Esercitazione: consentire agli utenti di sbloccare l'account o reimpostare le password usando la funzione di Microsoft Entra per la reimpostazione automatica della password.

La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se Microsoft Entra ID blocca l'account di un utente o quest'ultimo si dimentica la password, l'utente può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Consigliamo questo video su come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID. Anche per gli amministratori IT, abbiamo un video sulla risoluzione dei sei messaggi di errore più comuni degli utenti finali con SSPR.

In questa esercitazione si apprenderà come:

Video tutorial

È anche possibile seguire la procedura in un video correlato: Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Per la reimpostazione della password è necessario un tenant Microsoft Entra con almeno una licenza Microsoft Entra ID P1. Per altre informazioni sui requisiti di licenza per la modifica della password e la reimpostazione della password in Microsoft Entra ID, vedere Requisiti di licenza per la reimpostazione della password self-service di Microsoft Entra.
• Un Account con almeno il ruolo di Amministratore dei Criteri di Autenticazione.
• Un utente non amministratore con una password conosciuta, ad esempio testuser. In questa esercitazione testerai l'esperienza SSPR dell'utente finale usando questo account.
  • Se è necessario creare un utente, vedere Guida introduttiva: Aggiungere nuovi utenti a Microsoft Entra ID.
• Un gruppo di cui è membro l'utente non amministratore, ad esempio SSPR-Test-Group. In questa esercitazione abiliterai la reimpostazione della password self-service per questo gruppo.
  • Se è necessario creare un gruppo, vedere Creare un gruppo di base e aggiungere membri usando Microsoft Entra ID.

Abilitare la reimpostazione della password auto-assistita

Microsoft Entra ID consente di abilitare la reimpostazione della password self-service per Nessun utente, Utenti selezionati o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un sottoinsieme di utenti per testare il processo di registrazione e il flusso di lavoro della reimpostazione della password self-service. Una volta acquisita familiarità con il processo e quando giunge il momento giusto per comunicare i requisiti a un numero maggiore di utenti, è possibile selezionare un gruppo di utenti da abilitare per la SSPR. In alternativa, puoi abilitare la reimpostazione self-service della password per tutti gli utenti nel tenant Microsoft Entra.

In questa esercitazione, configura la reimpostazione della password per un insieme di utenti in un gruppo di test. Usare SSPR-Test-Group e specificare il proprio gruppo Microsoft Entra se necessario:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

2. Passare a Protezione>Reimpostazione della password dal menu a sinistra.

3. Nella pagina Proprietà, sotto l'opzione Reimpostazione password self-service abilitata, scegliere Selezionato.

4. Se il gruppo non è visibile, scegliere Nessun gruppo selezionato, cercare e selezionare il gruppo Microsoft Entra, ad esempio SSPR-Test-Group, e quindi scegliere Seleziona.

   

5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto loro un metodo di conferma aggiuntivo. Questo fattore di autenticazione aggiuntivo garantisce che Microsoft Entra ID abbia completato solo gli eventi SSPR approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

1. Dal menu a sinistra della pagina Metodi di autenticazione impostare il Numero di metodi necessari per reimpostare su 2.

   Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

   • Notifica dell'app per dispositivi mobili
   • Codice app per dispositivi mobili
   • E-mail
   • Telefono cellulare

   È possibile abilitare altri metodi di autenticazione, ad esempio Telefono ufficio o Domande di sicurezza, in base alle esigenze aziendali.

3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Microsoft Entra ID usa queste informazioni di contatto per i diversi metodi di autenticazione configurati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione configurare Microsoft Entra ID per richiedere agli utenti la registrazione al successivo accesso.

1. Dal menu a sinistra della pagina Registrazione selezionare Sì per Richiedere agli utenti di registrarsi durante l'accesso.

2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

   È importante mantenere aggiornate le informazioni di contatto. Se le informazioni di contatto obsolete sono presenti all'avvio di un evento SSPR, l'utente potrebbe non essere in grado di sbloccare il proprio account o reimpostare la password.

3. Per applicare le impostazioni di registrazione, selezionare Salva.

Configurare notifiche e personalizzazioni

Per informare gli utenti sull'attività dell'account, è possibile configurare Microsoft Entra ID per inviare notifiche via email quando si verifica un evento di SSPR. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica fornisce un altro livello di attenzione quando una password dell'account amministratore con privilegi viene reimpostata tramite SSPR (Self-Service Password Reset). Microsoft Entra ID può informare tutti gli amministratori quando un utente usa la reimpostazione della password self-service in un account amministratore.

1. Dal menu a sinistra della pagina Notifiche configurare le opzioni seguenti:

   • Impostare l'opzione Notificare agli utenti le reimpostazioni delle password su Sì.
   • Impostare Notificare agli amministratori quando altri amministratori reimpostano le proprie password? su Sì.

2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di ulteriore assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento durante il processo di registrazione della reimpostazione della password e quando sblocca l'account o reimposta la password. Per assicurarsi che gli utenti ottengano il supporto necessario, è consigliabile fornire un URL o un indirizzo di posta elettronica del supporto tecnico personalizzato.

1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento helpdesk su Sì.
2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico specificare un indirizzo di posta elettronica o l'URL di una pagina Web in cui gli utenti possono ottenere ulteriore assistenza dall'organizzazione, ad esempio https://support.contoso.com/
3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione autonoma della password

Dopo aver abilitato e configurato la reimpostazione della password self-service, testare il processo di reimpostazione della password self-service con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser. Specificare il proprio account utente. Fa parte del gruppo che hai abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.

1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup. Microsoft Entra ID indirizza gli utenti a questo portale di registrazione quando accedono alla prossima volta.

2. Accedi con un utente di test non amministratore, come testuser, e registra le informazioni dei metodi di contatto per l'autenticazione.

3. Al termine, selezionare il pulsante Va bene e chiudere la finestra del browser.

4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.

5. Immettere le informazioni dell'account dell'utente di test non amministratore, ad esempio, testuser, i caratteri dell'immagine CAPTCHA e quindi selezionare Avanti.

   

6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceve una notifica tramite posta elettronica che indica che la password è stata reimpostata.

Pulire le risorse

In un tutorial successivo di questa serie, configurerai il ripristino delle password. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Microsoft Entra a un ambiente Active Directory locale. Se desideri continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare ora la reimpostazione della password self-service (SSPR).

Se non si desidera più utilizzare la funzionalità SSPR configurata come parte di questo tutorial, impostare lo stato di SSPR su Nessuno seguendo questa procedura:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
2. Passare a Protezione>Reimpostazione della password.
3. Nella pagina Proprietà, sotto l'opzione Reimpostazione password self-service abilitata, selezionare Nessuna.
4. Per applicare la modifica alla self-service password reset, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano a effettuare la reimpostazione della password self-service:

• Perché le politiche delle password in locale non vengono visualizzate durante la reimpostazione self-service della password (SSPR)?

  Al momento, Microsoft Entra Connect e la sincronizzazione cloud non supportano la condivisione delle informazioni sui criteri delle password con il cloud. La reimpostazione della password self-service visualizza solo i dettagli dei criteri password cloud e non può visualizzare i criteri locali.

• Perché gli utenti federati attendono fino a 2 minuti dopo aver visualizzato La password è stata reimpostata prima di poter usare password sincronizzate dall'ambiente locale?

  Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, l'aggiornamento SSPR modifica solo le password in locale. La sincronizzazione dell'hash delle password in Microsoft Entra ID è effettuata ogni 2 minuti.

• Quando un utente appena creato che viene prepopolato con i dati della reimpostazione della password self-service, ad esempio telefono e indirizzo e-mail, visita la pagina di registrazione della reimpostazione della password self-service, viene visualizzato Non perdere l'accesso al tuo account. come titolo della pagina. Perché gli altri utenti che dispongono di dati SSPR prepopolati non visualizzano il messaggio?

  Un utente che vede Non perdere l'accesso al tuo account. è membro di gruppi di registrazione SSPR/combinati configurati per il tenant. Utenti che non vedono Non perdere l'accesso al tuo account! non fanno parte dei gruppi di registrazione SSPR/combinati.

• Quando certi utenti attraversano il processo di reimpostazione della password tramite autoservizio e reimpostano la loro password, perché non vedono l'indicatore di robustezza della password?

  Gli utenti che non visualizzano la forza della password, debole/forte, hanno abilitato la reimmissione delle password sincronizzata. Poiché il sistema di reimpostazione della password self-service non è in grado di determinare i criteri delle password per l'ambiente locale del cliente, non può convalidare la robustezza o la debolezza della password.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Microsoft Entra per un gruppo selezionato di utenti. Hai imparato a: