Accesso Single Sign-On facile di Azure Active Directory: domande frequenti

Questo articolo risponde ad alcune domande frequenti relative all'accesso Single Sign-On facile (SSO facile) di Azure Active Directory. Visitare questa pagina regolarmente per nuovi contenuti.

Con quali metodi di accesso funziona l'accesso SSO facile?

L'accesso SSO facile può essere combinato con i metodi di accesso che usano la sincronizzazione dell'hash delle password o l'autenticazione pass-through. Tuttavia, questa funzionalità non può essere usata con Active Directory Federation Services (AD FS).

La funzionalità Accesso SSO facile è disponibile gratuitamente?

La funzionalità Accesso SSO facile è una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Azure AD per usarla. Rimane gratuita quando la funzionalità raggiunge la disponibilità generale.

Quali applicazioni possono sfruttare le capacità dei parametri domain_hint o login_hint dell'accesso SSO facile?

Attualmente è in corso la compilazione dell'elenco delle applicazioni che inviano tali parametri e di quelle che non lo fanno. Se si hanno applicazioni interessate, segnalarlo nella sezione dei commenti.

L'accesso SSO facile supporta Alternate ID come nome utente, anziché userPrincipalName?

Sì. L'accesso SSO facile supporta Alternate ID come nome utente quando è configurato in Azure AD Connect, come illustrato qui. Non tutte le applicazioni di Office 365 supportano Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.

Se si vuole registrare dispositivi non Windows 10 con Azure AD, senza l'uso di AD FS, è possibile usare l'accesso SSO facile?

Sì, per questo scenario è necessaria la versione 2.1 o versione successiva del client Workplace Join.

Come è possibile rinnovare la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACCT?

È importante rinnovare spesso la chiave di decrittografia di Kerberos dell'account computer AZUREADSSOACCT, che rappresenta Azure AD, creato nella foresta di AD locale.

Importante

È consigliabile rinnovare la chiave di decrittografia di Kerberos almeno ogni 30 giorni.

Seguire questa procedura nel server locale in cui si esegue Azure AD Connect:

Passaggio 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facile

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.
  6. Eseguire la chiamata a Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.

Passaggio 2. Aggiornare la chiave di decrittografia di Kerberos in ogni foresta di Active Directory in cui è stata impostata

  1. Eseguire la chiamata a $creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.
  2. Eseguire la chiamata a Update-AzureADSSOForest -OnPremCredentials $creds. Questo comando aggiorna la chiave di decrittografia di Kerberos per l'account computer AZUREADSSOACCT in questa foresta di AD specifica e la aggiorna in Azure AD.
  3. Ripetere i passaggi precedenti per ogni foresta di Active Directory in cui è stata configurata la funzionalità.
Importante

Assicurarsi di non eseguire il comando Update-AzureADSSOForest più di una volta. In caso contrario, la funzionalità si interrompe fino alla scadenza dei ticket Kerberos degli utenti e fino a quando non vengono nuovamente inviati da Active Directory locale.

Come è possibile disabilitare l'accesso SSO facile?

La funzionalità Accesso SSO facile può essere disabilitata tramite Azure AD Connect.

Eseguire Azure AD Connect, scegliere la pagina "Cambia l'accesso utente" e fare clic su "Avanti". Deselezionare quindi l'opzione "Abilita Single Sign-On". Continuare la procedura guidata. Al termine della procedura guidata, l'accesso SSO facile è disabilitato nel tenant.

Viene tuttavia visualizzato un messaggio con il testo seguente:

"L'accesso Single Sign-On è ora disabilitato, ma è necessario eseguire altri passaggi manuali per completare la pulizia. Altre informazioni"

Per completare il processo, seguire questa procedura manuale nel server locale in cui si esegue Azure AD Connect:

Passaggio 1. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facile

  1. Scaricare e installare prima l' Assistente per l'accesso ai Microsoft Online Services.
  2. Scaricare e installare quindi il modulo di Azure Active Directory a 64 bit per Windows PowerShell.
  3. Passare alla cartella %programfiles%\Microsoft Azure Active Directory Connect.
  4. Importare il modulo di PowerShell Seamless SSO usando il comando seguente: Import-Module .\AzureADSSO.psd1.
  5. Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a New-AzureADSSOAuthenticationContext. Il comando dovrebbe far sì che venga visualizzata una finestra popup per l'immissione delle credenziali dell'amministratore globale del tenant.
  6. Eseguire la chiamata a Get-AzureADSSOStatus. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.

Passaggio 2. Eliminare manualmente l'account computer AZUREADSSOACCT da ogni foresta di AD elencata.

Passaggi successivi