Funzionamento: reimpostazione della password self-service di Microsoft Entra
La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. È consigliabile guardare questo video su come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.
Importante
Questo articolo concettuale spiega agli amministratori il funzionamento della reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.
Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.
Come funziona il processo di reimpostazione della password?
Un utente può reimpostare o modificare la password usando il portale per la reimpostazione della password self-service (SSPR). Deve prima registrare i metodi di autenticazione desiderati. Quando un utente accede al portale SSPR, la piattaforma Microsoft Entra prende in considerazione i fattori seguenti:
- come localizzare la pagina
- la validità dell'account
- l'organizzazione a cui l'utente appartiene
- Dove viene gestita la password dell'utente?
Quando un utente seleziona il collegamento Impossibile accedere all'account da un'applicazione o da una pagina o passa direttamente a https://aka.ms/sspr, la lingua usata nel portale SSPR si basa sulle opzioni seguenti:
- Per impostazione predefinita, le impostazioni locali del browser vengono usate per visualizzare la reimpostazione della password self-service nella lingua appropriata. L'esperienza di reimpostazione della password viene localizzata nelle stesse lingue supportate da Microsoft 365 365.
- Per collegare la reimpostazione della password self-service in una lingua localizzata specifica, aggiungere
?mkt=alla fine dell'URL di reimpostazione della password insieme alle impostazioni locali necessarie.- Ad esempio, per specificare le impostazioni locali in spagnolo es-us, usare
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Ad esempio, per specificare le impostazioni locali in spagnolo es-us, usare
Dopo che il portale della reimpostazione della password self-service viene visualizzato nella lingua richiesta, all'utente viene richiesto di immettere un ID utente e di passare un captcha. Microsoft Entra ID verifica ora che l'utente sia in grado di usare la reimpostazione della password self-service eseguendo i controlli seguenti:
- Verifica che l'utente abbia abilitato la reimpostazione della password self-service.
- Se l'utente non è abilitato per la reimpostazione della password self-service, gli viene chiesto di contattare l'amministratore per reimpostare la password.
- Verificare che per l'account dell'utente siano stati definiti i metodi di autenticazione corretti, in conformità ai criteri dell'amministratore.
- Se i criteri prevedono un solo metodo, verificare se per l'utente sono definiti i dati appropriati per almeno uno dei metodi di autenticazione abilitati dai criteri dell'amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente verrà invitato a contattare l'amministratore per reimpostare la password.
- Se i criteri prevedono due metodi, verificare se per l'utente sono definiti i dati appropriati per almeno due dei metodi di autenticazione abilitati dai criteri dell'amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente verrà invitato a contattare l'amministratore per reimpostare la password.
- Se un ruolo di amministratore di Azure viene assegnato all'utente, vengono applicati i criteri di password complessa con due attività di controllo. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
- Se i criteri prevedono un solo metodo, verificare se per l'utente sono definiti i dati appropriati per almeno uno dei metodi di autenticazione abilitati dai criteri dell'amministratore.
- Verificare se la password dell'utente è gestita in locale, ad esempio se il tenant di Microsoft Entra usa la sincronizzazione dell’hash delle password, federata o pass-through:
- Se il writeback SSPR è stato configurato e la password dell'utente è gestita in locale, l'utente può continuare con il processo di autenticazione e di reimpostazione della password.
- Se il writeback SSPR non è stato distribuito e la password dell'utente viene gestita in locale, all'utente viene richiesto di contattare l'amministratore per reimpostare la password.
Se tutti i controlli precedenti sono stati completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.
Nota
La reimpostazione della password self-service può inviare notifiche tramite posta elettronica agli utenti durante il processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati usando il servizio di inoltro SMTP, che opera in modalità attiva-attiva in diverse aree.
I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica SSPR che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo metadati del protocollo.
Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente:
Richiedere agli utenti di registrarsi all'accesso
È possibile abilitare l'opzione per richiedere a un utente di completare la registrazione della reimpostazione della password self-service se usa l'autenticazione moderna o il Web browser per accedere a qualsiasi applicazione usando Microsoft Entra ID. Questo flusso di lavoro include le applicazioni seguenti:
- Microsoft 365
- Interfaccia di amministrazione di Microsoft Entra
- Pannello di accesso
- Applicazioni federate
- Applicazioni personalizzate che usano Microsoft Entra ID
Quando non è necessaria la registrazione, gli utenti non ricevono richieste durante l'accesso, ma possono registrarsi manualmente. È possibile visitare https://aka.ms/ssprsetup oppure selezionare il collegamento Registrazione per la reimpostazione password nella scheda Profilo nel pannello di accesso.
Nota
Gli utenti possono chiudere il portale per la registrazione SSPR selezionando Annulla o chiudendo la finestra. Tuttavia, ogni volta che gli utenti eseguono l'accesso verrà visualizzata una richiesta di registrazione finché non viene completato il processo di registrazione.
Questo interrupt per la registrazione per la reimpostazione della password self-service non interrompe la connessione dell'utente se è già connesso.
Riconfermare le informazioni di autenticazione
Per assicurarsi che i metodi di autenticazione siano corretti quando sono necessari per reimpostare o modificare la password, è possibile richiedere agli utenti di confermare le informazioni registrate dopo un determinato periodo di tempo. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi all'accesso.
Valori validi per richiedere a un utente di confermare che i metodi registrati sono compresi tra 0 e 730 giorni. L'impostazione di questo valore su 0 indica che agli utenti non viene mai chiesto di confermare le informazioni di autenticazione. Quando si usa l'esperienza di registrazione combinata, gli utenti dovranno confermare la propria identità prima di riconfermare le informazioni.
Metodi di autenticazione
Quando un utente è abilitato per la reimpostazione della password self-service, deve registrare almeno un metodo di autenticazione. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti abbiano una maggiore flessibilità nel caso in cui non siano in grado di accedere a uno di questi in un dato momento. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.
Per la reimpostazione della password self-service sono disponibili i metodi di autenticazione seguenti:
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
- Telefono cellulare
- Telefono ufficio (disponibile solo per i tenant con sottoscrizioni a pagamento)
- Domande di sicurezza
Gli utenti possono reimpostare la password solo se registrano un metodo di autenticazione abilitato dall'amministratore.
Avviso
Gli account a cui sono assegnati i ruoli di amministratore devono utilizzare i metodi definiti nella sezione Differenze dei criteri di reimpostazione degli amministratori.
Numero di metodi di autenticazione necessari
È possibile configurare il numero di metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su 1 o 2.
Gli utenti devono registrare più metodi di autenticazione in modo da poter accedere in un altro modo se non sono in grado di accedere con un metodo.
Se un utente non registra il numero minimo di metodi necessari, viene visualizzata una pagina di errore quando tenta di usare la reimpostazione della password self-service. Deve richiedere a un amministratore di reimpostare la password. Per altre informazioni, vedere Cambiare i metodi di autenticazione.
App per dispositivi mobili e reimpostazione della password self-service
Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, ad esempio Microsoft Authenticator, le considerazioni seguenti si applicano se non è stata eseguita la migrazione di un'organizzazione ai criteri dei metodi di autenticazione centralizzati:
- Quando gli amministratori richiedono l'uso di un solo metodo per la reimpostazione di una password, il codice di verifica è l'unica opzione disponibile.
- Quando gli amministratori richiedono l'uso di due metodi per la reimpostazione della password, gli utenti possono usare la notifica OPPURE il codice di verifica, oltre a qualsiasi altro metodo abilitato.
| Numero di metodi da reimpostare | Uno | Due |
|---|---|---|
| Funzionalità disponibili delle app per dispositivi mobili | Codice | Codice o notifica |
Gli utenti possono registrare l'app per dispositivi mobili al link in https://aka.ms/mfasetup o nella nuova registrazione combinata delle informazioni di sicurezza alla pagina https://aka.ms/setupsecurityinfo.
Importante
Non è possibile selezionare Authenticator come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, Authenticator e un solo metodo aggiuntivo non possono essere selezionati se sono necessari due metodi.
Quando si configurano criteri di reimpostazione della password self-service che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo quando è necessario un metodo e selezionare almeno due metodi aggiuntivi quando si configurano due metodi.
Modifica dei metodi di autenticazione
Cosa succede se si inizia con un criterio che ha solo un metodo di autenticazione registrato necessario per la reimpostazione o lo sblocco e si passa a due?
| Numero di metodi registrati | Numero di metodi necessari | Risultato |
|---|---|---|
| 1 o più | 1 | Possibilità di reimpostare o sbloccare |
| 1 | 2 | Impossibilità di reimpostare o sbloccare |
| 2 o più | 2 | Possibilità di reimpostare o sbloccare |
La modifica dei metodi di autenticazione disponibili può anche causare problemi per gli utenti. Se si modificano i metodi di autenticazione disponibili, gli utenti senza la quantità minima di dati disponibili non possono usare la reimpostazione della password self-service.
Si consideri il seguente scenario di esempio:
- Il criterio originale è configurato con due metodi di autenticazione necessari. Vengono usati solo il numero di telefono ufficio e le domande di sicurezza.
- L'amministratore modifica i criteri in modo da non usare più domande di sicurezza, ma da consentire l'uso del telefono cellulare e di un indirizzo di posta elettronica alternativo.
- Gli utenti che non inseriscono il numero di telefono cellulare o l'indirizzo di posta elettronica alternativo nei rispettivi campi attualmente non possono reimpostare le password.
Notifications
Per migliorare la consapevolezza degli eventi delle password, la reimpostazione della password self-service consente di configurare le notifiche sia per gli utenti che per gli amministratori delle identità.
Inviare notifiche agli utenti al momento della reimpostazione della password
Se questa opzione è impostata su Sì, l'utente che reimposta la password riceve un messaggio di posta elettronica che segnala che la password è stata modificata. Questo messaggio viene inviato tramite il portale di reimpostazione della password self-service agli indirizzi di posta elettronica primario e alternativo registrati in Microsoft Entra ID. Se non viene definito alcun indirizzo di posta elettronica primario o alternativo, la reimpostazione della password self-service tenterà di inviare una notifica tramite posta elettronica tramite il nome dell'entità utente (UPN). La notifica dell'evento di reimpostazione non viene inviata ad altre persone.
Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password
Se questa opzione è impostata su Sì, gli amministratori globali ricevono un messaggio di posta elettronica all'indirizzo di posta elettronica principale archiviato in Microsoft Entra ID. Questo messaggio notifica la modifica della password tramite il servizio di reimpostazione della password self-service da parte di un altro amministratore.
Nota
Le notifiche tramite posta elettronica dal servizio reimpostazione della password self-service verranno inviate dagli indirizzi seguenti in base al cloud di Azure in uso:
- Pubblico: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure gestito da 21Vianet (Azure in Cina): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure per Enti pubblici degli Stati Uniti: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Se si verificano problemi nella ricezione delle notifiche, controllare le impostazioni di posta indesiderata.
Se si desidera che gli amministratori personalizzati ricevano i messaggi di posta elettronica di notifica, usare le personalizzazioni della reimpostazione della password self-service e configurare un collegamento o un messaggio di posta elettronica personalizzato per il supporto tecnico.
Integrazione locale
In un ambiente ibrido è possibile configurare la sincronizzazione cloud di Microsoft Entra Connect per scrivere eventi di modifica delle password da Microsoft Entra ID a una directory locale.
Microsoft Entra ID controlla la connettività ibrida corrente e fornisce messaggi nell'interfaccia di amministrazione di Microsoft Entra. Per informazioni sulla risoluzione dei possibili errori, vedere Risolvere i problemi di Microsoft Entra Connect.
Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:
Writeback delle password nella directory locale
È possibile abilitare il writeback delle password tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Microsoft Entra Connect.
- Se l'opzione è impostata su Sì, il writeback è abilitato. Gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non sono in grado di reimpostare le password.
- Se l'opzione è impostata su No, il writeback è disabilitato. Dopo l'onboarding, gli utenti federati, con autenticazione pass-through o con sincronizzazione dell'hash delle password non possono reimpostare le password.
Allow users to unlock accounts without resetting their password
Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per distinguere queste due operazioni.
- Se impostata su Sì, agli utenti viene offerta la possibilità di scegliere se reimpostare la password e sbloccare l'account o se sbloccare l'account senza reimpostare la password.
- Se impostata su No, gli utenti potranno eseguire le operazioni di reimpostazione della password e di sblocco dell'account solo in abbinamento.
Filtri della password di Active Directory locali
La reimpostazione della password self-service esegue l'equivalente di una reimpostazione della password avviata dall'amministratore in Active Directory. Se si usa un filtro delle password di terze parti per applicare le regole di password personalizzate, ed è necessario che questo filtro delle password venga verificato durante la reimpostazione della password self-service di Microsoft Entra, assicurarsi che la soluzione di filtro della password di terze parti sia configurata per essere applicata nello scenario di reimpostazione della password da parte dell'amministratore. La protezione password di Microsoft Entra per Active Directory Domain Services è supportata per impostazione predefinita.
Reimpostazione della password per utenti B2B
La modifica e la reimpostazione della password sono completamente supportate in tutte le configurazioni B2B. La reimpostazione della password di utenti B2B è supportata nei tre casi seguenti:
- Utenti di un'organizzazione partner con un tenant Microsoft Entra esistente: se il partner dispone di un tenant di Microsoft Entra, rispettiamo i criteri di reimpostazione delle password abilitati nel tenant. Per garantire il corretto funzionamento della reimpostazione della password, l'organizzazione partner deve assicurarsi che sia abilitata la reimpostazione delle password self-service di Microsoft Entra. Non sono previsti altri addebiti per i clienti di Microsoft 365.
- Utenti che hanno usato l'iscrizione self-service: se l'organizzazione partner ha usato la funzionalità di iscrizione self-service per accedere a un tenant, gli utenti possono eseguire la reimpostazione con l'indirizzo di posta elettronica registrato.
- Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità B2B di Microsoft Entra possono anche reimpostare le password con l'indirizzo di posta elettronica registrato durante il processo di invito.
Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha indicato un indirizzo di posta elettronica alternativo o un indirizzo di posta elettronica per l'autenticazione, la reimpostazione della password funziona come previsto.
Nota
Gli account Microsoft a cui è stato concesso l'accesso guest al tenant di Microsoft Entra, ad esempio Hotmail.com, Outlook.com o altri indirizzi di posta elettronica personali, non saranno in grado di utilizzare la funzionalità di reimpostazione delle password self-service di Microsoft Entra. Per altre informazioni, vedere Quando non è possibile accedere all'account Microsoft.
Passaggi successivi
Per iniziare a usare la reimpostazione della password self-service, completare l'esercitazione seguente: