Autenticazione pass-through di Azure Active Directory - Avvio rapido

Come distribuire l'autenticazione pass-through di Azure AD

L'autenticazione pass-through di Azure Active Directory (Azure AD) consente agli utenti di accedere sia ad applicazioni in locale che a quelle basate sul cloud usando le stesse password. L'accesso degli utenti avviene tramite la convalida delle password direttamente in Active Directory locale.

Importante

Se si usa questa funzionalità tramite l'anteprima, è necessario assicurarsi di aggiornare le versioni di anteprima degli agenti di autenticazione attenendosi alle istruzioni fornite qui.

Per distribuire l'autenticazione pass-through, è necessario seguire queste istruzioni:

Passaggio 1: Verificare i prerequisiti

Accertarsi di aver soddisfatto i prerequisiti seguenti:

Nell'interfaccia di amministrazione di Azure Active Directory

  1. Creare un account Administrator globale solo cloud nel tenant di Azure AD. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali. Informazioni su come aggiungere un account amministratore globale di tipo solo cloud. L'esecuzione di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.
  2. Aggiungere uno o più nomi di dominio personalizzati al tenant di Azure AD. Gli utenti accedono usando uno di questi nomi di dominio.

Nell'ambiente locale

  1. Identificare un server che esegue Windows Server 2012 R2 o versione successiva in cui eseguire Azure AD Connect. Aggiungere il server alla stessa foresta AD degli utenti le cui password devono essere convalidate.
  2. Installare la versione più recente di Azure AD Connect nel server identificato nel passaggio precedente. Se Azure AD Connect è già in esecuzione, assicurarsi che la versione sia 1.1.557.0 o successiva.
  3. Identificare un server aggiuntivo che esegue Windows Server 2012 R2 o versione successiva in cui eseguire un agente di autenticazione autonomo. La versione dell'agente di autenticazione deve essere 1.5.193.0 o successiva. Questo server è necessario per garantire la disponibilità elevata delle richieste di accesso. Aggiungere il server alla stessa foresta AD degli utenti le cui password devono essere convalidate.
  4. Se è presente un firewall tra i server e Azure AD, è necessario configurare gli elementi seguenti:

    • Assicurarsi che gli agenti di autenticazione possano effettuare richieste in uscita ad Azure AD sulle porte seguenti:
    Numero della porta Uso
    80 Download degli elenchi di revoche di certificati (CRL) durante la convalida del certificato SSL
    443 Tutte le comunicazioni in uscita con il servizio

    Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.

    • Se il firewall o il proxy consente l'inserimento di DNS nell'elenco elementi consentiti, aggiungere le connessioni a *.msappproxy.net e *.servicebus.windows.net all'elenco elementi consentiti. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana.
    • Poiché gli agenti di autenticazione devono poter accedere a login.windows.net e login.microsoftonline.net per la registrazione iniziale, aprire il firewall anche per questi URL.
    • Per la convalida del certificato, sbloccare questi URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Poiché vengono usati per la convalida del certificato con altri prodotti Microsoft, questi URL potrebbero essere già sbloccati.

Passaggio 2: Abilitare il supporto di Exchange ActiveSync (facoltativo)

Per abilitare il supporto di Exchange ActiveSync, seguire queste istruzioni:

  1. Avviare PowerShell per Exchange ed eseguire il comando seguente:

    Get-OrganizationConfig | fl per*
    
  2. Controllare il valore dell'impostazione PerTenantSwitchToESTSEnabled. Se il valore è true, il tenant è configurato correttamente, come avviene in genere per la maggior parte dei clienti. Se il valore è false, eseguire il comando seguente:

    Set-OrganizationConfig -PerTenantSwitchToESTSEnabled:$true
    
  3. Verificare che il valore di PerTenantSwitchToESTSEnabled sia ora impostato su true. Attendere un'ora prima di continuare con il passaggio successivo.

In caso di problemi durante questo passaggio, vedere la guida alla risoluzione dei problemi per altre informazioni.

Passaggio 3: Abilitare la funzionalità

L'autenticazione pass-through di Azure AD può essere abilitata tramite Azure AD Connect.

Importante

L'autenticazione pass-through può essere abilitata nel server primario o di gestione temporanea di Azure AD Connect. Si consiglia di abilitarla dal server primario.

Se si installa Azure AD Connect per la prima volta, scegliere il percorso di installazione personalizzato. Nella pagina di Accesso utente scegliere Autenticazione pass-through come metodo di accesso. Al completamento, nello stesso server di Azure AD Connect viene installato un agente di autenticazione. Viene inoltre abilitata la funzionalità di autenticazione pass-through nel tenant.

Azure AD Connect - Accesso utente

Se Azure AD Connect è già installata, (usando il percorso di installazione rapida o di installazione personalizzata), scegliere la pagina Cambia l'accesso utente in Azure AD Connect e fare clic su Avanti. Selezionare quindi Autenticazione pass-through come il metodo di accesso. Al completamento, nello stesso server di Azure AD Connect viene installato un agente di autenticazione e la funzionalità è abilitata per il tenant.

Azure AD Connect - Cambiare l'accesso utente

Importante

L'autenticazione pass-through è una funzionalità a livello di tenant. La sua attivazione influisce sugli accessi degli utenti per tutti i domini gestiti nel tenant. Se si passa da AD FS all'autenticazione pass-through, è consigliabile attendere almeno 12 ore prima di arrestare l'infrastruttura AD FS. Questo tempo di attesa è necessario per garantire che gli utenti possano continuare ad accedere a Exchange ActiveSync durante la transizione.

Passaggio 4: Testare la funzionalità

Seguire queste istruzioni per verificare che l'autenticazione pass-through sia stata attivata correttamente:

  1. Accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.
  2. Selezionare Azure Active Directory nell'opzione di spostamento a sinistra.
  3. Selezionare Azure AD Connect.
  4. Verificare che la funzionalità di autenticazione pass-through indichi Abilitato.
  5. Selezionare Autenticazione pass-through. Questo pannello elenca i server sono installati gli agenti di autenticazione.

Interfaccia di amministrazione di Azure Active Directory - Pannello Azure AD Connect

Interfaccia di amministrazione di Azure Active Directory - Pannello Autenticazione pass-through

Dopo questo passaggio, gli utenti di tutti i domini gestiti nel tenant possono accedere usando l'autenticazione pass-through. Gli utenti dei domini federati continueranno invece a eseguire l'accesso con Active Directory Federation Services (ADFS) o qualsiasi altro provider di federazione configurato in precedenza. Se si converte un dominio da federato a gestito, tutti gli utenti del dominio inizieranno automaticamente a eseguire l'accesso usando l'autenticazione pass-through. La funzionalità di autenticazione pass-through non ha alcun impatto sugli utenti solo cloud.

Passaggio 5: Garantire la disponibilità elevata

Se si prevede di distribuire l'autenticazione pass-through in un ambiente di produzione, è necessario installare un agente di autenticazione autonomo. Installare questo secondo agente di autenticazione in un server diverso da quello dove è in esecuzione Azure AD Connect e il primo agente di autenticazione. Questa configurazione fornisce la disponibilità elevata delle richieste di accesso. Per distribuire un agente di autenticazione, seguire queste istruzioni:

  1. Scaricare la versione più recente dell'agente di autenticazione (versioni 1.5.193.0 o successive): accedere all'interfaccia di amministrazione di Azure Active Directory con le credenziali di amministratore globale del tenant.
  2. Selezionare Azure Active Directory nell'opzione di spostamento a sinistra.
  3. Selezionare Azure AD Connect, quindi Autenticazione pass-through. Selezionare quindi Scarica agente.
  4. Fare clic sul pulsante Accept terms & download (Accetta i termini e scarica).
  5. Installare la versione più recente dell'agente di autenticazione: eseguire il file eseguibile scaricato nel passaggio precedente. Fornire le credenziali di amministratore globale del tenant quando viene richiesto.

Interfaccia di amministrazione di Azure Active Directory - Pulsante Scarica per l'agente di autenticazione

Interfaccia di amministrazione di Azure Active Directory - Pannello Scarica agente

Nota

È inoltre possibile scaricare l'agente di autenticazione da qui. Assicurarsi di leggere e accettare le Condizioni d'uso dell'agente di autenticazione prima di installarlo.

Passaggi successivi