Accesso Single Sign-On facile di Microsoft Entra
Che cos'è l'accesso Single Sign-On facile di Microsoft Entra?
L'accesso Single Sign-On (SSO) facile di Microsoft Entra consente agli utenti di eseguire l'accesso automaticamente dai dispositivi di proprietà dell'azienda connessi alla rete aziendale. Quando è abilitato, gli utenti non hanno bisogno di digitare le password per accedere a Microsoft Entra ID e, di solito non devono digitare nemmeno i nomi utente. Gli utenti possono accedere facilmente alle applicazioni basate sul cloud senza usare componenti aggiuntivi in locale.
L'accesso SSO facile può essere combinato con i metodi di accesso Sincronizzazione dell'hash delle password o Autenticazione pass-through. L'accesso Single Sign-On facile non è applicabile ad Active Directory Federation Services (AD FS).
SSO tramite token di aggiornamento primario e Accesso Single Sign-On facile
Per Windows 10, Windows Server 2016 e versioni successive, è consigliabile usare l'accesso SSO tramite token di aggiornamento primario (PRT). Per Windows 7 e Windows 8.1, è consigliabile usare l'accesso Single Sign-On facile. L'accesso Single Sign-On facile richiede che il dispositivo dell'utente sia aggiunto a un dominio, ma non viene usato nei dispositivi aggiunti a Microsoft Entra a Windows 10 o nei dispositivi aggiunti a Microsoft Entra ibrido. L'accesso Single Sign-On in Microsoft Entra, l'aggiunta ibrida a Microsoft Entra e i dispositivi registrati di Microsoft Entra funzionano in base al token di aggiornamento primario (PRT)
L'accesso SSO tramite token di aggiornamento primario funziona dopo che i dispositivi sono stati registrati con Microsoft Entra ID per i dispositivi aggiunti a Microsoft Entra ibridi, aggiunti a Microsoft Entra o i dispositivi personali registrati tramite Aggiungi account aziendale o dell'istituto di istruzione. Per altre informazioni sul funzionamento dell'accesso Single Sign-On con Windows 10 tramite PRT, vedere: Primary Refresh Token (PRT) e Microsoft Entra ID
Vantaggi chiave
- Miglioramento dell'esperienza utente
- Gli utenti accedono automaticamente sia alle applicazioni locali sia a quelle basate su cloud.
- Gli utenti non devono inserire ripetutamente le password.
- Facilità di distribuzione e gestione
- Non sono necessari componenti aggiuntivi locali per usare la funzionalità.
- Funziona con qualsiasi metodo di autenticazione cloud: Sincronizzazione dell'hash delle password o Autenticazione pass-through.
- Può essere implementato per alcuni o tutti gli utenti usando Criteri di gruppo.
- Registrare dispositivi non Windows 10 con MICROSOFT Entra ID senza la necessità di un'infrastruttura AD FS. Per questa funzionalità è necessaria la versione 2.1 o successiva del client Workplace Join.
Caratteristiche essenziali delle funzionalità
- Il nome utente di accesso può essere il nome utente predefinito locale (
userPrincipalName
) o un altro attributo configurato in Microsoft Entra Connessione (Alternate ID
). Entrambi i casi d'uso funzionano perché Seamless SSO usa l'attestazionesecurityIdentifier
nel ticket Kerberos per cercare l'oggetto utente corrispondente in Microsoft Entra ID. - L'accesso SSO facile è una funzionalità opportunistica. Se per qualsiasi motivo non riesce, l'esperienza di accesso dell'utente riprende il suo comportamento normale, ovvero l'utente deve inserire la propria password nella pagina di accesso.
- Se un'applicazione (ad esempio,
https://myapps.microsoft.com/contoso.com
) inoltra undomain_hint
parametro (OpenID Connessione) owhr
(SAML), che identifica il tenant ologin_hint
il parametro , identificando l'utente, nella richiesta di accesso di Microsoft Entra, gli utenti vengono connessi automaticamente senza immettere nomi utente o password. - Gli utenti ottengono anche un'esperienza di accesso invisibile all'utente se un'applicazione , ad esempio ,
https://contoso.sharepoint.com
invia richieste di accesso agli endpoint dell'ID Di Microsoft Entra configurati come tenant,https://login.microsoftonline.com/contoso.com/<..>
ovvero ohttps://login.microsoftonline.com/<tenant_ID>/<..>
, anziché l'endpoint comune dell'ID Microsoft Entra,https://login.microsoftonline.com/common/<...>
ovvero . - La disconnessione non è supportata. In questo modo gli utenti possono scegliere un altro account Microsoft Entra per l'accesso, anziché accedere automaticamente con Seamless SSO.
- I client Microsoft 365 Win32 (Outlook, Word, Excel e altri) con versioni 16.0.8730.xxxx e successive sono supportati usando un flusso non interattivo. Per OneDrive, è necessario attivare la funzionalità di configurazione invisibile all'utente di OneDrive per un'esperienza di accesso automatico.
- Può essere abilitata tramite la funzionalità di connessione di Microsoft Entra.
- Questa è una funzionalità gratuita e non è necessaria alcuna edizione a pagamento di Microsoft Entra ID per usarla.
- È supportato nei client basati su Web browser e nei client di Office che supportano l'autenticazione moderna su piattaforme e browser in grado di eseguire l'autenticazione Kerberos:
SO\Browser | Internet Explorer | Microsoft Edge* | Google Chrome | Mozilla Firefox | Safari |
---|---|---|---|---|---|
Windows 10 | Sì* | Sì | Sì | Sì*** | N/D |
Windows 8.1 | Sì* | Sì**** | Sì | Sì*** | N/D |
Windows 8 | Sì* | N/D | Sì | Sì*** | N/D |
Windows Server 2012 R2 o versione successiva | Sì** | N/D | Sì | Sì*** | N/D |
Mac OS X | N/D | N/D | Sì*** | Sì*** | Sì*** |
Nota
Microsoft Edge legacy non è più supportato
*Richiede Internet Explorer versione 11 o successiva. (A partire dal 17 agosto 2021, le app e i servizi di Microsoft 365 non supporterà Internet Explorer 11).
**Richiede Internet Explorer versione 11 o successiva. Disabilitare la modalità protetta avanzata.
Richiede una configurazione aggiuntiva.
Microsoft Edge basato su Chromium
Passaggi successivi
- Avvio rapido: iniziare a usare l'accesso Single Sign-On facile di Microsoft Entra.
- Piano di distribuzione - Piano di distribuzione dettagliato.
- Approfondimento tecnico: informazioni sul funzionamento di questa funzionalità.
- Domande frequenti: risposte alle domande più frequenti.
- Risoluzione dei problemi: informazioni su come risolvere i problemi comuni relativi a questa funzionalità.
- UserVoice: per l'invio di richieste di nuove funzionalità.