Esercitazione: consentire agli utenti di sbloccare l'account o reimpostare le password con la reimpostazione della password self-service di Microsoft Entra

Microsoft Entra self-service password reset (SSPR) offre agli utenti la possibilità di modificare o reimpostare la password, senza coinvolgimento dell'amministratore o dell'help desk. Se Microsoft Entra ID blocca l'account di un utente o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. È consigliabile questo video su Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID. È disponibile anche un video per gli amministratori IT sulla risoluzione dei sei messaggi di errore più comuni dell'utente finale con reimpostazione della password self-service.

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service ed è necessario tornare all'account, passare alla pagina di reimpostazione della password di Microsoft Online.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
  • Configurare metodi di autenticazione e opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente

Importante

Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2024, i metodi di autenticazione non possono essere gestiti in questi criteri legacy di autenticazione MFA e reimpostazione della password self-service. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione in base alla data di deprecazione.

Esercitazione video

È anche possibile seguire la procedura in un video correlato: Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.

Prerequisiti

Per completare questa esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Tenant microsoft Entra funzionante con almeno una licenza microsoft Entra ID gratuito o di valutazione abilitata. Nel livello Gratuito, la reimpostazione della password self-service funziona solo per gli utenti cloud in Microsoft Entra ID. La modifica della password è supportata nel livello Gratuito, ma la reimpostazione della password non è.
    • Per le esercitazioni successive di questa serie, è necessaria una licenza microsoft Entra ID P1 o di valutazione per il writeback delle password locale.
    • Se necessario, creare gratuitamente un account Azure.
  • Un account con privilegi di Amministrazione istrator globale o di criteri di autenticazione Amministrazione istrator.
  • Un utente non amministratore con una password nota, ad esempio testuser. In questa esercitazione verrà testata l'esperienza della reimpostazione della password self-service dell'utente finale usando questo account.
  • Un gruppo di cui l'utente non amministratore è membro, ad esempio SSPR-Test-Group. In questa esercitazione si abiliterà la reimpostazione della password self-service per questo gruppo.

Abilitare la reimpostazione self-service delle password

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Microsoft Entra ID consente di abilitare la reimpostazione della password self-service per Nessuno, Selezionato o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un subset di utenti per testare il processo e il flusso di lavoro di reimpostazione della password self-service e registrazione. Quando si ha familiarità con il processo e il tempo è giusto per comunicare i requisiti con un set più ampio di utenti, è possibile selezionare un gruppo di utenti da abilitare per la reimpostazione della password self-service. In alternativa, è possibile abilitare la reimpostazione della password self-service per tutti gli utenti nel tenant di Microsoft Entra.

Nota

Attualmente, è possibile abilitare un solo gruppo Microsoft Entra per la reimpostazione della password self-service tramite l'interfaccia di amministrazione di Microsoft Entra. Nell'ambito di una distribuzione più ampia della reimpostazione della password self-service, Microsoft Entra ID supporta i gruppi annidati.

In questa esercitazione configurare la reimpostazione della password self-service per un set di utenti in un gruppo di test. Usare il gruppo SSPR-Test-Group e fornire il proprio gruppo Microsoft Entra in base alle esigenze:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Reimpostazione password di protezione>dal menu a sinistra.

  3. Nella pagina Proprietà, sotto l'opzione Reimpostazione password self-service abilitata, scegliere Selezionato.

  4. Se il gruppo non è visibile, scegliere Nessun gruppo selezionato, cercare e selezionare il gruppo Microsoft Entra, ad esempio SSPR-Test-Group, quindi scegliere Seleziona.

    Select a group to enable for self-service password reset

  5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto un altro metodo di conferma. Questo fattore di autenticazione aggiuntivo garantisce che l'ID Microsoft Entra abbia completato solo gli eventi SSPR approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

  1. Dal menu a sinistra della pagina Metodi di autenticazione impostare il numero di metodi necessari per reimpostare su 2.

    Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

  2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

    • Notifica dell'app per dispositivi mobili
    • Codice app per dispositivi mobili
    • Messaggio e-mail
    • Telefono cellulare

    È possibile abilitare altri metodi di autenticazione, ad esempio telefono di Office o domande di sicurezza, in base alle esigenze aziendali.

  3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Microsoft Entra ID usa queste informazioni di contatto per i diversi metodi di autenticazione configurati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione configurare Microsoft Entra ID per richiedere agli utenti la registrazione al successivo accesso.

  1. Dal menu a sinistra della pagina Registrazione selezionare per Richiedere agli utenti di registrarsi durante l'accesso.

  2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

    È importante mantenere aggiornate le informazioni di contatto. Se le informazioni di contatto obsolete sono presenti all'avvio di un evento SSPR, l'utente potrebbe non essere in grado di sbloccare il proprio account o reimpostare la password.

  3. Per applicare le impostazioni di registrazione, selezionare Salva.

Nota

L'interruzione della richiesta di registrazione delle informazioni di contatto durante l'accesso si verificherà solo se vengono soddisfatte le condizioni configurate nelle impostazioni e si applicherà solo agli utenti e agli account amministratore abilitati per reimpostare le password tramite la reimpostazione della password self-service di Microsoft Entra.

