Funzionamento: reimpostazione self-service della password di Azure AD

La reimpostazione della password self-service di Azure Active Directory (Azure AD) consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Questo video illustra come abilitare e configurare la reimpostazione della password self-service in Azure AD.

Importante

Questo articolo concettuale illustra a un amministratore il funzionamento della reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

Come funziona il processo di reimpostazione della password?

Un utente può reimpostare o modificare la password usando il portale di reimpostazione della password self-service. Devono prima aver registrato i metodi di autenticazione desiderati. Quando un utente accede al portale di reimpostazione della password self-service, la piattaforma Azure considera i fattori seguenti:

  • come localizzare la pagina
  • la validità dell'account
  • l'organizzazione a cui l'utente appartiene
  • Dove viene gestita la password dell'utente?

Quando un utente seleziona il collegamento Non è possibile accedere all'account da un'applicazione o da una pagina o passa direttamente a https://aka.ms/sspr, la lingua usata nel portale della reimpostazione della password self-service si basa sulle opzioni seguenti:

  • Per impostazione predefinita, le impostazioni locali del browser vengono usate per visualizzare la reimpostazione della password self-service nella lingua appropriata. L'esperienza di reimpostazione della password viene localizzata nelle stesse lingue supportate Microsoft 365.
  • Per collegare la reimpostazione della password self-service in una lingua localizzata specifica, aggiungere ?mkt= alla fine dell'URL di reimpostazione della password insieme alle impostazioni locali necessarie.

Dopo aver visualizzato il portale della reimpostazione della password self-service nella lingua richiesta, all'utente viene richiesto di immettere un ID utente e di passare un captcha. Azure AD verifica ora che l'utente sia in grado di usare la reimpostazione della password self-service eseguendo i controlli seguenti:

  • Verifica che l'utente disponga della reimpostazione della password self-service abilitata.
    • Se l'utente non è abilitato per la reimpostazione della password self-service, all'utente viene chiesto di contattare l'amministratore per reimpostare la password.
  • Verificare che per l'account dell'utente siano stati definiti i metodi di autenticazione corretti, in conformità ai criteri dell'amministratore.
    • Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
      • Se i metodi di autenticazione non sono configurati, è consigliabile contattare l'amministratore per reimpostare la password.
    • Se i criteri richiedono due metodi, verificare che l'utente disponga dei dati appropriati definiti per almeno due dei metodi di autenticazione abilitati dai criteri di amministratore.
      • Se i metodi di autenticazione non sono configurati, è consigliabile contattare l'amministratore per reimpostare la password.
    • Se un ruolo di amministratore di Azure viene assegnato all'utente, vengono applicati i criteri di password complessa con due attività di controllo. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
  • Verifica se la password dell'utente è gestita in locale, ad esempio se il tenant di Azure AD usa la sincronizzazione federata, pass-through o hash delle password:
    • Se il writeback della reimpostazione della password self-service è configurato e la password dell'utente è gestita in locale, l'utente può procedere all'autenticazione e alla reimpostazione della password.
    • Se il writeback della reimpostazione della password self-service non viene distribuito e la password dell'utente viene gestita in locale, all'utente viene chiesto di contattare l'amministratore per reimpostare la password.

Se tutti i controlli precedenti vengono completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.

Nota

La reimpostazione della password self-service può inviare notifiche tramite posta elettronica agli utenti come parte del processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati tramite il servizio di inoltro SMTP, che opera in modalità attiva-attiva in diverse aree.

I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica della reimpostazione della password self-service che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo metadati del protocollo.

Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente:

Richiedere agli utenti di registrarsi all'accesso

È possibile abilitare l'opzione per richiedere a un utente di completare la registrazione della reimpostazione della password self-service se usano l'autenticazione moderna o il Web browser per accedere a qualsiasi applicazione usando Azure AD. Questo flusso di lavoro include le applicazioni seguenti:

  • Microsoft 365
  • Portale di Azure
  • Pannello di accesso
  • Applicazioni federate
  • Applicazioni personalizzate che usano Azure AD

Quando non è necessaria la registrazione, agli utenti non viene richiesto di eseguire l'accesso, ma possono registrarsi manualmente. Gli utenti possono visitare https://aka.ms/ssprsetup o selezionare il collegamento Registra per la reimpostazione della password nella scheda Profilo del Pannello di accesso.

Opzioni di registrazione per la reimpostazione della password self-service nella portale di Azure

Nota

Gli utenti possono chiudere il portale di registrazione della reimpostazione della password self-service selezionando Annulla o chiudendo la finestra. Tuttavia, viene richiesto di registrarsi ogni volta che accedono fino a quando non completano la registrazione.

Questo interrupt per la registrazione per la reimpostazione della password self-service non interrompe la connessione dell'utente se è già connesso.

Riconfermare le informazioni di autenticazione

Per assicurarsi che i metodi di autenticazione siano corretti quando sono necessari per reimpostare o modificare la password, è possibile richiedere agli utenti di confermare le informazioni registrate dopo un determinato periodo di tempo. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi durante l'accesso .

I valori validi per richiedere a un utente di confermare che i metodi registrati sono compresi tra 0 e 730 giorni. L'impostazione di questo valore su 0 indica che agli utenti non viene mai richiesto di confermare le informazioni di autenticazione. Quando si usa l'esperienza di registrazione combinata, gli utenti dovranno confermare la propria identità prima di riconfermare le informazioni.

Metodi di autenticazione

Quando un utente è abilitato per la reimpostazione della password self-service, deve registrare almeno un metodo di autenticazione. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti abbiano maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario. Per altre informazioni, vedere Che cosa sono i metodi di autenticazione?.

Per la reimpostazione della password self-service sono disponibili i metodi di autenticazione seguenti:

  • Notifica dell'app per dispositivi mobili
  • Codice app per dispositivi mobili
  • E-mail
  • Cellulare
  • Telefono ufficio (disponibile solo per i tenant con sottoscrizioni a pagamento)
  • Domande di sicurezza

Gli utenti possono reimpostare la password solo se hanno registrato un metodo di autenticazione abilitato dall'amministratore.

Avviso

Gli account assegnati ai ruoli di amministratore di Azure sono necessari per usare i metodi definiti nella sezione Differenze dei criteri di reimpostazione dell'amministratore.

Selezione dei metodi di autenticazione nei metodi di

Numero di metodi di autenticazione necessari

È possibile configurare il numero dei metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su uno o due.

Gli utenti possono e devono registrare più metodi di autenticazione. Anche in questo caso, è consigliabile che gli utenti registrino due o più metodi di autenticazione in modo che abbiano maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario.

Se un utente non ha il numero minimo di metodi necessari registrati quando tenta di usare la reimpostazione della password self-service, viene visualizzata una pagina di errore che li indirizza a richiedere a un amministratore di reimpostare la password. Prestare attenzione se si aumenta il numero di metodi necessari da uno a due se sono presenti utenti registrati per la reimpostazione della password self-service e non sono in grado di usare la funzionalità. Per altre informazioni, vedere la sezione seguente per Modificare i metodi di autenticazione.

App per dispositivi mobili e reimpostazione della password self-service

Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, ad esempio l'app Microsoft Authenticator, si applicano le considerazioni seguenti:

  • Quando gli amministratori richiedono l'uso di un solo metodo per la reimpostazione di una password, il codice di verifica è l'unica opzione disponibile.
  • Quando gli amministratori richiedono due metodi per reimpostare una password, gli utenti possono usare il codice di verifica OR di notifica oltre a qualsiasi altro metodo abilitato.
Numero di metodi da reimpostare Uno Due
Funzionalità disponibili delle app per dispositivi mobili Codice Codice o notifica

Gli utenti non hanno la possibilità di registrare l'app per dispositivi mobili durante la registrazione per la reimpostazione della password self-service da https://aka.ms/ssprsetup. Gli utenti possono registrare l'app per dispositivi mobili all'indirizzo https://aka.ms/mfasetupo nella registrazione combinata delle informazioni di sicurezza all'indirizzo https://aka.ms/setupsecurityinfo.

Importante

L'app Authenticator non può essere selezionata come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, non è possibile selezionare l'app Authenticator e un solo metodo aggiuntivo quando sono necessari due metodi.

Quando si configurano i criteri di reimpostazione della password self-service che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo quando è necessario un metodo e quando è necessario configurare due metodi, è necessario selezionare almeno due metodi aggiuntivi.

Questo requisito è dovuto al fatto che l'esperienza di registrazione della reimpostazione della password self-service corrente non include l'opzione per registrare l'app di autenticazione. L'opzione per registrare l'app di autenticazione è inclusa nella nuova esperienza di registrazione combinata.

Consentire criteri che usano solo l'app Authenticator (quando è necessario un metodo) o l'app Authenticator e un solo metodo aggiuntivo (quando sono necessari due metodi), potrebbero impedire agli utenti di eseguire la registrazione per la reimpostazione della password self-service fino a quando non sono configurati per l'uso della nuova esperienza di registrazione combinata.

Modifica dei metodi di autenticazione

Cosa succede se si inizia con un criterio che ha solo un metodo di autenticazione registrato necessario per la reimpostazione o lo sblocco e si passa a due?

Numero di metodi registrati Numero di metodi necessari Risultato
1 o più 1 Possibilità di reimpostare o sbloccare
1 2 Impossibilità di reimpostare o sbloccare
2 o più 2 Possibilità di reimpostare o sbloccare

La modifica dei metodi di autenticazione disponibili può anche causare problemi per gli utenti. Se si modificano i tipi di metodi di autenticazione che un utente può usare, si potrebbe impedire inavvertitamente agli utenti l'uso della reimpostazione password self-service se questi non dispongono della quantità minima di dati.

Si consideri lo scenario di esempio seguente:

  1. Il criterio originale è configurato con due metodi di autenticazione necessari. Vengono usati solo il numero di telefono ufficio e le domande di sicurezza.
  2. L'amministratore modifica i criteri in modo da non usare più domande di sicurezza, ma da consentire l'uso del telefono cellulare e di un indirizzo di posta elettronica alternativo.
  3. Gli utenti senza il telefono cellulare o i campi di posta elettronica alternativi popolati ora non possono reimpostare le password.

Notifiche

Per migliorare la consapevolezza degli eventi delle password, la reimpostazione della password self-service consente di configurare le notifiche sia per gli utenti che per gli amministratori delle identità.

Inviare notifiche agli utenti al momento della reimpostazione della password

Se questa opzione è impostata su , gli utenti che reimpostano la password ricevono un messaggio di posta elettronica che informa che la password è stata modificata. Il messaggio di posta elettronica viene inviato tramite il portale della reimpostazione della password self-service ai rispettivi indirizzi di posta elettronica primari e alternativi archiviati in Azure AD. La notifica dell'evento di reimpostazione non viene inviata ad altre persone.

Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password

Se questa opzione è impostata su , tutti gli altri amministratori di Azure ricevono un messaggio di posta elettronica all'indirizzo di posta elettronica primario archiviato in Azure AD. Questo messaggio notifica la modifica della password tramite il servizio di reimpostazione della password self-service da parte di un altro amministratore.

Si consideri lo scenario di esempio seguente:

  • nell'ambiente sono presenti quattro amministratori.
  • Amministratore A reimposta la password usando la reimpostazione della password self-service.
  • Gli amministratori B, C e D ricevono un messaggio di posta elettronica per avvisarli della reimpostazione della password.

Nota

Email notifiche dal servizio reimpostazione della password self-service verranno inviate dagli indirizzi seguenti in base al cloud di Azure in uso:

  • Pubblico: msonlineservicesteam@microsoft.com
  • Cina: msonlineservicesteam@oe.21vianet.com
  • Governo: msonlineservicesteam@azureadnotifications.us

Se si osservano problemi durante la ricezione delle notifiche, controllare le impostazioni di posta indesiderata.

Integrazione locale

Se si dispone di un ambiente ibrido, è possibile configurare Azure AD Connect per scrivere eventi di modifica della password da Azure AD a una directory locale.

La convalida del writeback delle password è abilitata e funziona

Azure AD controlla la connettività ibrida corrente e fornisce uno dei messaggi seguenti nel portale di Azure:

  • Il client di writeback locale è operativo.
  • Azure AD è online e connesso al client di writeback locale. Tuttavia sembra che la versione installata di Azure AD Connect non sia aggiornata. Prendere in considerazione l'aggiornamento di Azure AD Connect per assicurarsi di disporre delle funzionalità di connettività più recenti e di importanti correzioni di bug.
  • Sfortunatamente, non è possibile controllare lo stato del client di writeback locale perché la versione installata di Azure AD Connect non è aggiornata. Aggiornare Azure AD Connect per essere in grado di controllare lo stato della connessione.
  • Purtroppo al momento non è possibile connettersi al client di writeback locale. Risoluzione dei problemi di Azure AD Connect per ripristinare la connessione.
  • Purtroppo non è possibile eseguire la connessione al client di writeback locale perché il writeback delle password non è stato configurato correttamente. Configurare il writeback delle password per ripristinare la connessione.
  • Purtroppo al momento non è possibile connettersi al client di writeback locale. Ciò può essere dovuto a errori temporanei nel sistema. Se il problema persiste, vedere Risoluzione dei problemi di Azure AD Connect per ripristinare la connessione.

Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:

Writeback delle password nella directory locale

È possibile abilitare il writeback delle password usando il portale di Azure. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Azure AD Connect.

  • Se l'opzione è impostata su , il writeback è abilitato. Gli utenti federati, con autenticazione pass-through o con hash delle password sono in grado di reimpostare le password.
  • Se l'opzione è impostata su No, il writeback è disabilitato. Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non sono in grado di reimpostare le password.

Allow users to unlock accounts without resetting their password

Per impostazione predefinita, Azure AD sblocca gli account quando esegue la reimpostazione di una password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per separare queste due operazioni.

  • Se impostato su , agli utenti viene assegnata la possibilità di reimpostare la password e sbloccare l'account oppure di sbloccare l'account senza dover reimpostare la password.
  • Se impostato su No, gli utenti possono eseguire solo un'operazione combinata di reimpostazione della password e sblocco dell'account.

Filtri della password di Active Directory locali

La reimpostazione della password self-service esegue l'equivalente di una reimpostazione della password avviata dall'amministratore in Active Directory. Se si usa un filtro password di terze parti per applicare regole password personalizzate e si richiede che questo filtro password venga controllato durante la reimpostazione della password self-service di Azure AD, assicurarsi che la soluzione di filtro password di terze parti sia configurata per l'applicazione nello scenario di reimpostazione della password amministratore. La protezione password di Azure AD per Active Directory Domain Services è supportata per impostazione predefinita.

Reimpostazione della password per utenti B2B

La modifica e la reimpostazione della password sono completamente supportate in tutte le configurazioni B2B. La reimpostazione della password di utenti B2B è supportata nei tre casi seguenti:

  • Utenti di un'organizzazione partner con un tenant di Azure AD esistente: se l'organizzazione con cui si collabora ha un tenant di Azure AD esistente, viene rispettato qualsiasi criterio di reimpostazione della password sia abilitato nel tenant. Per garantire il corretto funzionamento della reimpostazione della password, l'organizzazione partner deve assicurarsi che sia abilitata la reimpostazione delle password self-service di Azure AD. Non sono previsti costi aggiuntivi per Microsoft 365 clienti.
  • Utenti che effettuano l'iscrizione tramite iscrizione self-service: se l'organizzazione partner con la funzionalità di iscrizione self-service per accedere a un tenant, è possibile reimpostare la password con il messaggio di posta elettronica registrato.
  • Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità di Azure AD B2B possono anche reimpostare le password con il messaggio di posta elettronica registrato durante il processo di invito.

Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha un indirizzo di posta elettronica alternativo o un indirizzo di posta elettronica per l'autenticazione, la reimpostazione della password funziona come previsto.

Nota

Microsoft account a cui è stato concesso l'accesso guest al tenant di Azure AD, ad esempio quelli di Hotmail.com, Outlook.com o altri indirizzi di posta elettronica personali, non possono usare la reimpostazione della password self-service di Azure AD. Tali account devono reimpostare le password usando le informazioni riportate nell'articolo Quando non riesci ad accedere al tuo account Microsoft.

Passaggi successivi

Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente:

Gli articoli seguenti forniscono altre informazioni sull'uso della reimpostazione della password con Azure AD: