Domande frequenti sulla reimpostazione della password self-service

Sì. Se la reimpostazione della password è abilitata e sono concesse in licenza, gli utenti possono accedere al portale di registrazione per la reimpostazione della password (https://aka.ms/ssprsetup) per registrare le informazioni di autenticazione. Gli utenti possono anche registrarsi tramite il Pannello di accesso (https://myapps.microsoft.com). Per la registrazione tramite il pannello di accesso, gli utenti devono selezionare la propria immagine del profilo, quindi Profilo e infine l'opzione Registrazione per reimpostazione password.

Se si abilita la registrazione combinata, gli utenti possono registrarsi contemporaneamente sia per la reimpostazione della password self-service che per l'autenticazione a più fattori Microsoft Entra.

No. Gli utenti che hanno inserito i dati di autenticazione non devono ripetere la registrazione.

Sì, è possibile farlo con Microsoft Entra Connessione, PowerShell, l'interfaccia di amministrazione di Microsoft Entra o il interfaccia di amministrazione di Microsoft 365. Per altre informazioni, vedere Dati usati dalla reimpostazione della password self-service di Microsoft Entra.

No, attualmente non è possibile.

Sì. I dati che l'utente registra usando il portale di registrazione per la reimpostazione della password vengono salvati in campi di autenticazione privati visibili solo agli amministratori globali e all'utente.

No. Se le informazioni di autenticazione definite per conto degli utenti sono sufficienti, gli utenti non dovranno eseguire la registrazione. La reimpostazione della password funziona a condizione che i dati archiviati nei campi appropriati nella directory siano nel formato corretto.

I campi che possono essere impostati da un amministratore globale vengono definiti nell'articolo Requisiti relativi ai dati di SSPR.

Il portale di registrazione per la reimpostazione della password mostra solo le opzioni che sono state abilitate per gli utenti. Queste opzioni sono disponibili nella sezione Criteri di reimpostazione password utente della scheda Configura della directory. Ad esempio, se non si abilitano domande di sicurezza, gli utenti non sono in grado di registrarsi per tale opzione.

Un utente viene considerato registrato per la reimpostazione della password self-service quando ha registrato almeno il numero di metodi necessari per reimpostare una password impostata nell'interfaccia di amministrazione di Microsoft Entra.

Sì, la reimpostazione della password include funzionalità di sicurezza per evitare un uso improprio di questa procedura.

Gli utenti possono tentare di convalidare le informazioni ,ad esempio il numero di telefono, ma se non riescono a dimostrare la propria identità cinque volte entro un periodo di 24 ore, vengono bloccati per 24 ore.

Gli utenti possono provare a convalidare un numero di telefono, un'app di autenticazione, inviare un SMS o convalidare domande di sicurezza e risposte solo cinque volte entro un'ora prima che vengano bloccati per 24 ore.

Gli utenti possono inviare un messaggio di posta elettronica massimo 10 volte nell'arco di 10 minuti, trascorsi i quali verranno bloccati per 24 ore.

I contatori vengono reimpostati dopo che un utente ha reimpostato la password.

I messaggi di posta elettronica, i messaggi di testo e le telefonate dovrebbero arrivare entro un minuto. L'intervallo normale è da 5 a 20 secondi. Se non si riceve la notifica entro questo periodo di tempo:

• Controllare la cartella della posta indesiderata.
• Controllare che il numero o l'indirizzo di posta elettronica contattato sia quello previsto.
• Controllare che i dati di autenticazione nella directory siano nel formato corretto, ad esempio +1 4255551234 o user@contoso.com.

L'interfaccia utente di reimpostazione della password, i messaggi di testo e le chiamate vocali vengono localizzate nelle stesse lingue supportate in Microsoft 365.

Il portale per la reimpostazione della password mostra il logo dell'organizzazione e consente di configurare il collegamento "Contattare l'amministratore" in modo da puntare a un indirizzo di posta elettronica o un URL personalizzato. Tutti i messaggi di posta elettronica inviati dalla funzionalità di reimpostazione della password includono nel corpo il logo, i colori e il nome dell'organizzazione e sono personalizzati in base alle impostazioni associate al nome specifico.

Provare alcuni dei suggerimenti contenuti nell'articolo relativo alla distribuzione della reimpostazione della password self-service.

Sì, la pagina funziona anche sui dispositivi mobili.

Sì. Quando un utente reimposta la password, se il writeback delle password è stato distribuito tramite Microsoft Entra Connessione, l'account dell'utente viene sbloccato automaticamente quando reimposta la password.

Se si è un cliente Microsoft Entra ID P1 o P2, è possibile installare Microsoft Identity Manager senza costi aggiuntivi e distribuire la soluzione di reimpostazione della password locale.

No, attualmente non è possibile.

È possibile configurare fino a 20 domande di sicurezza personalizzate nell'interfaccia di amministrazione di Microsoft Entra.

Le domande di sicurezza possono contenere da 3 a 200 caratteri.

Le risposte possono contenere da 3 a 40 caratteri.

Sì, vengono rifiutate.

No. Dopo che aver registrato una determinata domanda, l'utente non potrà eseguire la registrazione per quella domanda una seconda volta.

Sì, è possibile impostare un limite per la registrazione e un altro per la reimpostazione. Possono essere richieste da tre a cinque domande di sicurezza per la registrazione e da tre a cinque domande per la reimpostazione.

Si tratta del comportamento previsto. Per qualsiasi ruolo di amministratore di Azure, Microsoft applica criteri avanzati predefiniti di reimpostazione password con doppio controllo che impediscono agli amministratori di usare domande di sicurezza. Per altre informazioni su questo criterio, vedere l'articolo Criteri password e restrizioni in Microsoft Entra ID .

Dal numero totale di domande di sicurezza per cui un utente ha eseguito la registrazione viene selezionato in modo casuale un numero N di domande, dove N è il valore impostato per l'opzione Numero di domande necessarie per la reimpostazione. Se un utente ha registrato cinque domande di sicurezza ma per reimpostare una password ne sono necessarie solo tre, ad esempio, al momento della reimpostazione vengono selezionate in modo casuale e presentate solo tre delle cinque domande. Per evitare attacchi hammering sulle domande, se l'utente sbaglia le risposte alle domande, il processo di selezione ricomincia.

La durata della sessione per la reimpostazione della password è di 15 minuti. Dall'inizio dell'operazione di reimpostazione password, l'utente ha 15 minuti per completare la reimpostazione. I passcode monouso sono validi per 5 minuti durante la sessione di reimpostazione della password.

Sì, se si usa un gruppo per abilitare la reimpostazione della password self-service, è possibile rimuovere un singolo utente dal gruppo che consente agli utenti di reimpostare la propria password. Se l'utente è un amministratore globale, manterrà la possibilità di reimpostare la password; questa impostazione non può essere disabilitata.

Gli utenti possono modificare le password ovunque venga visualizzata l'immagine o l'icona del profilo, ad esempio nell'angolo in alto a destra nell'esperienza del portale di Office 365 o del pannello di accesso. Gli utenti possono modificare le password dalla pagina del profilo del pannello di accesso. È anche possibile chiedere agli utenti di modificare automaticamente le password nella pagina di accesso di Microsoft Entra se le password sono scadute. Infine, gli utenti possono passare al portale di modifica delle password di Microsoft Entra direttamente se vogliono modificare le password.

Sì, questo è attualmente possibile se si usa Active Directory Federation Services (AD FS). Se si usa AD FS, seguire le istruzioni riportate nell'articolo relativo all'invio di attestazioni per i criteri password con AD FS. Se si usa la sincronizzazione dell'hash delle password, al momento non è possibile. I criteri password delle directory locali non vengono sincronizzati e non è quindi possibile pubblicare notifiche di scadenza nelle esperienze cloud. In entrambi i casi, è anche possibile inviare notifiche agli utenti con password in scadenza tramite PowerShell.

Per gli utenti solo cloud è impossibile bloccare le modifiche delle password. Per gli utenti locali, è possibile selezionare l'opzione Cambiamento password non consentito. Gli utenti selezionati non potranno modificare la password.

I dati dovrebbero essere visualizzati in questi report in 5-10 minuti. In alcuni casi, la visualizzazione potrebbe richiedere fino a un'ora.

Per filtrare i report di gestione delle password, selezionare la piccola lente di ingrandimento all'estrema destra delle etichette di colonna, nella parte superiore del report. Per applicare filtri più avanzati, è possibile scaricare il report in Excel e creare una tabella pivot.

Nei report di gestione delle password vengono archiviati fino a 75.000 eventi di reimpostazione della password o di registrazione per la reimpostazione della password, risalendo fino a 30 giorni prima. Stiamo lavorando per espandere questo numero al fine di includere un maggior numero di eventi.

Questi report mostrano le operazioni eseguite negli ultimi 30 giorni. Per il momento, se occorre archiviare i dati, è possibile scaricare i report periodicamente e salvarli in un percorso separato.

Sì. I report di gestione delle password, sia visualizzati nell'interfaccia utente che scaricati, possono contenere un massimo di 75.000 righe.

Sì, è possibile ottenere queste informazioni dal report Attività metodi di autenticazione o dall'API per ottenere l'attività di reimpostazione della password. È anche possibile usare l'API dei log di controllo e filtrare in base agli eventi SSPR.

Per una spiegazione di quello che accade quando si abilita il writeback delle password e del flusso dei dati dal sistema all'ambiente locale, vedere Funzionamento del writeback delle password.

Il writeback delle password è immediato. Si tratta di una pipeline sincrona che funziona fondamentalmente in modo diverso rispetto alla sincronizzazione di hash della password. Il writeback delle password consente agli utenti di avere un feedback in tempo reale sulla riuscita dell'operazione di reimpostazione o modifica della propria password. L'intervallo medio per un writeback della password riuscito è inferiore a 500 ms.

Se l'ID locale è disabilitato, anche l'ID cloud e l'accesso verranno disabilitati al successivo intervallo di sincronizzazione tramite Microsoft Entra Connessione. Per impostazione predefinita, la sincronizzazione viene eseguita ogni 30 minuti.

Sì, la reimpostazione della password self-service applica e rispetta i criteri password di Active Directory locali, che includono i criteri password tipici per i domini di Active Directory nonché tutti i criteri password specifici per un utente.

Il writeback delle password funziona per gli account utente sincronizzati da Active Directory locale a Microsoft Entra ID, inclusi gli utenti federati, l'hash delle password sincronizzati e l'autenticazione pass-through.

Sì. Il writeback delle password applica validità, cronologia, complessità, filtri e qualsiasi altra restrizione eventualmente applicata alle password nel dominio locale.

Sì, il writeback delle password è sicuro. Per altre informazioni sui molti livelli di sicurezza implementati dal servizio di writeback delle password, vedere la sezione Sicurezza del writeback delle password dell'articolo Panoramica del writeback delle password.

Passaggi successivi

• Come completare l'implementazione della reimpostazione della password self-service per gli utenti
• Reimpostare o modificare la password
• Registrarsi per la reimpostazione della password self-service
• Domande sulle licenze
• Dati usati dalla reimpostazione della password self-service e dati da immettere per gli utenti
• Metodi di autenticazione disponibili per gli utenti
• Opzioni dei criteri per la reimpostazione della password self-service
• Panoramica del writeback delle password
• Come creare un report sull'attività relativa alla reimpostazione della password self-service
• Informazioni sulle opzioni della reimpostazione della password self-service
• Come risolvere i problemi di reimpostazione della password self-service