Configurare notifiche e personalizzazioni

Per mantenere gli utenti informati sull'attività dell'account, è possibile configurare Microsoft Entra ID per inviare notifiche tramite posta elettronica quando si verifica un evento di reimpostazione della password self-service. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica fornisce un altro livello di consapevolezza quando una password dell'account amministratore con privilegi viene reimpostata usando la reimpostazione della password self-service. Microsoft Entra ID informerà tutti gli amministratori globali quando un utente usa la reimpostazione della password self-service in un account amministratore.

  1. Dal menu a sinistra della pagina Notifiche configurare le opzioni seguenti:

    • Impostare l'opzione Invia notifica agli utenti per la reimpostazione della password? su .
    • Impostare Invia una notifica a tutti gli amministratori quando altri amministratori reimpostano la password? su .
  2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento nel processo di registrazione della reimpostazione della password self-service e quando sblocca l'account o reimposta la password. Per assicurarsi che gli utenti ottengano il supporto necessario, è consigliabile fornire un URL o un messaggio di posta elettronica del supporto tecnico personalizzato.

  1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento helpdesk su .
  2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico personalizzato specificare un indirizzo di posta elettronica o un URL della pagina Web in cui gli utenti possono ottenere assistenza dall'organizzazione, ad esempiohttps://support.contoso.com/
  3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione della password self-service

Con la reimpostazione della password self-service abilitata e configurata, testare il processo di reimpostazione della password self-service con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser . Specificare il proprio account utente. Fa parte del gruppo abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore. Per impostazione predefinita, Microsoft Entra ID abilita la reimpostazione della password self-service per gli amministratori. È necessario usare due metodi di autenticazione per reimpostare la password. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.

  1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup. Microsoft Entra ID indiricherà gli utenti a questo portale di registrazione quando accedono alla prossima volta.

  2. Accedere con un utente di test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.

  3. Al termine, selezionare il pulsante contrassegnato Sembra buono e chiudere la finestra del browser.

  4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.

  5. Immettere le informazioni sull'account degli utenti di test non amministratore, ad esempio testuser, i caratteri di CAPTCHA e quindi selezionare Avanti.

    Enter user account information to reset the password

  6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceverà una notifica tramite posta elettronica che indica che la password è stata reimpostata.

Pulire le risorse

In un'esercitazione successiva di questa serie si configurerà il writeback delle password. Questa funzionalità scrive le modifiche delle password da Microsoft Entra SSPR a un ambiente AD locale. Se si vuole continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare ora la reimpostazione della password self-service.

Se non si vuole più usare la funzionalità della reimpostazione della password self-service configurata come parte di questa esercitazione, impostare lo stato della reimpostazione della password self-service su Nessuno seguendo questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Reimpostazione password di protezione>.
  3. Nella pagina Proprietà, sotto l'opzione Reimpostazione password self-service abilitata, selezionare Nessuno.
  4. Per applicare la modifica alla reimpostazione della password self-service, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano la reimpostazione della password self-service:

  • Perché i criteri password locali non vengono visualizzati durante la reimpostazione della password self-service?

    Al momento, Microsoft Entra Connessione e la sincronizzazione cloud non supportano la condivisione dei dettagli dei criteri password con il cloud. La reimpostazione della password self-service visualizza solo i dettagli dei criteri password cloud e non può visualizzare i criteri locali.

  • Perché gli utenti federati attendono fino a 2 minuti dopo che la password è stata reimpostata prima che possano usare password sincronizzate dall'ambiente locale?

    Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, la reimpostazione della password self-service aggiorna solo le password locali. La sincronizzazione dell'hash delle password in Microsoft Entra ID è pianificata per ogni 2 minuti.

  • Quando un utente appena creato che viene prepopolato con i dati della reimpostazione della password self-service, ad esempio telefono e posta elettronica, visita la pagina di registrazione della reimpostazione della password self-service, Non perdere l'accesso al tuo account! viene visualizzato come titolo della pagina. Perché gli altri utenti che dispongono di dati della reimpostazione della password self-service prepopolato visualizzano il messaggio?

    Un utente che vede Don't lose access to your account! è un membro di gruppi di registrazione SSPR/combinati configurati per il tenant. Gli utenti che non vedono Non perdere l'accesso all'account. Non fanno parte dei gruppi di registrazione SSPR/combinati.

  • Quando alcuni utenti passano attraverso il processo di reimpostazione della password self-service e reimpostano la password, perché non vedono l'indicatore di complessità della password?

    Gli utenti che non vedono la complessità della password debole/complessa hanno abilitato il writeback delle password sincronizzato. Poiché la reimpostazione della password self-service non è in grado di determinare i criteri password dell'ambiente locale del cliente, non può convalidare la complessità o la debolezza della password.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Microsoft Entra per un gruppo selezionato di utenti. Contenuto del modulo:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
  • Configurare metodi di autenticazione e opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente