Autenticazione pass-through di Azure Active Directory - Avvio rapidoAzure Active Directory Pass-through Authentication: Quick start

Distribuire l'autenticazione pass-through di Azure ADDeploy Azure AD Pass-through Authentication

L'autenticazione pass-through di Azure Active Directory (Azure AD) consente agli utenti di accedere ad applicazioni locali e basate sul cloud usando le stesse password.Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications by using the same passwords. Prevede infatti l'accesso degli utenti tramite la convalida delle password direttamente in Active Directory locale.Pass-through Authentication signs users in by validating their passwords directly against on-premises Active Directory.

Importante

Se si usa questa funzionalità tramite una versione di anteprima, assicurarsi di aggiornare le versioni di anteprima degli agenti di autenticazione attenendosi alle istruzioni fornite in Autenticazione pass-through di Azure Active Directory - Aggiornare gli agenti di autenticazione di anteprima.If you use this feature through a preview version, ensure that you upgrade the preview versions of the Authentication Agents by using the instructions provided in Azure Active Directory Pass-through Authentication: Upgrade preview Authentication Agents.

Per distribuire l'autenticazione pass-through, seguire queste istruzioni:Follow these instructions to deploy Pass-through Authentication:

Passaggio 1: Verificare i prerequisitiStep 1: Check the prerequisites

Accertarsi che siano soddisfatti i prerequisiti seguenti.Ensure that the following prerequisites are in place.

Nell'interfaccia di amministrazione di Azure Active DirectoryIn the Azure Active Directory admin center

  1. Creare un account amministratore globale di tipo solo cloud nel tenant di Azure AD.Create a cloud-only global administrator account on your Azure AD tenant. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali.This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. Informazioni su come aggiungere un account amministratore globale di tipo solo cloud.Learn about adding a cloud-only global administrator account. Il completamento di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. Aggiungere uno o più nomi di dominio personalizzati al tenant di Azure AD.Add one or more custom domain names to your Azure AD tenant. Gli utenti possono accedere usando uno di questi nomi di dominio.Your users can sign in with one of these domain names.

Nell'ambiente localeIn your on-premises environment

  1. Identificare un server che esegue Windows Server 2012 R2 o versione successiva per l'esecuzione di Azure AD Connect.Identify a server running Windows Server 2012 R2 or later to run Azure AD Connect. Aggiungere il server alla stessa foresta Active Directory degli utenti di cui devono essere convalidate le password.Add the server to the same Active Directory forest as the users whose passwords you need to validate.
  2. Installare la versione più recente di Azure AD Connect nel server identificato nel passaggio precedente.Install the latest version of Azure AD Connect on the server identified in the preceding step. Se Azure AD Connect è già in esecuzione, assicurarsi che la versione sia 1.1.644.0 o successiva.If you already have Azure AD Connect running, ensure that the version is 1.1.644.0 or later.

    Nota

    Le versioni 1.1.557.0, 1.1.558.0, 1.1.561.0 e 1.1.614.0 di Azure AD Connect presentano un problema correlato alla sincronizzazione dell'hash delle password.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Se non si prevede di usare la sincronizzazione dell'hash delle password in combinazione con l'autenticazione pass-through, leggere le note sulla versione di Azure AD Connect.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes.

  3. Identificare un server aggiuntivo (che esegue Windows Server 2012 R2 o versione successiva) in cui eseguire un agente di autenticazione autonomo.Identify an additional server (running Windows Server 2012 R2 or later) where you can run a standalone Authentication Agent. La versione dell'agente di autenticazione deve essere 1.5.193.0 o successiva.The Authentication Agent version needs to be 1.5.193.0 or later. Questo server aggiuntivo è necessario per garantire la disponibilità elevata delle richieste di accesso.This additional server is needed to ensure the high availability of requests to sign in. Aggiungere il server alla stessa foresta Active Directory degli utenti di cui devono essere convalidate le password.Add the server to the same Active Directory forest as the users whose passwords you need to validate.

