Come implementare la reimpostazione della password self-serviceHow to successfully roll out self-service password reset

Per garantire un'implementazione semplice della funzionalità di reimpostazione della password self-service di Azure Active Directory (Azure AD), la maggior parte dei clienti completa la procedura seguente:To ensure a smooth rollout of the Azure Active directory (Azure AD) self-service password reset (SSPR) functionality, most customers complete the following steps:

  1. Abilitare la reimpostazione della password nella directory.Enable password reset in your directory.
  2. Configurare le autorizzazioni di Active Directory locali per il writeback delle password.Configure on-premises Active Directory permissions for password writeback.
  3. Configurare il writeback delle password per riscrivere le password da Azure AD alla directory locale.Configure password writeback to write passwords from Azure AD back to your on-premises directory.
  4. Assegnare e verificare le licenze necessarie.Assign and verify the required licenses.
  5. Stabilire se si vuole effettuare un'implementazione graduale.Determine if you want to do a gradual rollout. Per implementare gradualmente la reimpostazione della password nella directory, è possibile limitare l'accesso a un gruppo di utenti per poter eseguire il programma pilota con un gruppo specifico.If you want to roll out SSPR gradually, you can limit access to a group of users so you can pilot the program with a specific group. Per implementare un gruppo specifico, impostare l'opzione Reimpostazione delle password self-service abilitata su Selezionata e selezionare il gruppo di sicurezza a cui si vuole consentire la reimpostazione della password.To roll out to a specific group, set the Self Service Password Reset Enabled switch to Selected and select the security group you want to be able use password reset.
  6. Immettere i dati di autenticazione necessari agli utenti per la registrazione, ad esempio il telefono dell'ufficio, il telefono cellulare e l'indirizzo di posta elettronica alternativo.Populate the authentication data needed for your users to register, such as their office phone, mobile phone, and alternate email address.
  7. Personalizzare l'esperienza di accesso di Azure AD per includere le informazioni personalizzate distintive dell'azienda.Customize the Azure AD sign-in experience to include your company branding.
  8. Illustrare agli utenti l'uso della reimpostazione password self-service.Teach your users how to use SSPR. Inviare istruzioni per la registrazione e la reimpostazione delle password.Send them instructions to show them how to register and how to reset their passwords.
  9. Stabilire quando si vuole applicare la registrazione.Determine when you want to enforce registration. È possibile scegliere di applicare la registrazione in qualsiasi momento.You can choose to enforce registration at any point. È anche possibile richiedere agli utenti di riconfermare le informazioni di autenticazione dopo un certo periodo di tempo.You can also require users to reconfirm their authentication information after a certain period of time.
  10. Usare la funzionalità di creazione report.Use the reporting capability. Nel corso del tempo, è possibile riesaminare la registrazione degli utenti e l'utilizzo con la funzionalità di creazione di report di Azure AD.Over time, you can review the users registration and usage with the reporting capability that Azure AD provides.
  11. Abilitare la reimpostazione della password.Enable password reset. Quando si è pronti, abilitare la reimpostazione della password per tutti gli utenti impostando l'opzione Reimpostazione delle password self-service abilitata su Tutti.When you're ready, enable password reset for all users by setting the Self Service Password Reset Enabled switch to All.
  12. Consentire agli utenti di Windows 10 di reimpostare la password nella schermata di accesso.Enable Windows 10 users to reset their password at the login screen.

    Importante

    Testare la reimpostazione password self-service con un utente e non con un amministratore, perché Microsoft applica requisiti di autenticazione avanzata per gli account di tipo amministratore di Azure.Test SSPR with a user, rather than an administrator, as Microsoft enforces strong authentication requirements for Azure administrator accounts. Per altre informazioni sui criteri delle password amministratore, vedere l'articolo sui criteri delle password.For more information regarding the administrator password policy, see our password policy article.

Implementazione basata sulla posta elettronicaEmail-based rollout

Molti clienti ritengono che il modo più facile per invitare gli utenti a usare la reimpostazione password self-service sia una campagna di posta elettronica che includa istruzioni semplici.Many customers find that the easiest way to get users to use SSPR is with an email campaign that includes simple-to-use instructions. Sono stati creati tre semplici messaggi di posta elettronica che possono essere usati come modelli per agevolare l'implementazione:We have created three simple emails that you can use as templates to help in your rollout:

  • Presto disponibile: modello di messaggio usato nelle settimane o nei giorni precedenti l'implementazione per informare gli utenti che sarà necessario eseguire alcune operazioni.Coming soon: An email template that you use in the weeks or days before the rollout to let users know they need to do something.
  • Ora disponibile: modello di messaggio usato il giorno del lancio del programma per invitare gli utenti a eseguire la registrazione e verificare i dati di autenticazione.Available now: An email template that you use the day of the program launch to drive users to register and confirm their authentication data. Se gli utenti si registrano subito, la reimpostazione password self-service sarà disponibile al momento necessario.If users register now, they have SSPR available when they need it.
  • Promemoria di registrazione: modello di messaggio usato per alcuni giorni o settimane dopo la distribuzione per ricordare agli utenti di eseguire la registrazione e verificare i dati di autenticazione.Sign-up reminder: An email template for a few days to a few weeks after deployment to remind users to register and confirm their authentication data.

Indirizzo di posta elettronicaEmail

Creare il portale delle passwordCreate your own password portal

Molti clienti scelgono di ospitare una pagina Web e di creare una voce DNS radice, ad esempio https://passwords.contoso.com. Popolano questa pagina con collegamenti alle informazioni seguenti:Many customers choose to host a webpage and create a root DNS entry, like https://passwords.contoso.com. They populate this page with links to the following information:

In qualsiasi comunicazione cartacea o di posta elettronica inviata è possibile includere un URL personalizzato facile da ricordare al quale gli utenti possono accedere quando devono usare i servizi.In any email communications or fliers you send out you can include a branded, memorable URL that users can go to when they need to use the services. È stata creata una pagina di reimpostazione della password di esempio, che è possibile usare e personalizzare in base alle esigenze dell'organizzazione.For your benefit, we have created a sample password reset page that you can use and customize to your organization’s needs.

Usare la registrazione applicataUse enforced registration

Se si vuole che gli utenti eseguano la registrazione per la reimpostazione della password, è possibile rendere obbligatoria la registrazione quando accedono tramite Azure AD.If you want your users to register for password reset, you can require that they register when they sign in through Azure AD. È possibile abilitare questa opzione dal riquadro Reimpostazione password della directory, selezionando l'opzione Richiedere agli utenti di registrarsi all'accesso? nella scheda Registrazione.You can enable this option from your directory’s Password reset pane by enabling the Require Users to Register when Signing in option on the Registration tab.

Gli amministratori possono richiedere agli utenti di registrarsi nuovamente dopo un periodo di tempo specifico.Administrators can require users to re-register after a specific period of time. Possono impostare l'opzione Number of days before users are asked to reconfirm their authentication information (Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione) su un valore compreso tra 0 e 730 giorni.They can set the Number of days before users are asked to reconfirm their authentication information option to 0 to 730 days.

Dopo aver abilitato questa opzione, quando gli utenti accedono, visualizzano un messaggio che informa che l'amministratore ha richiesto loro di verificare le informazioni di autenticazione.After you enable this option, when users sign in they see a message that says their administrator has required them to verify their authentication information.

Popolare i dati di autenticazionePopulate authentication data

È consigliabile popolare i dati di autenticazione per gli utenti.You should populate the authentication data for your users. In questo modo non è necessario che gli utenti eseguano registrazione per la reimpostazione della password prima di poter usare la reimpostazione password self-service.That way users don't need to register for password reset before they are able to use SSPR. Se hanno fornito dati di autenticazione che soddisfano i criteri di reimpostazione della password, potranno reimpostare le proprie password.As long as users have provided the authentication data that meets the password reset policy you have defined, they are able to reset their passwords.

Disabilitare la reimpostazione password self-serviceDisable self-service password reset

La disabilitazione della reimpostazione password self-service è un'operazione semplice.It's easy to disable self-service password reset. Aprire il tenant di Azure AD e passare a Reimpostazione password > Proprietà e scegliere Nessuno in Reimpostazione password self-service abilitata.Open your Azure AD tenant and go to Password Reset > Properties, and then select None under Self Service Password Reset Enabled.

Passaggi successiviNext steps