Funzionamento: reimpostazione self-service della password di Azure AD

La reimpostazione della password self-service di Azure Active Directory (Azure AD) consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Questo video illustra come abilitare e configurare la funzionalità di SSPR in Azure AD.

Importante

Questo articolo concettuale illustra a un amministratore il funzionamento della reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service ed è necessario accedere nuovamente all'account, passare a https://aka.ms/sspr .

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

Come funziona il processo di reimpostazione della password?

Un utente può reimpostare o modificare la password usando il portale della reimpostazione della password self-service. Devono prima aver registrato i metodi di autenticazione desiderati. Quando un utente accede al portale della password self-service, la piattaforma Azure considera i fattori seguenti:

  • come localizzare la pagina
  • la validità dell'account
  • l'organizzazione a cui l'utente appartiene
  • Dove viene gestita la password dell'utente?
  • se l'utente ha una licenza per usare la funzionalità

Quando un utente seleziona il collegamento Non è possibile accedere all'account da un'applicazione o da una pagina o passa direttamente a , la lingua usata nel portale SSPR si basa sulle https://aka.ms/sspr opzioni seguenti:

  • Per impostazione predefinita, le impostazioni locali del browser vengono usate per visualizzare la SSPR nella lingua appropriata. L'esperienza di reimpostazione della password è localizzata nelle stesse lingue Microsoft 365 supporta.
  • Se si vuole creare un collegamento alla reimpostazione della password di reimpostazione della password in una lingua localizzata specifica, aggiungere alla fine dell'URL di reimpostazione della password insieme ?mkt= alle impostazioni locali necessarie.

Quando il portale SSPR viene visualizzato nella lingua richiesta, all'utente viene richiesto di immettere un ID utente e passare un captcha. Azure AD ora verifica che l'utente sia in grado di usare la password SSPR eseguendo i controlli seguenti:

  • Verifica che all'utente sia abilitata la funzionalità di SSPR e che gli sia stata assegnata Azure AD licenza.
    • Se l'utente non è abilitato per la reimpostazione della password utente o non ha una licenza assegnata, l'utente deve contattare l'amministratore per reimpostare la password.
  • Verificare che per l'account dell'utente siano stati definiti i metodi di autenticazione corretti, in conformità ai criteri dell'amministratore.
    • Se il criterio richiede un solo metodo, verificare che l'utente abbia i dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri dell'amministratore.
      • Se i metodi di autenticazione non sono configurati, è consigliabile contattare l'amministratore per reimpostare la password.
    • Se il criterio richiede due metodi, verificare che l'utente abbia i dati appropriati definiti per almeno due dei metodi di autenticazione abilitati dai criteri dell'amministratore.
      • Se i metodi di autenticazione non sono configurati, è consigliabile contattare l'amministratore per reimpostare la password.
    • Se un ruolo di amministratore di Azure viene assegnato all'utente, vengono applicati i criteri di password complessa con due attività di controllo. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
  • Verifica se la password dell'utente è gestita in locale, ad esempio se il tenant di Azure AD usa l'autenticazione federata, pass-through o la sincronizzazione dell'hash delle password:
    • Se il writeback SSPR è configurato e la password dell'utente è gestita in locale, l'utente può procedere con l'autenticazione e la reimpostazione della password.
    • Se il writeback SSPR non viene distribuito e la password dell'utente è gestita in locale, all'utente viene richiesto di contattare l'amministratore per reimpostare la password.

Se tutti i controlli precedenti vengono completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.

Nota

La reimpostazione della password utente può inviare notifiche tramite posta elettronica agli utenti come parte del processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati tramite il servizio di inoltro SMTP, che opera in modalità attivo-attivo in diverse aree.

I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica SSPR che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo i metadati del protocollo.

Per iniziare a usare la SSPR, completare l'esercitazione seguente:

Richiedere agli utenti di registrarsi all'accesso

È possibile abilitare l'opzione per richiedere a un utente di completare la registrazione SSPR se usa l'autenticazione moderna o un Web browser per accedere a qualsiasi applicazione usando Azure AD. Questo flusso di lavoro include le applicazioni seguenti:

  • Microsoft 365
  • Portale di Azure
  • Pannello di accesso
  • Applicazioni federate
  • Applicazioni personalizzate che usano Azure AD

Quando non è necessaria la registrazione, gli utenti non vengono richiesti durante l'accesso, ma possono eseguire la registrazione manualmente. Gli utenti possono visitare o selezionare il collegamento Registra per la https://aka.ms/ssprsetup reimpostazione della password nella scheda Profilo del Pannello di accesso.

Opzioni di registrazione per la SSPR nel portale di Azure

Nota

Gli utenti possono chiudere il portale di registrazione della SSPR selezionando Annulla o chiudendo la finestra. Tuttavia, viene richiesto di eseguire la registrazione ogni volta che effettuano l'accesso fino a quando non completano la registrazione.

Questo interrupt per la registrazione per la SSPR non interrompe la connessione dell'utente se è già stato eseguito l'accesso.

Riconfermare le informazioni di autenticazione

Per assicurarsi che i metodi di autenticazione siano corretti quando è necessario reimpostare o modificare la password, è possibile richiedere agli utenti di confermare le informazioni registrate dopo un determinato periodo di tempo. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi all'accesso.

Valori validi per richiedere all'utente di confermare che i metodi registrati sono da 0 a 730 giorni. L'impostazione di questo valore su 0 indica che agli utenti non viene mai richiesto di confermare le informazioni di autenticazione. Quando si usa l'esperienza di registrazione combinata, agli utenti verrà richiesto di confermare la propria identità prima di riconfermare le informazioni.

Metodi di autenticazione

Quando un utente è abilitato per la password SSPR, deve registrare almeno un metodo di autenticazione. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti siano più flessibili nel caso in cui non siano in grado di accedere a un metodo quando necessario. Per altre informazioni, vedere Che cosa sono i metodi di autenticazione?.

Per la reimpostazione della password self-service sono disponibili i metodi di autenticazione seguenti:

  • Notifica dell'app per dispositivi mobili
  • Codice app per dispositivi mobili
  • E-mail
  • Cellulare
  • Office telefono (disponibile solo per i tenant con sottoscrizioni a pagamento)
  • Domande di sicurezza

Gli utenti possono reimpostare la password solo se hanno registrato un metodo di autenticazione abilitato dall'amministratore.

Avviso

Gli account assegnati ai ruoli di amministratore di Azure sono necessari per usare i metodi definiti nella sezione Differenze dei criteri di reimpostazione dell'amministratore.

Selezione dei metodi di autenticazione nel portale di Azure

Numero di metodi di autenticazione necessari

È possibile configurare il numero di metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su uno o due.

Gli utenti possono e devono registrare più metodi di autenticazione. Anche in questo caso, è consigliabile che gli utenti registrino due o più metodi di autenticazione in modo da avere maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario.

Se un utente non ha il numero minimo di metodi necessari registrati quando tenta di usare la reimpostazione della password password utente, viene visualizzata una pagina di errore che richiede a un amministratore di reimpostare la password. Fare attenzione se si aumenta il numero di metodi necessari da uno a due se gli utenti esistenti sono registrati per la SSPR e non sono quindi in grado di usare la funzionalità. Per altre informazioni, vedere la sezione seguente per modificare i metodi di autenticazione.

App per dispositivi mobili e SSPR

Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, come l'app Microsoft Authenticator, si applicano le considerazioni seguenti:

  • Quando gli amministratori richiedono l'uso di un solo metodo per la reimpostazione di una password, il codice di verifica è l'unica opzione disponibile.
  • Quando gli amministratori richiedono l'uso di due metodi per reimpostare una password, gli utenti possono usare il codice di notifica o di verifica oltre a qualsiasi altro metodo abilitato.
Numero di metodi da reimpostare Uno Due
Funzionalità disponibili delle app per dispositivi mobili Codice Codice o notifica

Gli utenti non hanno la possibilità di registrare l'app per dispositivi mobili durante la registrazione per la reimpostazione della password self-service da https://aka.ms/ssprsetup . Gli utenti possono registrare l'app per dispositivi https://aka.ms/mfasetup mobili all'indirizzo o nella registrazione combinata delle informazioni di sicurezza all'indirizzo https://aka.ms/setupsecurityinfo .