  4. Se è presente un firewall tra i server e Azure AD, è necessario configurare gli elementi seguenti:If there is a firewall between your servers and Azure AD, configure the following items:

    • Assicurarsi che gli agenti di autenticazione possano effettuare richieste in uscita ad Azure AD sulle porte seguenti:Ensure that Authentication Agents can make outbound requests to Azure AD over the following ports:

      Numero della portaPort number UsoHow it's used
      8080 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato SSLDownloads the certificate revocation lists (CRLs) while validating the SSL certificate
      443443 Gestisce tutte le comunicazioni in uscita con il servizioHandles all outbound communication with the service

      Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Se il firewall o il proxy consente l'inserimento di DNS nell'elenco elementi consentiti, aggiungere le connessioni a *.msappproxy.net e *.servicebus.windows.net all'elenco elementi consentiti.If your firewall or proxy allows DNS whitelisting, whitelist connections to *.msappproxy.net and *.servicebus.windows.net. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.
    • Gli agenti di autenticazione devono poter accedere a login.windows.net e login.microsoftonline.net per la registrazione iniziale.Your Authentication Agents need access to login.windows.net and login.microsoftonline.com for initial registration. Aprire il firewall anche per questi URL.Open your firewall for those URLs as well.
    • Per la convalida del certificato, sbloccare questi URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Poiché vengono usati per la convalida del certificato con altri prodotti Microsoft,These URLs are used for certificate validation with other Microsoft products. è possibile che questi URL siano già sbloccati.You might already have these URLs unblocked.

Passaggio 2: Abilitare il supporto di Exchange ActiveSync (facoltativo)Step 2: Enable Exchange ActiveSync support (optional)

Per abilitare il supporto di Exchange ActiveSync, seguire queste istruzioni:Follow these instructions to enable Exchange ActiveSync support:

  1. Avviare PowerShell per Exchange ed eseguire il comando seguente:Use Exchange PowerShell to run the following command:

    Get-OrganizationConfig | fl per*
    
  2. Controllare il valore dell'impostazione PerTenantSwitchToESTSEnabled.Check the value of the PerTenantSwitchToESTSEnabled setting. Se il valore è true, il tenant è correttamente configurato,If the value is true, your tenant is properly configured. come avviene, in genere, per la maggior parte dei clienti.This is generally the case for most customers. Se il valore è false, eseguire il comando seguente:If the value is false, run the following command:

    Set-OrganizationConfig -PerTenantSwitchToESTSEnabled:$true
    
  3. Verificare che il valore di PerTenantSwitchToESTSEnabled sia ora impostato su true.Verify that the value of the PerTenantSwitchToESTSEnabled setting is now set to true. Attendere un'ora prima di proseguire con il passaggio successivo.Wait an hour before moving on to the next step.

Per eventuali problemi durante questo passaggio, consultare la guida per la risoluzione dei problemi.If you face any problems during this step, check the troubleshooting guide.

Passaggio 3: Abilitare la funzionalitàStep 3: Enable the feature

Abilitare l'autenticazione pass-through attraverso Azure AD Connect.Enable Pass-through Authentication through Azure AD Connect.

Importante

L'autenticazione pass-through può essere abilitata nel server primario o di gestione temporanea di Azure AD Connect.You can enable Pass-through Authentication on the Azure AD Connect primary or staging server. È comunque consigliabile abilitarla dal server primario.You should enable it from the primary server.

Se si installa Azure AD Connect per la prima volta, scegliere il percorso di installazione personalizzato.If you're installing Azure AD Connect for the first time, choose the custom installation path. Nella pagina Accesso utente scegliere Autenticazione pass-through come Metodo di accesso.At the User sign-in page, choose Pass-through Authentication as the Sign On method. Al completamento, nello stesso server di Azure AD Connect viene installato un agente di autenticazione pass-through.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect. Viene inoltre abilitata la funzionalità di autenticazione pass-through nel tenant.In addition, the Pass-through Authentication feature is enabled on your tenant.

Azure AD Connect: Accesso utente

Se Azure AD Connect è già installato (usando il percorso di installazione rapida o di installazione personalizzata), scegliere l'attività Cambia l'accesso utente in Azure AD Connect e quindi fare clic su Avanti.If you have already installed Azure AD Connect by using the express installation or the custom installation path, select the Change user sign-in task on Azure AD Connect, and then select Next. Selezionare quindi Autenticazione pass-through come metodo di accesso.Then select Pass-through Authentication as the sign-in method. Al completamento, nello stesso server di Azure AD Connect viene installato un agente di autenticazione e la funzionalità è abilitata per il tenant.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect and the feature is enabled on your tenant.

Azure AD Connect: Cambia l'accesso utente

Importante

L'autenticazione pass-through è una funzionalità a livello di tenant.Pass-through Authentication is a tenant-level feature. La sua attivazione influisce sugli accessi degli utenti per tutti i domini gestiti nel tenant.Turning it on affects the sign-in for users across all the managed domains in your tenant. Se si passa da AD FS (Active Directory Federation Services) all'autenticazione pass-through, è consigliabile attendere almeno 12 ore prima di arrestare l'infrastruttura AD FS.If you're switching from Active Directory Federation Services (AD FS) to Pass-through Authentication, you should wait at least 12 hours before shutting down your AD FS infrastructure. Questo tempo di attesa è necessario per garantire che gli utenti possano continuare ad accedere a Exchange ActiveSync durante la transizione.This wait time is to ensure that users can keep signing in to Exchange ActiveSync during the transition.

Passaggio 4: Testare la funzionalitàStep 4: Test the feature

Seguire queste istruzioni per verificare che l'autenticazione pass-through sia stata attivata correttamente:Follow these instructions to verify that you have enabled Pass-through Authentication correctly:

  1. Accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.Sign in to the Azure Active Directory admin center with the global administrator credentials for your tenant.
  2. Nel riquadro sinistro selezionare Azure Active Directory.Select Azure Active Directory in the left pane.
  3. Selezionare Azure AD Connect.Select Azure AD Connect.
  4. Verificare che la funzionalità Autenticazione pass-through sia impostata su Abilitato.Verify that the Pass-through authentication feature appears as Enabled.
  5. Selezionare Autenticazione pass-through.Select Pass-through authentication. Il riquadro Autenticazione pass-through elenca i server in cui sono stati installati gli agenti di autenticazione.The Pass-through authentication pane lists the servers where your Authentication Agents are installed.

Interfaccia di amministrazione di Azure Active Directory: riquadro Azure AD Connect

Interfaccia di amministrazione di Azure Active Directory: riquadro Autenticazione pass-through

Dopo questo passaggio, gli utenti di tutti i domini gestiti nel tenant possono accedere usando l'autenticazione pass-through.At this stage, users from all the managed domains in your tenant can sign in by using Pass-through Authentication. Gli utenti dei domini federati continueranno invece a eseguire l'accesso con AD FS o qualsiasi altro provider di federazione configurato in precedenza.However, users from federated domains continue to sign in by using AD FS or another federation provider that you have previously configured. Se si converte un dominio da federato a gestito, tutti gli utenti del dominio inizieranno automaticamente a eseguire l'accesso usando l'autenticazione pass-through.If you convert a domain from federated to managed, all users from that domain automatically start signing in by using Pass-through Authentication. La funzionalità di autenticazione pass-through non ha alcun impatto sugli utenti solo cloud.The Pass-through Authentication feature does not affect cloud-only users.

Passaggio 5: Garantire la disponibilità elevataStep 5: Ensure high availability

Se si prevede di distribuire l'autenticazione pass-through in un ambiente di produzione, è necessario installare un agente di autenticazione autonomo.If you plan to deploy Pass-through Authentication in a production environment, you should install a standalone Authentication Agent. Installare questo secondo agente di autenticazione in un server diverso da quello dove è in esecuzione Azure AD Connect e il primo agente di autenticazione.Install this second Authentication Agent on a server other than the one running Azure AD Connect and the first Authentication Agent. Questa configurazione fornisce la disponibilità elevata delle richieste di accesso.This setup provides you with high availability for requests to sign in. Per distribuire un agente di autenticazione, seguire queste istruzioni:Follow these instructions to deploy a standalone Authentication Agent:

  1. Scaricare la versione più recente dell'agente di autenticazione (versione 1.5.193.0 o successiva).Download the latest version of the Authentication Agent (version 1.5.193.0 or later). Accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.Sign in to the Azure Active Directory admin center with your tenant's global administrator credentials.
  2. Nel riquadro sinistro selezionare Azure Active Directory.Select Azure Active Directory in the left pane.
  3. Selezionare Azure AD Connect, Autenticazione pass-through e quindi Scarica agente.Select Azure AD Connect, select Pass-through authentication, and then select Download Agent.
  4. Fare clic sul pulsante Accetta le condizioni e scarica.Select the Accept terms & download button.
  5. Installare la versione più recente dell'agente di autenticazione eseguendo il file eseguibile scaricato nel passaggio precedente.Install the latest version of the Authentication Agent by running the executable that was downloaded in the preceding step. Quando vengono richieste, fornire le credenziali di amministratore globale del tenant.Provide your tenant's global administrator credentials when prompted.

Interfaccia di amministrazione di Azure Active Directory: pulsante Scarica per l'agente di autenticazione

Interfaccia di amministrazione di Azure Active Directory: riquadro Scarica agente

Nota

È possibile scaricare anche l'agente di autenticazione di Azure Active Directory.You can also download the Azure Active Directory Authentication Agent. Assicurarsi di leggere e accettare le Condizioni d'uso dell'agente di autenticazione prima di installarlo.Ensure that you review and accept the Authentication Agent's Terms of Service before installing it.

Passaggi successiviNext steps