Supporto e configurazione delle identità in Microsoft Edge

In questo articolo viene descritto in che modo Microsoft Edge usa l'identità per supportare funzionalità come la sincronizzazione e l'accesso Single Sign-On (SSO). Microsoft Edge supporta l'accesso con Active Directory Domain Services (AD DS), Microsoft Entra ID e account Microsoft (MSA). Attualmente, Microsoft Edge supporta solo gli account Microsoft Entra appartenenti al cloud globale o al cloud sovrano GCC. Si sta lavorando per aggiungere il supporto per altri cloud sovrani.

Nota

Si applica a Microsoft Edge versione 77 o successiva.

Accesso al browser e funzionalità autenticate

Microsoft Edge supporta l'accesso a un profilo del browser con un ID Microsoft Entra, un account del servizio gestito o un account di dominio. Il tipo di account usato per l'accesso determina quali funzionalità autenticate sono disponibili per l'utente in Microsoft Edge. Nella tabella seguente è riepilogato il supporto delle funzionalità per ogni tipo di account.

Funzionalità Microsoft Entra ID Microsoft Entra ID Gratuito AD DS locale MSA
Sincronizzazione No No
SSO con token di aggiornamento primario No
Accesso SSO facile N/D
Autenticazione integrata di Windows N/D
Pagina Nuova scheda per utenti Enterprise Richiede O365 Richiede O365 No N/D
Microsoft Search Richiede O365 Richiede O365 No N/D

Modalità di accesso a Microsoft Edge

Accesso automatico

Microsoft Edge usa l'account predefinito del sistema operativo per accedere automaticamente al browser. A seconda di come è configurato un dispositivo, gli utenti possono accedere in modo automatico a Microsoft Edge usando uno degli approcci seguenti.

  • Il dispositivo è ibrido o aggiunto a AAD: disponibile in Win10, versione legacy di Windows e nelle versioni server corrispondenti. L'utente ottiene automaticamente l'accesso con il proprio account Microsoft Entra.
  • Il dispositivo è aggiunto a un dominio: disponibile in Win10, versione legacy di Windows e nelle versioni server corrispondenti. Per impostazione predefinita, l'utente non ha eseguito automaticamente l'accesso. Se si vuole concedere l'accesso automatico agli utenti con account di dominio, usare i Criteri ConfigureOnPremisesAccountAutoSignIn. Se si vuole accedere automaticamente agli utenti con i propri account Microsoft Entra, prendere in considerazione l'aggiunta ibrida dei dispositivi.
  • L'account predefinito del sistema operativo è MSA: Windows 10 Fall Creators Update (versione 1709/Build 10.0.16299) e versioni successive. Questo scenario è improbabile nei dispositivi aziendali. Tuttavia, se l'account predefinito del sistema operativo è MSA, Microsoft Edge accede automaticamente con l'account dell'account del servizio gestito.

Accesso manuale

Se l'utente non si connette in modo automatico a Microsoft Edge, può accedere manualmente a Microsoft Edge durante la prima esperienza di esecuzione, tramite le impostazioni del browser o aprendo il riquadro a comparsa di identità.

Gestione dell'accesso al browser

Se si vuole gestire l'accesso al browser, è possibile usare i criteri seguenti:

Uso del browser per l'accesso Single Sign-On al Web (SSO)

In alcune piattaforme è possibile configurare Microsoft Edge per consentire agli utenti di connettersi automaticamente ai siti Web. Questa opzione consente loro di evitare di immettere ogni volta le credenziali per accedere ai siti Web di lavoro, aumentando la produttività.

SSO con token di aggiornamento primario

Microsoft Edge include il supporto nativo per l'accesso Single Sign-On basato su token di aggiornamento primario (PRT) e non è necessaria un'estensione. In Windows 10 Fall Creators Update e versioni successive, se un utente ha eseguito l'accesso al profilo del browser, ottiene l'accesso SSO con il meccanismo PRT ai siti Web che supportano l'accesso SSO basato su PRT.

Un token di aggiornamento primario (PRT) è una chiave ID Entra di Microsoft usata per l'autenticazione nei dispositivi Windows 10/11, iOS e Android. Consente l'accesso Single Sign-on (SSO) alle applicazioni usate in tali dispositivi. Per altre informazioni, vedi Che cos'è un token di aggiornamento primario?.

Accesso SSO facile

Così come l'accesso SSO basato su PRT, Microsoft Edge include il supporto nativo per SSO facile che non necessita di un'estensione. In Windows 10 Fall Creators Update e versioni successive, se un utente ha eseguito l'accesso al profilo del browser, ottiene l'accesso SSO con il meccanismo PRT ai siti Web che supportano l'accesso SSO basato su PRT.

L'accesso Single Sign-On facile consente agli utenti di connettersi automaticamente quando si trovano su dispositivi aziendali connessi a una rete aziendale. Se abilitata, gli utenti non devono digitare le password per accedere a Microsoft Entra ID. In genere non devono nemmeno digitare il nome utente. Per altre informazioni, vedi Accesso Single Sign-On facile di Active Directory.

Autenticazione integrata di Windows

Microsoft Edge supporta l'autenticazione integrata Windows per le richieste di autenticazione in una rete interna dell'organizzazione per qualsiasi applicazione che usi un browser per l'autenticazione. Questo è supportato in tutte le versioni di Windows 10/11 e windows di livello inferiore. Per impostazione predefinita, Microsoft Edge usa l'area Intranet come elenco di autorizzazioni per WIA. In alternativa, è possibile personalizzare l'elenco dei server abilitati per l'autenticazione integrata tramite il criterio AuthServerAllowlist . In macOS questo criterio è necessario per abilitare l'autenticazione integrata.

Per supportare l'accesso SSO basato su WIA in Microsoft Edge (versione 77 e successive), potrebbe essere necessario eseguire alcune configurazioni lato server. Probabilmente sarà necessario configurare la proprietà Active Directory Federation Services (AD FS) WiaSupportedUserAgents per aggiungere il supporto per la nuova stringa dell'agente utente di Microsoft Edge. Per informazioni su come eseguire questa operazione vedere Visualizza impostazioni WIASupportedUserAgent e Modificare le impostazioni di WIASupportedUserAgent. Di seguito è illustrato un esempio della stringa agente utente Microsoft Edge in Windows 10 ed è possibile ottenere altre informazioni sulla Stringa Microsoft Edge UA in questa posizione.

L'esempio seguente mostra una stringa agente utente per l'ultima build del canale Dev quando questo articolo è stato pubblicato:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"

Per i servizi che richiedono la delega delle credenziali di negoziazione, Microsoft Edge supporta la delega vincolata tramite il criterio AuthNegotiateDelegateAllowlist .

Concetti di autenticazione aggiuntivi

Autenticazione proattiva

L'autenticazione proattiva è un'ottimizzazione tramite il browser dell'accesso SSO al sito Web che carica l'autenticazione frontale in determinati siti Web dei proprietari. Questa operazione migliora le prestazioni della barra degli indirizzi se l'utente usa Bing come motore di ricerca. In questo modo gli utenti avranno i risultati della ricerca personalizzati e di Microsoft Search for Business (MSB). Consente anche di consentire l'autenticazione a servizi chiave come Office New Tab Page, MSN e Microsoft Copilot.

Nota

È possibile controllare questo servizio usando i criteri ProactiveAuthWorkflowEnabled per Microsoft Edge versione 126 o successiva; o usando i criteri ProactiveAuthEnabled per Microsoft Edge versione 90 o successiva. Se si vuole configurare l'accesso al browser tra le versioni, usare i criteri BrowserSignin .

Windows Hello CredUI per l'autenticazione NTLM

Quando un sito Web consente agli utenti di connettersi tramite NTLM o i meccanismi Negotiate e SSO non è disponibile, offriamo agli utenti un'esperienza in cui possono condividere le credenziali del sistema operativo con il sito Web per soddisfare il test di autenticazione tramite Windows Hello CredUi. Questo flusso di accesso verrà visualizzato solo per gli utenti in Windows 10/11 che non ricevono l'accesso Single Sign-On durante una richiesta NTLM o Negotiate.

Accesso automatico tramite le password salvate

Se un utente salva le password in Microsoft Edge, può abilitare una funzionalità che gli consente di accedere in modo automatico ai siti Web di cui sono state salvate le credenziali. Gli utenti possono attivare e disattivare questa funzionalità spostandosi in edge://settings/passwords. Se si vuole configurare questa funzionalità, è possibile usare i Criteri di per la gestione delle password.

Vedere anche