Supporto e configurazione delle identità in Microsoft Edge
In questo articolo viene descritto in che modo Microsoft Edge usa l'identità per supportare funzionalità come la sincronizzazione e l'accesso Single Sign-On (SSO). Microsoft Edge supporta l'accesso con Active Directory Domain Services (AD DS), Microsoft Entra ID e account Microsoft (MSA). Attualmente, Microsoft Edge supporta solo gli account Microsoft Entra appartenenti al cloud globale o al cloud sovrano GCC. Si sta lavorando per aggiungere il supporto per altri cloud sovrani.
Nota
Si applica a Microsoft Edge versione 77 o successiva.
Accesso al browser e funzionalità autenticate
Microsoft Edge supporta l'accesso a un profilo del browser con un ID Microsoft Entra, un account del servizio gestito o un account di dominio. Il tipo di account usato per l'accesso determina quali funzionalità autenticate sono disponibili per l'utente in Microsoft Edge. Nella tabella seguente è riepilogato il supporto delle funzionalità per ogni tipo di account.
| Funzionalità | Microsoft Entra ID | Microsoft Entra ID Gratuito | AD DS locale | MSA |
|---|---|---|---|---|
| Sincronizzazione | Sì | No | No | Sì |
| SSO con token di aggiornamento primario | Sì | Sì | No | Sì |
| Accesso SSO facile | Sì | Sì | Sì | N/D |
| Autenticazione integrata di Windows | Sì | Sì | Sì | N/D |
| Pagina Nuova scheda per utenti Enterprise | Richiede O365 | Richiede O365 | No | N/D |
| Microsoft Search | Richiede O365 | Richiede O365 | No | N/D |
Modalità di accesso a Microsoft Edge
Accesso automatico
Microsoft Edge usa l'account predefinito del sistema operativo per accedere automaticamente al browser. A seconda di come è configurato un dispositivo, gli utenti possono accedere in modo automatico a Microsoft Edge usando uno degli approcci seguenti.
- Il dispositivo è ibrido o aggiunto a AAD: disponibile in Win10, versione legacy di Windows e nelle versioni server corrispondenti. L'utente ottiene automaticamente l'accesso con il proprio account Microsoft Entra.
- Il dispositivo è aggiunto a un dominio: disponibile in Win10, versione legacy di Windows e nelle versioni server corrispondenti. Per impostazione predefinita, l'utente non ha eseguito automaticamente l'accesso. Se si vuole concedere l'accesso automatico agli utenti con account di dominio, usare i Criteri ConfigureOnPremisesAccountAutoSignIn. Se si vuole accedere automaticamente agli utenti con i propri account Microsoft Entra, prendere in considerazione l'aggiunta ibrida dei dispositivi.
- L'account predefinito del sistema operativo è MSA: Windows 10 Fall Creators Update (versione 1709/Build 10.0.16299) e versioni successive. Questo scenario è improbabile nei dispositivi aziendali. Tuttavia, se l'account predefinito del sistema operativo è MSA, Microsoft Edge accede automaticamente con l'account dell'account del servizio gestito.
Accesso manuale
Se l'utente non si connette in modo automatico a Microsoft Edge, può accedere manualmente a Microsoft Edge durante la prima esperienza di esecuzione, tramite le impostazioni del browser o aprendo il riquadro a comparsa di identità.
Gestione dell'accesso al browser
Se si vuole gestire l'accesso al browser, è possibile usare i criteri seguenti:
- Assicurarsi che gli utenti abbiano sempre un profilo di lavoro su Microsoft Edge. Vedere NonRemovableProfileEnabled
- Limitare l'accesso a un insieme di account attendibili. Vedere RestrictSigninToPattern
- Disabilitare o forzare l'accesso al browser. Vedere BrowserSignin
Uso del browser per l'accesso Single Sign-On al Web (SSO)
In alcune piattaforme è possibile configurare Microsoft Edge per consentire agli utenti di connettersi automaticamente ai siti Web. Questa opzione consente loro di evitare di immettere ogni volta le credenziali per accedere ai siti Web di lavoro, aumentando la produttività.
SSO con token di aggiornamento primario
Microsoft Edge include il supporto nativo per l'accesso Single Sign-On basato su token di aggiornamento primario (PRT) e non è necessaria un'estensione. In Windows 10 Fall Creators Update e versioni successive, se un utente ha eseguito l'accesso al profilo del browser, ottiene l'accesso SSO con il meccanismo PRT ai siti Web che supportano l'accesso SSO basato su PRT.
Un token di aggiornamento primario (PRT) è una chiave ID Entra di Microsoft usata per l'autenticazione nei dispositivi Windows 10/11, iOS e Android. Consente l'accesso Single Sign-on (SSO) alle applicazioni usate in tali dispositivi. Per altre informazioni, vedi Che cos'è un token di aggiornamento primario?.
Accesso SSO facile
Così come l'accesso SSO basato su PRT, Microsoft Edge include il supporto nativo per SSO facile che non necessita di un'estensione. In Windows 10 Fall Creators Update e versioni successive, se un utente ha eseguito l'accesso al profilo del browser, ottiene l'accesso SSO con il meccanismo PRT ai siti Web che supportano l'accesso SSO basato su PRT.
L'accesso Single Sign-On facile consente agli utenti di connettersi automaticamente quando si trovano su dispositivi aziendali connessi a una rete aziendale. Se abilitata, gli utenti non devono digitare le password per accedere a Microsoft Entra ID. In genere non devono nemmeno digitare il nome utente. Per altre informazioni, vedi Accesso Single Sign-On facile di Active Directory.
Autenticazione integrata di Windows
Microsoft Edge supporta l'autenticazione integrata Windows per le richieste di autenticazione in una rete interna dell'organizzazione per qualsiasi applicazione che usi un browser per l'autenticazione. Questo è supportato in tutte le versioni di Windows 10/11 e windows di livello inferiore. Per impostazione predefinita, Microsoft Edge usa l'area Intranet come elenco di autorizzazioni per WIA. In alternativa, è possibile personalizzare l'elenco dei server abilitati per l'autenticazione integrata tramite il criterio AuthServerAllowlist . In macOS questo criterio è necessario per abilitare l'autenticazione integrata.
Per supportare l'accesso SSO basato su WIA in Microsoft Edge (versione 77 e successive), potrebbe essere necessario eseguire alcune configurazioni lato server. Probabilmente sarà necessario configurare la proprietà Active Directory Federation Services (AD FS) WiaSupportedUserAgents per aggiungere il supporto per la nuova stringa dell'agente utente di Microsoft Edge. Per informazioni su come eseguire questa operazione vedere Visualizza impostazioni WIASupportedUserAgent e Modificare le impostazioni di WIASupportedUserAgent. Di seguito è illustrato un esempio della stringa agente utente Microsoft Edge in Windows 10 ed è possibile ottenere altre informazioni sulla Stringa Microsoft Edge UA in questa posizione.
L'esempio seguente mostra una stringa agente utente per l'ultima build del canale Dev quando questo articolo è stato pubblicato:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"
Per i servizi che richiedono la delega delle credenziali di negoziazione, Microsoft Edge supporta la delega vincolata tramite il criterio AuthNegotiateDelegateAllowlist .
Concetti di autenticazione aggiuntivi
Autenticazione proattiva
L'autenticazione proattiva è un'ottimizzazione tramite il browser dell'accesso SSO al sito Web che carica l'autenticazione frontale in determinati siti Web dei proprietari. Questa operazione migliora le prestazioni della barra degli indirizzi se l'utente usa Bing come motore di ricerca. In questo modo gli utenti avranno i risultati della ricerca personalizzati e di Microsoft Search for Business (MSB). Consente anche di consentire l'autenticazione a servizi chiave come Office New Tab Page, MSN e Microsoft Copilot.
Nota
È possibile controllare questo servizio usando i criteri ProactiveAuthWorkflowEnabled per Microsoft Edge versione 126 o successiva; o usando i criteri ProactiveAuthEnabled per Microsoft Edge versione 90 o successiva. Se si vuole configurare l'accesso al browser tra le versioni, usare i criteri BrowserSignin .
Windows Hello CredUI per l'autenticazione NTLM
Quando un sito Web consente agli utenti di connettersi tramite NTLM o i meccanismi Negotiate e SSO non è disponibile, offriamo agli utenti un'esperienza in cui possono condividere le credenziali del sistema operativo con il sito Web per soddisfare il test di autenticazione tramite Windows Hello CredUi. Questo flusso di accesso verrà visualizzato solo per gli utenti in Windows 10/11 che non ricevono l'accesso Single Sign-On durante una richiesta NTLM o Negotiate.
Accesso automatico tramite le password salvate
Se un utente salva le password in Microsoft Edge, può abilitare una funzionalità che gli consente di accedere in modo automatico ai siti Web di cui sono state salvate le credenziali. Gli utenti possono attivare e disattivare questa funzionalità spostandosi in edge://settings/passwords. Se si vuole configurare questa funzionalità, è possibile usare i Criteri di per la gestione delle password.