Playbook dei modelli di verifica di Azure Active Directory: blocchi predefinitiAzure Active Directory proof of concept playbook: Building blocks

Catalogo dei ruoliCatalog of roles

RuoloRole DescrizioneDescription Responsabilità del modello di verificaProof of concept (PoC) responsibility
Team di sviluppo e architettura identitàIdentity Architecture / development team Questo è in genere quello che progetta la soluzione, implementa i prototipi, indirizza le approvazioni e gestisce le consegne al team operativoThis team is usually the one that designs the solution, implements prototypes, drives approvals, and finally hands off to operations Disponibilità degli ambienti e valutazione dei diversi scenari dal punto di vista della gestibilitàThey provide the environments and are the ones evaluating the different scenarios from the manageability perspective
Team di gestione dell'identità localeOn-Premises Identity Operations team Gestisce le diverse origini di identità locali: foreste di Active Directory, directory LDAP, sistemi HR e provider di identità federativa.Manages the different identity sources on-premises: Active Directory Forests, LDAP directories, HR systems, and Federation Identity Providers. Disponibilità dell'accesso alle risorse locali necessarie per gli scenari PoC.Provide access to on-premises resources needed for the PoC scenarios.
Deve essere coinvolto nella misura minore possibileThey should be involved as little as possible
Proprietari tecnici delle applicazioniApplication Technical Owners Proprietari tecnici dei diversi servizi e applicazioni cloud che verranno integrati con Azure ADTechnical owners of the different cloud apps and services that will integrate with Azure AD Disponibilità di informazioni dettagliate sulle applicazioni SaaS (potenzialmente istanze per il test)Provide details on SaaS applications (potentially instances for testing)
Amministrazione globale di Azure ADAzure AD Global Admin Gestisce la configurazione di Azure ADManages the Azure AD configuration Disponibilità delle credenziali per la configurazione del servizio di sincronizzazione.Provide credentials to configure the synchronization service. Di solito è lo stesso team che si occupa dell'architettura identità durante la verifica ma è un team separato durante la fase operativaUsually the same team as Identity Architecture during PoC but separate during the operations phase
Team responsabile del databaseDatabase team Proprietario dell'infrastruttura di databaseOwners of the Database infrastructure Disponibilità dell'accesso all'ambiente SQL (AD FS o Azure AD Connect) per operazioni di preparazione specifiche dello scenario.Provide access to SQL environment (ADFS or Azure AD Connect) for specific scenario preparations.
Deve essere coinvolto nella misura minore possibileThey should be involved as little as possible
Team responsabile della reteNetwork team Proprietario dell'infrastruttura di reteOwners of the Network infrastructure Disponibilità dell'accesso richiesto a livello di rete per i server di sincronizzazione per accedere correttamente alle origini dati e ai servizi cloud (regole del firewall, porte aperte, regole IPSec e così via).Provide required access at the network level for the synchronization servers to properly access the data sources and cloud services (firewall rules, ports opened, IPSec rules etc.)
Team responsabile della sicurezzaSecurity team Definisce la strategia di sicurezza, analizza i report di sicurezza provenienti da diverse origini e adotta misure in base ai risultati.Defines the security strategy, analyzes security reports from various sources, and follows through on findings. Disponibilità di scenari di valutazione della sicurezza della destinazioneProvide target security evaluation scenarios

Prerequisiti comuni per tutti i blocchi predefinitiCommon Prerequisites for all building blocks

Di seguito sono riportati alcuni prerequisiti necessari per qualsiasi modello di verifica usato con Azure AD Premium.Following are some pre-requisites needed for any POC with Azure AD Premium.

Prerequisito.Pre-requisite RisorseResources
Tenant di Azure AD definito con una sottoscrizione di Azure validaAzure AD tenant defined with a valid Azure subscription Come ottenere un tenant di Azure Active DirectoryHow to get an Azure Active Directory tenant
Nota: se si ha già un ambiente con licenze di Azure AD Premium, accedere a https://aka.ms/accessaad per ottenere una sottoscrizione gratuitaNote: If you already have an environment with Azure AD Premium licenses, you can get a zero cap subscription by navigating to https://aka.ms/accessaad
Per altre informazioni, vedere: https://blogs.technet.microsoft.com/enterprisemobility/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/ e https://technet.microsoft.com/library/dn832618.aspxLearn more at: https://blogs.technet.microsoft.com/enterprisemobility/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/ and https://technet.microsoft.com/library/dn832618.aspx
Domini definiti e verificatiDomains defined and verified Aggiungere un nome di dominio personalizzato ad Azure Active DirectoryAdd a custom domain name to Azure Active Directory
Nota: alcuni carichi di lavoro, ad esempio Power BI, possono avere eseguito il provisioning di un tenant di azure AD dietro le quinte.Note: Some workloads such as Power BI could have provisioned an azure AD tenant under the covers. Per verificare se un determinato dominio è associato a un tenant, passare a https://login.microsoftonline.com/{dominio}/v2.0/.well-known/openid-configuration.To check if a given domain is associated to a tenant, navigate to https://login.microsoftonline.com/{domain}/v2.0/.well-known/openid-configuration. Se si ottiene una risposta positiva, il dominio è già assegnato a un tenant e potrebbe essere necessario acquisire la proprietà.If you get a successful response, then the domain is already assigned to a tenant and take over might be needed. In questo caso, contattare Microsoft per le istruzioni.If so, contact Microsoft for further guidance. Altre informazioni sulle opzioni di acquisizione della proprietà sono disponibili in: Informazioni sull'iscrizione self-service per AzureLearn more about the takeover options at: What is Self-Service Signup for Azure?
Versione di valutazione di Azure AD Premium o EMS abilitataAzure AD Premium or EMS trial Enabled Azure Active Directory Premium gratis per un meseAzure Active Directory Premium free for one month
Licenze di Azure AD Premium o EMS assegnate agli utenti dei modelli di verificaYou have assigned Azure AD Premium or EMS licenses to PoC users Concessione di licenze a se stessi e agli utenti in Azure Active DirectoryLicense yourself and your users in Azure Active Directory
Credenziali di amministratore globale di Azure ADAzure AD Global Admin credentials Assegnazione dei ruoli di amministratore in Azure Active DirectoryAssigning administrator roles in Azure Active Directory
Facoltativo ma vivamente consigliato: ambiente di laboratorio parallelo come fallbackOptional but strongly recommended: Parallel lab environment as a fallback Prerequisiti di Azure AD ConnectPrerequisites for Azure AD Connect

Sincronizzazione directory: sincronizzazione dell'hash delle password (PHS), nuova installazioneDirectory Synchronization - Password Hash Sync (PHS) - New Installation

Tempo di completamento approssimativo: un'ora per meno di 1.000 utenti dei modelli di verificaApproximate time to Complete: one hour for less than 1,000 PoC users

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Server ad Azure AD ConnectServer to Run Azure AD Connect Prerequisiti di Azure AD ConnectPrerequisites for Azure AD Connect
Definire gli utenti dei modelli di verifica, nello stesso dominio e parte di un gruppo di sicurezza, e l'unità organizzativaTarget POC users, in the same domain and part of a security group, and OU Installazione personalizzata di Azure AD ConnectCustom installation of Azure AD Connect
Identificate le funzionalità di Azure AD Connect necessarie per il modello di verificaAzure AD Connect Features needed for the POC are identified Connettere Active Directory ad Azure Active Directory - Configurare le funzionalità di sincronizzazioneConnect Active Directory with Azure Active Directory - Configure sync features
Disponibilità delle credenziali necessarie per gli ambienti locale e cloudYou have needed credentials for on-premises and cloud environments Azure AD Connect: Account e autorizzazioniAzure AD Connect: Accounts and permissions

PassiSteps

PassaggioStep RisorseResources
Scaricare la versione più recente di Azure AD ConnectDownload the latest version of Azure AD Connect Scaricare Microsoft Azure Active Directory ConnectDownload Microsoft Azure Active Directory Connect
Installare Azure AD Connect con il percorso più semplice: ExpressInstall Azure AD Connect with the simplest path: Express
1. Filtrare in base all'unità organizzativa di destinazione per ridurre al minimo la durata del ciclo di sincronizzazione1. Filter to the target OU to minimize the Sync Cycle time
2. Scegliere il set di utenti di destinazione nel gruppo locale.2. Choose target set of users in the on-premises group.
3. Distribuire le funzionalità necessarie per gli altri temi del modello di verifica3. Deploy the features needed by the other POC Themes
Azure AD Connect: Installazione personalizzata: Filtro unità organizzativa e dominioAzure AD Connect: Custom installation: Domain and OU filtering
Azure AD Connect: Installazione personalizzata: Filtro di sincronizzazione basato sui gruppiAzure AD Connect: Custom installation: Group based filtering
Azure AD Connect: Integrazione delle identità locali con Azure Active Directory: Configurare le funzionalità di sincronizzazioneAzure AD Connect: Integrating your on-premises identities with Azure Active Directory: Configure Sync Features
Aprire l'interfaccia utente di AD Azure Connect e visualizzare i profili in esecuzione completati (importazione, sincronizzazione ed esportazione)Open the Azure AD Connect UI and see the running profiles completed (Import, sync, and export) Servizio di sincronizzazione Azure AD Connect: Utilità di pianificazioneAzure AD Connect sync: Scheduler
Aprire il portale di gestione di Azure AD, passare al pannello "Tutti gli utenti", aggiungere la colonna "Origine dell'autorità" e verificare che gli utenti vengano visualizzati correttamente contrassegnati come provenienti da "Windows Server AD"Open the Azure AD management portal, go to the "All Users" blade, add "Source of authority" column and see that the users appear, marked properly as coming from "Windows Server AD" Portale di gestione di Azure ADAzure AD management portal

ConsiderazioniConsiderations

  1. Esaminare le considerazioni sulla sicurezza della sincronizzazione degli hash delle password qui.Look at the security considerations of password hash sync here. Se la sincronizzazione degli hash delle password per gli utenti di produzione pilota non può essere assolutamente usata, considerare le seguenti alternative:If password hash sync for pilot production users is definitively not an option, then consider the following alternatives:
    • Creare utenti test nel dominio di produzione.Create test users in the production domain. Assicurarsi di non sincronizzare altri accountMake sure you don't synchronize any other account
    • Passare a un ambiente UATMove to an UAT environment
  2. Se si vuole procedere con la federazione, è importante capire quali sono i costi associati a una soluzione federativa con un provider di identità locale oltre il modello di verifica e valutarli in relazione ai vantaggi che si sta cercando:If you want to pursue federation, it is worthwhile to understand the costs associated a federated solution with on-premises Identity Provider beyond the POC and measure that against the benefits you are looking for:
    • È nel percorso critico quindi è necessaria la progettazione per un'elevata disponibilitàIt is in the critical path so you have to design for high availability
    • È un servizio locale per cui è necessaria la pianificazione della capacitàIt is an on-premises service you need to capacity plan
    • È un servizio locale che è necessario monitorare, gestire, aggiornare con patchIt is an on-premises service you need to monitor/maintain/patch

Altre informazioni: Informazione sulla gestione delle identità di Office 365 e Azure Active Directory - Identità federativeLearn more: Understanding Office 365 identity and Azure Active Directory - Federated Identity

PersonalizzazioneBranding

Tempo previsto per il completamento: 15 minutiApproximate time to Complete: 15 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Risorse (immagini, logo e così via). Per una migliore visualizzazione verificare che le dimensioni delle risorse siano quelle consigliate.Assets (Images, Logos, etc.); For best visualization make sure the assets have the recommended sizes. Aggiungere informazioni personalizzate distintive dell'azienda nella pagina di accesso in anteprima di Azure Active DirectoryAdd company branding to your sign-in page in the Azure Active Directory
Facoltativo: se l'ambiente ha un server AD FS, accedere al server per personalizzare il tema WebOptional: If the environment has an ADFS server, access to the server to customize web theme Personalizzazione dell'accesso per utenti AD FSAD FS user sign-in customization
Computer client per eseguire l'esperienza di accesso dell'utente finaleClient computer to perform end-user login experience
Facoltativo: dispositivi mobili per convalidare l'esperienzaOptional: Mobile devices to validate experience

PassiSteps

PassaggioStep RisorseResources
Accedere al portale di gestione di Azure ADGo to Azure AD Management Portal Portale di gestione di Azure AD - Informazioni personalizzate distintive dell'aziendaAzure AD Management Portal - Company Branding
Caricare le risorse per la pagina di accesso (logo alto, logo piccolo, etichette e così via).Upload the assets for the login page (hero logo, small logo, labels, etc.). Facoltativamente, se si usa AD FS, allineare le stesse risorse con le pagine di accesso di AD FSOptionally if you have AD FS, align the same assets with ADFS login pages Aggiungere informazioni personalizzate distintive dell'azienda alla pagina di accesso e al pannello di accesso: elementi personalizzabiliAdd company branding to your sign-in and Access Panel pages: Customizable Elements
Attendere un paio di minuti che la modifica diventi effettivaWait a couple of minutes for the change to fully take effect
Accedere con le credenziali utente del modello di verifica a https://myapps.microsoft.comLog in with the POC user credential to https://myapps.microsoft.com
Verificare l'aspetto nel browserConfirm the look and feel in browser Aggiungere informazioni personalizzate distintive dell'azienda alla pagina di accesso e al pannello di accessoAdd company branding to your sign-in and Access Panel pages
Se necessario, verificare l'aspetto in altri dispositiviOptionally, confirm the look and feel in other devices

ConsiderazioniConsiderations

Se l'aspetto precedente rimane dopo aver eseguito la personalizzazione, svuotare la cache del client del browser e ripetere l'operazione.If the old look and feel remains after the customization then flush the browser client cache, and retry the operation.

Licenze basate sui gruppiGroup based licensing

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Tutti gli utenti dei moduli di verifica fanno parte di un gruppo di sicurezza (cloud o locale)All POC users are part of a security group (either cloud or on-premises) Creare un gruppo e aggiungere membri in Azure Active DirectoryCreate a group and add members in Azure Active Directory

PassiSteps

PassaggioStep RisorseResources
Passare al pannello delle licenze nel portale di gestione di Azure ADGo to licenses blade in Azure AD Management Portal Portale di gestione di Azure AD: LicenzeAzure AD Management Portal: Licensing
Assegnare le licenze al gruppo di sicurezza con gli utenti dei moduli di verifica.Assign the licenses to the security group with POC users. Assegnare licenze a un gruppo di utenti in Azure Active DirectoryAssign licenses to a group of users in Azure Active Directory

ConsiderazioniConsiderations

In caso di problemi, vedere Scenari, limitazioni e problemi noti relativi all'uso dei gruppi per gestire le licenze in Azure Active DirectoryIn case of any issues, go to Scenarios, limitations, and known issues with using groups to manage licensing in Azure Active Directory

SaaS: configurazione SSO federatoSaaS Federated SSO Configuration

Tempo previsto per il completamento: 60 minutiApproximate time to Complete: 60 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Ambiente di test dell'applicazione SaaS disponibile.Test environment of the SaaS application available. In questa guida viene usato ServiceNow come esempio.In this guide, we use ServiceNow as an example.
Si consiglia di usare un'istanza di test per ridurre al minimo i possibili problemi quando si esamina la qualità e i mapping dei dati esistenti.We strongly recommend to use a test instance to minimize friction on navigating existing data quality and mappings.
Accedere a https://developer.servicenow.com/app.do#!/home per avviare il processo di richiesta di un'istanza di testGo to https://developer.servicenow.com/app.do#!/home to start the process of getting a test instance
Accesso amministrativo alla console di gestione ServiceNowAdmin access to the ServiceNow management console Esercitazione: Integrazione di Azure Active Directory con ServiceNowTutorial: Azure Active Directory integration with ServiceNow
Definire un set di utenti a cui assegnare l'applicazione.Target set of users to assign the application to. È consigliabile un gruppo di sicurezza contenente gli utenti dei moduli di verifica.A security group containing the PoC users is recommended.
Se la creazione del gruppo non è fattibile, assegnare gli utenti direttamente all'applicazione per il modello di verificaIf creating the group is not feasible, then assign the users to directly to the application for the PoC
Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory

PassiSteps

PassaggioStep RisorseResources
Condividere l'esercitazione con tutti gli attori dalla documentazione MicrosoftShare the tutorial to all actors from Microsoft Documentation Esercitazione: Integrazione di Azure Active Directory con ServiceNowTutorial: Azure Active Directory integration with ServiceNow
Impostare una riunione di lavoro e seguire i passaggi dell'esercitazione con ogni attore.Set a working meeting and follow the tutorial steps with each actor. Esercitazione: Integrazione di Azure Active Directory con ServiceNowTutorial: Azure Active Directory integration with ServiceNow
Assegnare l'app al gruppo identificato nei prerequisiti.Assign the app to the group identified in the Prerequisites. Se il modello di verifica usa l'accesso condizionale nell'ambito, è possibile rivederlo in un secondo momento e aggiungere l'autenticazione a più fattori e altro ancora.If the POC has conditional access in the scope, you can revisit that later and add MFA, and similar.
Tenere presente che in questo modo si avvia il processo di provisioning (se configurato)Note this will kick in the provisioning process (if configured)
Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory
Creare un gruppo e aggiungere membri in Azure Active DirectoryCreate a group and add members in Azure Active Directory
Usare il portale di gestione di Azure AD per aggiungere l'applicazione ServiceNow dalla raccoltaUse Azure AD management Portal to add ServiceNow Application from Gallery Portale di gestione di Azure AD: applicazioni aziendaliAzure AD management Portal: Enterprise Applications
Novità della gestione delle applicazioni aziendali in Azure Active DirectoryWhat's new in Enterprise Application management in Azure Active Directory
Nel pannello "Single sign-on" dell'app ServiceNow abilitare "SAML-based Sign-on" (Accesso basato su SAML)In "Single sign-on" blade of ServiceNow App enable "SAML-based Sign-on"
Compilare i campi "URL di accesso" e "Identificatore" con l'URL di ServiceNowFill out "Sign on URL" and "Identifier" fields with your ServiceNow URL
Selezionare l'opzione che consente di rendere attivo il nuovo certificatoCheck the box to "Make new certificate active"
e salvare le impostazioniand Save settings
Aprire il pannello "Configura ServiceNow" nella parte inferiore del riquadro per visualizzare le istruzioni per la configurazione di ServiceNowOpen "Configure ServiceNow" blade on the bottom of the panel to view customized instructions for you to configure ServiceNow
Seguire le istruzioni per configurare ServiceNowFollow instructions to configure ServiceNow
Nel pannello "Provisioning" dell'applicazione ServiceNow abilitare il provisioning automaticoIn "Provisioning" blade of ServiceNow App enable "Automatic" provisioning Gestione del provisioning degli account utente per app aziendali nel nuovo portale di AzureManaging user account provisioning for enterprise apps in the new Azure portal
Attendere alcuni minuti il completamento del provisioning.Wait for a few minutes while provisioning completes. Nel frattempo, è possibile verificare i report di provisioningIn the meantime, you can check on the provisioning reports
Accedere a https://myapps.microsoft.com/ come utente test con accessoLog in to https://myapps.microsoft.com/ as a test user that has access Che cos'è il pannello di accesso?What is the Access Panel?
Fare clic sul riquadro per l'applicazione appena creata.Click on the tile for the application that was just created. Confermare l'accessoConfirm access
Facoltativamente, è possibile controllare i report sull'utilizzo dell'applicazione.Optionally, you can check the application usage reports. Si noti che esiste una certa latenza, quindi è necessario attendere un certo tempo per vedere il traffico nei report.Note there is some latency, so you need to wait some time to see the traffic in the reports. Report delle attività di accesso nel portale di Azure Active Directory: Utilizzo di applicazioni gestiteSign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Criteri di conservazione dei report di Azure Active DirectoryAzure Active Directory report retention policies

ConsiderazioniConsiderations

  1. L'esercitazione di cui sopra fa riferimento all'esperienza di gestione precedente di Azure AD.Above Tutorial refers to old Azure AD management experience. Ma il modulo di verifica si basa sull'esperienza di Avvio rapido.But PoC is based on Quick start experience.
  2. Se l'applicazione di destinazione non è presente nella raccolta, è possibile usare "Bring your own app".If the target application is not present in the gallery, then you can use "Bring your own app". Altre informazioni: Novità della gestione delle applicazioni aziendali in Azure Active Directory: Aggiungere applicazioni personalizzate da un'unica posizioneLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

SaaS: configurazione SSO con passwordSaaS Password SSO Configuration

Tempo previsto per il completamento: 15 minutiApproximate time to Complete: 15 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Ambiente di test per le applicazioni SaaS.Test environment for SaaS applications. Esempi di SSO con password sono HipChat e Twitter.An example of Password SSO is HipChat and Twitter. Per qualsiasi altra applicazione, è necessario l'URL esatto della pagina con modulo di accesso html.For any other application, you need the exact URL of the page with html sign-in form. Twitter in Microsoft Azure MarketplaceTwitter on Microsoft Azure Marketplace
HipChat in Microsoft Azure MarketplaceHipChat on Microsoft Azure Marketplace
Testare gli account per le applicazioni.Test accounts for the applications. Iscrizione a TwitterSign up for Twitter
Iscrizione gratuita: HipChatSign Up for Free: HipChat
Definire un set di utenti a cui assegnare l'applicazione.Target set of users to assign the application to. È consigliabile un gruppo di sicurezza che contiene gli utenti.A security group contained the users is recommended. Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory
Accesso come amministratore locale a un computer per distribuire l'estensione Pannello di accesso per Internet Explorer, Firefox o ChromeLocal administrator access to a computer to deploy the Access Panel Extension for Internet Explorer, Chrome or Firefox Estensione Pannello di accesso per IEAccess Panel Extension for IE
Estensione Pannello di accesso per ChromeAccess Panel Extension for Chrome
Estensione Pannello di accesso per FirefoxAccess Panel Extension for Firefox

PassiSteps

PassaggioStep RisorseResources
Installare l'estensione browserInstall the browser extension Estensione Pannello di accesso per IEAccess Panel Extension for IE
Estensione Pannello di accesso per ChromeAccess Panel Extension for Chrome
Estensione Pannello di accesso per FirefoxAccess Panel Extension for Firefox
Configurare l'applicazione dalla raccoltaConfigure Application from Gallery Novità della gestione delle applicazioni aziendali in Azure Active Directory: Raccolta di applicazioni con novità e miglioramentiWhat's new in Enterprise Application management in Azure Active Directory: The new and improved application gallery
Configurare l'accesso SSO con passwordConfigure Password SSO Gestione dell'accesso Single Sign-On per app aziendali nel nuovo portale di Azure: accesso basato su passwordManaging single sign-on for enterprise apps in the new Azure portal: Password-based sign on
Assegnare l'app al gruppo identificato nei prerequisitiAssign the app to the group identified in the Prerequisites Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory
Accedere a https://myapps.microsoft.com/ come utente test con accessoLog in to https://myapps.microsoft.com/ as a test user that has access
Fare clic sul riquadro per l'applicazione appena creata.Click on the tile for the application that was just created. Che cos'è il pannello di accesso?: Single Sign-On basato su password senza provisioning delle identitàWhat is the Access Panel?: Password-based SSO without identity provisioning
Indicare le credenziali dell'applicazioneSupply the application credential Che cos'è il pannello di accesso?: Single Sign-On basato su password senza provisioning delle identitàWhat is the Access Panel?: Password-based SSO without identity provisioning
Chiudere il browser e ripetere l'accesso.Close the browser and repeat the login. Questa volta l'utente ottiene l'accesso all'applicazione in modo trasparente.This time around the user should see seamless access to the application.
Facoltativamente, è possibile controllare i report sull'utilizzo dell'applicazione.Optionally, you can check the application usage reports. Si noti che esiste una certa latenza, quindi è necessario attendere un certo tempo per vedere il traffico nei report.Note there is some latency, so you need to wait some time to see the traffic in the reports. Report delle attività di accesso nel portale di Azure Active Directory: Utilizzo di applicazioni gestiteSign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Criteri di conservazione dei report di Azure Active DirectoryAzure Active Directory report retention policies

ConsiderazioniConsiderations

Se l'applicazione di destinazione non è presente nella raccolta, è possibile usare "Bring your own app".If the target application is not present in the gallery, then you can use "Bring your own app". Altre informazioni: Novità della gestione delle applicazioni aziendali in Azure Active Directory: Aggiungere applicazioni personalizzate da un'unica posizioneLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

Tenere presente quanto segue:Keep in mind the following requirements:

  • L'applicazione deve avere un URL di accesso notoApplication should have a known login URL
  • La pagina di accesso deve contenere un modulo HTML con uno o più campi di testo che le estensioni del browser siano in grado di popolare automaticamente.The sign-in page should contain an HTML form with one more text fields that the browser extensions can auto-populate. Deve contenere come minimo il nome utente e la password.At the minimum, it should contain username and password.

SaaS: configurazione di account condivisiSaaS Shared Accounts Configuration

Tempo previsto per il completamento: 30 minutiApproximate time to Complete: 30 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
L'elenco di applicazioni di destinazione e gli URL di accesso esatti in anticipo.The list of target applications and the exact sign-in URLS ahead of time. Ad esempio, è possibile usare Twitter.As an example, you can use Twitter. Twitter in Microsoft Azure MarketplaceTwitter on Microsoft Azure Marketplace
Iscrizione a TwitterSign up for Twitter
Credenziali condivise per questa applicazione SaaS.Shared credential for this SaaS application. Condivisione di account con Azure ADSharing accounts using Azure AD
Post sul rollover automatizzato delle password in Azure AD per Facebook, Twitter e LinkedIn ora in anteprima[Azure AD automated password roll-over for Facebook, Twitter and LinkedIn now in preview! nel blog su sicurezza e mobilità aziendale] (https://blogs.technet.microsoft.com/enterprisemobility/2015/02/20/azure-ad-automated-password-roll-over-for-facebook-twitter-and-linkedin-now-in-preview/ )- Enterprise Mobility and Security Blog
Credenziali per almeno due membri del team che accedono allo stesso account.Credentials for at least two team members who will access the same account. Devono fare parte di un gruppo di sicurezza.They must be part of a security group. Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory
Accesso come amministratore locale a un computer per distribuire l'estensione Pannello di accesso per Internet Explorer, Firefox o ChromeLocal administrator access to a computer to deploy the Access Panel Extension for Internet Explorer, Chrome or Firefox Estensione Pannello di accesso per IEAccess Panel Extension for IE
Estensione Pannello di accesso per ChromeAccess Panel Extension for Chrome
Estensione Pannello di accesso per FirefoxAccess Panel Extension for Firefox

PassiSteps

PassaggioStep RisorseResources
Installare l'estensione browserInstall the browser extension Estensione Pannello di accesso per IEAccess Panel Extension for IE
Estensione Pannello di accesso per ChromeAccess Panel Extension for Chrome
Estensione Pannello di accesso per FirefoxAccess Panel Extension for Firefox
Configurare l'applicazione dalla raccoltaConfigure Application from Gallery Novità della gestione delle applicazioni aziendali in Azure Active Directory: Raccolta di applicazioni con novità e miglioramentiWhat's new in Enterprise Application management in Azure Active Directory: The new and improved application gallery
Configurare l'accesso SSO con passwordConfigure Password SSO Gestione dell'accesso Single Sign-On per app aziendali nel nuovo portale di Azure: Accesso basato su passwordManaging single sign-on for enterprise apps in the new Azure portal: Password-based sign on
Assegnare l'app al gruppo identificato nei prerequisiti quando si assegnano le credenzialiAssign the app to the group identified in the Prerequisites while assigning them credentials Assegnare un utente o un gruppo a un'app aziendale in Azure Active DirectoryAssign a user or group to an enterprise app in Azure Active Directory
Accedere come utenti diversi che accedono all'app come stesso account condiviso.Log in as different users that access app as the same shared account.
Facoltativamente, è possibile controllare i report sull'utilizzo dell'applicazione.Optionally, you can check the application usage reports. Si noti che esiste una certa latenza, quindi è necessario attendere un certo tempo per vedere il traffico nei report.Note there is some latency, so you need to wait some time to see the traffic in the reports. Report delle attività di accesso nel portale di Azure Active Directory: Utilizzo di applicazioni gestiteSign-in activity reports in the Azure Active Directory portal: Usage of managed applications
Criteri di conservazione dei report di Azure Active DirectoryAzure Active Directory report retention policies

ConsiderazioniConsiderations

Se l'applicazione di destinazione non è presente nella raccolta, è possibile usare "Bring your own app".If the target application is not present in the gallery, then you can use "Bring your own app". Altre informazioni: Novità della gestione delle applicazioni aziendali in Azure Active Directory: Aggiungere applicazioni personalizzate da un'unica posizioneLearn more: What's new in Enterprise Application management in Azure Active Directory: Add custom applications from one place

Tenere presente quanto segue:Keep in mind the following requirements:

  • L'applicazione deve avere un URL di accesso notoApplication should have a known login URL
  • La pagina di accesso deve contenere un modulo HTML con uno o più campi di testo che le estensioni del browser siano in grado di popolare automaticamente.The sign-in page should contain an HTML form with one more text fields that the browser extensions can auto-populate. Deve contenere come minimo il nome utente e la password.At the minimum, it should contain username and password.

Configurazione del proxy delle appApp Proxy Configuration

Tempo previsto per il completamento: 20 minutiApproximate time to Complete: 20 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Una sottoscrizione di Microsoft Azure AD Basic o Premium e una directory di Azure AD di cui si è un amministratore globaleA Microsoft Azure AD basic or premium subscription and an Azure AD directory for which you are a global administrator Edizioni di Azure Active DirectoryAzure Active Directory editions
Un'applicazione Web ospitata in locale che si vuole configurare per l'accesso remotoA web application hosted on-prem that you would like to configure for remote access
Un server che esegue Windows Server 2012 R2 oppure Windows 8.1 o versioni successive in cui poter installare il connettore del proxy dell'applicazioneA server running Windows Server 2012 R2, or Windows 8.1 or higher, on which you can install the Application Proxy Connector Comprendere i connettori del proxy applicazione Azure ADUnderstand Azure AD Application Proxy connectors
Se nel percorso è presente un firewall, verificare che sia aperto in modo che il connettore possa inviare richieste HTTPS (TCP) al proxy dell'applicazioneIf there is a firewall in the path, make sure that it's open so that the Connector can make HTTPS (TCP) requests to the Application Proxy Attività iniziali del proxy di applicazione e installazione del connettore: Prerequisiti del proxy dell'applicazioneEnable Application Proxy in the Azure portal: Application Proxy prerequisites
Se l'organizzazione usa server proxy per la connessione a Internet, vedere il post del blog relativo all'uso di server proxy locali esistenti per informazioni dettagliate sulla configurazioneIf your organization uses proxy servers to connect to the internet, take a look at the blog post Working with existing on-premises proxy servers for details on how to configure them Usare server proxy locali esistentiWork with existing on-premises proxy servers

PassiSteps

PassaggioStep RisorseResources
Installare un connettore sul serverInstall a connector on the server Attività iniziali del proxy di applicazione e installazione del connettore: Installare e registrare un connettoreEnable Application Proxy in the Azure portal: Install and register the Connector
Pubblicare l'applicazione locale in Azure AD come applicazione proxy dell'applicazionePublish the on-prem application in Azure AD as an Application Proxy application Pubblicare applicazioni mediante il proxy di applicazione AD AzurePublish applications using Azure AD Application Proxy
Assegnare gli utenti testAssign test users Pubblicare applicazioni mediante il proxy dell'applicazione AD Azure: Aggiungere un utente di testPublish applications using Azure AD Application Proxy: Add a test user
Facoltativamente, configurare un'esperienza Single Sign-On per gli utentiOptionally, configure a single sign-on experience for your users Fornire accesso Single Sign-On mediante il proxy dell'applicazione Azure ADProvide single sign-on with Azure AD Application Proxy
Testare l'app effettuando l'accesso al portale di MyApps come utente assegnatoTest app by signing in to MyApps portal as assigned user https://myapps.microsoft.comhttps://myapps.microsoft.com

ConsiderazioniConsiderations

  1. Benché sia consigliabile inserire il connettore nella rete aziendale, esistono casi in cui le prestazioni risultano migliori se viene posizionato nel cloud.While we suggest putting the connector in your corporate network, there are cases when you will see better performance placing it in the cloud. Altre informazioni: Considerazioni relative alla topologia di rete quando si usa il proxy di applicazione di Azure Active DirectoryLearn more: Network topology considerations when using Azure Active Directory Application Proxy
  2. Per informazioni dettagliate sulla sicurezza e su come garantire una soluzione di accesso remoto particolarmente protetta gestendo solo le connessioni in uscita, vedere: Considerazioni relative alla sicurezza quando si accede alle app in remoto usando il proxy applicazione di Azure ADFor further security details and how this provides a particularly secure remote access solution by only maintaining outbound connections see: Security considerations for accessing apps remotely by using Azure AD Application Proxy

Configurazione del connettore LDAP genericoGeneric LDAP Connector configuration

Tempo previsto per il completamento: 60 minutiApproximate time to Complete: 60 minutes

Importante

Si tratta di una configurazione avanzata che richiede una certa conoscenza di FIM o MIM.This is an advanced configuration requiring some familiarity with FIM/MIM. Se usata in produzione, è consigliabile leggere le domande su questa configurazione in supporto tecnico Premier.If used in production, we advise questions about this configuration go through Premier Support.

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Azure AD Connect installato e configuratoAzure AD Connect installed and configured Blocco predefinito: Sincronizzazione directory: Sincronizzazione dell'hash delle passwordBuilding block: Directory Synchronization - Password Hash Sync
Istanza ADLDS conforme ai requisitiADLDS instance meeting requirements Documentazione tecnica sul connettore Generic LDAP: Panoramica del connettore Generic LDAPGeneric LDAP Connector technical reference: Overview of the Generic LDAP Connector
Elenco dei carichi di lavoro usati dagli utenti e attributi associati a questi carichi di lavoroList of workloads, that users are using and attributes associated with these workloads Servizio di sincronizzazione Azure AD Connect: Attributi sincronizzati con Azure Active DirectoryAzure AD Connect sync: Attributes synchronized to Azure Active Directory

PassiSteps

PassaggioStep RisorseResources
Aggiungere un connettore Generic LDAPAdd Generic LDAP Connector Documentazione tecnica sul connettore Generic LDAP: Creare un nuovo connettoreGeneric LDAP Connector technical reference: Create a new Connector
Creare profili di esecuzione per il connettore creato (importazione completa, importazione delta, sincronizzazione completa, sincronizzazione delta, esportazione)Create run profiles for created connector (full import, delta import, full synchronization, delta synchronization, export) Create a Management Agent Run Profile (Creare un profilo di esecuzione dell'agente di gestione)Create a Management Agent Run Profile
Uso dei connettori con Sync Service Manager di Azure AD ConnectUsing connectors with the Azure AD Connect Sync Service Manager
Eseguire il profilo di importazione completa e verificare se sono presenti oggetti nello spazio connettoreRun full import profile and verify, that there are objects in connector space Search for a Connector Space Object (Ricerca di un oggetto nello spazio connettore)Search for a Connector Space Object
Sezione sulla ricerca nello spazio connettore in Uso dei connettori con Sync Service Manager di Azure AD ConnectUsing connectors with the Azure AD Connect Sync Service Manager: Search Connector Space
Creare regole di sincronizzazione in modo che gli oggetti nel metaverse abbiano gli attributi necessari per i carichi di lavoroCreate synchronization rules, so that objects in Metaverse have necessary attributes for workloads Servizio di sincronizzazione Azure AD Connect: Procedure consigliate per modificare la configurazione predefinita: Modifiche apportate alle regole di sincronizzazioneAzure AD Connect sync: Best practices for changing the default configuration: Changes to Synchronization Rules
Servizio di sincronizzazione Azure AD Connect: Informazioni sul provisioning dichiarativoAzure AD Connect sync: Understanding Declarative Provisioning
Servizio di sincronizzazione Azure AD Connect: Informazioni sulle espressioni di provisioning dichiarativoAzure AD Connect sync: Understanding Declarative Provisioning Expressions
Avviare un ciclo di sincronizzazione completaStart full synchronization cycle Servizio di sincronizzazione Azure AD Connect: Utilità di pianificazione: Avviare l'utilità di pianificazioneAzure AD Connect sync: Scheduler: Start the scheduler
In caso di problemi, eseguire le procedure per la risoluzioneIn case of issues do troubleshooting Risoluzione dei problemi relativi a un oggetto che non esegue la sincronizzazione in Azure ADTroubleshoot an object that is not synchronizing to Azure AD
Verificare che utente LDAP possa eseguire l'accesso e accedere all'applicazioneVerify, that LDAP user can sign-in and access the application https://myapps.microsoft.comhttps://myapps.microsoft.com

ConsiderazioniConsiderations

Importante

Si tratta di una configurazione avanzata che richiede una certa conoscenza di FIM o MIM.This is an advanced configuration requiring some familiarity with FIM/MIM. Se usata in produzione, è consigliabile leggere le domande su questa configurazione in supporto tecnico Premier.If used in production, we advise questions about this configuration go through Premier Support.

Gruppi: proprietà delegataGroups - Delegated Ownership

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Applicazione SaaS (SSO federato o con password) già configurataSaaS application (Federated SSO or Password SSO) has been already configured Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration
Il gruppo cloud a cui è assegnato l'accesso all'applicazione in 1 è identificatoCloud Group that is assigned access to the application in #1 is identified Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration
Creare un gruppo e aggiungere membri in Azure Active DirectoryCreate a group and add members in Azure Active Directory
Sono disponibili le credenziali per il proprietario del gruppoCredentials for the group owner are available Gestire l'accesso alle risorse tramite i gruppi di Azure Active DirectoryManage access to resources with Azure Active Directory groups
Identificate le credenziali per gli Information Worker che accedono all'appCredentials for the information worker accessing the apps has been identified Che cos'è il pannello di accesso?What is the Access Panel?

PassiSteps

PassaggioStep RisorseResources
Identificare il gruppo a cui è stato concesso l'accesso all'applicazione e configurare il proprietario di un determinato gruppoIdentify the group that has been granted access to the application, and configure the owner of given group Gestire le impostazioni per un gruppo in Azure Active DirectoryManage the settings for a group in Azure Active Directory
Accedere come proprietario del gruppo, visualizzare l'appartenenza al gruppo nella scheda dei gruppi del Pannello di accessoLog in as the group owner, see the group membership in groups tab of access panel Pagina di gestione dei gruppi di Azure Active DirectoryAzure Active Directory Groups Management page
Aggiungere l'Information Worker da testareAdd the information worker you want to test
Accedere come l'Information Worker, verificare che il riquadro è disponibileLog in as the information worker, confirm the tile is available Che cos'è il pannello di accesso?What is the Access Panel?

ConsiderazioniConsiderations

Se per l'applicazione è abilitato il provisioning, può essere necessario attendere alcuni minuti il completamento del provisioning per poter accedere all'applicazione come l'Information Worker.If the application has provisioning enabled, you might need to wait a few minutes for the provisioning to complete before accessing the application as the information worker.

SaaS e ciclo di vita delle identitàSaaS and Identity Lifecycle

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Applicazione SaaS (SSO federato o con password) già configurataSaaS application (Federated SSO or Password SSO) has been already configured Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration
Il gruppo cloud a cui è assegnato l'accesso all'applicazione in 1 è identificatoCloud Group that is assigned access to the application in #1 is identified Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration
Creare un gruppo e aggiungere membri in Azure Active DirectoryCreate a group and add members in Azure Active Directory
Identificate le credenziali per gli Information Worker che accedono all'appCredentials for the information worker accessing the apps has been identified Che cos'è il pannello di accesso?What is the Access Panel?

PassiSteps

PassaggioStep RisorseResources
Rimuovere l'utente dal gruppo di cui è assegnata l'applicazioneRemove the user from the group the app is assigned to Gestire l'appartenenza al gruppo per gli utenti nel tenant di Azure Active DirectoryManage group membership for users in your Azure Active Directory tenant
Attendere alcuni minuti il completamento del deprovisioningWait for a few minutes for de-provisioning Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active Directory: Come funziona il provisioning automatizzato?Automated SaaS App User Provisioning in Azure AD: How does automated provisioning work?
In una sessione separata del browser accedere come l'Information Worker al portale delle app personali e verificare se il riquadro è mancanteOn a separate browser session, log in as the information worker to my apps portal and confirm that tile is missing http://myapps.microsoft.comhttp://myapps.microsoft.com

ConsiderazioniConsiderations

Estrapolare lo scenario del modello di verifica per scenari con utenti assenti temporaneamente o definitivamente.Extrapolate the PoC scenario to leavers and/or leave of absence scenarios. Se l'utente viene disabilitato in Active Directory locale o viene rimosso, non è più possibile accedere all'applicazione SaaS.If the user gets disabled in on-premises AD or removed, there is no longer a way to log in to the SaaS application.

Accesso self-service alla gestione delle applicazioniSelf Service Access to Application Management

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Identificare gli utenti del modello di verifica che richiederanno l'accesso alle applicazioni, come parte del gruppo di sicurezzaIdentify POC users that will request access to the applications, as part of the security group Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration
Applicazione di destinazione distribuitaTarget Application deployed Blocco predefinito: SaaS: configurazione SSO federatoBuilding block: SaaS Federated SSO Configuration

PassiSteps

PassaggioStep RisorseResources
Accedere al pannello delle applicazioni aziendali nel portale di gestione di Azure ADGo to Enterprise Applications blade in Azure AD Management Portal Portale di gestione di Azure AD: Applicazioni aziendaliAzure AD Management Portal: Enterprise Applications
Configurare l'applicazione dai prerequisiti con self-serviceConfigure Application from Pre-requisites with self service Novità della gestione delle applicazioni aziendali in Azure Active Directory: Configurare l'accesso alle applicazioni self-serviceWhat's new in Enterprise Application management in Azure Active Directory: Configure self-service application access
Accedere come l'Information Worker al portale delle app personaliLog in as the information worker to my apps portal http://myapps.microsoft.comhttp://myapps.microsoft.com
Si noti il pulsante di aggiunta app nella parte superiore della pagina.Notice "+Add app" button on op of the page. Usarlo per accedere all'appUse it to get access to the app

ConsiderazioniConsiderations

Le applicazioni scelte potrebbero avere requisiti di provisioning, quindi accedere immediatamente all'app può causare errori.The applications chosen might have provisioning requirements, so going immediately to the app might cause some errors. Se l'applicazione selezionata supporta il provisioning con Azure AD e viene configurata, è possibile sfruttare questa opportunità per visualizzare l'intero flusso da un'estremità all'altra.If the application chosen supports provisioning with azure ad and it is configured, you might use this as an opportunity to show the whole flow working end to end. Per altre indicazioni, vedere il blocco predefinito SaaS: configurazione SSO federatoSee the building block for SaaS Federated SSO Configuration for further recommendations

Reimpostazione della password self-serviceSelf Service Password Reset

Tempo previsto per il completamento: 15 minutiApproximate time to Complete: 15 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Abilitare la gestione delle password self-service nel tenant.Enable self-service password management in your tenant. Reimpostazione delle password in Azure Active Directory per gli amministratori ITAzure Active Directory password reset for IT administrators
Abilitare il writeback delle password per gestire le password in locale.Enable password write-back to manage passwords from on-premises. Si noti che questa operazione richiede versioni specifiche di Azure AD ConnectNote this requires specific Azure AD Connect versions Prerequisiti per il writeback delle passwordPassword Writeback prerequisites
Identificare gli utenti del modello di verifica che useranno questa funzionalità e verificare che siano membri di un gruppo di sicurezza.Identify the PoC users that will use this functionality, and make sure they are members of a security group. Gli utenti devono essere non amministratori per presentare completamente la funzionalitàThe users must be non-admins to fully showcase the capability Personalizzare: Gestione delle password di Azure Active Directory: Limitare l'accesso per la reimpostazione delle passwordCustomize: Azure AD Password Management: Restrict Access to password reset

PassiSteps

PassaggioStep RisorseResources
Passare al portale di gestione di Azure AD, pagina di reimpostazione delle passwordNavigate to Azure AD Management Portal: Password Reset Portale di gestione di Azure AD: Reimpostazione delle passwordAzure AD Management Portal: Password Reset
Determinare i criteri di reimpostazione delle password.Determine the password reset policy. Ai fini del modello di verifica è possibile usare le chiamate telefoniche e la sezione di domande e risposte. È consigliabile abilitare la registrazione obbligatoria per accedere al Pannello di accessoFor POC purposes, you can use phone call and Q & A. It is recommended to enable registration to be required on log in to access panel
Disconnettersi e accedere di nuovo come Information WorkerLog out and log in as an information worker
Specificare i dati di reimpostazione self-service delle password come indicato per il passaggio 2Supply the Self-Service Password Reset data as configured per step 2 http://aka.ms/ssprsetuphttp://aka.ms/ssprsetup
Chiudere il browserClose the browser
Ripetere la procedura di accesso come l'Information Worker usato nel passaggio 4Start over the login process as the information worker you used in step 4
Reimpostare la passwordReset the password Aggiornare la password: Reimpostare la passwordUpdate your own password: Reset my password
Provare ad accedere con la nuova password ad Azure AD e anche alle risorse localiTry logging in with your new password to Azure AD as well as to on-premises resources

ConsiderazioniConsiderations

  1. Se si prevede che l'aggiornamento ad Azure AD Connect causi dei problemi, è consigliabile usarlo con gli account nel cloud o trasformarlo in demo per un ambiente separatoIf upgrading the Azure AD Connect is going to cause friction, then consider using it against cloud accounts or make it a demo against a separate environment
  2. Gli amministratori usano criteri diversi e reimpostare la password con l'account di amministratore può causare alterazioni del modello di verifica e confusione.The administrators have a different policy and using the admin account to reset the password might taint the PoC and cause confusion. Assicurarsi di usare un account utente normale per testare le operazioni di reimpostazioneMake sure you use a regular user account to test the reset operations

Azure Multi-Factor Authentication con chiamate telefonicheAzure Multi-Factor Authentication with Phone Calls

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Identificare gli utenti del modello di verifica che useranno MFAIdentify POC users that will use MFA
Telefono con buona ricezione per la richiesta di connessione MFAPhone with good reception for MFA challenge Informazioni su Azure Multi-Factor AuthenticationWhat is Azure Multi-Factor Authentication?

PassiSteps

PassaggioStep RisorseResources
Passare al pannello "Utenti e gruppi" nel portale di gestione di Azure ADNavigate to "Users and groups" blade in Azure AD Management Portal Portale di gestione di Azure AD: Utenti e gruppiAzure AD Management Portal: Users and groups
Scegliere il pannello "Tutti gli utenti"Choose "All users" blade
Nella barra superiore scegliere il pulsante "Multi-Factor Authentication"In the top bar choose "Multi-Factor Authentication" button URL diretto per il portale di Azure MFA: https://aka.ms/mfaportalDirect URL for Azure MFA portal: https://aka.ms/mfaportal
Nelle impostazioni "Utente" selezionare gli utenti del modello di verifica e abilitarli per MFAIn the "User" settings select the PoC users and enable them for MFA Stati utente in Azure Multi-Factor AuthenticationUser States in Azure Multi-Factor Authentication
Eseguire l'accesso come utente del modello di verifica e seguire la procedura di registrazioneLogin as the PoC user, and walk through the proof-up process

ConsiderazioniConsiderations

  1. I passaggi del modello di verifica in questo blocco predefinito consentono di impostare in modo esplicito MFA per un utente per tutti gli accessi.The PoC steps in this building block explicitly setting MFA for a user on all logins. Sono disponibili altri strumenti, ad esempio l'accesso condizionale e la protezione dell'identità, che usano MFA in scenari più specifici.There are other tools such as Conditional Access, and Identity Protection that engage MFA on more targeted scenarios. Questo è un aspetto da considerare quando si passa dal modello di verifica alla produzione.This will be something to consider when moving from POC to production.
  2. I passaggi del modello di verifica in questo blocco predefinito per comodità usano in modo esplicito le chiamate telefoniche come metodo MFA.The PoC steps in this building block are explicitly using Phone Calls as the MFA method for expedience. Quando si passa dal modello di verifica all'ambiente di produzione, si consiglia di usare il più possibile applicazioni come Microsoft Authenticator come secondo fattore.As you transition from POC to production, we recommend using applications such as the Microsoft Authenticator as your second factor whenever possible. Altre informazioni: documento DRAFT NIST Special Publication 800-63BLearn more: DRAFT NIST Special Publication 800-63B

Accesso condizionale MFA per applicazioni SaaSMFA Conditional Access for SaaS applications

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Identificare gli utenti del modello di verifica a cui destinare i criteri.Identify PoC users to target the policy. Questi utenti devono essere in un gruppo di sicurezza per creare l'ambito dei criteri di accesso condizionaleThese users should be in a security group to scope the conditional access policy SaaS: configurazione SSO federatoSaaS Federated SSO Configuration
L'applicazione SaaS è già stata configurataSaaS application has been already configured
Gli utenti del modello di verifica sono già stati assegnati all'applicazionePoC users are already assigned to the application
Le credenziali per l'utente del modello di verifica sono disponibiliCredentials to the POC user are available
L'utente del modello di verifica è registrato per MFA.POC user is registered for MFA. Uso di un telefono con buona ricezioneUsing a phone with Good reception http://aka.ms/ssprsetuphttp://aka.ms/ssprsetup
Dispositivo nella rete interna.Device in the internal network. Indirizzo IP configurato nell'intervallo di indirizzi interniIP Address configured in the internal address range Individuare l'indirizzo IP: https://www.bing.com/search?q=what%27s+my+ipFind your ip address: https://www.bing.com/search?q=what%27s+my+ip
Dispositivo nella rete esterna (può essere un telefono che usa la rete mobile del vettore)Device in the external network (can be a phone using the carrier's mobile network)

PassiSteps

PassaggioStep RisorseResources
Passare al portale di gestione di Azure AD, pannello Accesso condizionaleGo to Azure AD Management Portal: Conditional Access blade Portale di gestione di Azure AD: Accesso condizionaleAzure AD Management Portal: Conditional Access
Creare i criteri di accesso condizionale:Create Conditional Access policy:
- Individuare gli utenti del modello di verifica in "Utenti e gruppi"- Target PoC Users under "Users and groups"
- Individuare l'applicazione del modello di verifica in "App cloud"- Target PoC Application under "Cloud apps"
- Individuare tutte le posizioni tranne quelle attendibili in "Condizioni" -> "Località" Nota: gli indirizzi IP attendibili sono configurati nel portale di MFA- Target all locations except trusted ones under "Conditions" -> "Locations" Note: trusted IPs are configured in MFA Portal
- Richiedere l'autenticazione a più fattori nel pannello "Concedi"- Require multi-factor authentication under "Grant"
Introduzione all'accesso condizionale in Azure Active Directory: Procedura di configurazione dei criteriGet started with conditional access in Azure Active Directory: Policy configuration steps
Accedere all'applicazione dall'interno della rete aziendaleAccess application from inside corporate network Introduzione all'accesso condizionale in Azure Active Directory: Test dei criteriGet started with conditional access in Azure Active Directory: Testing the policy
Accedere all'applicazione dalla rete pubblicaAccess application from public network Introduzione all'accesso condizionale in Azure Active Directory: Test dei criteriGet started with conditional access in Azure Active Directory: Testing the policy

ConsiderazioniConsiderations

Se si usa la federazione, è possibile usare il provider di identità locale (IdP) per comunicare lo stato interno/esterno della rete aziendale con attestazioni.If you are using federation, you can use the on-premises Identity Provider (IdP) to communicate the inside/outside corporate network state with claims. È possibile usare questa tecnica senza dover gestire l'elenco di indirizzi IP che può essere complesso da valutare e gestire nelle organizzazioni di grandi dimensioni.You can use this technique without having to manage the list of IP addresses which might be complex to assess and manage in large organizations. In tale impostazione è necessario un account per lo scenario "roaming di rete" (un utente accede dalla rete interna e mentre è connesso cambia la posizione, ad esempio un bar) e assicurarsi di comprendere le implicazioni.In that setup, you need account for the "network roaming" scenario (a user logging from the internal network, and while logged in switches locations such as a coffee shop) and make sure you understand the implications. Altre informazioni: Protezione delle risorse cloud con Azure Multi-Factor Authentication e AD FS: Indirizzi IP attendibili per utenti federatiLearn more: Securing cloud resources with Azure Multi-Factor Authentication and AD FS: Trusted IPs for federated users

Privileged Identity Management (PIM)Privileged Identity Management (PIM)

Tempo previsto per il completamento: 15 minutiApproximate time to Complete: 15 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Identificare l'amministratore globale che farà parte del modello di verifica per PIMIdentify the global admin that will be part of the POC for PIM Iniziare a usare Azure AD Privileged Identity ManagementStart using Azure AD Privileged Identity Management
Identificare l'amministratore globale che diventerà amministratore della sicurezzaIdentify the global admin that will become the Security Administrator Iniziare a usare Azure AD Privileged Identity ManagementStart using Azure AD Privileged Identity Management
Ruolo amministrativo differente in Azure AD PIMDifferent administrative roles in Azure Active Directory PIM
Facoltativo: verificare se gli amministratori globali hanno accesso alla posta elettronica per gestire le notifiche via posta elettronica in PIMOptional: Confirm if the global admins have email access to exercise email notifications in PIM Che cos'è Azure AD Privileged Identity Management?: Configurare le impostazioni di attivazione del ruoloWhat is Azure AD Privileged Identity Management?: Configure the role activation settings

PassiSteps

PassaggioStep RisorseResources
Accedere a https://portal.azure.com come amministratore globale (GA) e personalizzare il pannello PIM con bootstrap.Login to https://portal.azure.com as a global admin (GA) and bootstrap the PIM blade. L'amministratore globale che esegue questo passaggio viene designato amministratore della sicurezza.The Global Admin that performs this step is seeded as the security administrator. In questo esempio sarà l'attore GA1Let's call this actor GA1 Uso della procedura guidata relativa alla sicurezza di Azure AD Privileged Identity ManagementUsing the security wizard in Azure AD Privileged Identity Management
Identificare l'amministratore globale e trasformarlo da permanente a idoneo.Identify the global admin and move them from permanent to eligible. Deve essere un amministratore separato da quello usato nel passaggio 1 per maggiore chiarezza.This should be a separate admin from the one used in step 1 for clarity. In questo esempio sarà l'attore GA2Let's call this actor GA2 Azure AD Privileged Identity Management: Come aggiungere o rimuovere un ruolo utenteAzure AD Privileged Identity Management: How to add or remove a user role
Che cos'è Azure AD Privileged Identity Management?: Configurare le impostazioni di attivazione del ruoloWhat is Azure AD Privileged Identity Management?: Configure the role activation settings
Accedere come GA2 a https://portal.azure.com e provare a modificare le impostazioni utente.Now, log in as GA2 to https://portal.azure.com and try changing "User Settings". Come si può vedere, alcune opzioni sono disattivate.Notice, some options are grayed out.
In una nuova scheda e nella stessa sessione del passaggio 3, passare a https://portal.azure.com e aggiungere il pannello PIM al dashboard.In a new tab and in the same session as step 3, navigate now to https://portal.azure.com and add the PIM blade to the dashboard. Come attivare o disattivare i ruoli in Azure AD Privileged Identity Management: Aggiungere l'applicazione Privileged Identity ManagementHow to activate or deactivate roles in Azure AD Privileged Identity Management: Add the Privileged Identity Management application
Richiedere l'attivazione al ruolo amministratore globaleRequest activation to the Global Administrator role Come attivare o disattivare i ruoli in Azure AD Privileged Identity Management: Attivare un ruoloHow to activate or deactivate roles in Azure AD Privileged Identity Management: Activate a role
Si noti che se GA2 non si è mai registrato per l'autenticazione a più fattori, sarà necessaria la registrazione per Azure MFANote, that if GA2 never signed up for MFA, registration for Azure MFA will be necessary
Tornare alla scheda originale del passaggio 3 e fare clic sul pulsante di aggiornamento nel browser.Go back to the original tab in step 3, and click the refresh button in the browser. Si noti che ora si ha accesso alle impostazioni utente per la modificaNote that you now have access to change "User settings"
Facoltativamente, se gli amministratori globali hanno abilitato la posta elettronica, è possibile controllare la posta in arrivo di GA1 e GA2 e vedere la notifica dell'attivazione del ruoloOptionally, if your global administrators have email enabled, you can check GA1 and GA2's inbox and see the notification of the role being activated
Controllare la cronologia di controllo e osservare il report per verificare se è visualizzata l'elevazione di GA2.8 Check the audit history and observe the report to confirm the elevation of GA2 is shown. Che cos'è Azure AD Privileged Identity Management?: Verificare l'attività del ruoloWhat is Azure AD Privileged Identity Management?: Review role activity

ConsiderazioniConsiderations

Questa funzionalità fa parte di Azure AD Premium P2 e/o EMS E5This capability is part of Azure AD Premium P2 and/or EMS E5

Rilevare eventi di rischioDiscovering Risk Events

Tempo previsto per il completamento: 20 minutiApproximate time to Complete: 20 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Dispositivo con Tor Browser scaricato e installatoDevice with Tor browser downloaded and installed Download di Tor BrowserDownload Tor Browser
Accedere all'utente del modello di verifica per eseguire l'accessoAccess to POC user to do the login Studio di Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection playbook

PassiSteps

PassaggioStep RisorseResources
Aprire Tor BrowserOpen tor browser Download di Tor BrowserDownload Tor Browser
Accedere con l'account utente del modello di verifica a https://myapps.microsoft.comLog in to https://myapps.microsoft.com with the POC user account Studio sulla protezione delle identità di Azure Active Directory: Simulazione sugli eventi di rischioAzure Active Directory Identity Protection playbook: Simulating Risk Events
Attendere 5-7 minutiWait 5-7 minutes
Accedere come amministratore globale a https://portal.azure.com e aprire il pannello Identity ProtectionLog in as a global admin to https://portal.azure.com and open up the Identity Protection blade https://aka.ms/aadipgetstartedhttps://aka.ms/aadipgetstarted
Aprire il pannello degli eventi di rischio.Open the risk events blade. Dovrebbe apparire una voce sotto "Accessi da indirizzi IP anonimi"You should see an entry under "Sign-ins from anonymous IP addresses" Studio sulla protezione delle identità di Azure Active Directory: Simulazione sugli eventi di rischioAzure Active Directory Identity Protection playbook: Simulating Risk Events

ConsiderazioniConsiderations

Questa funzionalità fa parte di Azure AD Premium P2 e/o EMS E5This capability is part of Azure AD Premium P2 and/or EMS E5

Distribuire criteri di rischio di accessoDeploying Sign-in risk policies

Tempo previsto per il completamento: 10 minutiApproximate time to Complete: 10 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Dispositivo con Tor Browser scaricato e installatoDevice with Tor browser downloaded and installed Download di Tor BrowserDownload Tor Browser
Accedere come utente del modello di verifica per eseguire il test di accessoAccess as a POC user to do the log in testing
L'utente del modello di verifica è registrato per MFA.POC user is registered with MFA. Assicurarsi di usare un telefono con buona ricezioneMake sure to use a phone with good reception Blocco predefinito: Azure Multi-Factor Authentication con chiamate telefonicheBuilding Block: Azure Multi-Factor Authentication with Phone Calls

PassiSteps

PassaggioStep RisorseResources
Accedere come amministratore globale a https://portal.azure.com e aprire il pannello Identity ProtectionLog in as a global admin to https://portal.azure.com and open the Identity Protection blade https://aka.ms/aadipgetstartedhttps://aka.ms/aadipgetstarted
Abilitare un criterio di rischio di accesso come segue:Enable a sign-in risk policy as follows:
- Assegnato a: utente del modello di verifica- Assigned to: POC user
- Condizioni: rischio di accesso medio o alto (l'accesso da una posizione anonima viene considerato come livello di rischio medio)- Conditions: Sign-in risk medium or higher (sign-in from anonymous location is deemed as a medium risk level)
- Controlli: richiesto MFA- Controls: Require MFA
Studio di Azure Active Directory Identity Protection: Rischio di accessoAzure Active Directory Identity Protection playbook: Sign-in risk
Aprire Tor BrowserOpen tor browser Download di Tor BrowserDownload Tor Browser
Accedere con l'account utente del modello di verifica a https://myapps.microsoft.comLog in to https://myapps.microsoft.com with the PoC user account
Si noti la richiesta dell'autenticazione a più fattoriNotice the MFA challenge Esperienze di accesso con Azure AD Identity Protection: Ripristino di un accesso rischiosoSign-in experiences with Azure AD Identity Protection: Risky sign-in recovery

ConsiderazioniConsiderations

Questa funzionalità fa parte di Azure AD Premium P2 e/o EMS E5.This capability is part of Azure AD Premium P2 and/or EMS E5. Per altre informazioni sugli eventi di rischio, vedere Eventi di rischio di Azure Active DirectoryTo learn more about risk events visit: Azure Active Directory risk events

Configurare l'autenticazione basata su certificatiConfiguring certificate based authentication

Tempo previsto per il completamento: 20 minutiApproximate time to complete: 20 minutes

PrerequisitiPre-requisites

Prerequisito.Pre-requisite RisorseResources
Dispositivo con certificato utente di cui è stato eseguito il provisioning (Windows, iOS o Android) dall'infrastruttura a chiave pubblica aziendaleDevice with user certificate provisioned (Windows, iOS or Android) from Enterprise PKI Distribuire i certificati utenteDeploy User Certificates
Dominio di Azure AD federato con AD FSAzure AD domain federated with ADFS Azure AD Connect e federazioneAzure AD Connect and federation
Informazioni generali sui Servizi certificati di Active DirectoryActive Directory Certificate Services Overview
Per i dispositivi iOS l'app Microsoft Authenticator deve essere installataFor iOS devices have Microsoft Authenticator app installed Introduzione all'app Microsoft AuthenticatorGet started with the Microsoft Authenticator app

PassiSteps

PassaggioStep RisorseResources
Abilitare l'autenticazione del certificato in AD FSEnable "Certificate Authentication" on ADFS Configurare i criteri di autenticazione: Per configurare l'autenticazione primaria globale in Windows Server 2012 R2Configure Authentication Policies: To configure primary authentication globally in Windows Server 2012 R2
Facoltativo: abilitare l'autenticazione del certificato in Azure AD per i client di Exchange Active SyncOptional: Enable Certificate Authentication in Azure AD for Exchange Active Sync clients Introduzione all'autenticazione basata su certificati di Azure Active DirectoryGet started with certificate-based authentication in Azure Active Directory
Passare al Pannello di accesso ed eseguire l'autenticazione usando il certificato utenteNavigate to Access Panel and authenticate using User Certificate https://myapps.microsoft.comhttps://myapps.microsoft.com

ConsiderazioniConsiderations

Per altre informazioni sugli aspetti di questa distribuzione, visitare il post di blog su AD FS e autenticazione del certificato con Azure AD e Office 365To learn more about caveats of this deployment visit: ADFS: Certificate Authentication with Azure AD & Office 365

Nota

Il possesso del certificato utente deve essere protetto,Possession of user certificate should be guarded. gestendo i dispositivi o con PIN in caso di smart card.Either by managing devices or with PIN in case of smart cards.

Procedura di studioPlaybook Steps

  1. IntroduzioneIntroduction
  2. IngredientiIngredients
  3. ImplementazioneImplementation
  4. Blocchi predefinitiBuilding Blocks