Esercitazione: Consentire agli utenti di sbloccare l'account o reimpostare le password con la reimpostazione della password self-service di Azure Active Directory

La reimpostazione della password self-service di Azure Active Directory (Azure AD) consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se Azure AD blocca l'account di un utente o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Questo video illustra come abilitare e configurare la reimpostazione della password self-service in Azure AD. È disponibile anche un video per gli amministratori IT sulla risoluzione dei sei messaggi di errore più comuni dell'utente finale con la reimpostazione della password self-service.

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service. Se si è già registrati per la reimpostazione della password self-service ed è necessario tornare all'account, passare alla pagina di reimpostazione della password di Microsoft Online .

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure AD
  • Configurare metodi di autenticazione e opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente

Esercitazione video

È anche possibile seguire la procedura descritta in un video correlato: Come abilitare e configurare la reimpostazione della password self-service in Azure AD.

Prerequisiti

Per completare questa esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Un tenant di Azure AD funzionante con almeno una licenza gratuita o di valutazione di Azure AD abilitata. Nel livello gratuito SSPR funziona solo per gli utenti del cloud in Azure AD. La modifica della password è supportata nel livello Gratuito, ma la reimpostazione della password non è.
    • Per le esercitazioni successive di questa serie, è necessaria una licenza di Azure AD Premium P1 o di valutazione per il writeback delle password locale.
    • Se necessario, creare gratuitamente un account Azure.
  • Un account con privilegi di amministratore globale.
  • Un utente non amministratore con una password nota, ad esempio testuser. In questa esercitazione si testerà l'esperienza di reimpostazione della password self-service dell'utente finale usando questo account.
  • Un gruppo di cui l'utente non amministratore è membro, ad esempio SSPR-Test-Group. In questa esercitazione si abiliterà la reimpostazione della password self-service per questo gruppo.

Abilitare la reimpostazione self-service delle password

Azure AD consente di abilitare la reimpostazione della password self-service per Nessuno, utente Selezionato o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un subset di utenti per testare il processo e il flusso di lavoro di reimpostazione della password self-service e registrazione. Quando si ha familiarità con il processo e il tempo è giusto per comunicare i requisiti con un set più ampio di utenti, è possibile selezionare un gruppo di utenti da abilitare per la reimpostazione della password self-service. In alternativa, è possibile abilitare la reimpostazione della password self-service per tutti gli utenti nel tenant Azure AD.

Nota

Attualmente è possibile abilitare un solo gruppo di Azure AD per la reimpostazione della password self-service usando il portale di Azure. Nell'ambito di una distribuzione più ampia della reimpostazione della password self-service, Azure AD supporta i gruppi annidati.

In questa esercitazione configurare la reimpostazione della password self-service per un set di utenti in un gruppo di test. Usare SSPR-Test-Group e fornire il proprio gruppo di Azure AD in base alle esigenze:

  1. Accedere al portale di Azure usando un account con autorizzazioni di amministratore globale.

  2. Cercare e selezionare Azure Active Directory, quindi selezionare Reimpostazione password dal menu a sinistra.

  3. Nella pagina Proprietà , sotto l'opzione Reimpostazione password self-service abilitata, scegliere Selezionato.

  4. Se il gruppo non è visibile, scegliere Nessun gruppo selezionato, cercare e selezionare il gruppo di Azure AD, ad esempio SSPR-Test-Group, quindi scegliere Seleziona.

    Select a group in the Azure portal to enable for self-service password reset

  5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare il proprio account o reimpostare la password, viene richiesto un altro metodo di conferma. Questo fattore di autenticazione aggiuntivo garantisce che Azure AD abbia completato solo gli eventi di reimpostazione della password self-service approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

  1. Dal menu a sinistra della pagina Metodi di autenticazione impostare numero di metodi necessari per reimpostaresu 2.

    Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

  2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

    • Notifica dell'app per dispositivi mobili
    • Codice app per dispositivi mobili
    • Indirizzo di posta elettronica
    • Cellulare

    È possibile abilitare altri metodi di autenticazione, ad esempio domande sul telefono di Office o sulla sicurezza, in base alle esigenze aziendali.

  3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Azure AD usa queste informazioni di contatto per i diversi metodi di autenticazione configurati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione configurare Azure AD per richiedere agli utenti la registrazione al successivo accesso.

  1. Nel menu a sinistra della pagina Registrazione selezionare per Richiedi agli utenti di registrarsi durante l'accesso.

  2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

    È importante mantenere aggiornate le informazioni di contatto. Se sono presenti informazioni di contatto obsolete all'avvio di un evento di reimpostazione della password self-service, l'utente potrebbe non essere in grado di sbloccare il proprio account o reimpostare la password.

  3. Per applicare le impostazioni di registrazione, selezionare Salva.

Configurare notifiche e personalizzazioni

Per mantenere gli utenti informati sull'attività dell'account, è possibile configurare Azure AD per inviare notifiche tramite posta elettronica quando si verifica un evento di reimpostazione della password self-service. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica fornisce un altro livello di consapevolezza quando viene reimpostata una password dell'account amministratore con privilegi tramite la reimpostazione della password self-service. Azure AD informerà tutti gli amministratori globali quando un utente usa la reimpostazione della password self-service in un account amministratore.

  1. Dal menu a sinistra della pagina Notifiche configurare le opzioni seguenti:

    • Impostare l'opzione Notifica agli utenti per la reimpostazione della password? su .
    • Impostare Invia una notifica a tutti gli amministratori quando altri amministratori reimpostano la password? su .
  2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di ulteriore assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento nel processo di registrazione della reimpostazione della password self-service e quando sblocca il proprio account o reimposta la password. Per assicurarsi che gli utenti dispongano del supporto necessario, è consigliabile fornire un URL o un messaggio di posta elettronica del supporto tecnico personalizzato.

  1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento helpdesk su .
  2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico personalizzato specificare un indirizzo di posta elettronica o un URL della pagina Web in cui gli utenti possono ottenere maggiori informazioni dall'organizzazione, ad esempio https://support.contoso.com/
  3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione della password self-service

Con la reimpostazione della password self-service abilitata e configurata, testare il processo di reimpostazione della password self-service con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser . Specificare il proprio account utente. Fa parte del gruppo abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore. Per impostazione predefinita, Azure AD abilita la reimpostazione della password self-service per gli amministratori. È necessario usare due metodi di autenticazione per reimpostare la password. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.

  1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup. Azure AD indirizza gli utenti a questo portale di registrazione al successivo accesso.

  2. Accedere con un utente di test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.

  3. Al termine, selezionare il pulsante contrassegnato Come corretto e chiudere la finestra del browser.

  4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.

  5. Immettere le informazioni sull'account degli utenti di test non amministratore, ad esempio testuser, i caratteri della CAPTCHA e quindi selezionare Avanti.

    Enter user account information to reset the password

  6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceverà una notifica di posta elettronica che la password è stata reimpostata.

Pulire le risorse

In un'esercitazione successiva in questa serie verrà configurato il writeback delle password. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Azure AD a un ambiente Active Directory locale. Se si vuole continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare ora la reimpostazione della password.

Se non si vuole più usare la funzionalità SSPR configurata come parte di questa esercitazione , impostare lo stato della reimpostazione della password su Nessuno usando la procedura seguente:

  1. Accedere al portale di Azure.
  2. Cercare e selezionare Azure Active Directory, quindi selezionare Reimpostazione password dal menu a sinistra.
  3. Nella pagina Proprietàselezionare Nessuno nell'opzione Reimpostazione password self-service abilitata.
  4. Per applicare la modifica alla reimpostazione della password self-service, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano la reimpostazione della reimpostazione della password di configurazione:

  • Perché gli utenti federati attendeno fino a 2 minuti dopo che la password è stata reimpostata prima di poter usare le password sincronizzate dall'ambiente locale?

    Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, la reimpostazione della reimpostazione della password locale viene aggiornata solo con la password locale. La sincronizzazione dell'hash delle password in Azure AD viene pianificata ogni 2 minuti.

  • Quando un utente appena creato che è precompilato con i dati della reimpostazione della reimpostazione della password di accesso condiviso viene visualizzato come titolo della pagina di registrazione della posta elettronica. Perché gli altri utenti che dispongono di dati di reimpostazione della password vengono visualizzati?

    Un utente che vede Non perdere l'accesso all'account! è un membro dei gruppi di registrazione SSPR/combinati configurati per il tenant. Gli utenti che non vedono Non perdere l'accesso all'account! non fanno parte dei gruppi di registrazione sSPR/combinati.

  • Quando alcuni utenti passano attraverso il processo di reimpostazione della password e reimpostano la password, perché non vedono l'indicatore di forza della password?

    Gli utenti che non visualizzano la forza della password debole/complessa hanno abilitato il writeback delle password sincronizzato. Poiché la reimpostazione della password non può determinare i criteri password dell'ambiente locale del cliente, non può convalidare la forza della password o la debolezza.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Azure AD per un gruppo selezionato di utenti. Si è appreso come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Azure AD
  • Configurare i metodi di autenticazione e le opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente