Opzioni di creazione di rapporti per la gestione delle password di Azure ADReporting options for Azure AD password management

Dopo la distribuzione molte organizzazioni vogliono sapere come o se il servizio Reimpostazione password self-service viene effettivamente usato.After deployment, many organizations want to know how or if self-service password reset (SSPR) is really being used. La funzionalità di creazione di report disponibile in Azure Active Directory (Azure AD) consente di rispondere a domande specifiche grazie a report predefiniti.The reporting feature that Azure Active Directory (Azure AD) provides helps you answer questions by using prebuilt reports. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate.If you're appropriately licensed, you can also create custom queries.

Creazione di reportReporting

È possibile rispondere alle domande seguenti grazie ai report presenti nel portale di Azure:The following questions can be answered by the reports that exist in the Azure portal:

Nota

È necessario essere un amministratore globale e si deve acconsentire esplicitamente alla raccolta di questi dati per conto dell'organizzazione.You must be a global administrator, and you must opt-in for this data to be gathered on behalf of your organization. A tale scopo, è necessario visualizzare almeno una volta la scheda Creazione report o i log di controllo.To opt in, you must visit the Reporting tab or the audit logs at least once. I dati vengono raccolti per l'organizzazione solo dopo questa operazione.Until then, data is not collected for your organization.

  • Quante persone si sono registrate per la reimpostazione delle password?How many people have registered for password reset?
  • Chi ha eseguito la registrazione per la reimpostazione delle password?Who has registered for password reset?
  • Quali dati vengono registrati?What data are people registering?
  • Quante persone hanno reimpostato le proprie password negli ultimi sette giorni?How many people reset their passwords in the last seven days?
  • Quali sono i metodi più comuni usati da utenti o amministratori per reimpostare le proprie password?What are the most common methods that users or admins use to reset their passwords?
  • Quali sono i problemi più comuni affrontati da utenti o amministratori quando provano a usare la reimpostazione delle password?What are common problems users or admins face when attempting to use password reset?
  • Con quale frequenza gli amministratori reimpostano le proprie password?What admins are resetting their own passwords frequently?
  • Sono state rilevate eventuali attività sospette nell'ambito della reimpostazione delle password?Is there any suspicious activity going on with password reset?

Pacchetto di contenuto di Power BIPower BI content pack

Per gli utenti di Power BI è disponibile un pacchetto di contenuto per Azure AD che include funzionalità semplici da usare per la creazione di report per la reimpostazione delle password self-service.If you're a Power BI user, there is a content pack for Azure AD that includes easy-to-use reporting for SSPR. Per altre informazioni su come usare e distribuire il pacchetto di contenuto, vedere l'articolo Come usare il pacchetto di contenuto Power BI di Azure Active Directory.For more information on how to use and deploy the content pack, see How to use the Azure Active Directory Power BI content pack. Grazie al pacchetto di contenuto è possibile creare dashboard personalizzati e condividerli con altri utenti nell'organizzazione.With the content pack, you can create your own dashboards and share them with others in your organization.

Come visualizzare i rapporti di gestione delle password nel portale di AzureHow to view password management reports in the Azure portal

Nel portale di Azure è disponibile un modo migliore per visualizzare la reimpostazione delle password e l'attività di registrazione per la reimpostazione delle password.In the Azure portal experience, we have improved the way that you can view password reset and password reset registration activity. Attenersi alla procedura seguente per trovare gli eventi correlati alla reimpostazione delle password e alla registrazione per la reimpostazione delle password:Use the following the steps to find the password reset and password reset registration events:

  1. Accedere al portale di Azure.Browse to the Azure portal.
  2. Selezionare Tutti i servizi nel riquadro a sinistra.Select All services in the left pane.
  3. Cercare Azure Active Directory nell'elenco dei servizi e selezionarlo.Search for Azure Active Directory in the list of services and select it.
  4. Selezionare Utenti e gruppi.Select Users and groups.
  5. Selezionare Log di controllo dal menu Utenti e gruppi.Select Audit Logs from the Users and groups menu. Vengono visualizzati tutti gli eventi di controllo che si verificano per tutti gli utenti nella directory.This shows you all of the audit events that occurred against all the users in your directory. È possibile filtrare la visualizzazione per vedere tutti gli eventi correlati alle password.You can filter this view to see all the password-related events.
  6. Per filtrare questa visualizzazione esclusivamente in base agli eventi correlati alla reimpostazione delle password, selezionare il pulsante Filtra nella parte superiore del riquadro.To filter this view to see only the password-reset-related events, select the Filter button at the top of the pane.
  7. Dal menu Filtra selezionare l'elenco a discesa Categoria e impostare l'elemento su Self-service Password Management (Gestione delle password self-service).From the Filter menu, select the Category drop-down list, and change it to the Self-service Password Management category type.
  8. Facoltativamente, è possibile filtrare ulteriormente l'elenco scegliendo un'attività specifica in Attività.Optionally, further filter the list by choosing the specific Activity you're interested in.

Come recuperare eventi di gestione delle password dall'API relativa a report ed eventi di Azure ADHow to retrieve password management events from the Azure AD Reports and Events API

L'API di creazione di report ed eventi di Azure AD supporta il recupero di tutte le informazioni incluse nei report di reimpostazione delle password e di registrazione per la reimpostazione delle password.The Azure AD Reports and Events API supports the retrieval of all the information included in password reset and password reset registration reports. Tramite questa API è possibile scaricare eventi singoli di reimpostazione della password e di registrazione per la reimpostazione della password per l'integrazione con la tecnologia di creazione di report in uso.By using this API, you can download individual password reset and password reset registration events and integrate them with the reporting technology of your choice.

Come iniziare a usare l'API di creazione reportHow to get started with the reporting API

Per accedere a questi dati, è necessario scrivere una piccola applicazione o uno script per recuperarli dal server.To access this data, you need to write a small application or script to retrieve it from our servers. Per altre informazioni, vedere Introduzione all'API di creazione report di Azure Active Directory.For more information, see Get started with the Azure AD reporting API.

Dopo aver creato uno script di lavoro, è opportuno esaminare gli eventi di registrazione e di reimpostazione password che è possibile recuperare per soddisfare i requisiti degli scenari in uso:After you have a working script, you'll want to examine the password reset and registration events that you can retrieve to meet your scenarios:

Segnalazione dei limiti di recupero dati APIReporting API data retrieval limitations

Attualmente, l'API di creazione di report ed eventi di Azure AD recupera fino a 75.000 eventi singoli del tipo SsprActivityEvent e SsprRegistrationActivityEvent.Currently, the Azure AD Reports and Events API retrieves up to 75,000 individual events of the SsprActivityEvent and SsprRegistrationActivityEvent types. L'API copre gli ultimi 30 giorni.The API spans the last 30 days.

Se è necessario recuperare o archiviare dati oltre questo intervallo, è consigliabile salvarli in modo permanente in un database esterno e usare l'API per eseguire una query sui delta risultanti.If you need to retrieve or store data beyond this window, we suggest persisting it in an external database by using the API to query the deltas that result. È consigliabile iniziare a recuperare i dati quando nell'organizzazione si inizia a usare la funzionalità di reimpostazione delle password self-service.We recommend that you begin to retrieve this data when you start using SSPR in your organization. Rendere questi dati persistenti esternamente e quindi continuare a monitorarne i delta.Persist it externally, and then continue to track the deltas from that point forward.

Descrizione delle colonne dei report nel portale di AzureDescription of the report columns in the Azure portal

L'elenco seguente descrive in modo dettagliato le colonne dei report nel portale di Azure:The following list explains each of the report columns in the Azure portal in detail:

  • Utente : l'utente che ha provato a eseguire un'operazione di registrazione per la reimpostazione delle password.User: The user who attempted a password reset registration operation.
  • Ruolo : il ruolo dell'utente nella directory.Role: The role of the user in the directory.
  • Data e ora : la data e l'ora del tentativo.Date and Time: The date and time of the attempt.
  • Dati registrati: i dati di autenticazione specificati dall'utente durante la registrazione per la reimpostazione delle password.Data Registered: The authentication data that the user provided during password reset registration.

