Soluzioni ibride di gestione delle identitàMicrosoft hybrid identity solutions

Le soluzioni ibride di gestione delle identità di Microsoft Azure Active Directory (Azure AD) consentono di sincronizzare oggetti di directory locali con Azure AD gestendo al contempo gli utenti in locale.Microsoft Azure Active Directory (Azure AD) hybrid identity solutions enable you to synchronize on-premises directory objects with Azure AD while still managing your users on-premises. La prima decisione da adottare quando si intende sincronizzare Windows Server Active Directory in locale con Azure AD è se usare l'identità sincronizzata o l'identità federata.The first decision to make when planning to synchronize your on-premises Windows Server Active Directory with Azure AD is whether you want to use synchronized identity or federated identity. Le identità sincronizzate e, facoltativamente, gli hash delle password, consentono agli utenti di usare la stessa password per accedere alle risorse aziendali locali e basate su cloud.Synchronized identities, and optionally password hashes, enable your users to use the same password to access both on-premises and cloud-based organizational resources. Per i requisiti di scenari più avanzati, ad esempio Single Sign-On (SSO) o l'autenticazione MFA locale, è necessario distribuire Active Directory Federation Services (ADFS) in identità federate.For more advanced scenario requirements, such as single-sign-on (SSO) or on-premises MFA, you need to deploy Active Directory Federation Services (AD FS) to federate identities.

Sono disponibili diverse opzioni per la configurazione della gestione di identità ibrida.There are several options available for configuring hybrid identity. Questo articolo contiene informazioni utili per scegliere l'opzione più adatta all'organizzazione in base alla facilità di distribuzione e alle esigenze specifiche a livello di gestione dell'accesso e delle identità.This article provides information to help you choose the best one for your organization based on ease of deployment and your specific identity and access management needs. Quando si valuta il modello di identità migliore in base alle esigenze specifiche dell'organizzazione, è necessario considerare fattori come il tempo, l'infrastruttura esistente, la complessità e i costi.As you consider which identity model best fits your organization’s needs, you also need to think about time, existing infrastructure, complexity, and cost. Questi fattori variano in base all'organizzazione e possono cambiare nel tempo.These factors are different for every organization, and might change over time. Tuttavia, se i requisiti cambiano, si dispone della flessibilità per passare a un modello di gestione delle identità diverso.However, if your requirements do change, you also have the flexibility to switch to a different identity model.

Suggerimento

Queste soluzioni vengono distribuite da Azure AD Connect.These solutions are all delivered by Azure AD Connect.

Identità sincronizzataSynchronized identity

L'identità sincronizzata è il modo più semplice per sincronizzare gli oggetti di directory locali (utenti e gruppi) con Azure AD.Synchronized identity is the simplest way to synchronize on-premises directory objects (users and groups) with Azure AD.

Identità ibrida sincronizzata

Sebbene l'identità sincronizzata sia il metodo più semplice e rapido, gli utenti devono tuttavia mantenere una password diversa per le risorse basate su cloud.While synchronized identity is the easiest and quickest method, your users still need to maintain a separate password for cloud-based resources. Per evitare questo problema, è possibile anche (facoltativamente) sincronizzare un hash delle password utente nella directory di Azure AD.To avoid this, you can also (optionally) synchronize a hash of user passwords to your Azure AD directory. La sincronizzazione di hash delle password consente agli utenti di accedere alle risorse aziendali basate su cloud con lo stesso nome utente e password usati in locale.Synchronizing password hashes enables users to log in to cloud-based organizational resources with the same user name and password that they use on-premises. Azure AD Connect controlla periodicamente la directory locale per rilevare eventuali modifiche e mantiene sincronizzata la directory di Azure AD.Azure AD Connect periodically checks your on-premises directory for changes and keeps your Azure AD directory synchronized. Quando cambia un attributo utente o una password in Active Directory locale, il valore viene aggiornato automaticamente in Azure AD.When a user attribute or password is changed on-premises Active Directory, it is automatically updated in Azure AD.

Per la maggior parte delle organizzazioni che ha solo la necessità di consentire agli utenti di accedere a Office 365, alle applicazioni SaaS e ad altre risorse basate su AD Azure, è consigliabile l'opzione di sincronizzazione password predefinita.For most organizations who only need to enable their users to sign in to Office 365, SaaS applications, and other Azure AD-based resources, the default password synchronization option is recommended. Se questa opzione non è adatta, è necessario scegliere tra l'autenticazione pass-through e AD FS.If that doesn’t work for you, you'll need to decide between pass-through authentication and AD FS.

Suggerimento

Le password utente vengono archiviate in Windows Server Active Directory locale sotto forma di un valore hash che rappresenta la password utente effettiva.User passwords are stored in on-premises Windows Server Active Directory in the form of a hash value that represents the actual user password. Un valore hash è il risultato di una funzione matematica unidirezionale, chiamata algoritmo di hash.A hash value is a result of a one-way mathematical function (the hashing algorithm). Non esiste un metodo per ripristinare la versione in testo normale di una password dal risultato di una funzione unidirezionale.There is no method to revert the result of a one-way function to the plain text version of a password. Non è possibile usare l'hash della password per accedere alla rete locale.You cannot use a password hash to sign in to your on-premises network. Se si sceglie di sincronizzare le password, Azure AD Connect estrae gli hash delle password da Active Directory locale e applica un'elaborazione della sicurezza aggiuntiva all'hash delle password prima della sincronizzazione in Azure AD.When you opt to synchronize passwords, Azure AD Connect extracts password hashes from the on-premises Active Directory and applies extra security processing to the password hash before it is synchronized to Azure AD. La sincronizzazione delle password può essere usata anche insieme al writeback delle password per consentire la reimpostazione autonoma delle password in Azure AD.Password synchronization can also be used together with password write-back to enable self-service password reset in Azure AD. È possibile abilitare l'accesso Single Sign-On anche per gli utenti di computer aggiunti al dominio connessi alla rete aziendale.In addition, you can enable single sign-on (SSO) for users on domain-joined computers that are connected to the corporate network. Con l'accesso Single Sign-On, gli utenti abilitati possono accedere in modo sicuro alle risorse cloud immettendo semplicemente un nome utente.With single sign-on, enabled users only need to enter a username to securely access cloud resources.

Autenticazione pass-throughPass-through authentication

L'autenticazione pass-through di Azure AD offre una soluzione di convalida delle password semplice per i servizi basati su Azure AD usando Active Directory locale.Azure AD pass-through authentication provides a simple password validation solution for Azure AD-based services using your on-premises Active Directory. È consigliabile usare l'autenticazione pass-through se i criteri di conformità e sicurezza per l'organizzazione non consentono l'invio di password degli utenti, anche in formato hash, ed è sufficiente supportare l'accesso SSO desktop per i dispositivi appartenenti a un dominio.If security and compliance policies for your organization do not permit sending users' passwords, even in a hashed form, and you only need to support desktop SSO for domain joined devices, it is recommended that you evaluate using pass-through authentication. L'autenticazione pass-through non richiede la distribuzione nella rete perimetrale, semplificando l'infrastruttura di distribuzione rispetto ad AD FS.Pass-through authentication does not require any deployment in the DMZ, which simplifies the deployment infrastructure when compared with AD FS. Quando gli utenti eseguono l'accesso usando Azure AD, questo metodo di autenticazione convalida le loro password direttamente con l'istanza locale di Active Directory.When users sign in using Azure AD, this authentication method validates users' passwords directly against your on-premises Active Directory.

Autenticazione pass-through

Con l'autenticazione pass-through non è necessaria un'infrastruttura di rete complessa e non è necessario archiviare le password locali nel cloud.With pass-through authentication, there's no need for a complex network infrastructure, and you don't need to store on-premises passwords in the cloud. Combinata con l'accesso Single Sign-On, l'autenticazione pass-through offre un'esperienza realmente integrata in fase di accesso ad Azure AD o ad altri servizi cloud.Combined with single sign-on, pass-through authentication provides a truly integrated experience when signing in to Azure AD or other cloud services.

L'autenticazione pass-through può essere configurata tramite Azure AD Connect e usa un semplice agente locale che rimane in ascolto delle richieste di convalida delle password.Pass-through authentication is configured with Azure AD Connect, which uses a simple on-premises agent that listens for password validation requests. L'agente può essere facilmente distribuito su più computer per garantire un'elevata disponibilità e bilanciamento del carico.The agent can be easily deployed to multiple machines to provide high availability and load balancing. Dal momento che tutte le comunicazioni avvengono solo in uscita, non esiste alcun requisito per l'installazione del connettore in una rete perimetrale.Since all communications are outbound only, there is no requirement for the connector to be installed in a DMZ. Di seguito sono riportati i requisiti del computer server per il connettore:The server computer requirements for the connector are as follows:

  • Windows Server 2012 R2 o versione successivaWindows Server 2012 R2 or higher
  • Aggiunta a un dominio nella foresta tramite cui gli utenti sono convalidatiJoined to a domain in the forest through which users are validated

Nota

L'autenticazione pass-through di Azure AD è attualmente in anteprima ed supportata per i client basati su Web browser e i client di Office che supportano l'autenticazione moderna.Azure AD pass-through authentication is currently in preview and is supported for web browser-based clients and Office clients that support modern authentication. Per i client che non sono supportati, quali i client legacy di Office, Exchange ActiveSync (inclusi client di posta elettronica nativi su dispositivi mobili), si consiglia di usare l'autenticazione moderna equivalente.For clients that are not supported, such as legacy Office clients and Exchange ActiveSync (including native email clients on mobile devices), it's recommended to use the modern authentication equivalent. L'autenticazione moderna non solo consente l'autenticazione pass-through, ma anche l'applicazione dei criteri di accesso condizionale, ad esempio l'autenticazione MFA.Modern authentication not only allows pass-through authentication, but also allows for conditional access policies to be applied, such as multi-factor authentication.

Non è attualmente supportata l'autenticazione pass-through quando si usano dispositivi Windows 10 aggiunti ad Azure AD.Pass-through authentication is not currently supported when using Windows 10 devices joined to Azure AD. Tuttavia, è possibile usare la sincronizzazione dell'hash delle password come fallback automatico per supportare i client Windows 10 e legacy indicati in precedenza.However, you can use password hash synchronization as an automatic fallback to support Windows 10 and the legacy clients mentioned previously. Durante l'anteprima, la sincronizzazione di hash delle password è abilitata per impostazione predefinita quando si seleziona l'autenticazione pass-through come opzione di accesso in Azure AD Connect.During the preview, password hash synchronization is enabled by default when pass-through authentication is selected as the sign-in option in Azure AD Connect.

Identità federata (AD FS)Federated identity (AD FS)

Per un maggiore controllo sul modo in cui gli utenti accedono a Office 365 e ad altri servizi cloud, è possibile impostare la sincronizzazione delle directory con l'accesso Single Sign-On (SSO) usando Active Directory Federation Services (ADFS).For more control over how users access Office 365 and other cloud services, you can set up directory synchronization with single sign-on (SSO) using Active Directory Federation Services (AD FS). La federazione degli accessi dell'utente con AD FS delega l'autenticazione a un server locale che convalida le credenziali utente.Federating your user's sign-ins with AD FS delegates authentication to an on-premises server that validates user credentials. In questo modello, le credenziali di Active Directory locale non vengono mai passate ad Azure AD.In this model, on-premises Active Directory credentials are never passed to Azure AD.

Identità federata

Questo metodo di accesso, noto anche come federazione delle identità, assicura che tutte le autenticazioni utente vengano controllate in locale e consente agli amministratori di implementare livelli di controllo dell'accesso più rigorosi.Also called identity federation, this sign-in method ensures that all user authentication is controlled on-premises and allows administrators to implement more rigorous levels of access control. La federazione delle identità con AD FS è l'opzione più complessa e richiede la distribuzione di server aggiuntivi nell'ambiente locale.Identity federation with AD FS is the most complicated option and requires deploying additional servers in your on-premises environment. La federazione delle identità impegna a fornire il supporto 24 ore su 24, 7 giorni su 7 per l'infrastruttura AD FS e Active Directory.Identity federation also commits you to providing 24x7 support for your Active Directory and AD FS infrastructure. Questo livello elevato di supporto è necessario perché se non sono disponibili l'accesso a Internet locale, il controller di dominio o i server AD FS, gli utenti non possono accedere ai servizi cloud.This high level of support is necessary because if your on-premises Internet access, domain controller, or AD FS servers are unavailable, users can't sign in to cloud services.

Suggerimento

Se si decide di usare la federazione con Active Directory Federation Services (AD FS), è possibile configurare la sincronizzazione delle password come backup in caso di errore dell'infrastruttura di AD FS.If you decide to use Federation with Active Directory Federation Services (AD FS), you can optionally set up password synchronization as a backup in case your AD FS infrastructure fails.

Scenari comuni e raccomandazioniCommon scenarios and recommendations

Di seguito sono riportati alcuni scenari comuni di gestione di identità ibride e degli accessi con raccomandazioni riguardo all'opzione o alle opzioni di gestione delle identità ibride più appropriate per ciascuno di essi.Here are some common hybrid identity and access management scenarios with recommendations as to which hybrid identity option (or options) might be appropriate for each.

Esigenza:I need to: PWS e SSO1PWS and SSO1 PTA e SSO2PTA and SSO2 AD FS3AD FS3
Sincronizzare automaticamente nel cloud nuovi account utente, di contatti o di gruppo creati in Active Directory locale.Sync new user, contact, and group accounts created in my on-premises Active Directory to the cloud automatically. Consigliato Consigliato Consigliato
Configurare il tenant per scenari ibridi di Office 365Set up my tenant for Office 365 hybrid scenarios Consigliato Consigliato Consigliato
Consentire agli utenti di accedere ai servizi cloud usando la propria password localeEnable my users to sign in and access cloud services using their on-premises password Consigliato Consigliato Consigliato
Implementare l'accesso SSO usando le credenziali aziendaliImplement single sign-on using corporate credentials Consigliato Consigliato Consigliato
Assicurarsi che gli hash delle password non vengano archiviati nel cloudEnsure no password hashes are stored in the cloud Consigliato Consigliato
Abilitare soluzioni di autenticazione a più fattori localiEnable on-premises multi-factor authentication solutions Consigliato
Supportare l'autenticazione di smart card per gli utenti4Support smartcard authentication for my users4 Consigliato
Visualizzare le notifiche di scadenza delle password nel portale di Office e sul desktop di Windows 10Display password expiry notifications in the Office Portal and on the Windows 10 desktop Consigliato

1 Sincronizzazione delle password con l'accesso Single Sign-On (SSO)1 Password synchronization with single sign-on.

2 Autenticazione pass-through e accesso Single Sign-On.2 Pass-through authentication and single sign-on.

3 Accesso Single Sign-On federato con AD FS.3 Federated single sign-on with AD FS.

4 ADFS può essere integrato con l'infrastruttura a chiave pubblica aziendale per consentire l'accesso usando certificati.4 AD FS can be integrated with your enterprise PKI to allow sign-in using certificates. Questi certificati possono essere certificati software distribuiti tramite canali di provisioning attendibili, ad esempio i certificati di gestione di dispositivi mobili (MDM) o l'oggetto Criteri di gruppo o smart card (comprese le schede PIV/CAC) o Hello for Business (cert-trust).These certificates can be soft-certificates deployed via trusted provisioning channels such as MDM or GPO or smartcard certificates (including PIV/CAC cards) or Hello for Business (cert-trust). Per altre informazioni sul supporto dell'autenticazione con smart card, vedere questo blog.For more information about smartcard authentication support, see this blog.

Passaggi successiviNext steps

Altre informazioni in un ambiente Azure di provaLearn more in an Azure Proof of Concept environment

Installare Azure AD ConnectInstall Azure AD Connect

Monitorare la sincronizzazione delle identità ibrideMonitor hybrid identity synchronization