In questo articolo vengono fornite domande frequenti sull'accesso Single Sign-On facile (Seamless SSO) di Microsoft Entra. Visitare questa pagina regolarmente per nuovi contenuti.
Quali metodi di accesso funzionano con l'accesso Single Sign-On facile
L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. Questa funzionalità non può tuttavia essere usata con Active Directory Federation Services (ADFS).
L'accesso SSO facile è una funzionalità gratuita?
Seamless SSO è una funzionalità gratuita e non sono necessarie edizioni a pagamento di Microsoft Entra ID per usarlo.
L'accesso SSO facile è disponibile nel cloud Microsoft Azure Germania e nel cloud Microsoft Azure per enti pubblici?
L'accesso SSO facile è disponibile per il cloud di Azure per enti pubblici. Per informazioni dettagliate, vedere Considerazioni sulle identità ibride per Azure per enti pubblici.
Quali applicazioni sfruttano la funzionalità dei parametri 'domain_hint' o 'login_hint' di Seamless SSO?
La tabella contiene un elenco di applicazioni che possono inviare questi parametri all'ID Microsoft Entra. Questa azione offre agli utenti un'esperienza di accesso invisibile all'utente tramite Seamless SSO.:
| Nome applicazione | URL applicazione da usare |
|---|---|
| Pannello di accesso | https://myapps.microsoft.com/contoso.com |
| Outlook nel Web | https://outlook.office365.com/contoso.com |
| Portali di Office 365 | https://portal.office.com?domain_hint=contoso.com, https://www.office.com?domain_hint=contoso.com |
Inoltre, gli utenti ottengono un'esperienza di accesso invisibile all'utente se un'applicazione invia richieste di accesso agli endpoint di Microsoft Entra configurati come tenant, https://login.microsoftonline.com/contoso.com/<ovvero ..> o https://login.microsoftonline.com/<tenant_ID>/<..> invece dell'endpoint comune di Microsoft Entra, https://login.microsoftonline.com/common/<ovvero ...>. La tabella include un elenco di applicazioni che effettuano questi tipi di richieste di accesso.
| Nome applicazione | URL applicazione da usare |
|---|---|
| SharePoint Online | https://contoso.sharepoint.com |
| Interfaccia di amministrazione di Microsoft Entra | https://portal.azure.com/contoso.com |
Nelle tabelle precedenti sostituire "contoso.com" con il nome di dominio per ottenere gli URL dell'applicazione corretti per il tenant.
Se si desidera che altre applicazioni utilizzino la nostra esperienza di accesso automatico, si prega di segnalarlo nella sezione commenti e suggerimenti.
Seamless SSO supporta 'Alternate ID' come nome utente, anziché 'userPrincipalName'?
Sì. Seamless SSO supporta Alternate ID come nome utente quando configurato in Microsoft Entra Connessione, come illustrato di seguito. Non tutte le applicazioni Microsoft 365 supportano Alternate ID. Fare riferimento alla documentazione dell'applicazione specifica per sapere se è supportato.
Qual è la differenza tra l'esperienza di accesso Single Sign-On fornita da Microsoft Entra join e Seamless SSO?
L'aggiunta a Microsoft Entra fornisce l'accesso SSO agli utenti se i dispositivi sono registrati con Microsoft Entra ID. Questi dispositivi non devono necessariamente essere aggiunti a un dominio. L'accesso SSO viene fornito usando token di aggiornamento primari o PRT e non Kerberos. L'esperienza utente è ottimale sui dispositivi Windows 10. L'accesso SSO viene eseguito automaticamente nel browser Microsoft Edge. Funziona anche in Chrome con l'uso di un'estensione del browser.
È possibile usare l'aggiunta a Microsoft Entra e l'accesso SSO facile nel tenant. Queste due funzionalità sono complementari. Se entrambe le funzionalità sono attivate, l'accesso SSO di Microsoft Entra join ha la precedenza su Seamless SSO.
Voglio registrare dispositivi non Windows 10 con Microsoft Entra ID, senza usare AD FS. è possibile usare l'accesso SSO facile?
Sì, per questo scenario è necessaria la versione 2.1 o versione successiva del client Workplace Join.
Come è possibile eseguire il rollover della chiave di decrittografia Kerberos dell'account computer 'AZUREADSSO'?
È importante eseguire spesso il rollover della chiave di decrittografia Kerberos dell'account computer (che rappresenta l'ID AZUREADSSO Microsoft Entra) creato nella foresta di Active Directory locale.
Importante
È consigliabile rinnovare la chiave di decrittografia di Kerberos almeno ogni 30 giorni.
Seguire questa procedura nel server locale in cui si esegue Microsoft Entra Connessione:
Nota
Per la procedura sono necessari credenziali di amministratore di dominio e amministratore globale/amministratore delle identità ibride.
Se non si è un amministratore di dominio e sono state assegnate le autorizzazioni dall'amministratore di dominio, è necessario chiamare Update-AzureADSSOForest -OnPremCredentials $creds -PreserveCustomPermissionsOnDesktopSsoAccount
Passaggio 1: Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facile
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:programfiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali dell'Amministrazione istrator globale o dell'identità ibrida Amministrazione istrator del tenant. - Chiamare
Get-AzureADSSOStatus | ConvertFrom-Json. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.
Passaggio 2. Aggiornare la chiave di decrittografia di Kerberos in ogni foresta di Active Directory in cui è stata impostata
- Chiamare
$creds = Get-Credential. Quando richiesto, immettere le credenziali dell'amministratore di dominio per la foresta di Active Directory da usare.
Nota
Il nome utente delle credenziali di amministratore di dominio deve essere specificato nel formato del nome dell'account SAM (CONTOSO\johndoe oppure contoso.com\johndoe). Usare la parte del dominio del nome utente per individuare il controller di dominio dell'amministratore di dominio usando DNS.
Nota
L'account amministratore di dominio usato non deve essere un membro del gruppo Utenti protetti, in caso contrario l'operazione non riesce.
Chiamare
Update-AzureADSSOForest -OnPremCredentials $creds. Questo comando aggiorna la chiave di decrittografia di Kerberos per l'account computerAZUREADSSOin questa foresta di AD specifica e la aggiorna in Microsoft Entra ID.Ripetere i passaggi precedenti per ogni foresta di Active Directory in cui è stata configurata la funzionalità.
Nota
Se si aggiorna una foresta, diversa da Quella di Microsoft Entra Connessione, assicurarsi che sia disponibile la connettività al server di catalogo globale (TCP 3268 e TCP 3269).
Importante
Non è necessario eseguire questa operazione nei server che eseguono Microsoft Entra Connessione in modalità di gestione temporanea.
Assicurarsi di non eseguire il comando Update-AzureADSSOForest più di una volta per foresta. In caso contrario, la funzionalità si interrompe fino alla scadenza dei ticket Kerberos degli utenti e fino a quando non vengono nuovamente inviati da Active Directory locale.
Come è possibile disabilitare l'accesso SSO facile?
Passaggio 1: Disabilitare la funzionalità nel tenant
Opzione A: Disabilitare tramite Microsoft Entra Connect
- Eseguire Microsoft Entra Connessione, scegliere Modifica pagina di accesso utente e fare clic su Avanti.
- Deselezionare l'opzione Abilita accesso Single Sign-On . Continuare la procedura guidata.
Al termine della procedura guidata, l'accesso Single Sign-On facile è disabilitato nel tenant. Verrà tuttavia visualizzato un messaggio con il testo seguente:
"Single Sign-On è ora disabilitato, ma esistono altri passaggi manuali da eseguire per completare la pulizia. Altre informazioni"
Per completare il processo di pulizia, seguire i passaggi 2 e 3 nel server locale in cui si esegue Microsoft Entra Connessione.
Opzione B: Disabilitare tramite PowerShell
Eseguire i passaggi seguenti nel server locale in cui si esegue Microsoft Entra Connessione:
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali dell'Amministrazione istrator globale o dell'identità ibrida Amministrazione istrator del tenant. - Chiamare
Enable-AzureADSSO -Enable $false.
A questo punto l'accesso SSO facile è disabilitato, ma i domini rimarranno configurati nel caso in cui si voglia abilitare nuovamente l'accesso SSO facile. Per rimuovere completamente i domini dalla configurazione dell'accesso SSO facile, chiamare il cmdlet seguente dopo aver completato il passaggio 5 precedente: Disable-AzureADSSOForest -DomainFqdn <fqdn>.
Importante
La disabilitazione dell'accesso Single Sign-On facile con PowerShell non modifica lo stato in Microsoft Entra Connessione. L'accesso Single Sign-On facile verrà visualizzato come abilitato nella pagina Cambia l'accesso utente.
Passaggio 2. Ottenere l'elenco delle foreste di Active Directory in cui è stata abilitata la funzionalità Accesso SSO facile
Seguire le attività da 1 a 4 se è stato disabilitato l'accesso Single Sign-On facile con Microsoft Entra Connessione. Se invece è stato disabilitato l'accesso Single Sign-On facile con PowerShell, passare all'attività 5.
- Prima, scaricare e installare Azure AD PowerShell.
- Passa alla cartella
$env:ProgramFiles"\Microsoft Azure Active Directory Connect". - Importare il modulo di PowerShell Seamless SSO usando il comando seguente:
Import-Module .\AzureADSSO.psd1. - Eseguire PowerShell come amministratore. In PowerShell eseguire la chiamata a
New-AzureADSSOAuthenticationContext. Questo comando dovrebbe fornire un popup per immettere le credenziali dell'Amministrazione istrator globale o dell'identità ibrida Amministrazione istrator del tenant. - Chiamare
Get-AzureADSSOStatus | ConvertFrom-Json. ll comando consente di visualizzare l'elenco di foreste di Active Directory, ovvero l'elenco "Domini", in cui è stata abilitata questa funzionalità.
Passaggio 3. Eliminare manualmente l'account computer AZUREADSSO da ogni foresta di AD elencata.
Passaggi successivi
- Guida introduttiva : iniziare a usare Microsoft Entra Seamless SSO.
- Approfondimento tecnico: informazioni sul funzionamento di questa funzionalità.
- Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi a questa funzionalità.
- UserVoice: per l'invio di richieste di nuove funzionalità.