Abilitare la reimpostazione della password self-service Azure Active Directory nella schermata di accesso di WindowsEnable Azure Active Directory self-service password reset at the Windows sign-in screen

La reimpostazione della password self-service (SSPR) consente agli utenti di Azure Active Directory (Azure AD) di modificare o reimpostare la password, senza alcun intervento da parte di amministratore o di help desk.Self-service password reset (SSPR) gives users in Azure Active Directory (Azure AD) the ability to change or reset their password, with no administrator or help desk involvement. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale di SSPR.Typically, users open a web browser on another device to access the SSPR portal. Per migliorare l'esperienza nei computer che eseguono Windows 7, 8, 8,1 e 10, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows.To improve the experience on computers that run Windows 7, 8, 8.1, and 10, you can enable users to reset their password at the Windows sign-in screen.

Esempi di schermate di accesso di Windows 7 e 10 con collegamento alla reimpostazione della password self-service visualizzato

Importante

Questa esercitazione mostra un amministratore come abilitare SSPR per i dispositivi Windows in un'organizzazione.This tutorial shows an administrator how to enable SSPR for Windows devices in an enterprise.

Se il team IT non ha consentito di usare SSPR dal dispositivo Windows o si verificano problemi durante l'accesso, rivolgersi al supporto tecnico per assistenza aggiuntiva.If your IT team hasn't enabled the ability to use SSPR from your Windows device or you have problems during sign-in, reach out to your helpdesk for additional assistance.

Limitazioni generaliGeneral limitations

Le limitazioni seguenti si applicano all'uso di SSPR dalla schermata di accesso di Windows:The following limitations apply to using SSPR from the Windows sign-in screen:

  • La reimpostazione della password non è attualmente supportata da un Desktop remoto o da sessioni avanzate di Hyper-V.Password reset isn't currently supported from a Remote Desktop or from Hyper-V enhanced sessions.
  • Alcuni provider di credenziali di terze parti sono noti per causare problemi con questa funzionalità.Some third party credential providers are known to cause problems with this feature.
  • La disabilitazione del controllo dell'account utente tramite la modifica della chiave del registro di sistema EnableLUA è nota per causare problemi.Disabling UAC via modification of EnableLUA registry key is known to cause issues.
  • Questa funzionalità non funziona per le reti con autenticazione di rete 802.1 x distribuita e l'opzione "Esegui immediatamente prima dell'accesso utente".This feature doesn't work for networks with 802.1x network authentication deployed and the option "Perform immediately before user logon". Per le reti con autenticazione di rete 802.1 x distribuita, è consigliabile usare l'autenticazione del computer per abilitare questa funzionalità.For networks with 802.1x network authentication deployed, it's recommended to use machine authentication to enable this feature.
  • Per usare la nuova password e aggiornare le credenziali memorizzate nella cache, è necessario che i computer aggiunti ad Azure AD ibrido abbiano la connettività di rete associata a un controller di dominio.Hybrid Azure AD joined machines must have network connectivity line of sight to a domain controller to use the new password and update cached credentials. Ciò significa che i dispositivi devono trovarsi nella rete interna dell'organizzazione o in una VPN con accesso di rete a un controller di dominio locale.This means that devices must either be on the organization's internal network or on a VPN with network access to an on-premises domain controller.
  • Se si usa un'immagine, assicurarsi che la cache Web sia stata cancellata per l'amministratore predefinito prima di eseguire il passaggio CopyProfile di Sysprep.If using an image, prior to running sysprep ensure that the web cache is cleared for the built-in Administrator prior to performing the CopyProfile step. Per altre informazioni su questo passaggio, vedere l'articolo di supporto Prestazioni insufficienti quando si usa il profilo utente predefinito personalizzato.More information about this step can be found in the support article Performance poor when using custom default user profile.
  • Le impostazioni seguenti sono note per interferire con la possibilità di usare e reimpostare le password nei dispositivi Windows 10:The following settings are known to interfere with the ability to use and reset passwords on Windows 10 devices:
    • Se la combinazione di tasti CTRL + ALT + CANC è necessaria per i criteri nelle versioni di Windows 10 prima di v1909, reimpostare la password non funzionerà.If Ctrl+Alt+Del is required by policy in versions of Windows 10 before v1909, Reset password won't work.
    • Se le notifiche della schermata di blocco sono spente, reimpostare la password non funzionerà.If lock screen notifications are turned off, Reset password won't work.
    • HideFastUserSwitching è impostato su Enabled o su 1HideFastUserSwitching is set to enabled or 1
    • DontDisplayLastUserName è impostato su Enabled o su 1DontDisplayLastUserName is set to enabled or 1
    • Nolockscreen è impostato su abilitato o su 1NoLockScreen is set to enabled or 1
    • EnableLostMode è impostato sul dispositivoEnableLostMode is set on the device
    • Explorer.exe è sostituito con una shell personalizzataExplorer.exe is replaced with a custom shell
  • La combinazione delle tre impostazioni specifiche seguenti può causare un funzionamento non corretto di questa funzionalità.The combination of the following specific three settings can cause this feature to not work.
    • Accesso interattivo: Non richiede CTRL+ALT+CANC = DisattivatoInteractive logon: Do not require CTRL+ALT+DEL = Disabled
    • DisableLockScreenAppNotifications = 1 o abilitatoDisableLockScreenAppNotifications = 1 or Enabled
    • Lo SKU di Windows non è l'edizione Home o ProfessionalWindows SKU isn't Home or Professional edition

