronizzazione Azure AD Connect in modo da leggere dati da un'altra directory di Azure AD nel tentativo di creare un elenco di indirizzi globale comune e unificato tra le directory.It is unsupported to change the configuration of Azure AD Connect sync to read data from another Azure AD directory in an attempt to build a common and unified GAL between the directories. Non è inoltre supportata l'esportazione di utenti come contatti in un'altra istanza locale di AD mediante il servizio di sincronizzazione Azure AD Connect.It is also unsupported to export users as contacts to another on-premises AD using Azure AD Connect sync.

Nota

Se l'organizzazione impedisce ai computer inclusi nella rete di connettersi a Internet, questo articolo elenca gli endpoint (FQDN e intervalli di indirizzi IPv4 e IPv6) da includere nell'elenco delle connessioni in uscita e nell'area siti attendibili di Internet Explorer dei computer client per garantire che i computer possano usare Office 365.If your organization restricts computers on your network from connecting to the Internet, this article lists the endpoints (FQDNs, IPv4, and IPv6 address ranges) that you should include in your outbound allow lists and Internet Explorer Trusted Sites Zone of client computers to ensure your computers can successfully use Office 365. Per altre informazioni, vedere URL e intervalli di indirizzi IP per Office 365.For more information read Office 365 URLs and IP address ranges.

Definire la strategia di autenticazione a più fattoriDefine multi-factor authentication strategy

In questa attività verrà definita la strategia di autenticazione a più fattori da usare.In this task you will define the multi-factor authentication strategy to use. Azure Multi-Factor Authentication è disponibile in due diverse versioni.Azure Multi-Factor Authentication comes in two different version. Una è basata sul cloud mentre l'altra è locale e usa il server Azure MFA.One is a cloud-based and the other is on-premises based using the Azure MFA Server. In base alla valutazione effettuata in precedenza, è possibile stabilire qual è la soluzione corretta per la strategia scelta.Based on the evaluation you did above you can determine which solution is the correct one for your strategy. Usare la tabella seguente per determinare l'opzione di progettazione che meglio soddisfa i requisiti di sicurezza della società:Use the table below to determine which design option best fulfill your company’s security requirement:

Opzioni di progettazione per l'autenticazione a più fattori:Multi-factor design options:

Asset da proteggereAsset to secure Autenticazione a più fattori nel cloudMFA in the cloud MFA in localeMFA on-premises
App MicrosoftMicrosoft apps yes yes
App SaaS nella Raccolta di appSaaS apps in the app gallery yes yes
Le applicazioni IIS pubblicate tramite proxy app per Azure ADIIS applications published through Azure AD App Proxy yes yes
Applicazioni IIS non pubblicate tramite il proxy applicazione Azure ADIIS applications not published through the Azure AD App Proxy nono yes
Accesso remoto, ad esempio VPN, Gateway Desktop remotoRemote access as VPN, RDG nono yes

Anche se è già stata scelta una soluzione per la strategia, è comunque necessario riesaminare la valutazione riportata in precedenza a seconda di dove risiedono gli utentiEven though you may have settled on a solution for your strategy, you still need to use the evaluation from above on where your users are located. ed eventualmente cambiare il tipo di soluzione.This may cause the solution to change. A questo scopo, usare la tabella seguente:Use the table below to assist you determining this:

Posizione degli utentiUser location Opzione di progettazione preferitaPreferred design option
Azure Active DirectoryAzure Active Directory Multi-Factor Authentication nel cloudMulti-FactorAuthentication in the cloud
Azure AD e AD locale usando la federazione con AD FSAzure AD and on-premises AD using federation with AD FS EntrambiBoth
Azure AD e Active Directory locale con Azure AD Connect, senza sincronizzazione delle passwordAzure AD and on-premises AD using Azure AD Connect no password sync EntrambiBoth
Azure AD e Active Directory locale con Azure AD Connect, con sincronizzazione delle passwordAzure AD and on-premises using Azure AD Connect with password sync EntrambiBoth
Active Directory localeOn-premises AD Server Multi-Factor AuthenticationMulti-Factor Authentication Server

Nota

È anche necessario assicurarsi che l'opzione di progettazione per l'autenticazione a più fattori selezionata supporti le funzionalità richieste.You should also ensure that the multi-factor authentication design option that you selected supports the features that are required for your design. Per altre informazioni, leggere Scegliere la soluzione di sicurezza a più fattori più adatta.For more information read Choose the multi-factor security solution for you.

Provider di Multi-Factor AuthenticationMulti-Factor Auth Provider

La modalità Multi-Factor Authentication è disponibile per impostazione predefinita per gli amministratori globali che dispongono di un tenant Azure Active Directory.Multi-factor authentication is available by default for global administrators who have a Azure Active Directory tenant. Tuttavia, se si intende estendere l'autenticazione a più fattori a tutti gli utenti e/o si vuole consentire agli amministratori globali di sfruttare i vantaggi offerti da funzionalità quali il portale di gestione, i messaggi di saluto personalizzati e i report, sarà necessario acquistare e configurare un provider Multi-Factor Authentication.However, if you wish to extend multi-factor authentication to all of your users and/or want to your global administrators to be able to take advantage features such as the management portal, custom greetings, and reports, then you must purchase and configure Multi-Factor Authentication Provider.

Nota

È anche necessario assicurarsi che l'opzione di progettazione per l'autenticazione a più fattori selezionata supporti le funzionalità richieste.You should also ensure that the multi-factor authentication design option that you selected supports the features that are required for your design.

Passaggi successiviNext steps

Determinare i requisiti di protezione datiDetermine data protection requirements

Vedere ancheSee also

Panoramica delle considerazioni di progettazioneDesign considerations overview