Account Microsoft

Si applica a

  • Windows 10

In questo argomento per i professionisti IT viene illustrato il funzionamento di un account Microsoft per migliorare la sicurezza e la privacy per gli utenti e come è possibile gestire questo tipo di account utente nell'organizzazione.

I siti, i servizi e le proprietà Microsoft, nonché i computer che eseguono Windows 10, possono utilizzare un account Microsoft come mezzo per identificare un utente. L'account Microsoft è stato precedentemente Windows Live ID. Ha segreti definiti dall'utente ed è costituito da un indirizzo di posta elettronica univoco e una password.

Quando un utente accede con un account Microsoft, il dispositivo è connesso ai servizi cloud. Molte delle impostazioni, delle preferenze e delle app dell'utente possono essere condivise tra dispositivi.

Funzionamento di un account Microsoft

L'account Microsoft consente agli utenti di accedere ai siti Web che supportano questo servizio utilizzando un singolo set di credenziali. Le credenziali degli utenti vengono convalidate da un server di autenticazione dell'account Microsoft associato a un sito Web. Il Microsoft Store è un esempio di questa associazione. Quando i nuovi utenti aizzano siti Web abilitati per l'utilizzo di account Microsoft, vengono reindirizzati al server di autenticazione più vicino, che richiede un nome utente e una password. Windows utilizza il provider di supporto per la sicurezza Schannel per aprire una connessione TLS/SSL (Transport Level Security/Secure Sockets Layer) per questa funzione. Gli utenti possono quindi utilizzare Gestione credenziali per archiviare le credenziali.

Quando gli utenti a questo tipo di accesso a siti Web abilitati all'utilizzo di un account Microsoft, nei computer viene installato un cookie con limite di tempo, che include un tag ID crittografato triplo DES. Questo tag ID crittografato è stato concordato tra il server di autenticazione e il sito Web. Questo tag ID viene inviato al sito Web e il sito Web imposta un altro cookie HTTP crittografato limitato nel computer dell'utente. Quando questi cookie sono validi, agli utenti non è richiesto di fornire un nome utente e una password. Se un utente esce attivamente dal proprio account Microsoft, questi cookie vengono rimossi.

Importante
La Windows account locale non è stata rimossa ed è comunque un'opzione da usare in ambienti gestiti.

Come vengono creati gli account Microsoft

Per evitare frodi, il sistema Microsoft verifica l'indirizzo IP quando un utente crea un account. Un utente che tenta di creare più account Microsoft con lo stesso indirizzo IP viene arrestato.

Gli account Microsoft non sono progettati per essere creati in batch, ad esempio per un gruppo di utenti di dominio all'interno dell'organizzazione.

Esistono due metodi per creare un account Microsoft:

  • Utilizzare un indirizzo di posta elettronica esistente.

    Gli utenti possono usare i propri indirizzi di posta elettronica validi per iscriversi agli account Microsoft. Il servizio trasforma l'indirizzo di posta elettronica dell'utente richiedente in un account Microsoft. Gli utenti possono anche scegliere le password personali.

  • Iscriversi per un indirizzo di posta elettronica Microsoft.

    Gli utenti possono iscriversi a un account di posta elettronica con i servizi di webmail di Microsoft. Questo account può essere utilizzato per accedere a siti Web abilitati per l'utilizzo di account Microsoft.

Modalità di protezione delle informazioni sull'account Microsoft

Le informazioni sulle credenziali vengono crittografate due volte. La prima crittografia si basa sulla password dell'account. Le credenziali vengono nuovamente crittografate quando vengono inviate tramite Internet. I dati archiviati non sono disponibili per altri utenti Microsoft o non servizi Microsoft.

  • È necessaria una password complessa.

    Le password vuote non sono consentite.

    Per ulteriori informazioni, vedere Panoramica della sicurezza dell'account Microsoft.

  • È necessaria la prova secondaria dell'identità.

    Per poter accedere per la prima volta alle informazioni e alle impostazioni dei profili utente Windows un secondo computer Windows supportato, è necessario stabilire l'attendibilità per tale dispositivo fornendo una prova secondaria di identità. A tale scopo, è possibile fornire a Windows un codice inviato a un numero di cellulare o seguendo le istruzioni inviate a un indirizzo di posta elettronica alternativo specificato da un utente nelle impostazioni dell'account.

  • Tutti i dati del profilo utente vengono crittografati nel client prima di essere trasmessi al cloud.

    Per impostazione predefinita, il roaming dei dati utente non viene evaso su una rete WWAN (Wireless Wide Area Network), proteggendo così i dati del profilo. Tutti i dati e le impostazioni che lasciano un dispositivo vengono trasmessi tramite il protocollo TLS/SSL.