Reimpostazione della password di Windows 10Windows 10 password reset

Per configurare un dispositivo Windows 10 per SSPR nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.To configure a Windows 10 device for SSPR at the sign-in screen, review the following prerequisites and configuration steps.

Prerequisiti di Windows 10Windows 10 prerequisites

  • Un amministratore deve abilitare Azure ad la reimpostazione della password self-service dall'portale di Azure.An administrator must enable Azure AD self-service password reset from the Azure portal.
  • Prima di usare questa funzionalità, gli utenti devono registrarsi a SSPR https://aka.ms/ssprsetupUsers must register for SSPR before using this feature at https://aka.ms/ssprsetup
    • Non univoco per l'uso di SSPR dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni di contatto per l'autenticazione prima di poter reimpostare la password.Not unique to using SSPR from the Windows sign-in screen, all users must provide the authentication contact information before they can reset their password.
  • Requisiti del proxy di rete:Network proxy requirements:
    • Porta 443 per passwordreset.microsoftonline.com e ajax.aspnetcdn.comPort 443 to passwordreset.microsoftonline.com and ajax.aspnetcdn.com
    • I dispositivi Windows 10 supportano solo la configurazione del proxy a livello di computer.Windows 10 devices only support machine-level proxy configuration.
  • Eseguire almeno Windows 10, versione aggiornamento di aprile 2018 (v1803) e i dispositivi devono essere:Run at least Windows 10, version April 2018 Update (v1803), and the devices must be either:
    • Aggiunta ad Azure ADAzure AD joined
    • Aggiunta a Azure AD ibridoHybrid Azure AD joined

Abilitare per Windows 10 con IntuneEnable for Windows 10 using Intune

La distribuzione della modifica della configurazione per abilitare SSPR dalla schermata di accesso con Intune è il metodo più flessibile.Deploying the configuration change to enable SSPR from the login screen using Intune is the most flexible method. Intune consente di distribuire la modifica della configurazione a uno specifico gruppo di computer definito.Intune allows you to deploy the configuration change to a specific group of machines you define. Questo metodo richiede la registrazione del dispositivo a Intune.This method requires Intune enrollment of the device.

Creare criteri di configurazione dei dispositivi in IntuneCreate a device configuration policy in Intune

  1. Accedere al portale di Azure e selezionare Intune.Sign in to the Azure portal and select Intune.

  2. Creare un nuovo profilo di configurazione del dispositivo passando a profili di configurazione del dispositivo > Profiles, quindi selezionare + Crea profiloCreate a new device configuration profile by going to Device configuration > Profiles, then select + Create Profile

    • Per la piattaforma scegliere Windows 10 e versioni successiveFor Platform choose Windows 10 and later
    • Per tipo di profiloscegliere personalizzato .For Profile type, choose Custom
  3. Selezionare Creae quindi specificare un nome significativo per il profilo, ad esempio la schermata di accesso di Windows 10 SSPRSelect Create, then provide a meaningful name for the profile, such as Windows 10 sign-in screen SSPR

    Facoltativamente, fornire una descrizione significativa del profilo, quindi selezionare Avanti.Optionally, provide a meaningful description of the profile, then select Next.

  4. In impostazioni di configurazioneselezionare Aggiungi e specificare l'impostazione URI OMA seguente per abilitare il collegamento Reimposta password:Under Configuration settings, select Add and provide the following OMA-URI setting to enable the reset password link:

    • Fornire un nome significativo per spiegare il funzionamento dell'impostazione, ad esempio Aggiungi collegamento SSPR.Provide a meaningful name to explain what the setting is doing, such as Add SSPR link.
    • Facoltativamente, fornire una descrizione significativa dell'impostazione.Optionally provide a meaningful description of the setting.
    • Impostare URI OMA su ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordResetOMA-URI set to ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Impostare Tipo di dati su IntegerData type set to Integer
    • Impostare Valore su 1Value set to 1

    Selezionare Aggiungie quindi Avanti.Select Add, then Next.

  5. Il criterio può essere assegnato a utenti, dispositivi o gruppi specifici.The policy can be assigned to specific users, devices, or groups. Assegnare il profilo come desiderato per l'ambiente in uso, idealmente a un gruppo di dispositivi di test, quindi fare clic su Avanti.Assign the profile as desired for your environment, ideally to a test group of devices first, then select Next.

    Per altre informazioni, vedere assegnare profili utente e dispositivo in Microsoft Intune.For more information, see Assign user and device profiles in Microsoft Intune.

  6. Configurare le regole di applicabilità desiderate per l'ambiente in uso, ad esempio per assegnare il profilo se l'edizione del sistema operativo è Windows 10 Enterprise, quindi selezionare Avanti.Configure applicability rules as desired for your environment, such as to Assign profile if OS edition is Windows 10 Enterprise, then select Next.

  7. Esaminare il profilo, quindi selezionare Crea.Review your profile, then select Create.

Abilitare per Windows 10 con il registroEnable for Windows 10 using the Registry

Per abilitare SSPR nella schermata di accesso con una chiave del registro di sistema, completare i passaggi seguenti:To enable SSPR at the sign-in screen using a registry key, complete the following steps:

  1. Accedere al PC Windows con credenziali amministrative.Sign in to the Windows PC using administrative credentials.

  2. Premere Windows + R per aprire la finestra di dialogo Esegui , quindi eseguire Regedit come amministratorePress Windows + R to open the Run dialog, then run regedit as an administrator

  3. Impostare la chiave del Registro di sistema seguente:Set the following registry key:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 10Troubleshooting Windows 10 password reset

In caso di problemi con l'uso di SSPR dalla schermata di accesso di Windows, il Azure AD log di controllo include informazioni sull'indirizzo IP e TipoClient in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:If you have problems with using SSPR from the Windows sign-in screen, the Azure AD audit log includes information about the IP address and ClientType where the password reset occurred, as shown in the following example output:

Esempio di reimpostazione della password di Windows 7 nel log di controllo di Azure AD

Quando gli utenti reimpostano la password dalla schermata di accesso di un dispositivo Windows 10, viene creato un account temporaneo con privilegi limitati defaultuser1 .When users reset their password from the sign-in screen of a Windows 10 device, a low-privilege temporary account called defaultuser1 is created. Questo account viene usato per proteggere il processo di reimpostazione della password.This account is used to keep the password reset process secure.

L'account stesso ha una password generata in modo casuale, non viene visualizzato per l'accesso del dispositivo e viene rimosso automaticamente dopo la reimpostazione della password da parte dell'utente.The account itself has a randomly generated password, doesn't show up for device sign-in, and is automatically removed after the user resets their password. Possono esistere più profili defaultuser, ma è possibile tranquillamente ignorarli.Multiple defaultuser profiles may exist but can be safely ignored.

Reimpostazione della password di Windows 7, 8 e 8.1Windows 7, 8, and 8.1 password reset

Per configurare un dispositivo Windows 7, 8 o 8,1 per SSPR nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.To configure a Windows 7, 8, or 8.1 device for SSPR at the sign-in screen, review the following prerequisites and configuration steps.

Prerequisiti di Windows 7, 8 e 8.1Windows 7, 8, and 8.1 prerequisites

  • Un amministratore deve abilitare Azure ad la reimpostazione della password self-service dall'portale di Azure.An administrator must enable Azure AD self-service password reset from the Azure portal.
  • Prima di usare questa funzionalità, gli utenti devono registrarsi a SSPR https://aka.ms/ssprsetupUsers must register for SSPR before using this feature at https://aka.ms/ssprsetup
    • Non univoco per l'uso di SSPR dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni di contatto per l'autenticazione prima di poter reimpostare la password.Not unique to using SSPR from the Windows sign-in screen, all users must provide the authentication contact information before they can reset their password.
  • Requisiti del proxy di rete:Network proxy requirements:
    • Porta 443 per passwordreset.microsoftonline.comPort 443 to passwordreset.microsoftonline.com
  • Sistema operativo Windows 7 con patch o Windows 8.1.Patched Windows 7 or Windows 8.1 Operating System.
  • Protocollo TLS 1.2 abilitato seguendo le indicazioni riportate in Transport Layer Security (TLS) registry settings (Impostazioni del Registro di sistema di Transport Layer Security - TLS).TLS 1.2 enabled using the guidance found in Transport Layer Security (TLS) registry settings.
  • Se nel computer è abilitato più di un provider di credenziali di terze parti, gli utenti visualizzeranno più di un profilo utente nella schermata di accesso.If more than one 3rd party credential provider is enabled on your machine, users see more than one user profile on the login screen.

Avviso

Il protocollo TLS 1.2 deve essere abilitato, non semplicemente impostato sulla negoziazione automatica.TLS 1.2 must be enabled, not just set to auto negotiate.

InstallazioneInstall

Per Windows 7, 8 e 8,1, è necessario che nel computer sia installato un piccolo componente per abilitare SSPR nella schermata di accesso.For Windows 7, 8, and 8.1, a small component must be installed on the machine to enable SSPR at the sign-in screen. Per installare questo componente SSPR, completare i passaggi seguenti:To install this SSPR component, complete the following steps:

  1. Scaricare il programma di installazione appropriato per la versione di Windows che si vuole abilitare.Download the appropriate installer for the version of Windows you would like to enable.

    Il programma di installazione software è disponibile nell'area download Microsoft all'indirizzo https://aka.ms/sspraddinThe software installer is available on the Microsoft download center at https://aka.ms/sspraddin

  2. Accedere al computer in cui si vuole effettuare l'installazione ed eseguire il programma di installazione.Sign in to the machine where you would like to install, and run the installer.

  3. Al termine dell'installazione è consigliabile riavviare il computer.After installation, a reboot is highly recommended.

  4. Dopo il riavvio, nella schermata di accesso scegliere un utente e selezionare "password dimenticata?".After the reboot, at the sign-in screen choose a user and select "Forgot password?" per avviare il flusso di lavoro di reimpostazione della password.to initiate the password reset workflow.

  5. Completare il flusso di lavoro seguendo i passaggi visualizzati sullo schermo per reimpostare la password.Complete the workflow following the onscreen steps to reset your password.

Esempio dell'opzione "Password dimenticata?" selezionata in Windows 7

Installazione invisibile all'utenteSilent installation

Il componente SSPR può essere installato o disinstallato senza richiedere l'uso dei comandi seguenti:The SSPR component can be installed or uninstalled without prompts using the following commands:

  • Per l'installazione invisibile all'utente, usare il comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"For silent install, use the command "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Per la disinstallazione invisibile all'utente, usare il comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"For silent uninstall, use the command "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 7, 8 e 8.1Troubleshooting Windows 7, 8, and 8.1 password reset

Se si verificano problemi con l'uso di SSPR dalla schermata di accesso di Windows, gli eventi vengono registrati sia nel computer che in Azure AD.If you have problems with using SSPR from the Windows sign-in screen, events are logged both on the machine and in Azure AD. Gli eventi Azure AD includono le informazioni sull'indirizzo IP e TipoClient in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:Azure AD events include information about the IP address and ClientType where the password reset occurred, as shown in the following example output:

Esempio di reimpostazione della password di Windows 7 nel log di controllo di Azure AD

Se è necessaria una registrazione aggiuntiva, è possibile modificare una chiave del Registro di sistema per abilitare la registrazione dettagliata.If additional logging is required, a registry key on the machine can be changed to enable verbose logging. Abilitare la registrazione dettagliata per la risoluzione dei problemi solo usando il valore della chiave del registro di sistema seguente:Enable verbose logging for troubleshooting purposes only using the following registry key value:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Per abilitare la registrazione dettagliata, creare un REG_DWORD: "EnableLogging" e impostarlo su 1.To enable verbose logging, create a REG_DWORD: "EnableLogging", and set it to 1.
  • Per disabilitare la registrazione dettagliata, modificare il REG_DWORD: "EnableLogging" su 0.To disable verbose logging, change the REG_DWORD: "EnableLogging" to 0.

Cosa vedono gli utentiWhat do users see

Con SSPR configurato per i dispositivi Windows, quali modifiche sono state apportate all'utente?With SSPR configured for your Windows devices, what changes for the user? Come capisce che può reimpostare la password nella schermata di accesso?How do they know that they can reset their password at the login screen? Le schermate di esempio seguenti illustrano le opzioni aggiuntive che consentono a un utente di reimpostare la password usando SSPR:The following example screenshots show the additional options for a user to reset their password using SSPR:

Esempi di schermate di accesso di Windows 7 e 10 con collegamento alla reimpostazione della password self-service visualizzato

Quando gli utenti tentano di eseguire l'accesso, visualizzano un collegamento Reimposta password o password dimenticata che apre l'esperienza di reimpostazione della password self-service nella schermata di accesso.When users attempt to sign in, they see a Reset password or Forgot password link that opens the self-service password reset experience at the login screen. Questa funzionalità consente agli utenti di reimpostare la password senza dover usare un altro dispositivo per accedere a un Web browser.This functionality allows users to reset their password without having to use another device to access a web browser.

Altre informazioni per gli utenti che usano questa funzionalità sono disponibili in reimpostare la password aziendale o dell'Istituto di istruzioneMore information for users on using this feature can be found in Reset your work or school password

Passaggi successiviNext steps

Per semplificare l'esperienza di registrazione dell'utente, è possibile pre-popolare le informazioni di contatto per l'autenticazione utente per SSPR.To simplify the user registration experience, you can pre-populate user authentication contact information for SSPR.