Esercitazione: Consentire agli utenti di sbloccare l'account o reimpostare le password con la reimpostazione della password self-service di Azure Active Directory

La reimpostazione della password self-service di Azure Active Directory (Azure AD) consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se Azure AD blocca l'account di un utente o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. È consigliabile questo video su come abilitare e configurare la funzionalità di SSPR in Azure AD. È disponibile anche un video per gli amministratori IT sulla risoluzione dei sei messaggi di errore più comuni dell'utente finale con SSPR.

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service ed è necessario accedere nuovamente all'account, passare alla pagina Reimpostazione password di Microsoft Online.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure AD
  • Configurare i metodi di autenticazione e le opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente

Prerequisiti

Per completare questa esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Un tenant Azure AD lavoro con almeno una licenza Azure AD gratuita o di valutazione abilitata. Nel livello gratuito SSPR funziona solo per gli utenti del cloud in Azure AD. La modifica della password è supportata nel livello gratuito, ma la reimpostazione della password non lo è.
    • Per le esercitazioni successive di questa serie, è necessaria una licenza Azure AD Premium P1 o di valutazione per il writeback delle password locale.
    • Se necessario, creare un account Azure gratuitamente.
  • Un account con privilegi di amministratore globale.
  • Un utente non amministratore con una password che si conosce, ad esempio testuser. In questa esercitazione si testerà l'esperienza di SSPR per l'utente finale usando questo account.
  • Gruppo di cui l'utente non amministratore è membro, ad esempio SSPR-Test-Group. In questa esercitazione si abiliterà la SSPR per questo gruppo.

Abilitare la reimpostazione self-service delle password

Azure AD consente di abilitare la reimpostazione della password self-service per Nessuno, utente Selezionato o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un subset di utenti per testare il processo e il flusso di lavoro di reimpostazione della password self-service e registrazione. Quando si ha familiarità con il processo ed è il momento giusto per comunicare i requisiti con un set più ampio di utenti, è possibile selezionare un gruppo di utenti da abilitare per la SSPR. In alternativa, è possibile abilitare la reimpostazione della password self-service per tutti gli utenti nel tenant Azure AD.

Nota

Attualmente, è possibile abilitare un solo gruppo Azure AD per la SSPR usando il portale di Azure. Come parte di una distribuzione più ampia della SSPR, Azure AD i gruppi annidati.

In questa esercitazione viene impostata la SSPR per un set di utenti in un gruppo di test. Usare SSPR-Test-Group e specificare il proprio gruppo Azure AD in base alle esigenze:

  1. Accedere al portale di Azure usando un account con autorizzazioni di amministratore globale.

  2. Cercare e selezionare Azure Active Directory e quindi selezionare Reimpostazione password dal menu a sinistra.

  3. Nella pagina Proprietà selezionare Seleziona gruppo nell'opzione Reimpostazione password self-service abilitata

  4. Cercare e selezionare il gruppo Azure AD, ad esempio SSPR-Test-Group, quindi scegliere Seleziona.

    Selezionare un gruppo nel portale di Azure da abilitare per la reimpostazione della password self-service

  5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto un altro metodo di conferma. Questo fattore di autenticazione aggiuntivo garantisce che Azure AD completati solo gli eventi SSPR approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

  1. Nel menu a sinistra della pagina Metodi di autenticazione impostare Numero di metodi necessari per la reimpostazione su 1.

    Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

  2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

    • Notifica dell'app per dispositivi mobili
    • Codice app per dispositivi mobili
    • Indirizzo di posta elettronica
    • Cellulare

    È possibile abilitare altri metodi di autenticazione, ad esempio Office telefono o domande di sicurezza, in base alle esigenze aziendali.

  3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Azure AD usa queste informazioni di contatto per i diversi metodi di autenticazione impostati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione, configurare Azure AD per richiedere agli utenti la registrazione al successivo accesso.

  1. Nel menu a sinistra della pagina Registrazione selezionare Sì per Richiedi agli utenti di registrarsi all'accesso.

  2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

    È importante mantenere aggiornate le informazioni di contatto. Se all'avvio di un evento di reimpostazione della password utente sono presenti informazioni di contatto obsolete, l'utente potrebbe non essere in grado di sbloccare l'account o reimpostare la password.

  3. Per applicare le impostazioni di registrazione, selezionare Salva.

Configurare notifiche e personalizzazioni

Per mantenere gli utenti informati sulle attività dell'account, è possibile configurare Azure AD inviare notifiche tramite posta elettronica quando si verifica un evento di SSPR. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica offre un altro livello di consapevolezza quando la password di un account amministratore con privilegi viene reimpostata tramite la reimpostazione della password password utente. Azure AD notifica a tutti gli amministratori globali quando un utente usa la password SSPR in un account amministratore.

  1. Dal menu sul lato sinistro della pagina Notifiche configurare le opzioni seguenti:

    • Impostare l'opzione Notificare agli utenti le reimpostazioni delle password su .
    • Impostare Notificare agli amministratori quando altri amministratori reimpostano le proprie password su .
  2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di assistenza per il processo di SSPR, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento nel processo di registrazione SSPR e quando sblocca il proprio account o reimposta la password. Per assicurarsi che gli utenti osercitino il supporto necessario, è consigliabile specificare un URL o un indirizzo di posta elettronica del supporto tecnico personalizzato.

  1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento al supporto help desk su Sì.
  2. Nel campo Custom helpdesk email or URL (Indirizzo di posta elettronica o URL del supporto help desk personalizzato) specificare un indirizzo di posta elettronica o un URL della pagina Web in cui gli utenti possono ottenere assistenza dall'organizzazione, ad esempio https: / /support.contoso.com/
  3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione della password self-service

Dopo aver abilitato e configurato la SSPR, testare il processo di SSPR con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene utilizzato l'account testuser. Specificare il proprio account utente. Fa parte del gruppo abilitato per la SSPR nella prima sezione di questa esercitazione.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore. Per impostazione predefinita, Azure AD la reimpostazione della password self-service per gli amministratori. È necessario usare due metodi di autenticazione per reimpostare la password. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.

  1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https: / /aka.ms/ssprsetup. Azure AD gli utenti a questo portale di registrazione al successivo accesso.

  2. Accedere con un utente test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.

  3. Al termine, selezionare il pulsante Con l'aspetto positivo e chiudere la finestra del browser.

  4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https: / /aka.ms/sspr.

  5. Immettere le informazioni sull'account degli utenti di test non amministratore, ad esempio testuser, i caratteri di CAPTCHA e quindi selezionare Avanti.

    Immettere le informazioni sull'account utente per reimpostare la password

  6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceverà una notifica tramite posta elettronica che indica che la password è stata reimpostata.

Eseguire la pulizia delle risorse

In un'esercitazione successiva di questa serie verrà configurato il writeback delle password. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Azure AD a un ambiente Active Directory locale. Se si vuole continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare la reimpostazione della password.

Se non si vuole più usare la funzionalità di SSPR impostata come parte di questa esercitazione, impostare lo stato della SSPR su Nessuno seguendo questa procedura:

  1. Accedere al portale di Azure.
  2. Cercare e selezionare Azure Active Directory e quindi selezionare Reimpostazione password dal menu a sinistra.
  3. Nella pagina Proprietà selezionare Nessuno nell'opzione Reimpostazione password self-service abilitata.
  4. Per applicare la modifica alla reimpostazione della password self-service, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano la SSPR:

  • Perché gli utenti federati attendono fino a 2 minuti dopo aver visualizzato La password è stata reimpostata prima di poter usare password sincronizzate dall'ambiente locale?

    Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, la password SSPR aggiorna solo le password locali. La sincronizzazione dell'hash delle password Azure AD viene pianificata ogni 2 minuti.

  • Quando un utente appena creato precompilato con dati di SSPR, ad esempio telefono e posta elettronica, visita la pagina di registrazione della SSPR, non perdere l'accesso all'account. viene visualizzato come titolo della pagina. Perché il messaggio non viene visualizzato da altri utenti che dispongono di dati SSPR già popolati?

    Un utente che visualizza Non perdere l'accesso all'account. è un membro dei gruppi di registrazione SSPR/combinati configurati per il tenant. Gli utenti che non visualizzano Non perdere l'accesso all'account. non fanno parte dei gruppi di registrazione SSPR/combinati.

  • Quando alcuni utenti passano attraverso il processo SSPR e reimpostano la password, perché non visualizzano l'indicatore di complessità della password?

    Gli utenti che non visualizzano complessità debole/complessa delle password hanno abilitato il writeback delle password sincronizzato. Poiché la reimpostazione della password utente non è in grado di determinare i criteri password dell'ambiente locale del cliente, non può convalidare la complessità o la vulnerabilità delle password.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Azure AD per un gruppo selezionato di utenti. Si è appreso come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure AD
  • Configurare i metodi di autenticazione e le opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente