Funzionamento: reimpostazione della password self-service di Microsoft Entra
Microsoft Entra self-service password reset (SSPR) offre agli utenti la possibilità di modificare o reimpostare la password, senza coinvolgimento dell'amministratore o dell'help desk. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. È consigliabile questo video su come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.
Importante
Questo articolo concettuale illustra a un amministratore il funzionamento della reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.
Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.
Come funziona il processo di reimpostazione della password?
Un utente può reimpostare o modificare la password usando il portale della reimpostazione della password self-service. Devono prima registrare i metodi di autenticazione desiderati. Quando un utente accede al portale della reimpostazione della password self-service, la piattaforma Microsoft Entra ID considera i fattori seguenti:
- come localizzare la pagina
- la validità dell'account
- l'organizzazione a cui l'utente appartiene
- Dove viene gestita la password dell'utente?
Quando un utente seleziona il collegamento Impossibile accedere all'account da un'applicazione o da una pagina o passa direttamente a https://aka.ms/sspr, la lingua usata nel portale SSPR si basa sulle opzioni seguenti:
- Per impostazione predefinita, le impostazioni locali del browser vengono usate per visualizzare la reimpostazione della password self-service nella lingua appropriata. L'esperienza di reimpostazione della password viene localizzata nelle stesse lingue supportate da Microsoft 365.
- Per collegare la reimpostazione della password self-service in una lingua localizzata specifica, aggiungere
?mkt=alla fine dell'URL di reimpostazione della password insieme alle impostazioni locali necessarie.- Ad esempio, per specificare le impostazioni locali di es-us in spagnolo, usarehttps://passwordreset.microsoftonline.com/?mkt=es-us
?mkt=es-us- .
- Ad esempio, per specificare le impostazioni locali di es-us in spagnolo, usarehttps://passwordreset.microsoftonline.com/?mkt=es-us
Dopo che il portale della reimpostazione della password self-service viene visualizzato nella lingua richiesta, all'utente viene richiesto di immettere un ID utente e di passare un captcha. Microsoft Entra ID verifica ora che l'utente sia in grado di usare la reimpostazione della password self-service eseguendo i controlli seguenti:
- Verifica che l'utente disponga della reimpostazione della password self-service abilitata.
- Se l'utente non è abilitato per la reimpostazione della password self-service, all'utente viene chiesto di contattare l'amministratore per reimpostare la password.
- Verificare che per l'account dell'utente siano stati definiti i metodi di autenticazione corretti, in conformità ai criteri dell'amministratore.
- Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
- Se il criterio richiede due metodi, verificare che l'utente disponga dei dati appropriati definiti per almeno due dei metodi di autenticazione abilitati dai criteri di amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
- Se un ruolo di amministratore di Azure viene assegnato all'utente, vengono applicati i criteri di password complessa con due attività di controllo. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
- Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
- Verifica se la password dell'utente è gestita in locale, ad esempio se il tenant di Microsoft Entra usa la sincronizzazione federata, pass-through o hash delle password:
- Se il writeback della reimpostazione della password self-service è configurato e la password dell'utente viene gestita in locale, l'utente può procedere all'autenticazione e alla reimpostazione della password.
- Se il writeback della reimpostazione della password self-service non viene distribuito e la password dell'utente viene gestita in locale, all'utente viene chiesto di contattare l'amministratore per reimpostare la password.
Se tutti i controlli precedenti sono stati completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.
Nota
La reimpostazione della password self-service può inviare notifiche tramite posta elettronica agli utenti durante il processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati usando il servizio di inoltro SMTP, che opera in modalità attiva-attiva in diverse aree.
I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica SSPR che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo metadati del protocollo.
Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente:
Richiedere agli utenti di registrarsi all'accesso
È possibile abilitare l'opzione per richiedere a un utente di completare la registrazione della reimpostazione della password self-service se usano l'autenticazione moderna o il Web browser per accedere a qualsiasi applicazione usando Microsoft Entra ID. Questo flusso di lavoro include le applicazioni seguenti:
- Microsoft 365
- Interfaccia di amministrazione di Microsoft Entra
- Pannello di accesso
- Applicazioni federate
- Applicazioni personalizzate che usano Microsoft Entra ID
Quando non è necessaria la registrazione, gli utenti non vengono richiesti durante l'accesso, ma possono registrarsi manualmente. Gli utenti possono visitare https://aka.ms/ssprsetup o selezionare il collegamento Registra per la reimpostazione della password nella scheda Profilo del Pannello di accesso.
Nota
Gli utenti possono chiudere il portale di registrazione della reimpostazione della password self-service selezionando Annulla o chiudendo la finestra. Tuttavia, viene richiesto di registrarsi ogni volta che accedono fino a quando non completano la registrazione.
Questo interrupt per la registrazione per la reimpostazione della password self-service non interrompe la connessione dell'utente se è già connesso.
Riconfermare le informazioni di autenticazione
Per assicurarsi che i metodi di autenticazione siano corretti quando sono necessari per reimpostare o modificare la password, è possibile richiedere agli utenti di confermare le informazioni registrate dopo un determinato periodo di tempo. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi durante l'accesso .
Valori validi per richiedere a un utente di confermare che i metodi registrati sono compresi tra 0 e 730 giorni. L'impostazione di questo valore su 0 indica che agli utenti non viene mai chiesto di confermare le informazioni di autenticazione. Quando si usa l'esperienza di registrazione combinata, gli utenti dovranno confermare la propria identità prima di riconfermare le informazioni.
Metodi di autenticazione
Quando un utente è abilitato per la reimpostazione della password self-service, deve registrare almeno un metodo di autenticazione. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti abbiano maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.
Per la reimpostazione della password self-service sono disponibili i metodi di autenticazione seguenti:
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
- Telefono cellulare
- Telefono ufficio (disponibile solo per i tenant con sottoscrizioni a pagamento)
- Domande di sicurezza
Gli utenti possono reimpostare la password solo se registrano un metodo di autenticazione abilitato dall'amministratore.
Avviso
Gli account assegnati ai ruoli di amministratore di Azure sono necessari per usare i metodi definiti nella sezione Amministrazione istrator reset policy differenze.
Numero di metodi di autenticazione necessari
È possibile configurare il numero di metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su uno o due.
Gli utenti devono registrare più metodi di autenticazione in modo che possano accedere in un altro modo se non sono in grado di accedere a un metodo.
Se un utente non registra il numero minimo di metodi necessari, viene visualizzata una pagina di errore quando tenta di usare la reimpostazione della password self-service. Devono richiedere a un amministratore di reimpostare la password. Per altre informazioni, vedere Modificare i metodi di autenticazione.
App per dispositivi mobili e reimpostazione della password self-service
Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, ad esempio Microsoft Authenticator, le considerazioni seguenti si applicano se non è stata eseguita la migrazione di un'organizzazione ai criteri dei metodi di autenticazione centralizzati:
- Quando gli amministratori richiedono l'uso di un solo metodo per la reimpostazione di una password, il codice di verifica è l'unica opzione disponibile.
- Quando gli amministratori richiedono due metodi per reimpostare una password, gli utenti possono usare il codice di verifica OR di notifica oltre a qualsiasi altro metodo abilitato.
| Numero di metodi da reimpostare | Uno | Due |
|---|---|---|
| Funzionalità disponibili delle app per dispositivi mobili | Codice | Codice o notifica |
Gli utenti possono registrare l'app per dispositivi mobili in https://aka.ms/mfasetupo nella registrazione combinata delle informazioni di sicurezza all'indirizzo https://aka.ms/setupsecurityinfo.
Importante
Non è possibile selezionare Authenticator come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, Authenticator e un solo metodo aggiuntivo non possono essere selezionati se sono necessari due metodi.
Quando si configurano criteri di reimpostazione della password self-service che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo quando è necessario un metodo e quando si configurano due metodi è necessario selezionare almeno due metodi aggiuntivi.
Modifica dei metodi di autenticazione
Cosa succede se si inizia con un criterio che ha solo un metodo di autenticazione registrato necessario per la reimpostazione o lo sblocco e si passa a due?
| Numero di metodi registrati | Numero di metodi necessari | Risultato |
|---|---|---|
| 1 o più | 1 | Possibilità di reimpostare o sbloccare |
| 1 | 2 | Impossibilità di reimpostare o sbloccare |
| 2 o più | 2 | Possibilità di reimpostare o sbloccare |
La modifica dei metodi di autenticazione disponibili può anche causare problemi per gli utenti. Se si modificano i metodi di autenticazione disponibili, gli utenti senza la quantità minima di dati disponibili non possono usare la reimpostazione della password self-service.
Si consideri il seguente scenario di esempio:
- Il criterio originale è configurato con due metodi di autenticazione necessari. Vengono usati solo il numero di telefono ufficio e le domande di sicurezza.
- L'amministratore modifica i criteri in modo da non usare più domande di sicurezza, ma da consentire l'uso del telefono cellulare e di un indirizzo di posta elettronica alternativo.
- Gli utenti senza il telefono cellulare o i campi di posta elettronica alternativi popolati ora non possono reimpostare le password.
Notifications
Per migliorare la consapevolezza degli eventi delle password, la reimpostazione della password self-service consente di configurare le notifiche sia per gli utenti che per gli amministratori delle identità.
Inviare notifiche agli utenti al momento della reimpostazione della password
Se questa opzione è impostata su Sì, gli utenti che reimpostano la password ricevono un messaggio di posta elettronica che informa che la password è stata modificata. Il messaggio di posta elettronica viene inviato tramite il portale SSPR agli indirizzi di posta elettronica primari e alternativi archiviati in Microsoft Entra ID. Se non viene definito alcun indirizzo di posta elettronica primario o alternativo, la reimpostazione della password self-service tenterà di inviare una notifica tramite posta elettronica tramite il nome dell'entità utente (UPN). La notifica dell'evento di reimpostazione non viene inviata ad altre persone.
Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password
Se questa opzione è impostata su Sì, Global Amministrazione istrators riceve un messaggio di posta elettronica al proprio indirizzo di posta elettronica primario archiviato in Microsoft Entra ID. Questo messaggio notifica la modifica della password tramite il servizio di reimpostazione della password self-service da parte di un altro amministratore.
Nota
Le notifiche tramite posta elettronica dal servizio reimpostazione della password self-service verranno inviate dagli indirizzi seguenti in base al cloud di Azure in uso:
- Pubblico: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure gestito da 21Vianet (Azure in Cina): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure per il governo degli Stati Uniti: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Se si osservano problemi durante la ricezione di notifiche, controllare le impostazioni di posta indesiderata.
Se si desidera che gli amministratori personalizzati ricevano i messaggi di posta elettronica di notifica, usare le personalizzazioni della reimpostazione della password self-service e configurare un collegamento o un messaggio di posta elettronica del supporto tecnico personalizzato.
Integrazione locale
In un ambiente ibrido è possibile configurare Microsoft Entra Connessione sincronizzazione cloud per scrivere eventi di modifica della password da Microsoft Entra ID a una directory locale.
Microsoft Entra ID controlla la connettività ibrida corrente e fornisce messaggi nell'interfaccia di amministrazione di Microsoft Entra. Per informazioni sulla risoluzione dei possibili errori, vedere Risolvere i problemi di Microsoft Entra Connessione.
Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:
Writeback delle password nella directory locale
È possibile abilitare il writeback delle password tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Microsoft Entra Connessione.
- Se l'opzione è impostata su Sì, il writeback è abilitato. Gli utenti federati, l'autenticazione pass-through o l'hash delle password sincronizzati possono reimpostare le password.
- Se l'opzione è impostata su No, il writeback è disabilitato. Gli utenti federati, l'autenticazione pass-through o l'hash delle password sincronizzati non sono in grado di reimpostare le password.
Allow users to unlock accounts without resetting their password
Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per separare queste due operazioni.
- Se impostato su Sì, agli utenti viene assegnata la possibilità di reimpostare la password e sbloccare l'account oppure di sbloccare l'account senza dover reimpostare la password.
- Se impostato su No, gli utenti possono eseguire solo un'operazione combinata di reimpostazione della password e sblocco dell'account.
Filtri della password di Active Directory locali
La reimpostazione della password self-service esegue l'equivalente di una reimpostazione della password avviata dall'amministratore in Active Directory. Se si usa un filtro password di terze parti per applicare regole password personalizzate e si richiede che questo filtro password venga controllato durante la reimpostazione della password self-service di Microsoft Entra, assicurarsi che la soluzione di filtro password di terze parti sia configurata per l'applicazione nello scenario di reimpostazione della password amministratore. La protezione password di Microsoft Entra per i servizi di Dominio di Active Directory è supportata per impostazione predefinita.
Reimpostazione della password per utenti B2B
La modifica e la reimpostazione della password sono completamente supportate in tutte le configurazioni B2B. La reimpostazione della password di utenti B2B è supportata nei tre casi seguenti:
- Utenti di un'organizzazione partner con un tenant Microsoft Entra esistente: se il partner dispone di un tenant di Microsoft Entra, rispettiamo i criteri di reimpostazione delle password abilitati nel tenant. Per il funzionamento della reimpostazione della password, l'organizzazione partner deve solo assicurarsi che sia abilitata la reimpostazione della password self-service di Microsoft Entra. Non sono previsti altri addebiti per i clienti di Microsoft 365.
- Utenti che accedono tramite iscrizione self-service: se il partner ha usato la funzionalità di iscrizione self-service per accedere a un tenant, è possibile reimpostare la password con il messaggio di posta elettronica registrato.
- Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità B2B di Microsoft Entra possono anche reimpostare le password con il messaggio di posta elettronica registrato durante il processo di invito.
Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha definito un indirizzo di posta elettronica alternativo o un messaggio di posta elettronica di autenticazione, la reimpostazione della password funziona come previsto.
Nota
Gli account Microsoft a cui viene concesso l'accesso guest al tenant di Microsoft Entra, ad esempio quelli di Hotmail.com, Outlook.com o altri indirizzi di posta elettronica personali, non possono usare la reimpostazione della password self-service di Microsoft Entra. Per altre informazioni, vedere Quando non è possibile accedere all'account Microsoft.
Passaggi successivi
Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente: