Abilitare la reimpostazione della password self-service di Microsoft Entra nella schermata di accesso di Windows

La reimpostazione della password self-service offre agli utenti di Microsoft Entra ID la possibilità di modificare o reimpostare la password, senza coinvolgimento dell'amministratore o dell'help desk. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale della reimpostazione della password self-service. Per migliorare l'esperienza nei computer che eseguono Windows 7, 8, 8.1, 10 e 11, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows.

Example Windows login screens with SSPR link shown

Importante

Questa esercitazione illustra come abilitare la reimpostazione della password self-service per i dispositivi Windows in un'azienda.

Se il team IT non ha abilitato la possibilità di usare la reimpostazione della password self-service dal dispositivo Windows o si verificano problemi durante l'accesso, contattare il supporto tecnico per ricevere assistenza aggiuntiva.

Limitazioni generali

Le limitazioni seguenti si applicano all'uso della reimpostazione della password self-service dalla schermata di accesso di Windows:

  • La reimpostazione della password non è attualmente supportata da desktop remoto o da sessioni avanzate di Hyper-V.
  • Alcuni provider di credenziali di terze parti sono noti per causare problemi con questa funzionalità.
  • La disabilitazione del controllo dell'account utente tramite la modifica della chiave del registro di sistema EnableLUA è nota per causare problemi.
  • Questa funzionalità non funziona per le reti con autenticazione di rete 802.1x distribuita e l'opzione "Esegui immediatamente prima dell'accesso dell'utente". Per le reti con autenticazione di rete 802.1x distribuita, è consigliabile usare l'autenticazione del computer per abilitare questa funzionalità.
  • Per usare la nuova password e aggiornare le credenziali memorizzate nella cache, i computer aggiunti a Microsoft Entra ibrido devono avere una linea di visualizzazione della connettività di rete a un controller di dominio. Ciò significa che i dispositivi devono trovarsi nella rete interna dell'organizzazione o in una VPN con accesso di rete a un controller di dominio locale.
  • Se si usa un'immagine, assicurarsi che la cache Web sia stata cancellata per l'amministratore predefinito prima di eseguire il passaggio CopyProfile di Sysprep. Per altre informazioni su questo passaggio, vedere l'articolo di supporto Prestazioni insufficienti quando si usa il profilo utente predefinito personalizzato.
  • Le impostazioni seguenti sono note per interferire con la possibilità di usare e reimpostare le password nei dispositivi Windows 10:
    • Se le notifiche della schermata di blocco sono disattivate, la reimpostazione della password non funzionerà.
    • HideFastUserSwitching è impostato su abilitato o 1
    • DontDisplayLastUserName è impostato su abilitato o 1
    • NoLockScreen è impostato su abilitato o 1
    • BlockNon Amministrazione UserInstall è impostato su abilitato o 1
    • EnableLostMode è impostato nel dispositivo
    • Explorer.exe è sostituito con una shell personalizzata
    • Accesso interattivo: richiedi che la smart card sia abilitata o 1
  • La combinazione delle tre impostazioni specifiche seguenti può causare un funzionamento non corretto di questa funzionalità.
    • Accesso interattivo: non richiedere CTRL+ALT+CANC = Disabilitato (solo per Windows 10 versione 1710 e precedenti)
    • DisableLockScreenAppNotifications = 1 o Abilitato
    • Lo SKU di Windows è Home Edition

Nota

Queste limitazioni si applicano anche alla reimpostazione del PIN di Windows Hello for Business dalla schermata di blocco del dispositivo.

Reimpostazione della password di Windows 11 e Windows 10

Per configurare un dispositivo Windows 11 o Windows 10 per la reimpostazione della password self-service nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 11 e Windows 10

  • Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator e abilitare la reimpostazione della password self-service di Microsoft Entra.
  • Gli utenti devono registrarsi per la reimpostazione della password self-service prima di usare questa funzionalità all'indirizzo https://aka.ms/ssprsetup
    • Non univoco per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni di contatto di autenticazione prima di poter reimpostare la password.
  • Requisiti del proxy di rete:
    • Porta 443 per passwordreset.microsoftonline.com e ajax.aspnetcdn.com
    • I dispositivi Windows 10 richiedono una configurazione proxy a livello di computer o una configurazione proxy con ambito per l'account defaultuser1 temporaneo usato per eseguire la reimpostazione della password self-service (vedere la sezione Risoluzione dei problemi per altri dettagli).
  • Eseguire almeno Windows 10, versione di aprile 2018 Update (v1803) e i dispositivi devono essere:
    • Microsoft Entra aggiunto
    • Microsoft Entra aggiunto ibrido

Abilitare per Windows 11 e Windows 10 con Microsoft Intune

La distribuzione della modifica di configurazione per abilitare la reimpostazione della password self-service dalla schermata di accesso tramite Microsoft Intune è il metodo più flessibile. Microsoft Intune consente di distribuire la modifica della configurazione in un gruppo specifico di computer definiti. Questo metodo richiede la registrazione di Microsoft Intune del dispositivo.

