Abilitare Azure Active Directory reimpostazione della password self-service nella schermata Windows di accesso

La reimpostazione della password self-service (SSPR) offre agli utenti di Azure Active Directory (Azure AD) la possibilità di modificare o reimpostare la password, senza alcun intervento da parte dell'help desk amministratore. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale SSPR. Per migliorare l'esperienza nei computer che eseguono Windows 7, 8, 8.1 e 10, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso Windows.

Esempi di schermate di accesso di Windows 7 e 10 con collegamento alla reimpostazione della password self-service visualizzato

Importante

Questa esercitazione illustra a un amministratore come abilitare la password della password di accesso Windows dispositivi in un'organizzazione.

Se il team IT non ha abilitato la possibilità di usare la SSPR dal dispositivo Windows o si verificano problemi durante l'accesso, contattare il supporto tecnico per assistenza aggiuntiva.

Limitazioni generali

Le limitazioni seguenti si applicano all'uso della richiesta di firma della Windows di accesso:

  • La reimpostazione della password non è attualmente supportata da un Desktop remoto o da sessioni avanzate di Hyper-V.
  • Alcuni provider di credenziali di terze parti sono noti per causare problemi con questa funzionalità.
  • La disabilitazione del controllo dell'account utente tramite la modifica della chiave del registro di sistema EnableLUA è nota per causare problemi.
  • Questa funzionalità non funziona per le reti con l'autenticazione di rete 802.1x distribuita e l'opzione "Esegui immediatamente prima dell'accesso utente". Per le reti con autenticazione di rete 802.1x distribuita, è consigliabile usare l'autenticazione del computer per abilitare questa funzionalità.
  • Per usare la nuova password e aggiornare le credenziali memorizzate nella cache, è necessario che i computer aggiunti ad Azure AD ibrido abbiano la connettività di rete associata a un controller di dominio. Ciò significa che i dispositivi devono trovarsi nella rete interna dell'organizzazione o in una VPN con accesso di rete a un controller di dominio locale.
  • Se si usa un'immagine, assicurarsi che la cache Web sia stata cancellata per l'amministratore predefinito prima di eseguire il passaggio CopyProfile di Sysprep. Per altre informazioni su questo passaggio, vedere l'articolo di supporto Prestazioni insufficienti quando si usa il profilo utente predefinito personalizzato.
  • È noto che le impostazioni seguenti interferiscono con la possibilità di usare e reimpostare le password Windows 10 dispositivi:
    • Se ctrl+ALT+CANC è richiesto dai criteri Windows 10, la reimpostazione della password non funzionerà.
    • Se le notifiche della schermata di blocco sono disattivate, la reimpostazione della password non funzionerà.
    • HideFastUserSwitching è impostato su enabled o 1
    • DontDisplayLastUserName è impostato su enabled o 1
    • NoLockScreen è impostato su enabled o 1
    • BlockNonAdminUserInstall è impostato su enabled o 1
    • EnableLostMode è impostato nel dispositivo
    • Explorer.exe è sostituito con una shell personalizzata
  • La combinazione delle tre impostazioni specifiche seguenti può causare un funzionamento non corretto di questa funzionalità.
    • Accesso interattivo: Non richiede CTRL+ALT+CANC = Disattivato
    • DisableLockScreenAppNotifications = 1 o Abilitato
    • Lo SKU di Windows non è l'edizione Home o Professional

Nota

Queste limitazioni si applicano anche alla reimpostazione del PIN Windows Hello business dalla schermata di blocco del dispositivo.

