Informazione sulla gestione delle identità di Office 365 e Azure Active Directory

Office 365 usa il servizio di autenticazione degli utenti Azure Active Directory basato sul cloud per gestire gli utenti. Per configurare e gestire gli account utente, è possibile scegliere uno dei tre modelli principali di gestione delle identità disponibili in Office 365:

Identità sul cloud. Gli account utente vengono gestiti solo in Office 365. Per la gestione degli utenti non sono necessari server locali, in quanto viene eseguita interamente nel cloud.

Identità sincronizzate. Gli oggetti directory locali vengono sincronizzati con Office 365 e gli utenti vengono gestiti in locale. È anche possibile sincronizzare le password, in modo che gli utenti abbiano la stessa password in locale e nel cloud, ma dovranno accedere di nuovo per usare Office 365.

Identità federative. Gli oggetti directory locali vengono sincronizzati con Office 365 e gli utenti vengono gestiti in locale. Gli utenti hanno la stessa password in locale e nel cloud e non devono accedere di nuovo per usare Office 365. Questo scenario è spesso definito Single Sign-On.

È importante valutare con attenzione quale modello di gestione delle identità usare per diventare immediatamente operativi. Considerare il tempo, l'attuale complessità e il costo. Questi fattori variano in base all'organizzazione. In questo argomento vengono esaminati i concetti chiave di ogni modello di gestione dell'identità per consentire di scegliere quello più appropriato per specifiche distribuzioni.

È anche possibile passare da un modello a un altro se i requisiti cambiano.

Guardare questo video per una breve panoramica sui diversi modelli di identità.

Il browser in uso non supporta le funzionalità video. Installare Microsoft Silverlight, Adobe Flash Player o Internet Explorer 9.
Identità in Office 365 per le aziende

È anche possibile usare gli assistenti di Azure Active Directory: assistente di Azure AD Connect, assistente di distribuzione AD FS, distribuzione guidata di Azure RMS e guida alla configurazione di Azure Active Directory Premium.

Gestione delle identità sul cloud

In questo modello è possibile creare e gestire gli utenti nell'Interfaccia di amministrazione di Office 365 e archiviare gli account in Azure AD. Azure AD verifica le password. Azure AD è la directory cloud usata da Office 365. Non sono necessari server locali, perché Microsoft si occupa di tutta la gestione. Quando l'identità e l'autenticazione vengono gestite completamente nel cloud, è possibile gestire gli account utente e le licenze degli utenti tramite l'Interfaccia di amministrazione di Office 365 o i cmdlet di Windows PowerShell.

La figura seguente riepiloga come gestire gli utenti nel modello di gestione delle identità sul cloud.

Nel passaggio 1 l'amministratore si connette all'Interfaccia di amministrazione di Office 365 nella piattaforma cloud Microsoft per creare o gestire gli utenti.

Nel passaggio 2 le richieste di creazione o gestione vengono passate ad Azure AD.

Nel passaggio 3, nel caso di richieste di modifica, viene apportata la modifica e copiata di nuovo nell'Interfaccia di amministrazione di Office 365.

Nel passaggio 4 i nuovi account utente e le modifiche apportate a quelli esistenti vengono copiati di nuovo nell'Interfaccia di amministrazione di Office 365.

Aggiunta di una visualizzazione Foglio dati della query alla tabella sorgente.

Perché usare le identità sul cloud? Questo modello è una scelta valida nelle situazioni seguenti:

  • Non ci sono altre directory utente locali.

  • La directory locale è molto complessa e si vuole semplicemente evitare il lavoro da fare per integrarla.

  • È disponibile una directory locale, ma si vuole eseguire una versione di valutazione o pilota di Office 365. In seguito, è possibile abbinare gli utenti sul cloud a quelli locali quando si è pronti a connettersi alla directory locale.

Per iniziare a gestire le identità sul cloud, vedere Configurare Office 365 per le aziende - Guida per gli amministratori.

Integrazione di Office 365 con un servizio directory

Se è disponibile un ambiente di directory locale, è possibile integrare Office 365 con la directory usando le identità sincronizzate, o Single Sign-On, e le identità federative per creare e gestire gli utenti in Office 365.

Identità sincronizzate

In questo modello le identità degli utenti si gestiscono in un server locale e gli account e, facoltativamente, le password si sincronizzano con il cloud. L'utente immette sia in locale che sul cloud la stessa password, che viene verificata da Azure AD all'accesso. Questo modello usa uno strumento di sincronizzazione della directory. per sincronizzare l'identità locale con Office 365.

Per configurare il modello di gestione delle identità sincronizzate, è necessario avere una directory locale da cui sincronizzare e installare uno strumento di sincronizzazione della directory. Prima di sincronizzare gli account, sarà necessario eseguire alcune verifiche della coerenza nella directory locale.

Quando usare le identità sincronizzate o federative:

Modello:

Situazioni in cui è valido:

Identità sincronizzate

Si ha una directory locale e si vogliono sincronizzare gli account utente e facoltativamente le password. Se si sincronizzano anche le password, gli utenti useranno la stessa password per accedere a risorse locali e a Office 365.

In ultima analisi si vogliono le identità federative, ma si esegue un programma pilota di Office 365 o, per qualsiasi motivo, non si è ancora pronti a dedicare tempo alla distribuzione dei server Active Directory Federation Services (ADFS).

Identità federative

È necessario uno scenario avanzato, ad esempio requisiti di federazione, dei criteri o di tipo tecnico. Per altre informazioni, vedere Identità federative.

Il diagramma seguente illustra uno scenario di identità sincronizzate con la sincronizzazione delle password. Lo strumento di sincronizzazione mantiene sincronizzate le identità degli utenti aziendali sul cloud e in locale.

Nel passaggio 1 viene installato Microsoft Azure Active Directory Connect. Per istruzioni, vedere Configurare la sincronizzazione della directory in Office 365. Per altre informazioni su Azure Active Directory Connect, vedere Integrazione delle identità locali con Azure Active Directory.

Nei passaggi 2 e 3 creare nuovi utenti nella directory locale. Lo strumento di sincronizzazione controlla periodicamente la directory locale per verificare se sono state create nuove identità. Quindi esegue il provisioning di queste identità in Azure AD, collega tra loro le identità locali e sul cloud, sincronizza le password e le rende visibili all'utente tramite l'Interfaccia di amministrazione di Office 365.

Nel passaggio 4 le modifiche apportate agli utenti nella directory locale vengono sincronizzate con Azure AD e rese disponibili tramite l'Interfaccia di amministrazione di Office 365.

Provisioning delle identità con la sincronizzazione

Per iniziare a gestire le identità sincronizzate, vedere Preparare il provisioning degli utenti tramite la sincronizzazione della directory con Office 365 e Configurare la sincronizzazione della directory in Office 365.

Identità federative

Questo modello richiede il modello delle identità sincronizzate, ma con una modifica: la password dell'utente viene verificata dal provider di identità locale. Questo significa che non è necessario sincronizzare l'hash della password con Azure AD. Questo modello usa Active Directory Federation Services (ADFS) o un provider di identità di terze parti.

Ecco alcuni motivi per cui usare le identità federative:

  • Infrastruttura esistente

    Se è già stato distribuito ADFS per qualche altro motivo, è probabile che si scelga di usarlo anche per Office 365.

    Se si usa già un altro provider di identità, si può scegliere di usare le identità federative con Office 365. Microsoft fornisce un elenco di provider di identità compatibili con Office 365.

    Se si usa Forefront Identity Manager, è probabile che si vogliano usare le identità federative con Office 365.

  • Requisiti tecnici

    Nell'ambiente Servizi di dominio Active Directory locale sono presenti più foreste.

    È disponibile una soluzione di smart card integrata in locale.

    È disponibile un'applicazione ibrida personalizzata, ad esempio con SharePoint o Microsoft Exchange Server.

  • Requisiti dei criteri

    È necessario il controllo degli accessi e/o la disabilitazione immediata.

    È necessario Single Sign-On.

    Sono presenti limitazioni dell'accesso in base a percorso di rete o orari lavorativi.

    Sono stati implementati altri criteri che richiedono le identità federative.

Il diagramma seguente illustra uno scenario di identità federative con una distribuzione ibrida locale e sul cloud. La directory locale di questo esempio è ADFS. Lo strumento di sincronizzazione mantiene sincronizzate le identità degli utenti aziendali sul cloud e in locale.

Nel passaggio 1 viene installato Azure Active Directory Connect (altre informazioni e istruzioni per il download sono disponibili qui). Lo strumento di sincronizzazione consente di mantenere aggiornato Azure AD con le modifiche più recenti apportate alla directory locale.

Per istruzioni, vedere Configurare la sincronizzazione della directory in Office 365. In particolare, sarà necessario usare un'installazione personalizzata di Azure AD Connect per configurare Single Sign-On.

Nei passaggi 2 e 3 creare nuovi utenti in Active Directory locale. Lo strumento di sincronizzazione controlla periodicamente Active Directory locale per verificare se sono state create nuove identità. Quindi esegue il provisioning di queste identità in Azure AD, collega tra loro le identità locali e sul cloud e le rende visibili all'utente tramite l'Interfaccia di amministrazione di Office 365.

Nei passaggi 4 e 5 le modifiche apportate alle identità in Active Directory locale vengono sincronizzate con Azure AD e rese disponibili tramite l'Interfaccia di amministrazione di Office 365.

Nei passaggi 6 e 7 gli utenti federati accedono con ADFS. ADFS genera un token di sicurezza che viene passato ad Azure AD. Il token viene verificato e convalidato, quindi gli utenti vengono autorizzati per Office 365.

Prima e dopo il livellamento

Portale di gestione di Azure Active Directory

Se è stato sottoscritto un abbonamento a pagamento a Office 365, Microsoft Dynamics CRM Online, Enterprise Mobility Suite o altri servizi Microsoft, si ha un abbonamento gratuito ad Azure AD. Anche se è possibile usare Azure AD per creare e gestire account utente e di gruppo, è consigliabile usare l'Interfaccia di amministrazione di Office 365. Ad esempio, anche se è possibile aggiungere utenti nel portale di gestione di Azure, è comunque necessario aggiungere licenze nell'Interfaccia di amministrazione di Office 365. È necessario attivare l'abbonamento per accedere al portale di gestione di Azure.

Per altre informazioni, vedere Domande frequenti su Azure AD Connect

Vedere anche

Integrazione di Office 365 con ambienti locali

Preparare il provisioning degli utenti tramite la sincronizzazione della directory con Office 365

Cmdlet di Windows PowerShell per Office 365

Risoluzione dei problemi di sincronizzazione della directory per Office 365

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×