Vengono aggiunte le informazioni di sicurezza dell'account Microsoft.

Gli utenti possono aggiungere informazioni di sicurezza ai propri account Microsoft tramite l'interfaccia Account nei computer che eseguono le versioni supportate di Windows. Questa funzionalità consente all'utente di aggiornare le informazioni di sicurezza fornite al momento della creazione degli account. Queste informazioni di sicurezza includono un indirizzo di posta elettronica o un numero di telefono alternativo, quindi se la password viene compromessa o dimenticata, è possibile inviare un codice di verifica per verificare la propria identità. Gli utenti possono potenzialmente usare i propri account Microsoft per archiviare i dati aziendali in un OneDrive personale o in un'app di posta elettronica, pertanto è consigliabile che il proprietario dell'account manteni queste informazioni di sicurezza aggiornate.

L'account Microsoft nell'organizzazione

Anche se l'account Microsoft è stato progettato per servire gli utenti, potresti trovare situazioni in cui gli utenti del dominio possono trarre vantaggio usando il loro account Microsoft personale nella tua azienda. Nell'elenco seguente vengono descritti alcuni vantaggi.

  • Scarica Microsoft Store app:

    Se l'organizzazione sceglie di distribuire software tramite il Microsoft Store, gli utenti possono usare i propri account Microsoft per scaricarli e usarli in un massimo di cinque dispositivi che eseguono qualsiasi versione di Windows 10, Windows 8.1, Windows 8 o Windows RT.

  • Single #A0:

    Gli utenti possono usare le credenziali dell'account Microsoft per accedere ai dispositivi che eseguono Windows 10, Windows 8.1, Windows 8 o Windows RT. In questo caso, Windows con la tua app Microsoft Store per fornire esperienze autenticate per loro. Gli utenti possono associare un account Microsoft alle proprie credenziali di accesso per le app Microsoft Store o i siti Web, in modo che queste credenziali possano essere eseguite in roaming su tutti i dispositivi che eseguono queste versioni supportate.

  • Sincronizzazione delle impostazioni personalizzate:

    Gli utenti possono associare le impostazioni del sistema operativo più comunemente usate a un account Microsoft. Queste impostazioni sono disponibili ogni volta che un utente accede con tale account su qualsiasi dispositivo che esegue una versione supportata di Windows ed è connesso al cloud. Dopo l'accesso, il dispositivo tenta automaticamente di ottenere le impostazioni dell'utente dal cloud e applicarle al dispositivo.

  • Sincronizzazione app:

    Microsoft Store app possono archiviare impostazioni specifiche dell'utente in modo che queste impostazioni siano disponibili per qualsiasi dispositivo. Come per le impostazioni del sistema operativo, queste impostazioni dell'app specifiche dell'utente sono disponibili ogni volta che l'utente accede con lo stesso account Microsoft su qualsiasi dispositivo che esegue una versione supportata di Windows ed è connesso al cloud. Dopo l'accesso, il dispositivo scarica automaticamente le impostazioni dal cloud e le applica quando l'app viene installata.

  • Servizi di social media integrati:

    Le informazioni di contatto e lo stato per gli amici e i collaboratori degli utenti rimangono automaticamente aggiornati da siti come Hotmail, Outlook, Facebook, Twitter e LinkedIn. Gli utenti possono anche accedere e condividere foto, documenti e altri file da siti come OneDrive, Facebook e Flickr.

Gestione dell'account Microsoft nel dominio

A seconda dei modelli IT e aziendali, l'introduzione di account Microsoft nell'organizzazione potrebbe aggiungere complessità o fornire soluzioni. Prima di consentire l'utilizzo di questi tipi di account nell'organizzazione, è consigliabile tenere presenti le considerazioni seguenti:

Limitare l'uso dell'account Microsoft

Le impostazioni di Criteri di gruppo seguenti consentono di controllare l'utilizzo degli account Microsoft nell'organizzazione:

Blocca tutte le autenticazioni utente dell'account Microsoft consumer

Questa impostazione controlla se gli utenti possono fornire account Microsoft per l'autenticazione per applicazioni o servizi.

Se questa impostazione è abilitata, tutte le applicazioni e i servizi nel dispositivo non possono usare gli account Microsoft per l'autenticazione. Questo vale sia per gli utenti esistenti di un dispositivo che per i nuovi utenti che possono essere aggiunti.