Descrizione dei valori dei report nel portale di AzureDescription of the report values in the Azure portal

Nella tabella seguente sono descritti i diversi valori che è possibile impostare per ogni colonna nel portale di Azure:The following table describes the different values that are you can set for each column in the Azure portal:

ColonnaColumn Valori consentiti e relativi significatiPermitted values and their meanings
Dati registratiData registered Indirizzo di posta elettronica alternativo: l'utente ha usato un indirizzo di posta elettronica alternativo o di autenticazione per autenticarsi.Alternate email: The user used an alternate email or authentication email to authenticate.

Telefono ufficio: l'utente ha usato il telefono dell'ufficio per autenticarsi.Office phone: The user used an office phone to authenticate.

Telefono cellulare: l'utente ha usato un telefono cellulare o di autenticazione per autenticarsi.Mobile phone: The user used a mobile phone or authentication phone to authenticate.

Domande di sicurezza: l'utente ha usato le domande di sicurezza per autenticarsi.Security questions: The user used security questions to authenticate.

Qualsiasi combinazione dei metodi precedenti (ad esempio, indirizzo di posta elettronica alternativo + cellulare): si verifica quando vengono specificati criteri con doppio controllo che indicano i due metodi usati dall'utente durante l'autenticazione per richiedere la reimpostazione della password.Any combination of the previous methods, for example, alternate email + mobile phone: Occurs when a two-gate policy is specified and shows which two methods the user used to authentication their password reset request.

Tipi di attività di gestione delle password self-serviceSelf-Service Password Management activity types

Vengono visualizzati i seguenti tipi di attività nella categoria degli eventi di controllo Self-Service Password Management (Gestione delle password self-service):The following activity types appear in the Self-Service Password Management audit event category:

Tipo di attività: Bloccato dalla reimpostazione self-service delle passwordActivity type: Blocked from self-service password reset

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un utente ha tentato di reimpostare una password, usato un'attività di controllo specifica o convalidato un numero di telefono più di cinque volte in 24 ore.Activity description: Indicates that a user tried to reset a password, use a specific gate, or validate a phone number more than five total times in 24 hours.
  • Activity Actor (Attore attività): l'utente per il quale è stata imposta una limitazione per ulteriori operazioni di reimpostazione.Activity actor: The user who was throttled from performing additional reset operations. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente per il quale è stata imposta una limitazione per ulteriori operazioni di reimpostazione.Activity target: The user who was throttled from performing additional reset operations. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Stato attività:Activity status:
    • Success (Operazione riuscita): indica che un utente è stato limitato dall'esecuzione di qualsiasi reimpostazione, tentativo di metodi di autenticazione alternativi o convalida di numeri di telefono aggiuntivi per le 24 ore successive.Success: Indicates that a user was throttled from performing any additional resets, attempting any additional authentication methods, or validating any additional phone numbers for the next 24 hours.
  • Activity Status Failure Reason (Motivo dell'errore sullo stato dell'attività): non applicabile.Activity status failure reason: Not applicable.

Tipo di attività: Modificare la password (self-service)Activity type: Change password (self-service)

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un utente ha eseguito una modifica della password volontaria o obbligata (a causa della scadenza).Activity description: Indicates that a user performed a voluntary, or forced (due to expiry) password change.
  • Activity Actor (Attore attività): l'utente che ha modificato la propria password.Activity actor: The user who changed their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente che ha modificato la propria password.Activity target: The user who changed their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Stati attività:Activity statuses:
    • Success (Operazione riuscita): indica che un utente ha modificato correttamente la propria password.Success: Indicates that a user successfully changed their password.
    • Failure (Operazione non riuscita): indica che un utente non è riuscito a modificare correttamente la propria password.Failure: Indicates that a user failed to change their password. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.
  • Activity Status Failure Reason (Motivo dell'errore sullo stato dell'attività):Activity status failure reason:
    • FuzzyPolicyViolationInvalidPassword: l'utente ha selezionato una password automaticamente esclusa dalle funzionalità di rilevamento delle password da escludere di Microsoft, che hanno riscontrato una password troppo comune o particolarmente debole.FuzzyPolicyViolationInvalidPassword: The user selected a password that was automatically banned because the Microsoft Banned Password Detection capabilities found it to be too common or especially weak.

Tipo di attività: Reimpostare la password (amministratore)Activity type: Reset password (by admin)

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un amministratore ha eseguito una reimpostazione della password per conto di un utente dal portale di Azure.Activity description: Indicates that an administrator performed a password reset on behalf of a user from the Azure portal.
  • Activity Actor (Attore attività): l'amministratore che ha eseguito la reimpostazione della password per conto di un altro utente finale o amministratore.Activity actor: The administrator who performed the password reset on behalf of another end user or administrator. Deve essere un amministratore globale, un amministratore di password, un amministratore utenti o un amministratore supporto tecnico.Must be either a global administrator, password administrator, user administrator, or helpdesk administrator.
  • Activity Target (Destinatario attività): l'utente la cui password è stata reimpostata.Activity target: The user whose password was reset. L'utente può essere un utente finale o un amministratore diverso.The user can be an end user or a different administrator.
  • Stati attività:Activity statuses:
    • Success (Operazione riuscita): indica che un amministratore ha reimpostato correttamente la password dell'utente.Success: Indicates that an admin successfully reset a user's password.
    • Failure (Operazione non riuscita): indica che un amministratore non è riuscito a modificare correttamente la password di un utente.Failure: Indicates that an admin failed to change a user's password. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.

Tipo di attività: Reimpostare la password (self-service)Activity type: Reset password (self-service)

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un utente ha reimpostato correttamente la propria password nel portale di reimpostazione delle password di Azure AD.Activity description: Indicates that a user successfully reset their password from the Azure AD password reset portal.
  • Activity Actor (Attore attività): l'utente che ha reimpostato la propria password.Activity actor: The user who reset their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente che ha reimpostato la propria password.Activity target: The user who reset their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Stati attività:Activity statuses:
    • Success (Operazione riuscita): indica che un utente ha reimpostato correttamente la propria password.Success: Indicates that a user successfully reset their own password.
    • Failure (Operazione non riuscita): indica che un utente non è riuscito a reimpostare correttamente la propria password.Failure: Indicates that a user failed to reset their own password. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.
  • Activity Status Failure Reason (Motivo dell'errore sullo stato dell'attività):Activity status failure reason:
    • FuzzyPolicyViolationInvalidPassword: l'amministratore ha selezionato una password automaticamente esclusa dalle funzionalità di rilevamento delle password da escludere di Microsoft, che hanno riscontrato una password troppo comune o particolarmente debole.FuzzyPolicyViolationInvalidPassword: The admin selected a password that was automatically banned because the Microsoft Banned Password Detection capabilities found it to be too common or especially weak.

Tipo di attività: Stato di avanzamento dell'attività di reimpostazione della password self-serviceActivity type: Self serve password reset flow activity progress

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica ogni passaggio specifico seguito da un utente (come il passaggio dell'attività di controllo dell'autenticazione per la reimpostazione della password) come parte del processo di reimpostazione della password.Activity description: Indicates each specific step a user proceeds through (such as passing a specific password reset authentication gate) as part of the password reset process.
  • Activity Actor (Attore attività): l'utente che ha eseguito parte della password del flusso di reimpostazione della password.Activity actor: The user who performed part of the password reset flow. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente che ha eseguito parte della password del flusso di reimpostazione della password.Activity target: The user who performed part of the password reset flow. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Stati attività:Activity statuses:
    • Success (Operazione riuscita): indica che un utente ha completato un passaggio specifico del flusso di reimpostazione della password.Success: Indicates that a user successfully completed a specific step of the password reset flow.
    • Failure (Operazione non riuscita): indica che un passaggio specifico del flusso di reimpostazione della password non è riuscito.Failure: Indicates that a specific step of the password reset flow failed. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.
  • Activity status reasons (Motivi dello stato attività): vedere la tabella seguente per tutti i motivi degli stati relativi alle attività di reimpostazione consentite.Activity status reasons: See the following table for all the permissible reset activity status reasons.

Tipo di attività: sbloccare un account utente (self-service)Activity type: Unlock a user account (self-service)

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un utente ha sbloccato il proprio account Active Directory senza reimpostare la password dal portale di reimpostazione delle password di Azure AD usando la funzionalità di Active Directory per lo sblocco dell'account senza reimpostazione.Activity description: Indicates that a user successfully unlocked their Active Directory account without resetting their password from the Azure AD password reset portal by using the Active Directory feature of account unlock without reset.
  • Activity Actor (Attore attività): l'utente che ha sbloccato il proprio account senza reimpostare la password.Activity actor: The user who unlocked their account without resetting their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente che ha sbloccato il proprio account senza reimpostare la password.Activity target: The user who unlocked their account without resetting their password. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Allowed Activity Statuses (Stati attività consentite):Allowed activity statuses:
    • Success (Operazione riuscita): indica che un utente ha sbloccato correttamente il proprio account.Success: Indicates that a user successfully unlocked their own account.
    • Failure (Operazione non riuscita): indica che un utente non è riuscito a sbloccare correttamente il proprio account.Failure: Indicates that a user failed to unlock their account. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.

Tipo di attività: Utente registrato per la reimpostazione della password self-serviceActivity type: User registered for self-service password reset

Nell'elenco seguente viene illustrata in dettaglio questa attività:The following list explains this activity in detail:

  • Activity Description (Descrizione attività): indica che un utente ha registrato tutte le informazioni necessarie per essere in grado di reimpostare la password in conformità con i criteri di reimpostazione della password del tenant attualmente specificati.Activity description: Indicates that a user has registered all the required information to be able to reset their password in accordance with the currently specified tenant password reset policy.
  • Activity Actor (Attore attività): l'utente che ha eseguito la registrazione per la reimpostazione della password.Activity actor: The user who registered for password reset. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Activity Target (Destinatario attività): l'utente che ha eseguito la registrazione per la reimpostazione della password.Activity target: The user who registered for password reset. L'utente può essere un utente finale o un amministratore.The user can be an end user or an administrator.
  • Allowed Activity Statuses (Stati attività consentite):Allowed activity statuses:

    • Success (Operazione riuscita): indica che un utente è riuscito a eseguire la registrazione per la reimpostazione della password in base ai criteri correnti.Success: Indicates that a user successfully registered for password reset in accordance with the current policy.
    • Failure (Operazione non riuscita): indica che un utente non è riuscito a eseguire la registrazione per la reimpostazione della password.Failure: Indicates that a user failed to register for password reset. È possibile selezionare la riga per visualizzare la categoria Activity Status Reason (Motivo dello stato dell'attività) per altre informazioni sulla causa dell'errore.You can select the row to see the Activity status reason category to learn more about why the failure occurred.

      Nota

      Failure (Operazione non riuscita) non significa che un utente non è in grado di reimpostare la propria password.Failure doesn't mean a user is unable to reset their own password. Indica invece che l'utente non ha completato il processo di registrazione.It means that they didn't finish the registration process. Se sull'account dell'utente sono presenti dati non verificati e corretti, ad esempio un numero di telefono non convalidato, anche se non si esegue la verifica di questo numero di telefono, l'utente può comunque usarlo per reimpostare la password.If there is unverified data on their account that's correct, such as a phone number that's not validated, even though they have not verified this phone number, they can still use it to reset their password. Per altre informazioni, vedere Cosa accade quando un utente si registra?For more information, see What happens when a user registers?.

Passaggi successiviNext steps