Reimpostazione della password di Windows 10

Per configurare un dispositivo Windows 10 per la SSPR nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 10

  • Un amministratore deve abilitare Azure AD reimpostazione della password self-service dal portale di Azure.
  • Gli utenti devono registrarsi per la SSPR prima di usare questa funzionalità all'indirizzo https://aka.ms/ssprsetup
    • Non univoco per l'uso della reimpostazione della password Windows schermata di accesso, tutti gli utenti devono fornire le informazioni di contatto di autenticazione prima di poter reimpostare la password.
  • Requisiti del proxy di rete:
    • Porta 443 per passwordreset.microsoftonline.com e ajax.aspnetcdn.com
    • Windows 10 i dispositivi supportano solo la configurazione proxy a livello di computer.
  • Eseguire almeno Windows 10, versione aggiornamento di aprile 2018 (v1803) e i dispositivi devono essere:
    • Aggiunta ad Azure AD
    • Aggiunta a Azure AD ibrido

Abilitare per Windows 10 con Intune

La distribuzione della modifica della configurazione per abilitare la password della password di accesso dalla schermata di accesso con Intune è il metodo più flessibile. Intune consente di distribuire la modifica della configurazione a uno specifico gruppo di computer definito. Questo metodo richiede la registrazione del dispositivo a Intune.

Creare criteri di configurazione dei dispositivi in Intune

  1. Accedere al portale di Azure e selezionare Intune.

  2. Creare un nuovo profilo di configurazione del dispositivo selezionando Profili di configurazione del dispositivo e quindi selezionare + Crea > profilo

    • Per Piattaforma scegliere Windows 10 e versioni successive
    • Per Tipo di profilo scegliere Personalizzato
  3. Selezionare Crea e quindi specificare un nome significativo per il profilo, ad esempio Windows 10 SSPR della schermata di accesso

    Facoltativamente, fornire una descrizione significativa del profilo e quindi selezionare Avanti.

  4. In Impostazioni di configurazione selezionare Aggiungi e specificare l'impostazione URI OMA seguente per abilitare il collegamento di reimpostazione della password:

    • Specificare un nome significativo per spiegare le attività dell'impostazione, ad esempio Aggiungi collegamento SSPR.
    • Facoltativamente, fornire una descrizione significativa dell'impostazione.
    • Impostare URI OMA su ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Impostare Tipo di dati su Integer
    • Impostare Valore su 1

    Selezionare Aggiungi e quindi Avanti.

  5. I criteri possono essere assegnati a utenti, dispositivi o gruppi specifici. Assegnare il profilo come desiderato per l'ambiente, idealmente a un gruppo di test di dispositivi, quindi selezionare Avanti.

    Per altre informazioni, vedere Assegnare profili utente e dispositivo in Microsoft Intune.

  6. Configurare le regole di applicabilità come desiderato per l'ambiente, ad esempio per Assegnare un profilo se l'edizione del sistema operativo Windows 10 Enterprise , quindi selezionare Avanti.

  7. Esaminare il profilo e quindi selezionare Crea.

Abilitare per Windows 10 con il registro

Per abilitare la SSPR nella schermata di accesso usando una chiave del Registro di sistema, seguire questa procedura:

  1. Accedere al PC Windows con credenziali amministrative.

  2. Premere Windows + R per aprire la finestra di dialogo Esegui, quindi eseguire regedit come amministratore

  3. Impostare la chiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 10

Se si verificano problemi con l'uso della reimpostazione della password di accesso dalla schermata di accesso di Windows, il log di controllo di Azure AD include informazioni sull'indirizzo IP e sul ClientType in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Esempio di reimpostazione della password di Windows 7 nel log di controllo di Azure AD

Quando gli utenti reimpostano la password dalla schermata di accesso di un dispositivo Windows 10, viene creato un account temporaneo con defaultuser1 privilegi minimi denominato . Questo account viene usato per proteggere il processo di reimpostazione della password.

L'account stesso ha una password generata in modo casuale, non viene visualizzato per l'accesso al dispositivo e viene rimosso automaticamente dopo che l'utente ha reimpostato la password. Possono esistere più profili defaultuser, ma è possibile tranquillamente ignorarli.

Reimpostazione della password di Windows 7, 8 e 8.1

Per configurare un dispositivo Windows 7, 8 o 8.1 per la SSPR nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 7, 8 e 8.1

  • Un amministratore deve abilitare Azure AD reimpostazione della password self-service dal portale di Azure.
  • Gli utenti devono registrarsi per la SSPR prima di usare questa funzionalità all'indirizzo https://aka.ms/ssprsetup
    • Non univoco per l'uso della reimpostazione della password Windows schermata di accesso, tutti gli utenti devono fornire le informazioni di contatto di autenticazione prima di poter reimpostare la password.
  • Requisiti del proxy di rete:
    • Porta 443 per passwordreset.microsoftonline.com
  • Sistema operativo Windows 7 con patch o Windows 8.1.
  • Protocollo TLS 1.2 abilitato seguendo le indicazioni riportate in Transport Layer Security (TLS) registry settings (Impostazioni del Registro di sistema di Transport Layer Security - TLS).
  • Se nel computer sono abilitati più provider di credenziali di terze parti, gli utenti visualizzano più di un profilo utente nella schermata di accesso.

Avviso

Il protocollo TLS 1.2 deve essere abilitato, non semplicemente impostato sulla negoziazione automatica.

Installazione

Per Windows 7, 8 e 8.1, è necessario installare un componente di piccole dimensioni nel computer per abilitare la SSPR nella schermata di accesso. Per installare questo componente SSPR, seguire questa procedura:

  1. Scaricare il programma di installazione appropriato per la versione di Windows che si vuole abilitare.

    Il programma di installazione del software è disponibile nell'Area download Microsoft all'indirizzo https://aka.ms/sspraddin

  2. Accedere al computer in cui si vuole effettuare l'installazione ed eseguire il programma di installazione.

  3. Al termine dell'installazione è consigliabile riavviare il computer.

  4. Dopo il riavvio, nella schermata di accesso scegliere un utente e selezionare "Password dimenticata?" per avviare il flusso di lavoro di reimpostazione della password.

  5. Completare il flusso di lavoro seguendo i passaggi visualizzati sullo schermo per reimpostare la password.

Esempio dell'opzione "Password dimenticata?" selezionata in Windows 7 Flusso della reimpostazione della password self-service

Installazione invisibile all'utente

Il componente SSPR può essere installato o disinstallato senza richieste usando i comandi seguenti:

  • Per l'installazione invisibile all'utente, usare il comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Per la disinstallazione invisibile all'utente, usare il comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 7, 8 e 8.1

Se si verificano problemi con l'uso della SSPR dalla schermata Windows di accesso, gli eventi vengono registrati sia nel computer che nella Azure AD. Azure AD eventi includono informazioni sull'indirizzo IP e clientType in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Esempio di reimpostazione della password di Windows 7 nel log di controllo di Azure AD

Se è necessaria una registrazione aggiuntiva, è possibile modificare una chiave del Registro di sistema per abilitare la registrazione dettagliata. Abilitare la registrazione dettagliata per la risoluzione dei problemi solo usando il valore della chiave del Registro di sistema seguente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Per abilitare la registrazione dettagliata, creare un REG_DWORD: "EnableLogging" e impostarlo su 1.
  • Per disabilitare la registrazione dettagliata, modificare il REG_DWORD: "EnableLogging" su 0.

Cosa vedono gli utenti

Con la password SSPR configurata per i Windows, quali modifiche apportano all'utente? Come capisce che può reimpostare la password nella schermata di accesso? Gli screenshot di esempio seguenti mostrano le opzioni aggiuntive che un utente può reimpostare con la reimpostazione della password:

Esempi di schermate di accesso di Windows 7 e 10 con collegamento alla reimpostazione della password self-service visualizzato

Quando gli utenti tentano di accedere, viene visualizzato un collegamento Reimposta password o Password dimenticata che apre l'esperienza di reimpostazione della password self-service nella schermata di accesso. Questa funzionalità consente agli utenti di reimpostare la password senza dover usare un altro dispositivo per accedere a un Web browser.

Altre informazioni per gli utenti sull'uso di questa funzionalità sono disponibili in Reimpostare la password dell'istituto di istruzione o dell'istituto di istruzione

Passaggi successivi

Per semplificare l'esperienza di registrazione dell'utente, è possibile precompilare leinformazioni di contatto di autenticazione utente per la password della password di accesso client.