Preparare l'accesso alle risorse locali
In Desktop gestito da Microsoft i dispositivi vengono aggiunti automaticamente all Microsoft Entra ID. Per questo motivo, se si usa un Active Directory locale, è necessario assicurarsi che i dispositivi aggiunti all Microsoft Entra ID possano comunicare con il Active Directory locale.
Nota
L'aggiunta Microsoft Entra ibrido non è supportata da Microsoft Managed Desktop.
Microsoft Entra ID consente agli utenti di sfruttare single Sign-On (SSO). Single Sign-On significa che in genere non dovranno fornire credenziali ogni volta che usano le risorse.
Per informazioni sull'aggiunta di Microsoft Entra ID, vedere Procedura: Pianificare l'implementazione del join Microsoft Entra. Per informazioni di base sul single Sign-On (SSO) nei dispositivi aggiunti all'ID Microsoft Entra, vedere Funzionamento dell'accesso SSO alle risorse locali nei dispositivi aggiunti Microsoft Entra.
Questo articolo illustra gli elementi da controllare per garantire che le app e altre risorse che dipendono dalla connettività di Active Directory locale funzionino correttamente con Microsoft Managed Desktop.
Single Sign-On per le risorse locali
Single Sign-On (SSO) tramite UPN e password è abilitato per impostazione predefinita sui dispositivi Microsoft Managed Desktop. Ma gli utenti possono anche usare Windows Hello for Business, che richiede alcuni passaggi di configurazione aggiuntivi.
Single Sign-On tramite UPN e password
Nella maggior parte delle organizzazioni, gli utenti potranno usare l'accesso SSO per l'autenticazione tramite UPN e password sui dispositivi Microsoft Managed Desktop. Per assicurarsi che questa funzione funzioni, è consigliabile controllare gli elementi seguenti:
- Verificare che Microsoft Entra Connect sia configurato. Deve utilizzare un server Active Directory locale che esegue Windows Server 2008 R2 o versione successiva.
- Verificare che Microsoft Entra Connect esegua una versione supportata. Deve essere impostato per sincronizzare questi tre attributi con Microsoft Entra ID:
- Nome di dominio DNS di Active Directory locale (dove si trovano gli utenti).
- NetBIOS di Active Directory locale (dove si trovano gli utenti).
- Nome dell'account SAM dell'utente.
Single Sign-On tramite Windows Hello for Business
I dispositivi Microsoft Managed Desktop offrono anche agli utenti un'esperienza veloce e senza password usando Windows Hello for Business. Per assicurarsi che Windows Hello for Business funzionino senza che gli utenti debbano fornire i rispettivi UPN e password, visitare Configurare i dispositivi aggiunti Microsoft Entra per Single-Sign locale On using Windows Hello for Business per verificare i requisiti e quindi seguire i passaggi forniti.
App e risorse che usano l'autenticazione
Fare riferimento a Informazioni sulle considerazioni relative alle applicazioni e alle risorse nel set di contenuto di Azure per indicazioni complete sulla configurazione delle app per l'uso con l'ID Microsoft Entra. Riepilogo:
| App o servizio | Attività |
|---|---|
| App basate sul cloud | Se si usano app basate sul cloud, ad esempio quelle aggiunte alla raccolta di app Microsoft Entra, la maggior parte non richiede ulteriori preparativi per l'uso con Microsoft Managed Desktop. Tuttavia, qualsiasi app Win32 che non usa Web Account Manager (WAM) potrebbe comunque richiedere l'autenticazione agli utenti. |
| App ospitate in locale | Per le app ospitate in locale, assicurarsi di aggiungere tali app all'elenco siti attendibili nei browser. Questo passaggio consentirà il funzionamento senza problemi dell’autenticazione di Windows, senza che agli utenti vengano richieste le credenziali. Per aggiungere app, vedere Siti attendibili nel riferimento alle impostazioni configurabili. |
| Active Directory Federated Services | Se si usano gli Active Directory Federated Services, verificare che l'accesso Single Sign-On sia abilitato seguendo la procedura descritta in Verificare e gestire l'accesso Single Sign-On con AD FS. |
| App locali che usano protocolli meno recenti | Per le app locali e che usano protocolli meno recenti, non è necessaria alcuna configurazione aggiuntiva, purché i dispositivi abbiano accesso a un controller di dominio locale per l'autenticazione. Per fornire l'accesso sicuro per queste applicazioni, tuttavia, è necessario distribuire Microsoft Entra proxy di applicazione. Per altre informazioni, vedere Accesso remoto alle applicazioni locali tramite Microsoft Entra proxy di applicazione. |
| App locali con autenticazione nel computer | Le app eseguite in locale e basate sull'autenticazione del computer non sono supportate, quindi è consigliabile sostituirle con versioni più recenti. |
Condivisioni di rete che usano l'autenticazione
Non è necessaria alcuna configurazione aggiuntiva per consentire agli utenti di accedere alle condivisioni di rete, purché i dispositivi abbiano accesso a un controller di dominio locale usando un percorso UNC.
Stampanti
I dispositivi Microsoft Managed Desktop non possono connettersi alle stampanti pubblicate in Active Directory locale a meno che non sia stata configurata la stampa cloud ibrida.
Anche se le stampanti non possono essere individuate automaticamente in un ambiente solo cloud, gli utenti possono usare le stampanti locali usando il percorso della stampante o il percorso della coda della stampante, purché i dispositivi abbiano accesso a un controller di dominio locale.