Autenticazione pass-through di Azure Active Directory: domande frequenti

Questo articolo risponde ad alcune domande frequenti relative all'autenticazione pass-through di Azure Active Directory (Azure AD). Visitare questa pagina regolarmente per nuovi contenuti.

Importante

La funzionalità di autenticazione pass-through è attualmente in fase di anteprima.

Quale dei metodi di accesso di Azure AD, tra l'autenticazione pass-through, la sincronizzazione dell'hash delle password e Active Directory Federation Services (AD FS), è preferibile usare?

Dipende dall'ambiente locale e dai requisiti dell'organizzazione. Esaminare questo articolo per un confronto tra i vari metodi di accesso di AD Azure.

L'autenticazione pass-through è una funzionalità gratuita?

L'autenticazione pass-through è una funzionalità gratuita e non serve acquistare edizioni a pagamento di Azure AD per usarla. Rimane gratuita quando la funzionalità raggiunge la disponibilità generale.

L'autenticazione pass-through è disponibile in Microsoft Cloud per la Germania e Microsoft Azure Government Cloud?

No, l'autenticazione pass-through è disponibile solo nell'istanza di Azure AD a livello mondiale.

L'accesso condizionale funziona con l'autenticazione pass-through?

Sì, tutte le funzionalità di accesso condizionale, incluso Azure Multi-Factor Authentication, funzionano con l'autenticazione pass-through.

L'autenticazione pass-through supporta "Alternate ID" come nome utente, al posto di "userPrincipalName"?

Sì. L'autenticazione pass-through supporta Alternate ID come nome utente quando è configurata in Azure AD Connect come mostrato qui. Non tutte le applicazioni di Office 365 supportano Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.

La sincronizzazione dell'hash delle password agisce da fallback per l'autenticazione pass-through?

No, la sincronizzazione dell'hash delle password non è un fallback generico per l'autenticazione pass-through. Agisce da fallback solo in scenari che l'autenticazione pass-through attualmente non supporta. Per evitare errori di accesso dell'utente, è consigliabile configurare l'autenticazione pass-through per la disponibilità elevata.

È possibile installare un connettore del proxy di applicazione di Azure AD nello stesso server in cui è presente un agente di autenticazione pass-through?

Sì, questa configurazione è supportata con le versioni dell'agente di autenticazione pass-through ridenominate (versioni 1.5.193.0 o successive).

Quali versioni di Azure AD Connect e dell'agente di autenticazione pass-through sono necessarie?

Per usare questa funzionalità, è necessario disporre della versione 1.1.486.0 o versioni successive per Azure AD Connect e della versione 1.5.58.0 o versioni successive per l'agente di autenticazione pass-through. Tutto il software deve essere installato in server con Windows Server 2012 R2 o versioni successive.

Cosa accade se la password dell'utente è scaduta e l'utente tenta di accedere usando l'autenticazione pass-through?

Se è stato configurato il writeback delle password per un utente specifico e se l'utente esegue l'accesso usando l'autenticazione pass-through, questi può modificare o reimpostare la password. Le password vengono riscritte in Active Directory locale come previsto.

Se invece il writeback delle password non è configurato per un utente specifico o se l'utente non dispone di una licenza di Azure AD valida, l'utente non può aggiornare la propria password nel cloud, neanche se la password è scaduta. L'utente vedrà un messaggio simile a questo: "L'organizzazione non consente l'aggiornamento della password in questo sito. Aggiornare la password usando il metodo consigliato dall'organizzazione oppure contattare l'amministratore, se è necessaria assistenza". L'utente o l'amministratore deve reimpostare la password in Active Directory locale.

La modalità autenticazione pass-through è una protezione dagli attacchi di forza bruta alle password?

Per maggiori informazioni, leggere questo articolo.

Cosa comunicano gli agenti di autenticazione pass-through sulle porte 80 e 443?

  • Gli agenti di autenticazione inviano le richieste HTTP sulla porta 443 per tutte le operazioni di funzionalità.
  • Gli agenti di autenticazione inviano le richieste HTTP sulla porta 80 per scaricare gli elenchi di revoche di certificati SSL.

    Nota

    Negli aggiornamenti recenti abbiamo ridotto il numero di porte richiesto dalla funzionalità. Se si dispone di versioni precedenti di Azure AD Connect o dell'agente di autenticazione, tenere aperte anche tali porte: 5671, 8080, 9090, 9091, 9350, 9352 e 10100-10120.

Gli agenti di autenticazione pass-through possono comunicare su un server proxy Web in uscita?

Sì. Se il servizio WPAD (Web Proxy Auto-Discovery) è abilitato nell'ambiente locale, gli agenti di autenticazione tentano automaticamente di individuare e usare un server proxy Web nella rete.

È possibile installare due o più agenti di autenticazione pass-through nello stesso server?

No, è possibile installare solo un agente di autenticazione pass-through in un singolo server. Se si desidera configurare l'autenticazione pass-through per la disponibilità elevata, seguire invece le istruzioni in questo articolo.

Si usa già Active Directory Federation Services (ADFS) per l'accesso ad AD Azure. Come si passa all'autenticazione pass-through?

Se ADFS è stato configurato come metodo di accesso usando la procedura guidata Azure AD Connect, cambiare il metodo di accesso utente nell'autenticazione pass-through. Questa modifica abilita l'autenticazione pass-through nel tenant e converte tutti i domini federati in domini gestiti. Tutte le successive richieste di accesso nel tenant verranno gestite mediante l'autenticazione pass-through. Non esiste al momento un modo supportato all'interno di Azure AD Connect per usare una combinazione di AD FS e autenticazione pass-through in domini diversi.

Se ADFS è stato configurato come metodo di accesso esternamente alla procedura guidata Azure AD Connect, cambiare il metodo di accesso utente nell'autenticazione pass-through (dall'opzione "Non configurare"). Questa modifica abilita l'autenticazione pass-through nel tenant. Tutti i domini federati continuano tuttavia a usare ADFS per l'accesso. Usare PowerShell per convertire manualmente alcuni o tutti questi domini federati in domini gestiti. Tutte le richieste di accesso nei domini gestiti (solo) verranno quindi gestite mediante l'autenticazione pass-through.

Importante

L'autenticazione pass-through non gestisce l'accesso per gli utenti di Active Directory solo cloud.

È possibile usare l'autenticazione pass-through in un ambiente Active Directory a più foreste?

Sì. Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste AD e se il routing del suffisso del nome è configurato correttamente.

Gli agenti di autenticazione pass-through includono la funzionalità di bilanciamento del carico?

No, l'installazione di più agenti di autenticazione pass-through assicura la disponibilità elevata ma non il bilanciamento del carico. Uno o due degli agenti di autenticazione possono finire per gestire la maggior parte delle richieste di accesso.

Le richieste di convalida delle password che gli agenti di autenticazione devono gestire sono leggere. I carichi medio e di punta per la maggior parte dei clienti sono pertanto facilmente gestibili con due o tre agenti di autenticazione in totale.

È consigliabile installare gli agenti di autenticazione vicino al controller di dominio per migliorare la latenza di accesso.

È possibile installare il primo agente di autenticazione pass-through in un server diverso da quello che esegue Azure AD Connect?

No, questo scenario non è supportato.

Quanti agenti di autenticazione pass-through è consigliabile installare?

È consigliabile:

  • Installare due o tre agenti di autenticazione in totale. Questa configurazione è sufficiente per la maggior parte dei clienti.
  • Installare gli agenti di autenticazione sui controller di dominio (o il più vicino possibile) per migliorare la latenza di accesso.
  • Assicurarsi che i server (in cui sono installati gli agenti di autenticazione) vengano aggiunti alla stessa foresta Active Directory degli utenti le cui password devono essere convalidate.
Nota

Esiste un limite di sistema di 12 agenti di autenticazione per ogni tenant.

Come si disabilita l'autenticazione pass-through?

Eseguire nuovamente la procedura guidata Azure AD Connect e scegliere un metodo di accesso utente diverso da Autenticazione pass-through. Questa modifica disabilita l'autenticazione pass-through nel tenant e disinstalla l'agente di autenticazione nel server. Gli agenti di autenticazione negli altri server devono essere disinstallati manualmente.

Cosa accade quando si disinstalla un agente di autenticazione pass-through?

Se si disinstalla un agente di autenticazione pass-through in un server, il server non accetta più richieste di accesso. Prima di eseguire questa operazione, verificare che un altro agente di autenticazione sia in esecuzione per evitare di interrompere l'accesso utente nel tenant.

Passaggi successivi