Distribuire la reimpostazione della password senza richiedere la registrazione dell'utente finaleDeploy password reset without requiring end-user registration

Per distribuire la funzionalità di reimpostazione password self-service di Azure Active Directory (Azure AD) devono essere presenti i dati di autenticazione.To deploy Azure Active Directory (Azure AD) self-service password reset (SSPR), authentication data needs to be present. Alcune organizzazioni richiedono agli utenti di immettere personalmente i dati di autenticazione.Some organizations have their users enter their authentication data themselves. Tuttavia, molte organizzazioni preferiscono sincronizzare i dati già presenti in Active Directory.But many organizations prefer to synchronize with data that already exists in Active Directory. I dati sincronizzati sono resi disponibili ad Azure AD e alla funzionalità di reimpostazione password self-service senza richiedere l'intervento dell'utente se:The synced data is made available to Azure AD and SSPR without requiring user interaction if you:

Per garantirne il corretto funzionamento, i numeri di telefono devono essere nel formato +PrefissoInternazionale NumeroTelefonico, ad esempio +1 4255551234.To work properly, phone numbers must be in the format +CountryCode PhoneNumber, for example, +1 4255551234.

Nota

È necessario uno spazio tra il prefisso internazionale e il numero di telefono.There needs to be a space between the country code and the phone number.

La reimpostazione della password non supporta le estensioni del telefono.Password reset does not support phone extensions. Anche nel formato +1 4255551234X12345, le estensioni vengono rimosse prima della chiamata.Even in the +1 4255551234X12345 format, extensions are removed before the call is placed.

Campi popolatiFields populated

Se si usano le impostazioni predefinite in Azure AD Connect, vengono eseguiti i mapping seguenti:If you use the default settings in Azure AD Connect, the following mappings are made:

Active Directory localeOn-premises Active Directory Azure ADAzure AD
telephoneNumbertelephoneNumber Telefono ufficioOffice phone
mobilemobile CellulareMobile phone

Quando l'utente verifica il numero di cellulare, anche il campo Telefono in Informazioni di contatto per l'autenticazione in Azure AD viene popolato con il numero.Once a user verifies their mobile phone number, the Phone field under Authentication contact info in Azure AD will also be populated with that number.

Informazioni di contatto per l'autenticazioneAuthentication contact info

L'amministratore globale può impostare manualmente le informazioni di contatto per l'autenticazione per l'utente come illustrato nello screenshot seguente.A Global Administrator can manually set the Authentication contact info for a user as displayed in the following screenshot.

Informazioni su un utente l'autenticazione di contatto in Azure ADAuthentication contact info on a user in Azure AD

Se il campo Telefono è popolato e l'opzione Cellulare è abilitata nei criteri SSPR, il numero verrà visualizzato nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.If the Phone field is populated and Mobile phone is enabled in the SSPR policy, the user will see that number on the password reset registration page and during the password reset workflow.

Il campo Telefono alternativo non è usato per la reimpostazione della password.The Alternate phone field is not used for password reset.

Se il campo Posta elettronica è popolato e l'opzione Posta elettronica è abilitata nei criteri SSPR, l'indirizzo di posta elettronica verrà visualizzato nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.If the Email field is populated and Email is enabled in the SSPR policy, the user will see that email on the password reset registration page and during the password reset workflow.

Se il campo Indirizzo di posta elettronica alternativo è popolato e l'opzione Posta elettronica è abilitata nei criteri SSPR, l'indirizzo di posta elettronica non verrà visualizzato nella pagina di registrazione per la reimpostazione della password ma verrà visualizzato durante il flusso di lavoro di reimpostazione della password.If the Alternate email field is populated and Email is enabled in the SSPR policy, the user will not see that email on the password reset registration page, but they will see it during the password reset workflow.

Domande di sicurezza e risposteSecurity questions and answers

Le domande di sicurezza e le risposte sono archiviate in modo sicuro nel tenant di Azure AD e sono accessibili agli utenti esclusivamente tramite il portale di registrazione SSPR.The security questions and answers are stored securely in your Azure AD tenant and are only accessible to users via the SSPR registration portal. Gli amministratori non possono vedere, impostare o modificare il contenuto di domande e risposte di altri utenti.Administrators can't see, set, or modify the contents of another users' questions and answers.

Cosa accade quando un utente si registraWhat happens when a user registers

Quando un utente si registra, i campi seguenti vengono impostati nella pagina di registrazione:When a user registers, the registration page sets the following fields:

  • Telefono per l'autenticazioneAuthentication Phone
  • Indirizzo di posta elettronica per l'autenticazioneAuthentication Email
  • Domande di sicurezza e risposteSecurity Questions and Answers

Se è stato specificato un valore per Cellulare o Indirizzo di posta elettronica alternativo, gli utenti possono usare immediatamente questi valori per reimpostare le password, anche se non hanno eseguito la registrazione per il servizio.If you have provided a value for Mobile phone or Alternate email, users can immediately use those values to reset their passwords, even if they haven't registered for the service. Gli utenti visualizzano e possono modificare tali valori quando si registrano per la prima volta.In addition, users see those values when they register for the first time, and they can modify them if they want to. Dopo aver completato la registrazione, questi valori vengono salvati in modo permanente rispettivamente nei campi Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazione.After they register successfully, these values will be persisted in the Authentication Phone and Authentication Email fields, respectively.

Impostare e leggere i dati di autenticazione tramite PowerShellSet and read the authentication data through PowerShell

I campi seguenti possono essere impostati tramite PowerShell:The following fields can be set through PowerShell:

  • Indirizzo di posta elettronica alternativoAlternate email
  • CellulareMobile phone
  • Telefono ufficio: può essere impostato solo se non in sincronizzazione con una directory localeOffice phone: Can only be set if you're not synchronizing with an on-premises directory

Usare PowerShell versione 1Use PowerShell version 1

Per iniziare, è necessario scaricare e installare il modulo di Azure AD PowerShell.To get started, you need to download and install the Azure AD PowerShell module. Al termine dell'installazione, è possibile seguire la procedura seguente per configurare tutti i campi.After you have it installed, you can use the steps that follow to configure each field.

Impostare i dati di autenticazione con PowerShell versione 1Set the authentication data with PowerShell version 1

Connect-MsolService

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com")
Set-MsolUser -UserPrincipalName user@domain.com -MobilePhone "+1 1234567890"
Set-MsolUser -UserPrincipalName user@domain.com -PhoneNumber "+1 1234567890"

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com") -MobilePhone "+1 1234567890" -PhoneNumber "+1 1234567890"

Leggere i dati di autenticazione con PowerShell versione 1Read the authentication data with PowerShell version 1

Connect-MsolService

Get-MsolUser -UserPrincipalName user@domain.com | select AlternateEmailAddresses
Get-MsolUser -UserPrincipalName user@domain.com | select MobilePhone
Get-MsolUser -UserPrincipalName user@domain.com | select PhoneNumber

Get-MsolUser | select DisplayName,UserPrincipalName,AlternateEmailAddresses,MobilePhone,PhoneNumber | Format-Table

Leggere i valori delle opzioni Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazioneRead the Authentication Phone and Authentication Email options

Per leggere i valori delle opzioni Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazione se si usa PowerShell versione 1, usare i comandi seguenti:To read the Authentication Phone and Authentication Email when you use PowerShell version 1, use the following commands:

Connect-MsolService
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select PhoneNumber
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select Email

Usare PowerShell versione 2Use PowerShell version 2

Per iniziare, è necessario scaricare e installare il modulo di Azure AD PowerShell versione 2.To get started, you need to download and install the Azure AD version 2 PowerShell module. Al termine dell'installazione, è possibile seguire la procedura seguente per configurare tutti i campi.After you have it installed, you can use the steps that follow to configure each field.

Per eseguire l'installazione rapida da versioni recenti di PowerShell che supportano Install-Module, eseguire i comandi seguenti.To quickly install from recent versions of PowerShell that support Install-Module, run the following commands. La prima riga controlla se il modulo è già installato.(The first line checks to see if the module is already installed.)

Get-Module AzureADPreview
Install-Module AzureADPreview
Connect-AzureAD

Impostare i dati di autenticazione con PowerShell versione 2Set the authentication data with PowerShell version 2

Connect-AzureAD

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("email@domain.com")
Set-AzureADUser -ObjectId user@domain.com -Mobile "+1 2345678901"
Set-AzureADUser -ObjectId user@domain.com -TelephoneNumber "+1 1234567890"

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("emails@domain.com") -Mobile "+1 1234567890" -TelephoneNumber "+1 1234567890"

Leggere i dati di autenticazione con PowerShell versione 2Read the authentication data with PowerShell version 2

Connect-AzureAD

Get-AzureADUser -ObjectID user@domain.com | select otherMails
Get-AzureADUser -ObjectID user@domain.com | select Mobile
Get-AzureADUser -ObjectID user@domain.com | select TelephoneNumber

Get-AzureADUser | select DisplayName,UserPrincipalName,otherMails,Mobile,TelephoneNumber | Format-Table

Passaggi successiviNext steps