Come disabilitare il prompt SSO sui dispositivi aziendali Windows 11

Dal 2024, sui dispositivi Windows configurati in un aaese dello spazio economico europeo viene mostrato un prompt quando un’applicazione prova a utilizzare l’account già usato per accedere a Windows. Con gli aggiornamenti di sicurezza di luglio 2026, Microsoft ha finalmente introdotto un controllo che permette agli amministratori di accettare automaticamente questa richiesta e mantenere un’esperienza SSO più coerente sui dispositivi aziendali. Vediamo come distribuirlo tramite Microsoft Intune, Group Policy, Configuration Manager o altri strumenti di gestione.

Michele Ariis

7/16/20264 min read

Da dove nasce il prompt

Microsoft aveva annunciato questa modifica a dicembre 2023, nell’ambito degli adeguamenti al Digital Markets Act per gli utenti dello Spazio Economico Europeo.

La distribuzione è iniziata a gennaio 2024 ed è stata completata entro marzo dello stesso anno su Windows 10 e Windows 11.

Quando un utente accede a Windows con un account Microsoft personale oppure con un account aziendale o scolastico Microsoft Entra ID, la prima applicazione compatibile può mostrare un messaggio che chiede se utilizzare lo stesso account anche per l’accesso alle altre applicazioni Microsoft.

Se l’utente seleziona Continua, l’account già presente in Windows viene utilizzato per il Single Sign-On e il prompt normalmente non viene più mostrato su quel dispositivo.

Sui dispositivi personali questa scelta può avere senso; sui dispositivi aziendali già gestiti, invece, può introdurre un passaggio poco utile e generare dubbi o richieste al supporto IT.

Fino ad oggi, inoltre, Microsoft non supportava la possibilità di nascondere o accettare automaticamente il messaggio tramite una configurazione amministrativa.

Il nuovo controllo amministrativo

Con gli aggiornamenti di sicurezza di luglio 2026, Microsoft ha introdotto una policy che consente agli amministratori di accettare automaticamente il prompt sui dispositivi aziendali gestiti.

La configurazione viene applicata tramite il seguente valore di registro:

Percorso: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AAD

Nome: AutoAcceptSsoPermission

Tipo: REG_DWORD

Valore: 1

Impostando AutoAcceptSsoPermission su 1, Windows autorizza automaticamente l’utilizzo dell’account aziendale già configurato sul dispositivo.

Il prompt non viene più mostrato e l’utente può continuare a utilizzare il Single Sign-On nelle applicazioni compatibili senza dover confermare manualmente la scelta.

Questa impostazione non disabilita quindi il Single Sign-On; al contrario, permette di mantenere un’esperienza di accesso più trasparente sui dispositivi aziendali.

Requisiti

La configurazione richiede;

  • Windows 11 24H2 o Windows 11 25H2

  • aggiornamento di sicurezza di luglio 2026 KB5101650 o successivo

  • dispositivo gestito dall’organizzazione

  • account aziendale o scolastico Microsoft Entra ID

La KB5101650 è stata pubblicata il 14 luglio 2026 per Windows 11 24H2 e Windows 11 25H2

Prima della distribuzione è quindi importante verificare che i dispositivi interessati abbiano installato l’aggiornamento richiesto o una versione successiva;

Al momento della pubblicazione, Microsoft ha temporaneamente sospeso la distribuzione della KB5101650 su un numero limitato di dispositivi Dell che utilizzano driver Intel Innovation Platform Framework, a causa di una incompatibilità in fase di verifica;

Distribuzione tramite Microsoft Intune

Al momento la configurazione non è ancora disponibile nel Settings Catalog di Microsoft Intune.

Prepariamo il file .ps1 da caricare su Intune (di seguito il link per scaricare il file .txt da rinominare in .ps1)

Il metodo più semplice è quindi distribuirla tramite uno script PowerShell eseguito nel contesto di sistema

Andiamo su Intune admin center - Device - Windows - Scripts and remediations - Platform scripts e clicchiamo su Add

Diamo un nome alla nostra policy e clicchiamo su Next

Carichiamo lo script e configuriamo le varie impostazioni come mostrato nell’immagine seguente e clicchiamo su Next

Selezioniamo il gruppo o i gruppi di dispositivi oppure i gruppi di utenti a cui desideriamo applicare lo script facendo clic su Add groups, quindi selezioniamo Next (consiglio di applicarlo a gruppi di Device)

Verifichiamo sia tutto corretto e clicchiamo su Create

In alternativa è possibile utilizzare le Proactive Remediations, soprattutto se si vuole controllare periodicamente che il valore sia ancora presente e impostato correttamente

Altri metodi di distribuzione

La configurazione non è legata esclusivamente a Microsoft Intune.

Lo stesso valore può essere distribuito tramite.

  • Group Policy

  • Microsoft Configuration Manager

  • un altro sistema MDM

  • qualsiasi altro strumento in grado di distribuire policy o modifiche al registro di Windows

Il valore deve essere creato nel ramo HKEY_LOCAL_MACHINE; la distribuzione deve quindi avvenire nel contesto del dispositivo e con privilegi amministrativi.

Cosa non cambia

AutoAcceptSsoPermission controlla solamente l’autorizzazione all’utilizzo dell’account Windows per il Single Sign-On.

La configurazione non modifica le policy di Conditional Access, non disabilita MFA e non evita eventuali richieste di autenticazione aggiuntive.

Se una policy richiede MFA, una determinata authentication strength, una nuova autenticazione o il rispetto di specifiche condizioni di accesso, la richiesta continuerà a essere applicata normalmente.

Considerazioni finali

La possibilità di gestire centralmente questo prompt era attesa da tempo negli ambienti aziendali.

Sui dispositivi personali è corretto lasciare la scelta all’utente; sui dispositivi aziendali già amministrati, invece, il prompt può rappresentare solamente un passaggio aggiuntivo e poco chiaro.

Con AutoAcceptSsoPermission, gli amministratori possono finalmente mantenere un’esperienza Single Sign-On più lineare e coerente sui dispositivi Windows gestiti.

La configurazione è semplice e può essere distribuita tramite Intune, Group Policy, Configuration Manager o gli strumenti di gestione già utilizzati in azienda.

Come sempre, prima del rollout generale è consigliabile effettuare un test su un gruppo pilota e verificare che i dispositivi abbiano installato la KB5101650 o un aggiornamento successivo.