Autenticazione pass-through di Azure Active Directory: domande frequentiAzure Active Directory Pass-through Authentication: Frequently asked questions

Questo articolo risponde alle domande frequenti sull'autenticazione pass-through di Azure Active Directory (Azure AD).This article addresses frequently asked questions about Azure Active Directory (Azure AD) Pass-through Authentication. Visitare questa pagina regolarmente per eventuali aggiornamenti.Keep checking back for updated content.

Quale metodo di accesso a Azure AD è preferibile usare tra autenticazione pass-through, sincronizzazione dell'hash delle password e Active Directory Federation Services (AD FS)?Which of the methods to sign in to Azure AD, Pass-through Authentication, password hash synchronization, and Active Directory Federation Services (AD FS), should I choose?

Dipende dall'ambiente locale e dai requisiti dell'organizzazione.It depends on your on-premises environment and organizational requirements. Esaminare l'articolo Opzioni di accesso utente di Azure AD Connect per un confronto tra i vari metodi di accesso di Azure AD.Review the Azure AD Connect user sign-in options article for a comparison of the various Azure AD sign-in methods.

L'autenticazione pass-through è una funzionalità gratuita?Is Pass-through Authentication a free feature?

L'autenticazione pass-through è una funzionalità gratuita.Pass-through Authentication is a free feature. Per usare Azure AD non sono necessarie edizioni a pagamento.You don't need any paid editions of Azure AD to use it.

L'autenticazione pass-through è disponibile nel cloud Microsoft Azure Germania e nel cloud Microsoft Azure per enti pubblici?Is Pass-through Authentication available in the Microsoft Azure Germany cloud and the Microsoft Azure Government cloud?

di serieNo. L'autenticazione pass-through è disponibile solo nell'istanza di Azure AD a livello mondiale.Pass-through Authentication is only available in the worldwide instance of Azure AD.

L'accesso condizionale funziona con l'autenticazione pass-through?Does conditional access work with Pass-through Authentication?

Sì.Yes. Tutte le funzionalità di accesso condizionale, incluso Azure Multi-Factor Authentication, funzionano con l'autenticazione pass-through.All conditional access capabilities, including Azure Multi-Factor Authentication, work with Pass-through Authentication.

L'autenticazione pass-through supporta "Alternate ID" come nome utente, al posto di "userPrincipalName"?Does Pass-through Authentication support "Alternate ID" as the username, instead of "userPrincipalName"?

Sì.Yes. L'autenticazione pass-through supporta Alternate ID come nome utente quando è configurata in Azure AD Connect.Pass-through Authentication supports Alternate ID as the username when configured in Azure AD Connect. Per altre informazioni, vedere Installazione personalizzata di Azure AD Connect.For more information, see Custom installation of Azure AD Connect. Non tutte le applicazioni di Office 365 supportano Alternate ID.Not all Office 365 applications support Alternate ID. Fare riferimento all'informativa sul supporto contenuta nella documentazione dell'applicazione specifica.Refer to the specific application's documentation support statement.

La sincronizzazione dell'hash delle password agisce da fallback per l'autenticazione pass-through?Does password hash synchronization act as a fallback to Pass-through Authentication?

di serieNo. L'autenticazione pass-through non esegue automaticamente il failover sulla sincronizzazione dell'hash delle password.Pass-through Authentication does not automatically failover to password hash synchronization. Agisce da fallback solo in scenari che l'autenticazione pass-through attualmente non supporta.It only acts as a fallback for scenarios that Pass-through Authentication doesn't support today. Per evitare errori di accesso dell'utente, è consigliabile configurare l'autenticazione pass-through per la disponibilità elevata.To avoid user sign-in failures, you should configure Pass-through Authentication for high availability.

È possibile installare un connettore del proxy di applicazione di Azure AD nello stesso server in cui è presente un agente di autenticazione pass-through?Can I install an Azure AD Application Proxy connector on the same server as a Pass-through Authentication Agent?

Sì.Yes. Questa configurazione è supportata nelle versioni ridenominate dell'agente di autenticazione pass-through (versione 1.5.193.0 o successive).The rebranded versions of the Pass-through Authentication Agent, version 1.5.193.0 or later, support this configuration.

Quali versioni di Azure AD Connect e dell'agente di autenticazione pass-through sono necessarie?What versions of Azure AD Connect and Pass-through Authentication Agent do you need?

Per il corretto funzionamento di questa funzionalità è necessario disporre della versione 1.1.486.0 di Azure AD Connect (o versioni successive) e della versione 1.5.58.0 dell'agente di autenticazione pass-through (o versioni successive).For this feature to work, you need version 1.1.486.0 or later for Azure AD Connect and 1.5.58.0 or later for the Pass-through Authentication Agent. Installare tutto il software in server Windows Server 2012 R2 o versioni successive.Install all the software on servers with Windows Server 2012 R2 or later.

Cosa accade se la password dell'utente è scaduta e l'utente prova ad accedere usando l'autenticazione pass-through?What happens if my user's password has expired and they try to sign in by using Pass-through Authentication?

Se è stato configurato il writeback delle password per un utente specifico e se l'utente esegue l'accesso usando l'autenticazione pass-through, la password può essere modificata o reimpostata.If you have configured password writeback for a specific user, and if the user signs in by using Pass-through Authentication, they can change or reset their passwords. Le password vengono riscritte in Active Directory locale come previsto.The passwords are written back to on-premises Active Directory as expected.

Se non è stato configurato il writeback delle password per un utente specifico o se l'utente non dispone di una licenza di Azure AD valida, la password non può essere aggiornata nel cloudIf you have not configured password writeback for a specific user or if the user doesn't have a valid Azure AD license assigned, the user can't update their password in the cloud. neanche se è scaduta.They can't update their password, even if their password has expired. L'utente vedrà un messaggio simile a questo: "L'organizzazione non consente l'aggiornamento della password in questo sito.The user instead sees this message: "Your organization doesn't allow you to update your password on this site. Aggiornare la password usando il metodo consigliato dall'organizzazione oppure contattare l'amministratore per chiedere assistenza".Update it according to the method recommended by your organization, or ask your admin if you need help." L'utente o l'amministratore deve reimpostare la password in Active Directory locale.The user or the administrator must reset their password in on-premises Active Directory.

In che modo l'autenticazione pass-through protegge dagli attacchi di forza bruta contro le password?How does Pass-through Authentication protect you against brute-force password attacks?

Per altre informazioni, leggere Autenticazione pass-through di Azure Active Directory: blocco smart.Read Azure Active Directory Pass-through Authentication: Smart Lockout for more information.

Cosa comunicano gli agenti di autenticazione pass-through sulle porte 80 e 443?What do Pass-through Authentication Agents communicate over ports 80 and 443?

  • Gli agenti di autenticazione inviano le richieste HTTP sulla porta 443 per tutte le operazioni di funzionalità.The Authentication Agents make HTTPS requests over port 443 for all feature operations.
  • Gli agenti di autenticazione inviano richieste HTTP sulla porta 80 per scaricare gli elenchi di revoche di certificati (CRL) SSL.The Authentication Agents make HTTP requests over port 80 to download the SSL certificate revocation lists (CRLs).

    Nota

    In aggiornamenti recenti è stato ridotto il numero di porte necessarie per la funzionalità.Recent updates reduced the number of ports that the feature requires. Se si dispone di versioni precedenti di Azure AD Connect o dell'agente di autenticazione, tenere aperte anche le porte seguenti: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.If you have older versions of Azure AD Connect or the Authentication Agent, keep these ports open as well: 5671, 8080, 9090, 9091, 9350, 9352, and 10100-10120.

Gli agenti di autenticazione pass-through possono comunicare su un server proxy Web in uscita?Can the Pass-through Authentication Agents communicate over an outbound web proxy server?

Sì.Yes. Se Web Proxy Auto-Discovery (WPAD) è abilitato nell'ambiente locale, gli agenti di autenticazione provano automaticamente a individuare e usare un server proxy Web della rete.If Web Proxy Auto-Discovery (WPAD) is enabled in your on-premises environment, Authentication Agents automatically attempt to locate and use a web proxy server on the network.

È possibile installare due o più agenti di autenticazione pass-through nello stesso server?Can I install two or more Pass-through Authentication Agents on the same server?

No, è possibile installare solo un agente di autenticazione pass-through in un singolo server.No, you can only install one Pass-through Authentication Agent on a single server. Se si vuole configurare l'autenticazione pass-through per la disponibilità elevata, seguire le istruzioni fornite in Autenticazione pass-through di Azure Active Directory - Avvio rapido.If you want to configure Pass-through Authentication for high availability, follow the instructions in Azure Active Directory Pass-through Authentication: Quick start.

Come si rimuove un agente di autenticazione pass-through?How do I remove a Pass-through Authentication Agent?

Finché l'agente di autenticazione pass-through è in esecuzione, rimane attivo e continua a gestire le richieste di accesso degli utenti.As long as a Pass-through Authentication Agent is running, it remains active and continually handles user sign-in requests. Per disinstallare un agente di autenticazione, andare a Pannello di controllo -> Programmi -> Programmi e funzionalità e disinstallare entrambi i programmi Agente di autenticazione di Microsoft Azure AD Connect e Microsoft Azure AD Connect Agent Updater.If you want to uninstall an Authentication Agent, go to Control Panel -> Programs -> Programs and Features and uninstall both the Microsoft Azure AD Connect Authentication Agent and the Microsoft Azure AD Connect Agent Updater programs.

Se si osserva il pannello Autenticazione pass-through nell'interfaccia di amministrazione di Azure Active Directory dopo aver completato il passaggio precedente, si noterà l'agente di autenticazione indicato come Inattivo.If you check the Pass-through Authentication blade on the Azure Active Directory admin center after completing the preceding step, you'll see the Authentication Agent showing as Inactive. Questo è il comportamento previsto.This is expected. L'agente di autenticazione viene eliminato automaticamente dall'elenco dopo alcuni giorni.The Authentication Agent is automatically dropped from the list after a few days.

Si usa già AD FS per eseguire l'accesso a Azure AD.I already use AD FS to sign in to Azure AD. Come si passa all'autenticazione pass-through?How do I switch it to Pass-through Authentication?

Se AD FS è stato configurato come metodo di accesso usando la procedura guidata di Azure AD Connect, impostare il metodo di accesso utente su Autenticazione pass-through.If you have configured AD FS as your method to sign in through the Azure AD Connect wizard, change the method that the user uses to sign in to Pass-through Authentication. Questa modifica abilita l'autenticazione pass-through nel tenant e converte tutti i domini federati in domini gestiti.This change enables Pass-through Authentication on the tenant and converts all your federated domains into managed domains. Tutte le successive richieste di accesso al tenant vengono gestite tramite l'autenticazione pass-through.Pass-through Authentication handles all subsequent requests to sign in to your tenant. Non esiste al momento un modo supportato all'interno di Azure AD Connect per usare una combinazione di AD FS e autenticazione pass-through in domini diversi.Currently, there is no supported way within Azure AD Connect to use a combination of AD FS and Pass-through Authentication across different domains.

Se AD FS è stato configurato come metodo di accesso fuori dalla procedura guidata di Azure AD Connect, impostare il metodo di accesso utente su Autenticazione pass-through.If AD FS was configured as the method to sign in outside the Azure AD Connect wizard, change the user sign-in method to Pass-through Authentication. È possibile apportare questa modifica dall'opzione Non configurare.You can make this change from the Do not configure option. Questa modifica abilita l'autenticazione pass-through nel tenant ma tutti i domini federati, per eseguire l'accesso, continueranno a usare AD FS.This change enables Pass-through Authentication on the tenant, but all your federated domains will continue to use AD FS for sign-in. Usare PowerShell per convertire manualmente tutti questi domini federati o solo alcuni in domini gestiti.Use PowerShell to manually convert some or all of these federated domains to managed domains. Dopo aver apportato questa modifica, tutte le richieste di accesso ai domini gestiti saranno gestite soltanto tramite l'autenticazione pass-through.After you make that change, only Pass-through Authentication handles all requests to sign in to the managed domains.

Importante

L'autenticazione pass-through non gestisce l'accesso per gli utenti di Azure AD solo cloud.Pass-through Authentication doesn't handle sign in for cloud-only Azure AD users.

È possibile usare l'autenticazione pass-through in un ambiente Active Directory a più foreste?Can I use Pass-through Authentication in a multi-forest Active Directory environment?

Sì.Yes. Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste di Active Directory e se il routing del suffisso del nome è configurato correttamente.Multi-forest environments are supported if there are forest trusts between your Active Directory forests and if name suffix routing is correctly configured.

Quanti agenti di autenticazione pass-through è necessario installare?How many Pass-through Authentication Agents do I need to install?

L'installazione di più agenti di autenticazione pass-through garantisce la disponibilità elevata,Installing multiple Pass-through Authentication Agents ensures high availability. ma non offre un bilanciamento del carico deterministico tra gli agenti.But, it does not provide deterministic load balancing between the Authentication Agents.

Considerare il carico massimo e medio di richieste di accesso previsto nel tenant.Consider the peak and average load of sign-in requests that you expect to see on your tenant. Come benchmark, un singolo agente di autenticazione può gestire da 300 a 400 autenticazioni al secondo in un server standard con CPU a 4 core e 16 GB di RAM.As a benchmark, a single Authentication Agent can handle 300 to 400 authentications per second on a standard 4-core CPU, 16-GB RAM server.

Per stimare il traffico di rete, usare le indicazioni seguenti relative al dimensionamento:To estimate network traffic, use the following sizing guidance:

  • Ogni richiesta ha una dimensione di payload di (0.5K + 1K * num_of_agents) byte. Ad esempio, i dati da Azure AD per l'agente di autenticazione.Each request has a payload size of (0.5K + 1K * num_of_agents) bytes; i.e., data from Azure AD to the Authentication Agent. In questo caso, "num_of_agents" indica il numero di agenti di autenticazione registrati nel tenant.Here, "num_of_agents" indicates the number of Authentication Agents registered on your tenant.
  • Ogni risposta ha una dimensione di payload di 1 KB. Ad esempio, i dati dall'agente di autenticazione ad Azure AD.Each response has a payload size of 1K bytes; i.e., data from the Authentication Agent to Azure AD.

Per la maggior parte dei clienti, un totale di due o tre agenti di autenticazione è sufficiente ai fini della capacità e della disponibilità elevata.For most customers, two or three Authentication Agents in total are sufficient for high availability and capacity. È consigliabile installare gli agenti di autenticazione vicino ai controller di dominio per migliorare la latenza di accesso.You should install Authentication Agents close to your domain controllers to improve sign-in latency.

Nota

Esiste un limite di sistema di 12 agenti di autenticazione per ogni tenant.There is a system limit of 12 Authentication Agents per tenant.

È possibile installare il primo agente di autenticazione pass-through in un server diverso da quello che esegue Azure AD Connect?Can I install the first Pass-through Authentication Agent on a server other than the one that runs Azure AD Connect?

No, questo scenario non è supportato.No, this scenario is not supported.

Come si disabilita l'autenticazione pass-through?How can I disable Pass-through Authentication?

Eseguire nuovamente la procedura guidata Azure AD Connect e scegliere un metodo di accesso utente diverso da Autenticazione pass-through.Rerun the Azure AD Connect wizard and change the user sign-in method from Pass-through Authentication to another method. Questa modifica disabilita l'autenticazione pass-through nel tenant e disinstalla l'agente di autenticazione nel server.This change disables Pass-through Authentication on the tenant and uninstalls the Authentication Agent from the server. Gli agenti di autenticazione degli altri server devono essere disinstallati manualmente.You must manually uninstall the Authentication Agents from the other servers.

Cosa accade quando si disinstalla un agente di autenticazione pass-through?What happens when I uninstall a Pass-through Authentication Agent?

Se si disinstalla un agente di autenticazione pass-through in un server, il server non accetta più richieste di accesso.If you uninstall a Pass-through Authentication Agent from a server, it causes the server to stop accepting sign-in requests. Per evitare l'interruzione della funzionalità di accesso utente al tenant, verificare che sia in esecuzione un altro agente di autenticazione prima di disinstallare l'agente di autenticazione pass-through.To avoid breaking the user sign-in capability on your tenant, ensure that you have another Authentication Agent running before you uninstall a Pass-through Authentication Agent.

Passaggi successiviNext steps

  • Limitazioni correnti: apprendere quali sono gli scenari supportati.Current limitations: Learn which scenarios are supported and which ones are not.
  • Avvio rapido: iniziare a usare l'autenticazione pass-through di Azure AD.Quick start: Get up and running on Azure AD Pass-through Authentication.
  • Blocco smart: apprendere come configurare la funzionalità di blocco smart nel tenant per proteggere gli account utente.Smart Lockout: Learn how to configure the Smart Lockout capability on your tenant to protect user accounts.
  • Approfondimento tecnico: comprendere come funziona l'autenticazione pass-through.Technical deep dive: Understand how the Pass-through Authentication feature works.
  • Risoluzione dei problemi: apprendere come risolvere i problemi comuni relativi alla funzionalità di autenticazione pass-through.Troubleshoot: Learn how to resolve common problems with the Pass-through Authentication feature.
  • Approfondimento sulla sicurezza: ottenere informazioni tecniche approfondite sulla funzionalità di autenticazione pass-through.Security deep dive: Get deep technical information on the Pass-through Authentication feature.
  • Accesso Single Sign-On facile di Azure AD: ottenere altre informazioni su questa funzionalità complementare.Azure AD Seamless SSO: Learn more about this complementary feature.
  • UserVoice: usare il forum di Azure Active Directory per inviare richieste di nuove funzionalità.UserVoice: Use the Azure Active Directory Forum to file new feature requests.