Esercitazione: Consentire agli utenti di sbloccare l'account o reimpostare le password con la reimpostazione della password self-service di Azure Active DirectoryTutorial: Enable users to unlock their account or reset passwords using Azure Active Directory self-service password reset

La reimpostazione della password self-service di Azure Active Directory (Azure AD) consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk.Azure Active Directory (Azure AD) self-service password reset (SSPR) gives users the ability to change or reset their password, with no administrator or help desk involvement. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro.If a user's account is locked or they forget their password, they can follow prompts to unblock themselves and get back to work. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.This ability reduces help desk calls and loss of productivity when a user can't sign in to their device or an application.

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service.This tutorial shows an administrator how to enable self-service password reset. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.If you're an end user already registered for self-service password reset and need to get back into your account, go to https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.If your IT team hasn't enabled the ability to reset your own password, reach out to your helpdesk for additional assistance.

In questa esercitazione si apprenderà come:In this tutorial you learn how to:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure ADEnable self-service password reset for a group of Azure AD users
  • Configurare i metodi di autenticazione e le opzioni di registrazioneConfigure authentication methods and registration options
  • Testare il processo di reimpostazione della password self-service come utenteTest the SSPR process as a user

PrerequisitiPrerequisites

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:To complete this tutorial, you need the following resources and privileges:

  • Un tenant di Azure AD funzionante con almeno una licenza di valutazione o di Azure AD Free abilitata.A working Azure AD tenant with at least an Azure AD Free or trial license enabled. Nel livello gratuito SSPR funziona solo per gli utenti del cloud in Azure AD.In the Free tier, SSPR only works for cloud users in Azure AD.
    • Per le esercitazioni successive in questa serie, per il writeback delle password locali è necessaria una licenza Azure AD Premium P1 o una licenza di valutazione.For later tutorials in this series, an Azure AD Premium P1 or trial license is required for on-premises password writeback.
    • Se necessario, crearne uno gratuitamente.If needed, create one for free.
  • Un account con privilegi di amministratore globale.An account with Global Administrator privileges.
  • Un utente non amministratore con una password conosciuta, ad esempio testuser.A non-administrator user with a password you know, such as testuser. In questa esercitazione sarà possibile testare l'esperienza di reimpostazione della password self-service dell'utente finale usando questo account.You test the end-user SSPR experience using this account in this tutorial.
  • Un gruppo di cui è membro l'utente non amministratore, ad esempio, SSPR-Test-Group.A group that the non-administrator user is a member of, such as SSPR-Test-Group. In questa esercitazione verrà abilitata la reimpostazione della password self-service per questo gruppo.You enable SSPR for this group in this tutorial.

Abilitare la reimpostazione self-service delle passwordEnable self-service password reset

Azure AD consente di abilitare la reimpostazione della password self-service per Nessuno, utente Selezionato o Tutti gli utenti.Azure AD lets you enable SSPR for None, Selected, or All users. Questa funzionalità granulare consente di scegliere un subset di utenti per testare il processo e il flusso di lavoro di reimpostazione della password self-service e registrazione.This granular ability lets you choose a subset of users to test the SSPR registration process and workflow. Una volta acquisita familiarità con il processo e quando si è pronti per condividere i requisiti con un set più ampio di utenti, è possibile selezionare un gruppo di utenti da abilitare per la reimpostazione della password self-service.When you're comfortable with the process and can communicate the requirements with a broader set of users, you can select a group of users to enable for SSPR. In alternativa, è possibile abilitare la reimpostazione della password self-service per tutti gli utenti nel tenant Azure AD.Or, you can enable SSPR for everyone in the Azure AD tenant.

Nota

È attualmente possibile abilitare un solo gruppo di Azure AD per la reimpostazione della password self-service usando il portale di Azure.Only one Azure AD group can currently be enabled for SSPR using the Azure portal. Come parte di una distribuzione più ampia della reimpostazione della password self-service, sono supportati i gruppi annidati.As part of a wider deployment of SSPR, nested groups are supported. Verificare che agli utenti del gruppo scelto siano assegnate le licenze appropriate.Make sure that the users in the group(s) you choose have the appropriate licenses assigned. Attualmente non è disponibile alcun processo di convalida per questi requisiti di licenza.There's currently no validation process of these licensing requirements.

In questa esercitazione verrà configurata la reimpostazione della password self-service per un set di utenti in un gruppo di test.In this tutorial, configure SSPR for a set of users in a test group. Nell'esempio seguente viene usato il gruppo SSPR-Test-Group.In the following example, the group SSPR-Test-Group is used. Specificare il gruppo di Azure AD personalizzato in base alle esigenze:Provide your own Azure AD group as needed:

  1. Accedere al portale di Azure usando un account con autorizzazioni di amministratore globale.Sign in to the Azure portal using an account with global administrator permissions.

  2. Cercare e selezionare Azure Active Directory, quindi scegliere Reimpostazione password dal menu a sinistra.Search for and select Azure Active Directory, then choose Password reset from the menu on the left-hand side.

  3. Nella pagina Proprietà scegliere Seleziona gruppo nell'opzione Reimpostazione password self-service abilitataFrom the Properties page, under the option Self service password reset enabled, choose Select group

  4. Cercare e selezionare il gruppo di Azure AD, ad esempio SSPR-Test-Group, quindi scegliere Seleziona.Browse for and select your Azure AD group, such as SSPR-Test-Group, then choose Select.

    Selezionare un gruppo nel portale di Azure da abilitare per la reimpostazione della password self-service Select a group in the Azure portal to enable for self-service password reset

  5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.To enable SSPR for the select users, select Save.

Selezionare i metodi di autenticazione e le opzioni di registrazioneSelect authentication methods and registration options

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto loro un metodo di conferma aggiuntivo.When users need to unlock their account or reset their password, they're prompted for an additional confirmation method. Questo fattore di autenticazione aggiuntivo garantisce che vengano completati solo gli eventi di reimpostazione della password self-service approvati.This additional authentication factor makes sure that only approved SSPR events are completed. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.You can choose which authentication methods to allow, based on the registration information the user provides.

  1. Nella pagina Metodi di autenticazione impostare Numero di metodi necessari per la reimpostazione su 1.On the Authentication methods page from the menu in the left-hand side, set the Number of methods required to reset to 1.

    Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.To improve security, you can increase the number of authentication methods required for SSPR.

  2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire.Choose the Methods available to users that your organization wants to allow. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:For this tutorial, check the boxes to enable the following methods:

    • Notifica dell'app per dispositivi mobiliMobile app notification
    • Codice app per dispositivi mobiliMobile app code
    • Indirizzo di posta elettronicaEmail
    • CellulareMobile phone

    Per soddisfare i requisiti aziendali, è possibile abilitare metodi di autenticazione aggiuntivi, ad esempio Telefono ufficio o Domande di sicurezza.Additional authentication methods, such as Office phone or Security questions, can be enabled as needed to fit your business requirements.

  3. Per applicare i metodi di autenticazione, selezionare Salva.To apply the authentication methods, select Save.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto.Before users can unlock their account or reset a password, they must register their contact information. Queste informazioni di contatto vengono usate per i diversi metodi di autenticazione configurati nei passaggi precedenti.This contact information is used for the different authentication methods configured in the previous steps.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione.An administrator can manually provide this contact information, or users can go to a registration portal to provide the information themselves. In questa esercitazione verranno configurati gli utenti in modo che venga richiesta la registrazione all'accesso successivo.In this tutorial, configure the users to be prompted for registration when they next sign in.

  1. Nella pagina Registrazione dal menu a sinistra selezionare per Richiedere agli utenti di registrarsi all'accesso? .On the Registration page from the menu in the left-hand side, select Yes for Require users to register when signing in.

  2. È importante che le informazioni di contatto siano mantenute aggiornate.It's important that contact information is kept up to date. Se le informazioni di contatto non sono aggiornate al momento dell'avvio di un evento di reimpostazione della password self-service, l'utente potrebbe non riuscire a sbloccare l'account o a reimpostare la password.If the contact information is outdated when an SSPR event is started, the user may not be able to unlock their account or reset their password.

    Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.Set Number of days before users are asked to reconfirm their authentication information to 180.

  3. Per applicare le impostazioni di registrazione, selezionare Salva.To apply the registration settings, select Save.

Configurare notifiche e personalizzazioniConfigure notifications and customizations

Per informare gli utenti sull'attività dell'account, è possibile configurare le notifiche tramite posta elettronica da inviare quando si verifica un evento di reimpostazione della password self-service.To keep users informed about account activity, you can configure e-mail notifications to be sent when an SSPR event happens. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore.These notifications can cover both regular user accounts and admin accounts. Per gli account amministratore, questa notifica fornisce un livello aggiuntivo di consapevolezza quando una password dell'account amministratore con privilegi viene reimpostata tramite la reimpostazione della password self-service.For admin accounts, this notification provides an additional layer of awareness when a privileged administrator account password is reset using SSPR. Tutti gli amministratori globali riceveranno una notifica quando in un account amministratore viene usata la reimpostazione della password self-service.All global admins would be notified when SSPR is used on an admin account.

  1. Nella pagina Notifiche dal menu a sinistra configurare le opzioni seguenti:On the Notifications page from the menu in the left-hand side, configure the following options:

    • Impostare l'opzione Notificare agli utenti le reimpostazioni delle password su .Set Notify users on password resets option to Yes.
    • Impostare Notificare agli amministratori quando altri amministratori reimpostano le proprie password su .Set Notify all admins when other admins reset their password to Yes.
  2. Per applicare le preferenze di notifica, selezionare Salva.To apply the notification preferences, select Save.

Se gli utenti necessitano di ulteriore assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento per "Contattare l'amministratore".If users need additional help with the SSPR process, you can customize the link for "Contact your administrator". Questo collegamento viene usato nel processo di registrazione della reimpostazione della password self-service e quando un utente sblocca il proprio account o ne reimposta la password.This link is used in the SSPR registration process and when a user unlocks their account or resets their password. Per assicurarsi che gli utenti ottengano il supporto necessario, è consigliabile fornire un URL o un indirizzo di posta elettronica del supporto tecnico personalizzato.To make sure your users get the support needed, it's highly recommended to provide a custom helpdesk email or URL.

  1. Nella pagina Personalizzazione dal menu a sinistra impostare Personalizza collegamento al supporto tecnico su .On the Customization page from the menu in the left-hand side, set Customize helpdesk link to Yes.
  2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico specificare un indirizzo di posta elettronica o l'URL di una pagina Web in cui gli utenti possono ottenere ulteriore assistenza dall'organizzazione, ad esempio https://support.contoso.com/In the Custom helpdesk email or URL field, provide an email address or web page URL where your users can get additional help from your organization, such as https://support.contoso.com/
  3. Per applicare il collegamento personalizzato, selezionare Salva.To apply the custom link, select Save.

Testare la reimpostazione della password self-serviceTest self-service password reset

Dopo aver abilitato e configurato la reimpostazione della password self-service, testare il processo con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group.With SSPR enabled and configured, test the SSPR process with a user that's part of the group you selected in the previous section, such as Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser.In the following example, the testuser account is used. Specificare l'account utente che fa parte del gruppo abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.Provide your own user account that's part of the group you enabled for SSPR in the first section of this tutorial.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore.When you test the self-service password reset, use a non-administrator account. Gli amministratori sono sempre abilitati per la reimpostazione della password self-service e devono usare due metodi di autenticazione per reimpostare la propria password.Admins are always enabled for self-service password reset and are required to use two authentication methods to reset their password.

  1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup.To see the manual registration process, open a new browser window in InPrivate or incognito mode, and browse to https://aka.ms/ssprsetup. All'accesso successivo gli utenti verranno reindirizzati a questo portale di registrazione.Users should be directed to this registration portal when they next sign-in.

  2. Accedere con un utente di test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.Sign in with a non-administrator test user, such as testuser, and register your authentication methods contact information.

  3. Al termine, selezionare il pulsante Sono corrette e chiudere la finestra del browser.Once complete, select the button marked Looks good and close the browser window.

  4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.Open a new browser window in InPrivate or incognito mode, and browse to https://aka.ms/sspr.

  5. Immettere le informazioni dell'account dell'utente di test non amministratore, ad esempio, testuser, i caratteri dell'immagine CAPTCHA e quindi selezionare Avanti.Enter your non-administrator test users' account information, such as testuser, the characters from the CAPTCHA, and then select Next.

    Immettere le informazioni sull'account utente per reimpostare la password

  6. Seguire i passaggi di verifica per reimpostare la password.Follow the verification steps to reset your password. Al termine, si riceverà una notifica tramite posta elettronica che segnala che la password è stata reimpostata.When complete, you should receive an e-mail notification that your password was reset.

Pulire le risorseClean up resources

In un'esercitazione successiva di questa serie viene configurato il writeback delle password.In a following tutorial in this series, you configure password writeback. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Azure AD a un ambiente Active Directory locale.This feature writes password changes from Azure AD SSPR back to an on-premises AD environment. Se si intende continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare la reimpostazione della password self-service adesso.If you want to continue with this tutorial series to configure password writeback, don't disable SSPR now.

Se non si intende usare più la funzionalità di reimpostazione della password self-service configurata come parte di questa esercitazione, impostare lo stato della reimpostazione della password self-service su Nessuna con la procedura seguente:If you no longer want to use the SSPR functionality you have configured as part of this tutorial, set the SSPR status to None using the following steps:

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Cercare e selezionare Azure Active Directory, quindi scegliere Reimpostazione password dal menu a sinistra.Search for and select Azure Active Directory, then choose Password reset from the menu on the left-hand side.
  3. Nella pagina Proprietà scegliere Nessuna per l'opzione Reimpostazione password self-service abilitata.From the Properties page, under the option Self service password reset enabled, choose None.
  4. Per applicare la modifica alla reimpostazione della password self-service, selezionare Salva.To apply the SSPR change, select Save.

Passaggi successiviNext steps

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Azure AD per un gruppo selezionato di utenti.In this tutorial, you enabled Azure AD self-service password reset for a selected group of users. Si è appreso come:You learned how to:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure ADEnable self-service password reset for a group of Azure AD users
  • Configurare i metodi di autenticazione e le opzioni di registrazioneConfigure authentication methods and registration options
  • Testare il processo di reimpostazione della password self-service come utenteTest the SSPR process as a user