Informazioni sulla gestione delle identità di Office 365 e Azure Active DirectoryUnderstanding Office 365 identity and Azure Active Directory

Office 365 utilizza utente basata su cloud identità e autenticazione servizio Azure Active Directory (Azure Active Directory) per gestire gli utenti. Scelta se è configurata la gestione delle identità tra l'organizzazione locale e Office 365 è una decisione anticipata tra la base dell'infrastruttura cloud. Poiché la modifica più avanti in questo configurazione può essere difficile, valutare attentamente le opzioni per determinare le soluzioni migliori per soddisfare le esigenze dell'organizzazione. È possibile scegliere tra due modelli di autenticazione principale in Office 365 per impostare e gestire account utente. l'autenticazione cloud e l'autenticazione federata.Office 365 uses the cloud-based user identity and authentication service Azure Active Directory (Azure AD) to manage users. Choosing if identity management is configured between your on-premises organization and Office 365 is an early decision that is one of the foundations of your cloud infrastructure. Because changing this configuration later can be difficult, carefully consider the options to determine what works best for the needs of your organization. You can choose from two main authentication models in Office 365 to set up and manage user accounts; cloud authentication and federated authentication.

È importante valutare con attenzione quale di questi modelli di autenticazione e identità da utilizzare per la configurazione e in esecuzione. Prendere in considerazione l'ora, complessità esistente e costo per implementare e gestire tutte le opzioni di autenticazione e identità. Questi fattori sono diversi per le organizzazioni. ed è consigliabile acquisire familiarità con i concetti chiave per le opzioni di identità che consentono di scegliere l'autenticazione e il modello di identità che si desidera utilizzare per la distribuzione.It's important to carefully consider which of these authentication and identity models to use to get up and running. Think about the time, existing complexity, and cost to implement and maintain each of the authentication and identity options. These factors are different for every organization; and you should understand the key concepts for the identity options to help you choose the authentication and identity model you want to use for your deployment.

Autenticazione cloudCloud authentication

A seconda se si dispone o non dispongono di un esistente Active Directory ambiente locale, sono disponibili diverse opzioni per gestire i servizi di autenticazione e identità per gli utenti con Office 365.Depending if you have or don't have an existing Active Directory environment on-premises, you have several options to manage authentication and identity services for your users with Office 365.

Solo cloudCloud-only

Con il modello cloud-only, vengono gestiti solo gli account utente in Office 365. Nessun server locali sono necessari; viene tutto gestito nel cloud per Azure Active Directory. Creare e gestire gli utenti nell'interfaccia di amministrazione di Office 365 o tramite Windows PowerShell i cmdlet di PowerShell e l'autenticazione e identità vengono gestite completamente nel cloud per Azure Active Directory. Il modello solo cloud in genere è una buona scelta se:With the cloud-only model, you manage your user accounts in Office 365 only. No on-premises servers are required; it's all handled in the cloud by Azure AD. You create and manage users in the Office 365 admin center or by using Windows PowerShell PowerShell cmdlets and identity and authentication are handled completely in the cloud by Azure AD. The cloud-only model is typically a good choice if:

  • È non necessario alcun altro directory utente locale.You have no other on-premises user directory.

  • Si dispone di una directory locale molto complessa e si desidera evitare il lavoro per l'integrazione con lo.You have a very complex on-premises directory and simply want to avoid the work to integrate with it.

  • Si dispone di una directory locale esistente, ma si desidera eseguire una versione di valutazione o pilota di Office 365. In seguito, è possibile associare gli utenti di cloud per gli utenti locali quando si è pronti per la connessione alla directory locale.You have an existing on-premises directory, but you want to run a trial or pilot of Office 365. Later, you can match the cloud users to on-premises users when you are ready to connect to your on-premises directory.

Per informazioni introduttive sull'identità cloud, vedere configurare Office 365 per aziende.To get started with cloud identity, see Set up Office 365 for business.

Sincronizzazione delle password hash con single sign-on semplicePassword hash sync with seamless single sign-on

Il modo più semplice per abilitare l'autenticazione per gli oggetti directory locale in Azure Active Directory. Con sincronizzazione delle hash password (PHS), sincronizzare gli oggetti di account utente di Active Directory locale con Office 365 e gestire gli utenti locale. Gli hash password utente vengono sincronizzati da Active Directory locale con Azure Active Directory in modo che gli utenti hanno lo stessa password in locale e nel cloud. Quando le password vengono modificate o reimpostare locale, i nuovi hash password vengono sincronizzate con Azure Active Directory in modo che gli utenti possono utilizzare sempre la stessa password per le risorse cloud e le risorse locali. Le password sono mai inviate per Azure Active Directory o archiviate in Azure Active Directory in testo non crittografato. Alcune funzionalità premium di Azure Active Directory, ad esempio la protezione dell'identità, richiedono PHS indipendentemente dal fatto che sia selezionato il metodo di autenticazione. Con agevole single sign-on, gli utenti vengono connessi automaticamente al Azure Active Directory quando vengono nei rispettivi dispositivi aziendali e connessi alla rete aziendale.The simplest way to enable authentication for on-premises directory objects in Azure AD. With password hash sync (PHS), you synchronize your on-premises Active Directory user account objects with Office 365 and manage your users on-premises. Hashes of user passwords are synchronized from your on-premises Active Directory to Azure AD so that the users have the same password on-premises and in the cloud. When passwords are changed or reset on-premises, the new password hashes are synchronized to Azure AD so that your users can always use the same password for cloud resources and on-premises resources. The passwords are never sent to Azure AD or stored in Azure AD in clear text. Some premium features of Azure AD, such as Identity Protection, require PHS regardless of which authentication method is selected. With seamless single sign-on, users are automatically signed in to Azure AD when they are on their corporate devices and connected to your corporate network.

Ulteriori informazioni sulla scelta di sincronizzazione delle password hash e senza problemi servizio single sign-on.Learn more about choosing password hash sync and seamless single sign-on.

Autenticazione pass-through con single sign-on semplicePass-through authentication with seamless single sign-on

Fornisce una convalida password semplice per i servizi di autenticazione Azure AD utilizzando un agente di software in esecuzione su uno o più server locali per convalidare gli utenti direttamente con Active Directory locale. Con l'autenticazione pass-through (PTA), sincronizzare gli oggetti account utente di Active Directory locale con Office 365 e gestire gli utenti locale. Consente agli utenti di accedere alla sia in locale e risorse di Office 365 e le applicazioni con il proprio account locale e una password. Questa configurazione consente di convalidare le password degli utenti direttamente a fronte di Active Directory locale senza inviare gli hash password a Office 365. Indica le società con un requisito di protezione per applicare immediatamente l'account utente locali, criteri password e le ore di accesso utilizzerà questo metodo di autenticazione. Con agevole single sign-on, gli utenti vengono connessi automaticamente al Azure Active Directory quando vengono nei rispettivi dispositivi aziendali e connessi alla rete aziendale.Provides a simple password validation for Azure AD authentication services using a software agent running on one or more on-premises servers to validate the users directly with your on-premises Active Directory. With pass-through authentication (PTA), you synchronize on-premises Active Directory user account objects with Office 365 and manage your users on-premises. Allows your users to sign in to both on-premises and Office 365 resources and applications using their on-premises account and password. This configuration validates users passwords directly against your on-premises Active Directory without sending password hashes to Office 365. Companies with a security requirement to immediately enforce on-premises user account states, password policies, and logon hours would use this authentication method. With seamless single sign-on, users are automatically signed in to Azure AD when they are on their corporate devices and connected to your corporate network.

Ulteriori informazioni sulla scelta dell'autenticazione pass-through e single sign-on senza problemi.Learn more about choosing pass-through authentication and seamless single sign-on.

Opzioni di autenticazione federataFederated authentication options

Se si dispongono di un esistente Active Directory ambiente locale, è possibile integrare con la directory di Office 365 utilizzando l'autenticazione federata per gestire i servizi di autenticazione e identità per gli utenti di Office 365.If you have an existing Active Directory environment on-premises, you can integrate Office 365 with your directory by using federated authentication to manage authentication and identity services for your users in Office 365.

Identità federata con Active Directory Federation Services (ADFS)Federated identity with Active Directory Federation Services (AD FS)

Principalmente per grandi aziende con requisiti di autenticazione più complessi, locale oggetti directory sono sincronizzati con Office 365 e gli account utente sono gestiti in locale. Con ADFS, gli utenti hanno lo stessa password in locale e nel cloud e non è necessario accedere nuovamente a utilizzare Office 365. In questo modello di autenticazione federativa può offrire i requisiti di autenticazione aggiuntivi, ad esempio l'autenticazione basata su smart card o un'autenticazione a più fattori di terze parti ed è in genere necessario quando le organizzazioni sono un requisito di autenticazione non in modo nativo supportato da Azure Active Directory.Primarily for large enterprise organizations with more complex authentication requirements, on-premises directory objects are synchronized with Office 365 and users accounts are managed on-premises. With AD FS, users have the same password on-premises and in the cloud and they do not have to sign in again to use Office 365. This federated authentication model can provide additional authentication requirements, such as smartcard-based authentication or a third-party multi-factor authentication and is typically required when organizations have an authentication requirement not natively supported by Azure AD.

Ulteriori informazioni sulla scelta di identità federata con ADFS.Learn more about choosing federated identity with AD FS.

Provider di autenticazione e identità di terze partiThird-party authentication and identity providers

Locale oggetti directory possono essere sincronizzati con Office 365 e l'accesso alle risorse cloud principalmente gestito da un provider di identità di terze parti (IdP). Se l'organizzazione utilizza una soluzione di federazione di terze parti, è possibile configurare sign-on con tale soluzione per Office 365 a condizione che la soluzione di terze parti federazione sia compatibile con Azure Active Directory.On-premises directory objects may be synchronized to Office 365 and cloud resource access is primarily managed by a third-party identity provider (IdP). If your organization uses a third-party federation solution, you can configure sign-on with that solution for Office 365 provided that the third-party federation solution is compatible with Azure AD.

Ulteriori informazioni sulla compatibilità di federazione di Azure Active Directory.Learn more about Azure AD federation compatibility.

Configurazione di identità e autenticazione con Office 365Configuring identity and authentication with Office 365

Integrare le directory locali con Office 365 e Azure Active Directory è stata semplificata con Azure Active Directory Connetti. Connetti Azure Active Directory sono il modo migliore per connettere le directory ed sono consigliato per le organizzazioni di sincronizzare gli utenti nel cloud.Integrating your on-premises directories with Office 365 and Azure AD has been simplified with Azure AD Connect. Azure AD Connect is the best way to connect your directories and is Microsoft's recommendation for organizations to sync their users to the cloud.

È inoltre possibile utilizzare i consulenti Azure Active Directory: Preparazione di Azure Active Directory Connect, advisor distribuzione ADFSe la Guida all'installazione di Azure Active Directory Premium.You can also use the Azure AD advisors: the Azure AD Connect advisor, the AD FS deployment advisor, and the Azure AD Premium setup guide.

Formazione videoVideo training

Per ulteriori informazioni, vedere il corso video Office 365: gestire le identità con Azure Active Directory Connect, per offerto da Learning LinkedIn.For more information, see the video course Office 365: Manage Identities Using Azure AD Connect, brought to you by LinkedIn Learning.