Tuttavia, qualsiasi applicazione o servizio che ha già autenticato un utente non sarà interessato dall'abilitazione di questa impostazione fino alla scadenza della cache di autenticazione. È consigliabile abilitare questa impostazione prima che qualsiasi utente abiliti un dispositivo per impedire la presentazione di token memorizzati nella cache.

Se questa impostazione è disabilitata o non configurata, le applicazioni e i servizi possono utilizzare gli account Microsoft per l'autenticazione. Per impostazione predefinita, questa impostazione è Disabilitata.

Questa impostazione non influisce sul fatto che gli utenti possano accedere ai dispositivi utilizzando gli account Microsoft o la possibilità per gli utenti di fornire account Microsoft tramite il browser per l'autenticazione con applicazioni basate sul Web.

Il percorso di questa impostazione è:

Configurazione computer\Modelli amministrativi\Componenti Windows\Account Microsoft

Account: blocca gli account Microsoft

Questa impostazione impedisce l'uso dell'app Impostazioni per aggiungere un account Microsoft per l'autenticazione Single #A0 (SSO) per servizi Microsoft e alcuni servizi in background oppure l'uso di un account Microsoft per l'accesso Single #A1 ad altre applicazioni o servizi.

Se questa impostazione è abilitata, sono disponibili due opzioni:

  • Gli utenti non possono aggiungere account Microsoft significa che gli account connessi esistenti possono comunque accedere al dispositivo (e vengono visualizzati nella schermata Di accesso). Tuttavia, gli utenti non possono usare l Impostazioni app per aggiungere nuovi account connessi (o connettere account locali agli account Microsoft).
  • Gli utenti non possono aggiungere o accedere con account Microsoft significa che gli utenti non possono aggiungere nuovi account connessi (o connettere account locali agli account Microsoft) o utilizzare account connessi esistenti tramite Impostazioni.

Questa impostazione non influisce sull'aggiunta di un account Microsoft per l'autenticazione delle applicazioni. Ad esempio, se questa impostazione è abilitata, un utente può comunque fornire un account Microsoft per l'autenticazione con un'applicazione come Mail, ma l'utente non può utilizzare l'account Microsoft per l'autenticazione Single #A0 per altre applicazioni o servizi (in altre parole, all'utente verrà richiesto di eseguire l'autenticazione per altre applicazioni o servizi).

Per impostazione predefinita, questa impostazione è Not defined.

Il percorso di questa impostazione è:

Configurazione computer\Impostazioni Windows\Impostazioni sicurezza\Criteri locali\Opzioni di sicurezza

Configurare gli account connessi

Gli utenti possono connettere un account Microsoft al proprio account di dominio e sincronizzare le impostazioni e le preferenze tra di essi. In questo modo gli utenti possono visualizzare lo stesso sfondo del desktop, le impostazioni dell'app, la cronologia del browser e i preferiti e altre impostazioni dell'account Microsoft sugli altri dispositivi.

Gli utenti possono disconnettere un account Microsoft dal proprio account di dominio in qualsiasi momento: in Impostazioni PCtoccare o fare clic su Utenti, toccare o fare clic su Disconnetti equindi toccare o fare clic su Fine.

Nota
La connessione di account Microsoft con account di dominio può limitare l'accesso ad alcune attività con privilegi elevati in Windows. Ad esempio, l'Utilità di pianificazione valuterà l'account Microsoft connesso per l'accesso e avrà esito negativo. In questi casi, il proprietario dell'account deve disconnettere l'account.

Effettuare il provisioning degli account Microsoft nell'organizzazione

Gli account Microsoft sono account utente privati. Non esistono metodi forniti da Microsoft per effettuare il provisioning degli account Microsoft per un'azienda. Le aziende devono utilizzare account di dominio.

Controllare l'attività dell'account

Poiché gli account Microsoft sono basati su Internet, Windows non dispone di un meccanismo per controllarne l'utilizzo fino a quando l'account non viene associato a un account di dominio. Tuttavia, questa associazione non impedisce all'utente di disconnettere l'account o di disgiungersi dal dominio. Non è possibile controllare l'attività degli account non associati al dominio.

Eseguire la reimpostazione della password

Solo il proprietario dell'account Microsoft può modificare la password. Le password possono essere modificate nel portale di accesso dell'account Microsoft.

Limitare l'installazione e l'utilizzo delle app

All'interno dell'organizzazione, puoi impostare criteri di controllo delle applicazioni per regolare l'installazione e l'utilizzo delle app per gli account Microsoft. Per altre informazioni, vedi AppLocker e app in pacchetto e Regole del programma di installazione app in pacchetto in AppLocker.

Vedi anche