Creare criteri di configurazione dei dispositivi in Microsoft Intune

  1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

  2. Creare un nuovo profilo di configurazione del dispositivo passando a Profili di configurazione>del dispositivo, quindi selezionare + Crea profilo

    • Per Piattaforma scegliere Windows 10 e versioni successive
    • Per Tipo di profilo scegliere Modelli e quindi selezionare il modello personalizzato seguente
  3. Selezionare Crea, quindi specificare un nome significativo per il profilo, ad esempio la reimpostazione della password self-service per l'accesso a Windows 11

    Facoltativamente, specificare una descrizione significativa del profilo e quindi selezionare Avanti.

  4. In Impostazioni di configurazione selezionare Aggiungi e specificare l'impostazione OMA-URI seguente per abilitare il collegamento per la reimpostazione della password:

    • Specificare un nome significativo per spiegare le operazioni dell'impostazione, ad esempio Aggiungi collegamento SSPR.
    • Facoltativamente, fornire una descrizione significativa dell'impostazione.
    • Impostare URI OMA su ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Impostare Tipo di dati su Integer
    • Impostare Valore su 1

    Selezionare Aggiungi, quindi Avanti.

  5. I criteri possono essere assegnati a utenti, dispositivi o gruppi specifici. Assegnare il profilo come desiderato per l'ambiente, idealmente a un gruppo di test di dispositivi, quindi selezionare Avanti.

    Per altre informazioni, vedere Assegnare profili utente e dispositivo in Microsoft Intune.

  6. Configurare le regole di applicabilità desiderate per l'ambiente, ad esempio Assegnare il profilo se l'edizione del sistema operativo è Windows 10 Enterprise, quindi selezionare Avanti.

  7. Esaminare il profilo e quindi selezionare Crea.

Abilitare per Windows 11 e Windows 10 usando il Registro di sistema

Per abilitare la reimpostazione della password self-service nella schermata di accesso usando una chiave del Registro di sistema, seguire questa procedura:

  1. Accedere al PC Windows usando le credenziali amministrative.

  2. Premere Windows + R per aprire la finestra di dialogo Esegui , quindi eseguire regedit come amministratore

  3. Impostare la chiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 11 e Windows 10

Se si verificano problemi con l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, il log di controllo di Microsoft Entra include informazioni sull'indirizzo IP e sul clientType in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Example Windows 7 password reset in the Microsoft Entra audit log

Quando gli utenti reimpostano la password dalla schermata di accesso di un dispositivo Windows 11 o 10, viene creato un account temporaneo con privilegi limitati denominato defaultuser1 . Questo account viene usato per proteggere il processo di reimpostazione della password.

L'account stesso ha una password generata in modo casuale, che viene convalidata in base ai criteri password di un'organizzazione, non viene visualizzata per l'accesso al dispositivo e viene rimossa automaticamente dopo che l'utente reimposta la password. Possono esistere più profili defaultuser, ma è possibile tranquillamente ignorarli.

Configurazioni proxy per la reimpostazione della password di Windows

Durante la reimpostazione della password, la reimpostazione della password self-service crea un account utente locale temporaneo per la connessione a https://passwordreset.microsoftonline.com/n/passwordreset. Quando un proxy è configurato per l'autenticazione utente, potrebbe non riuscire con l'errore "Si è verificato un errore. Riprovare più tardi." Ciò è dovuto al fatto che l'account utente locale non è autorizzato a usare il proxy autenticato.

In questo caso, è possibile usare una delle soluzioni alternative seguenti:

  • Configurare un'impostazione proxy a livello di computer che non dipende dal tipo di utente connesso al computer. Ad esempio, è possibile abilitare i Criteri di gruppo Imposta impostazioni proxy per computer (anziché per utente) per le workstation.

  • È anche possibile usare la configurazione proxy per utente per la reimpostazione della password self-service se si modifica il modello del Registro di sistema per l'account predefinito. I comandi sono i seguenti:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • L'errore "Si è verificato un errore" può verificarsi anche quando qualsiasi elemento interrompe la connettività all'URL https://passwordreset.microsoftonline.com/n/passwordreset. Ad esempio, questo errore può verificarsi quando il software antivirus viene eseguito nella workstation senza esclusioni per gli URL passwordreset.microsoftonline.com, ajax.aspnetcdn.come ocsp.digicert.com. Disabilitare temporaneamente questo software per verificare se il problema è stato risolto o meno.

Reimpostazione della password di Windows 7, 8 e 8.1

Per configurare un dispositivo Windows 7, 8 o 8.1 per la reimpostazione della password self-service nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 7, 8 e 8.1

  • Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator e abilitare la reimpostazione della password self-service di Microsoft Entra.
  • Gli utenti devono registrarsi per la reimpostazione della password self-service prima di usare questa funzionalità all'indirizzo https://aka.ms/ssprsetup
    • Non univoco per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni di contatto di autenticazione prima di poter reimpostare la password.
  • Requisiti del proxy di rete:
    • Porta 443 per passwordreset.microsoftonline.com
  • Sistema operativo Windows 7 con patch o Windows 8.1.
  • Protocollo TLS 1.2 abilitato seguendo le indicazioni riportate in Transport Layer Security (TLS) registry settings (Impostazioni del Registro di sistema di Transport Layer Security - TLS).
  • Se nel computer sono abilitati più provider di credenziali di terze parti, gli utenti visualizzano più profili utente nella schermata di accesso.

Avviso

Il protocollo TLS 1.2 deve essere abilitato, non semplicemente impostato sulla negoziazione automatica.

Installa

Per Windows 7, 8 e 8.1, è necessario installare un piccolo componente nel computer per abilitare la reimpostazione della password self-service nella schermata di accesso. Per installare questo componente SSPR, completare la procedura seguente:

  1. Scaricare il programma di installazione appropriato per la versione di Windows che si vuole abilitare.

    Il programma di installazione software è disponibile nell'Area download Microsoft all'indirizzo https://aka.ms/sspraddin

  2. Accedere al computer in cui si vuole effettuare l'installazione ed eseguire il programma di installazione.

  3. Al termine dell'installazione è consigliabile riavviare il computer.

  4. Dopo il riavvio, nella schermata di accesso scegliere un utente e selezionare "Password dimenticata?" per avviare il flusso di lavoro di reimpostazione della password.

  5. Completare il flusso di lavoro seguendo i passaggi visualizzati sullo schermo per reimpostare la password.

Example Windows 7 clicked

Installazione invisibile all'utente

Il componente SSPR può essere installato o disinstallato senza prompt usando i comandi seguenti:

  • Per l'installazione invisibile all'utente, usare il comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Per la disinstallazione invisibile all'utente, usare il comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 7, 8 e 8.1

In caso di problemi con l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, gli eventi vengono registrati sia nel computer che nell'ID Microsoft Entra. Gli eventi di Microsoft Entra includono informazioni sull'indirizzo IP e sul clientType in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Example Windows 7 password reset in the Microsoft Entra audit log

Se è necessaria una registrazione aggiuntiva, è possibile modificare una chiave del Registro di sistema per abilitare la registrazione dettagliata. Abilitare la registrazione dettagliata per la risoluzione dei problemi solo usando il valore della chiave del Registro di sistema seguente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Per abilitare la registrazione dettagliata, creare un REG_DWORD: "EnableLogging" e impostarlo su 1.
  • Per disabilitare la registrazione dettagliata, modificare il REG_DWORD: "EnableLogging" su 0.
  • Esaminare la registrazione di debug nel registro eventi dell'applicazione nell'origine AADPasswordResetCredentialProvider.

Cosa vedono gli utenti

Con la reimpostazione della password self-service configurata per i dispositivi Windows, quali modifiche per l'utente? Come capisce che può reimpostare la password nella schermata di accesso? Gli screenshot di esempio seguenti mostrano le opzioni aggiuntive per un utente per reimpostare la password usando la reimpostazione della password self-service:

Example Windows 7 and 10 login screens with SSPR link shown

Quando gli utenti tentano di accedere, visualizzano un collegamento Reimposta password o Password dimenticata che apre l'esperienza di reimpostazione della password self-service nella schermata di accesso. Questa funzionalità consente agli utenti di reimpostare la password senza dover usare un altro dispositivo per accedere a un Web browser.

Per altre informazioni sull'uso di questa funzionalità, vedere Reimpostare la password aziendale o dell'istituto di istruzione

Passaggi successivi

Per semplificare l'esperienza di registrazione utente, è possibile precompilare le informazioni di contatto per l'autenticazione utente per la reimpostazione della password self-service.