Importante

L Authenticator app non può essere selezionata come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, l'app Authenticator e un solo metodo aggiuntivo non possono essere selezionati quando sono necessarie due metodi.

Quando si configurano criteri SSPR che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo quando è necessario un metodo e quando si configurano due metodi è necessario selezionare almeno due metodi aggiuntivi.

Questo requisito è dovuto al fatto che l'esperienza di registrazione SSPR corrente non include l'opzione per registrare l'app di autenticazione. L'opzione per registrare l'app di autenticazione è inclusa nella nuova esperienza di registrazione combinata.

Se si consentono criteri che usano solo l'app Authenticator (quando è necessario un metodo) o l'app Authenticator e un solo metodo aggiuntivo (quando sono necessari due metodi), gli utenti potrebbero essere bloccati dalla registrazione per la richiesta di password di accesso remoto fino a quando non sono configurati per usare la nuova esperienza di registrazione combinata.

Modifica dei metodi di autenticazione

Cosa succede se si inizia con un criterio che ha solo un metodo di autenticazione registrato necessario per la reimpostazione o lo sblocco e si passa a due?

Numero di metodi registrati Numero di metodi necessari Result
1 o più 1 Possibilità di reimpostare o sbloccare
1 2 Impossibilità di reimpostare o sbloccare
2 o più 2 Possibilità di reimpostare o sbloccare

Anche la modifica dei metodi di autenticazione disponibili può causare problemi per gli utenti. Se si modificano i tipi di metodi di autenticazione che un utente può usare, si potrebbe impedire inavvertitamente agli utenti l'uso della reimpostazione password self-service se questi non dispongono della quantità minima di dati.

Si consideri lo scenario di esempio seguente:

  1. Il criterio originale è configurato con due metodi di autenticazione necessari. Vengono usati solo il numero di telefono ufficio e le domande di sicurezza.
  2. L'amministratore modifica i criteri in modo da non usare più domande di sicurezza, ma da consentire l'uso del telefono cellulare e di un indirizzo di posta elettronica alternativo.
  3. Gli utenti senza il telefono cellulare o i campi di posta elettronica alternativi popolati non possono reimpostare le password.

Notifiche

Per migliorare la consapevolezza degli eventi delle password, la reimpostazione della password della password consente di configurare le notifiche sia per gli utenti che per gli amministratori delle identità.

Inviare notifiche agli utenti al momento della reimpostazione della password

Se questa opzione è impostata su Sì, gli utenti che reimpostano la password ricevono un messaggio di posta elettronica che informa che la password è stata modificata. Il messaggio di posta elettronica viene inviato tramite il portale SSPR agli indirizzi di posta elettronica primari e alternativi archiviati in Azure AD. La notifica dell'evento di reimpostazione non viene inviata ad altre persone.

Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password

Se questa opzione è impostata su Sì, tutti gli altri amministratori di Azure ricevono un messaggio di posta elettronica all'indirizzo di posta elettronica primario archiviato in Azure AD. Questo messaggio notifica la modifica della password tramite il servizio di reimpostazione della password self-service da parte di un altro amministratore.

Si consideri lo scenario di esempio seguente:

  • nell'ambiente sono presenti quattro amministratori.
  • L'amministratore A reimposta la password usando la reimpostazione della password della reimpostazione della password.
  • Gli amministratori B, C e D ricevono un messaggio di posta elettronica per avvisarli della reimpostazione della password.

Integrazione locale

Se si dispone di un ambiente ibrido, è possibile configurare Azure AD Connessione per scrivere gli eventi di modifica della password Azure AD in una directory locale.

La convalida del writeback delle password è abilitata e funzionante

Azure AD verifica la connettività ibrida corrente e fornisce uno dei messaggi seguenti nel portale di Azure:

  • Il client writeback locale è in esecuzione.
  • Azure AD è online e connesso al client di writeback locale. Tuttavia sembra che la versione installata di Azure AD Connect non sia aggiornata. Prendere in considerazione l'aggiornamento di Azure AD Connect per assicurarsi di disporre delle funzionalità di connettività più recenti e di importanti correzioni di bug.
  • Sfortunatamente, non è possibile controllare lo stato del client writeback locale perché la versione installata Azure AD Connessione non è aggiornata. Aggiornare Azure AD Connect per essere in grado di controllare lo stato della connessione.
  • Purtroppo al momento non è possibile connettersi al client di writeback locale. Risoluzione dei problemi di Azure AD Connect per ripristinare la connessione.
  • Purtroppo non è possibile eseguire la connessione al client di writeback locale perché il writeback delle password non è stato configurato correttamente. Configurare il writeback delle password per ripristinare la connessione.
  • Purtroppo al momento non è possibile connettersi al client di writeback locale. Ciò può essere dovuto a errori temporanei nel sistema. Se il problema persiste, vedere Risoluzione dei problemi di Azure AD Connect per ripristinare la connessione.

Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:

Writeback delle password nella directory locale

È possibile abilitare il writeback delle password usando il portale di Azure. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Azure AD Connessione.

  • Se l'opzione è impostata su Sì, il writeback è abilitato. Gli utenti federati, pass-through o sincronizzati con hash delle password possono reimpostare le password.
  • Se l'opzione è impostata su No, il writeback è disabilitato. Gli utenti federati, pass-through o con hash delle password sincronizzati non sono in grado di reimpostare le password.

Allow users to unlock accounts without resetting their password

Per impostazione predefinita, Azure AD sblocca gli account quando esegue la reimpostazione di una password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per separare queste due operazioni.

  • Se impostato su Sì, agli utenti viene data la possibilità di reimpostare la password e sbloccare l'account o di sbloccare l'account senza dover reimpostare la password.
  • Se impostato su No, gli utenti possono solo eseguire un'operazione combinata di reimpostazione della password e sblocco dell'account.

Filtri della password di Active Directory locali

La reimpostazione della password sSPR esegue l'equivalente di una reimpostazione della password avviata dall'amministratore in Active Directory. Se si usa un filtro password di terze parti per applicare regole password personalizzate ed è necessario che questo filtro password sia selezionato durante la reimpostazione della password self-service di Azure AD, assicurarsi che la soluzione di filtro password di terze parti sia configurata per l'applicazione nello scenario di reimpostazione della password amministratore. Azure AD la protezione con password per Active Directory Domain Services è supportata per impostazione predefinita.

Reimpostazione della password per utenti B2B

La modifica e la reimpostazione della password sono completamente supportate in tutte le configurazioni B2B. La reimpostazione della password di utenti B2B è supportata nei tre casi seguenti:

  • Utenti di un'organizzazione partner con un tenant Azure AD esistente: se l'organizzazione con cui si collabora ha un tenant Azure AD esistente, vengono rispettati i criteri di reimpostazione della password abilitati nel tenant. Per garantire il corretto funzionamento della reimpostazione della password, l'organizzazione partner deve assicurarsi che sia abilitata la reimpostazione delle password self-service di Azure AD. Non sono addebitati costi aggiuntivi per Microsoft 365 clienti.
  • Utenti che effettuano l'iscrizione tramite iscrizione self-service: se l'organizzazione con cui si collabora ha usato la funzionalità di iscrizione self-service per accedere a un tenant, microsoft ha lasciato che reimposta la password con il messaggio di posta elettronica registrato.
  • Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità B2B di Azure AD possono anche reimpostare le password con il messaggio di posta elettronica registrato durante il processo di invito.

Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha un indirizzo di posta elettronica alternativo o un indirizzo di posta elettronica per l'autenticazione, la reimpostazione della password funziona come previsto.

Nota

Gli account Microsoft a cui è stato concesso l'accesso guest al tenant Azure AD, ad esempio quelli di Hotmail.com, Outlook.com o altri indirizzi di posta elettronica personali, non sono in grado di usare Azure AD SSPR. Tali account devono reimpostare le password usando le informazioni riportate nell'articolo Quando non riesci ad accedere al tuo account Microsoft.

Passaggi successivi

Per iniziare a usare la SSPR, completare l'esercitazione seguente:

Gli articoli seguenti forniscono altre informazioni sull'uso della reimpostazione della password con Azure AD: