Problemi di accesso a un'applicazione Microsoft

Le applicazioni Microsoft (ad esempio Office 365 Exchange, SharePoint, Yammer e così via) vengono assegnate e gestite in modo leggermente diverso dalle applicazioni SaaS di terza parte o da altre applicazioni che si integrano con Azure AD per Single Sign On.

Vi sono tre principali modi con cui un utente può accedere a un'applicazione pubblicata da Microsoft.

  • Per le applicazioni in Office 365 o in altre famiglie di prodotti a pagamento, agli utenti è consentito l'accesso tramite l'assegnazione di una licenza direttamente all'account utente o tramite un gruppo utilizzando la funzionalità di assegnazione di licenze di gruppo.

  • Per le applicazioni che Microsoft o una terza parte pubblica per l'utilizzo gratuito da parte di chiunque, gli utenti possono ottenere l'accesso tramite consenso dell'utente. Ciò significa che gli utenti accedono all'applicazione con il loro account Azure AD Work o School e consentono a tale applicazione di accedere a un set limitato di dati del loro account.

  • Per le applicazioni che Microsoft o una terza parte pubblica per l'utilizzo gratuito da parte di chiunque, gli utenti possono ottenere l'accesso tramite consenso dell'amministratore. Ciò significa che un amministratore ha determinato che l'applicazione può essere usata da qualsiasi utente dell'organizzazione e, tale scopo, ha effettuato l'accesso all'applicazione con un account di amministratore globale e ha consentito l'accesso a tutti gli utenti dell'organizzazione.

Per risolvere il problema, iniziare dalla sezione Aree generali da considerare per i problemi di accesso alle applicazioni e quindi leggere la Procedura dettagliata: passaggi per risolvere i problemi di accesso alle applicazioni Microsoft per maggiori dettagli.

Aree generali da considerare per i problemi di accesso alle applicazioni

Di seguito è riportato un elenco delle aree generali del problema da consultare se si sa da dove iniziare ma, per procedere rapidamente, è consigliabile leggere la Procedura dettagliata: passaggi per risolvere i problemi di accesso alle applicazioni Microsoft.

Passaggi per risolvere i problemi di accesso alle applicazioni Microsoft

Di seguito sono riportati alcuni problemi comuni che vengono riscontrati quando gli utenti non riescono ad accedere a un'applicazione Microsoft.

Problemi relativi all'account dell'utente

L'accesso all'applicazione può essere bloccato a causa di un problema relativo a un utente assegnato all'applicazione. Di seguito sono riportate alcune soluzioni per i problemi relativi agli utenti e alle impostazioni degli account:

Controllare se esiste un account utente in Azure Active Directory

Per controllare se l'account di un utente è presente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Controllare le proprietà dell'oggetto utente per assicurarsi che vengano specificate come previsto e che non manchi alcun dato.

Controllare lo stato dell'account di un utente

Per controllare lo stato dell'account di un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic su Profilo.

  8. In Impostazioni assicurarsi che l'opzione Blocca l'accesso sia impostata su No.

Reimpostare la password di un utente

Per reimpostare la password di un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic sul pulsante Reimposta password nella parte superiore del pannello dell'utente.

  8. Fare clic sul pulsante Reimposta password nel pannello Reimposta password visualizzato.

  9. Copiare la password temporanea o immettere una nuova password per l'utente.

  10. Comunicare questa nuova password all'utente, che potrebbe doverla modificare durante il successivo accesso ad Azure Active Directory.

Abilitare la reimpostazione self-service delle password

Per abilitare la reimpostazione self-service delle password, eseguire questa procedura di distribuzione:

Controllare lo stato di autenticazione a più fattori di un utente

Per controllare lo stato di autenticazione a più fattori di un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Fare clic sul pulsante Multi-Factor Authentication nella parte superiore del pannello.

  7. Quando viene caricato il portale di amministrazione di Multi-Factor Authentication, assicurarsi di passare alla scheda Utenti.

  8. Trovare l'utente nell'elenco degli utenti tramite una ricerca, l'applicazione di un filtro o l'ordinamento.

  9. Selezionare l'utente nell'elenco di utenti e scegliere Abilita, Disabilita o Applica per l'autenticazione a più fattori nel modo desiderato.

    • Nota: Se lo stato di un utente è impostato su Applicato, è possibile impostarlo temporaneamente su Disattivato per permettere all'utente di accedere di nuovo al proprio account. Quando l'utente è connesso, è possibile modificarne di nuovo lo stato in Attivato per chiedergli di registrare di nuovo le informazioni di contatto durante il successivo accesso. In alternativa, è possibile eseguire la procedura descritta in Controllare le informazioni di contatto per l'autenticazione di un utente per verificare o impostare questi dati per l'utente.

Controllare le informazioni di contatto per l'autenticazione di un utente

Per controllare le informazioni di contatto per l'autenticazione di un utente usate per l'autenticazione a più fattori, l'accesso condizionale, la protezione delle identità e la reimpostazione delle password, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic su Profilo.

  8. Scorrere fino a Informazioni di contatto per l'autenticazione.

  9. Fare clic su Verifica per controllare i dati registrati per l'utente e aggiornarli nel modo necessario.

Controllare le appartenenze ai gruppi di un utente

Per controllare le appartenenze ai gruppi di un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic su Gruppi per visualizzare i gruppi di cui l'utente è membro.

Controllare le licenze assegnate di un utente

Per controllare le licenze assegnate di un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic su Licenze per visualizzare le licenze attualmente assegnate all'utente.

Assegnare una licenza a un utente

Per assegnare una licenza a un utente, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti gli utenti.

  6. Cercare l'utente desiderato e fare clic sulla riga corrispondente per selezionarlo.

  7. Fare clic su Licenze per visualizzare le licenze attualmente assegnate all'utente.

  8. Fare clic sul pulsante Assegna .

  9. Selezionare uno o più prodotti nell'elenco dei prodotti disponibili.

  10. Facoltativo: fare clic sulla voce Opzioni di assegnazione per assegnare in modo granulare i prodotti. Fare clic su OK al termine.

  11. Fare clic sul pulsante Assegna per assegnare queste licenze all'utente.

Problemi relativi ai gruppi

L'accesso all'applicazione può essere bloccato a causa di un problema relativo a un gruppo assegnato all'applicazione. Di seguito sono riportate alcune soluzioni per i problemi relativi a gruppi e ad appartenenze a gruppi:

Controllare l'appartenenza di un gruppo

Per controllare un'appartenenza a un gruppo, seguire i passaggi seguenti:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti i gruppi.

  6. Cercare il gruppo desiderato e fare clic sulla relativa riga per selezionarlo.

  7. Fare clic su Membri per esaminare l'elenco di utenti assegnati a questo gruppo.

Controllare i criteri di appartenenza di un gruppo dinamico

Per controllare i criteri di appartenenza di un gruppo dinamico, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti i gruppi.

  6. Cercare il gruppo desiderato e fare clic sulla relativa riga per selezionarlo.

  7. Fare clic su Regole di appartenenza dinamica.

  8. Verificare la regola semplice o avanzata definita per questo gruppo e assicurarsi che l'utente che deve appartenere al gruppo soddisfi i criteri relativi.

Controllare le licenze assegnate di un gruppo

Per controllare le licenze assegnate di un gruppo, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti i gruppi.

  6. Cercare il gruppo desiderato e fare clic sulla relativa riga per selezionarlo.

  7. Fare clic su Licenze per visualizzare le licenze attualmente assegnate al gruppo.

Rielaborare le licenze di un gruppo

Per rielaborare le licenze assegnate di un gruppo, eseguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti i gruppi.

  6. Cercare il gruppo desiderato e fare clic sulla relativa riga per selezionarlo.

  7. Fare clic su Licenze per visualizzare le licenze attualmente assegnate al gruppo.

  8. Fare clic sul pulsante Rielabora per assicurarsi che le licenze assegnate ai membri di questo gruppo siano aggiornate. L'operazione potrebbe richiedere molto tempo a seconda della dimensione e della complessità del gruppo.

    Nota

    Per eseguire l'operazione più velocemente, è consigliabile assegnare temporaneamente una licenza direttamente all'utente. Assegnare una licenza a un utente.

Assegnare una licenza a un gruppo

Per assegnare una licenza a un gruppo, seguire questa procedura:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca filtro e selezionare l'elemento Azure Active Directory.

  4. Fare clic su Utenti e gruppi nel menu di navigazione.

  5. Fare clic su Tutti i gruppi.

  6. Cercare il gruppo desiderato e fare clic sulla relativa riga per selezionarlo.

  7. Fare clic su Licenze per visualizzare le licenze attualmente assegnate al gruppo.

  8. Fare clic sul pulsante Assegna .

  9. Selezionare uno o più prodotti nell'elenco dei prodotti disponibili.

  10. Facoltativo: fare clic sulla voce Opzioni di assegnazione per assegnare in modo granulare i prodotti. Fare clic su OK al termine.

  11. Fare clic sul pulsante Assegna per assegnare queste licenze al gruppo. L'operazione potrebbe richiedere molto tempo a seconda della dimensione e della complessità del gruppo.

    Nota

    Per eseguire l'operazione più velocemente, è consigliabile assegnare temporaneamente una licenza direttamente all'utente. Assegnare una licenza a un utente.

Problemi relativi ai criteri di accesso condizionale

Selezionare un criterio di accesso condizionale specifico

Per verificare o convalidare un singolo criterio di accesso condizionale:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca del filtro e selezionare l'elemento Azure Active Directory.

  4. Scegliere Applicazioni aziendali dal menu di navigazione.

  5. Fare clic sulla voce di navigazione Accesso condizionale.

  6. Fare clic sul criterio che si desidera controllare.

  7. Verificare che non vi siano condizioni specifiche, assegnazioni o altre impostazioni che possano bloccare l'accesso dell'utente.

    Nota

    Può essere opportuno disabilitare temporaneamente questo criterio per assicurarsi che non impedisca gli accessi. A tale scopo, impostare Abilita criterio su No e fare clic sul pulsante Salva.

Controllare i criteri di accesso condizionale di un'applicazione specifica

Per verificare o convalidare i criteri di accesso condizionale attualmente configurati di una singola applicazione:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca del filtro e selezionare l'elemento Azure Active Directory.

  4. Scegliere Applicazioni aziendali dal menu di navigazione.

  5. Fare clic su Tutte le applicazioni.

  6. Cercare l'applicazione desiderata, o a cui l'utente sta cercando di accedere, mediante il nome visualizzato o l'ID dell'applicazione.

    Nota

    Se l'applicazione che si sta cercando non è visualizzata, fare clic sul pulsante Filtro ed espandere l'ambito dell'elenco a Tutte le applicazioni. Se si desidera visualizzare più colonne, fare clic sul pulsante Colonne per aggiungere ulteriori dettagli per le applicazioni.

  7. Fare clic sulla voce di navigazione Accesso condizionale.

  8. Fare clic sul criterio che si desidera controllare.

  9. Verificare che non vi siano condizioni specifiche, assegnazioni o altre impostazioni che possano bloccare l'accesso dell'utente.

    Nota

    Può essere opportuno disabilitare temporaneamente questo criterio per assicurarsi che non impedisca gli accessi. A tale scopo, impostare Abilita criterio su No e fare clic sul pulsante Salva.

Disabilitare un criterio di accesso condizionale specifico

Per verificare o convalidare un singolo criterio di accesso condizionale:

  1. Aprire il portale di Azure e accedere come Amministratore globale.

  2. Aprire l'estensione Azure Active Directory facendo clic su Altri servizi nella parte inferiore del menu di navigazione principale a sinistra.

  3. Digitare "Azure Active Directory" nella casella di ricerca del filtro e selezionare l'elemento Azure Active Directory.

  4. Scegliere Applicazioni aziendali dal menu di navigazione.

  5. Fare clic sulla voce di navigazione Accesso condizionale.

  6. Fare clic sul criterio che si desidera controllare.

  7. Disabilitare il criterio impostando Abilita criterio su No e facendo clic sul pulsante Salva.

L'accesso all'applicazione può essere bloccato poiché non è stata eseguita l'operazione appropriata per consenso delle autorizzazioni. Di seguito sono riportate alcune soluzioni per i problemi relativi al consenso dell'applicazione:

  • Per qualsiasi applicazione abilitata a OpenID Connect che richiede le autorizzazioni, lo spostamento sulla schermata di accesso rappresenta un consenso a livello di utente all'applicazione per l'utente connesso.

  • Se si desidera eseguire questa operazione a livello di codice, vedere Richiesta di consenso per un singolo utente.

  • Solo per le applicazioni sviluppate usando il modello di applicazione V1, è possibile imporre questo consenso a livello di amministratore aggiungendo "?prompt=admin_consent" alla fine dell'URL di accesso di un'applicazione.

  • Per qualsiasi applicazione sviluppata usando il modello di applicazione V2, è possibile applicare questo consenso a livello di amministratore attenendosi alle istruzioni riportate nella sezione Richiedere le autorizzazioni da un amministratore di directory di Uso dell'endpoint di consenso dell'amministratore.

  • Per le applicazioni a tenant singolo che richiedono autorizzazioni (ad esempio quelle sviluppate internamente o di proprietà della propria organizzazione), è possibile eseguire un'operazione di consenso a livello di amministratore per conto di tutti gli utenti accedendo come amministratore globale e facendo clic sul pulsante Concedi autorizzazioni nella parte superiore del pannello Registro applicazioni -> Tutte le applicazioni -> Seleziona un'app -> Autorizzazioni necessarie.

  • Per qualsiasi applicazione sviluppata usando il modello di applicazione V1 o V2, è possibile applicare questo consenso a livello di amministratore attenendosi alle istruzioni riportate nella sezione Richiedere le autorizzazioni da un amministratore di directory di Uso dell'endpoint di consenso dell'amministratore.

  • Per le applicazioni multi-tenant che richiedono autorizzazioni (ad esempio un'applicazione sviluppata da terza parte o da Microsoft), è possibile eseguire un'operazione di consenso a livello di amministratore. Accedere come amministratore globale e fare clic sul pulsante Concedi autorizzazioni nel pannello Applicazioni aziendali -> Tutte le applicazioni -> Seleziona un'app -> Autorizzazioni (presto disponibile).

  • È anche possibile applicare questo consenso a livello di amministratore attenendosi alle istruzioni riportate nella sezione Richiedere le autorizzazioni da un amministratore di directory di Uso dell'endpoint di consenso dell'amministratore.

Passaggi successivi

Uso dell'endpoint di consenso dell'amministratore