Come funziona il writeback della reimpostazione della password self-service in Microsoft Entra ID?

La reimpostazione della password self-service (SSPR) in Microsoft Entra consente agli utenti di reimpostare le password nel cloud, ma la maggior parte delle società dispone anche di un ambiente di Active Directory Domain Services (AD DS) locale per gli utenti. Il writeback delle password consente che le modifiche alle password nel cloud siano riscritte in una directory locale in tempo reale usando la sincronizzazione cloud Microsoft Entra Connect o Microsoft Entra Connect. Quando gli utenti modificano o reimpostano le proprie password usando SSPR nel cloud, le password aggiornate vengono anche scritte nell'ambiente Active Directory Domain Services locale.

Importante

Questo articolo concettuale illustra a un amministratore il funzionamento del writeback di reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

Il writeback delle password è supportato in ambienti che usano i seguenti modelli di identità ibridi:

• Sincronizzazione degli hash delle password
• Autenticazione pass-through
• Active Directory Federation Services

Il writeback delle password offre le funzionalità seguenti:

• Applicazione di criteri delle password Active Directory Domain Services locali: quando un utente reimposta la propria password, viene verificato che soddisfi i criteri AD DS locali prima di eseguirne il commit nella directory. Questo esame include il controllo di cronologia, complessità, validità, filtri delle password e altre restrizioni per le password definite in AD DS.
• Nessun ritardo nei feedback: il writeback delle password è un'operazione sincrona. Gli utenti vengono informati immediatamente se la password non soddisfa i criteri o non può essere reimpostata o modificata per qualsiasi motivo.
• Supporta la modifica delle password dal pannello di accesso e da Microsoft 365: quando gli utenti federati o sincronizzati con l'hash delle password modificano le password scadute o non scadute, queste verranno riscritte nell'in AD DS.
• Supporta il writeback delle password quando un amministratore le reimposta dall'interfaccia di amministrazione di Microsoft Entra: quando un amministratore reimposta la password di un utente nell'interfaccia di amministrazione di Microsoft Entra, se l'utente è federato o ha sincronizzato l'hash delle password, la password viene riscritta in locale. Questa funzionalità non è attualmente supportata nel portale di amministrazione di Office.
• Non richiede regole del firewall in entrata: il writeback delle password usa un inoltro del bus di servizio di Azure come canale di comunicazione sottostante. Tutte le comunicazioni sono in uscita sulla porta 443.
• Supporta la distribuzione side-by-side a livello di dominio usando Microsoft Entra Connect o la sincronizzazione cloud per scegliere diversi set di utenti in base alle proprie esigenze, inclusi gli utenti che si trovano in domini disconnessi.

Nota

L'account del servizio locale che gestisce le richieste di writeback delle password non può modificare le password per gli utenti che appartengono a gruppi protetti. Gli amministratori possono modificare la password nel cloud, ma non possono usare il writeback delle password per reimpostare una password dimenticata per l'utente locale. Per altre informazioni sui gruppi protetti, vedere l'articolo relativo ad account e gruppi protetti in AD DS.

Per iniziare a usare il writeback della reimpostazione della password self-service, completare una o entrambe le esercitazioni seguenti:

• Esercitazione: abilitare il writeback della reimpostazione della password self-service (SSPR)
• Esercitazione: Abilitare il writeback della reimpostazione della password self-service per la sincronizzazione cloud di Microsoft Entra Connect in un ambiente locale (anteprima)

Distribuzione side-by-side di Microsoft Entra Connect e sincronizzazione cloud

È possibile distribuire Microsoft Entra Connect e la sincronizzazione cloud side-by-side in domini diversi per definire diversi set di utenti. Ciò consente agli utenti esistenti di continuare a eseguire il writeback delle modifiche delle password e aggiungere l'opzione nei casi in cui gli utenti si trovano in domini disconnessi a causa di una fusione o divisione aziendale. Microsoft Entra Connect e la sincronizzazione cloud possono essere configurati in domini diversi, quindi gli utenti di un dominio possano usare Microsoft Entra Connect mentre gli utenti di un altro dominio usano la sincronizzazione cloud. La sincronizzazione cloud può anche offrire una disponibilità più elevata perché non si basa su una singola istanza di Microsoft Entra Connect. Per un confronto delle funzionalità tra le due opzioni di distribuzione, vedere Confronto tra Microsoft Entra Connect e Sincronizzazione cloud.

Funzionamento del writeback delle password

Quando un account utente configurato per la federazione, la sincronizzazione dell'hash delle password (o, nel caso di una distribuzione di Microsoft Entra Connect, l'autenticazione pass-through) tenta di reimpostare o modificare una password nel cloud, si verificano le azioni seguenti:

1. Viene verificato il tipo di password usato dall'utente. Se la password è gestita in locale:

   • Si verifica che il servizio di writeback sia attivo e in esecuzione. In questo caso viene consentito all'utente di continuare.
   • Se il servizio di writeback non è attivo, l'utente viene informato che la password non può essere reimpostata al momento.

2. L'utente supera quindi i controlli di autenticazione appropriati e raggiunge la pagina Reimposta password.

3. L'utente seleziona una nuova password e la conferma.

4. Quando l'utente seleziona Invia, la password non crittografata viene crittografata con una chiave pubblica creata durante il processo di installazione della funzionalità di writeback.

5. La password crittografata viene inclusa in un payload inviato tramite un canale HTTPS al servizio Inoltro del bus di servizio specifico del tenant, che viene configurato automaticamente durante il processo di installazione della funzionalità di writeback. L'inoltro è protetto da una password generata casualmente, nota solo all'installazione locale.

6. Dopo che il messaggio ha raggiunto il bus di servizio, l'endpoint di reimpostazione della password si attiva automaticamente e rileva la richiesta di reimpostazione in sospeso.

7. Il servizio cerca quindi l'utente usando l'attributo di ancoraggio cloud. Affinché questa ricerca abbia esito positivo devono essere soddisfatte le condizioni seguenti:

   • L'oggetto utente deve esistere nello spazio connettore AD DS.
   • L'oggetto utente deve essere collegato all'oggetto metaverse (MV) corrispondente.
   • L'oggetto utente deve essere collegato all'oggetto connettore Microsoft Entra corrispondente.
   • Il collegamento dall'oggetto connettore di AD DS all'oggetto MV deve avere la regola di sincronizzazione Microsoft.InfromADUserAccountEnabled.xxx sul collegamento.

   Quando la chiamata proviene dal cloud, il motore di sincronizzazione usa l'attributo cloudAnchor per cercare l'oggetto spazio connettore di Microsoft Entra. Quindi segue il collegamento all'oggetto MV e poi segue il collegamento che riporta all'oggetto AD DS. Poiché è possibile che siano presenti più oggetti AD DS (più foreste) per lo stesso utente, il motore di sincronizzazione si basa sul collegamento Microsoft.InfromADUserAccountEnabled.xxx per scegliere quello corretto.

8. Dopo che l'account utente è stato trovato, viene tentata la reimpostazione della password direttamente nella foresta AD DS appropriata.

9. Se l'operazione di impostazione della password riesce, l'utente viene informato che la password è stata modificata.

   Nota

   Se l'hash delle password dell'utente viene sincronizzato con Microsoft Entra ID usando la sincronizzazione dell'hash delle password, è probabile che i criteri della password locali siano più deboli rispetto ai criteri della password cloud. In questo caso vengono applicati i criteri locali. Questi criteri garantiscono che i criteri locali siano applicati nel cloud, indipendentemente dal fatto che si usi la sincronizzazione dell'hash delle password o la federazione per il Single Sign-On.

10. Se l'operazione di impostazione della password non riesce, viene restituito un messaggio di errore con la richiesta all'utente di riprovare. L'operazione potrebbe non riuscire per i motivi seguenti:

    • Il servizio era inattivo.
    • La password selezionata non rispetta i criteri dell'organizzazione.
    • Impossibile trovare l'utente nell'ambiente Active Directory Domain Services locale.

    I messaggi di errore forniscono indicazioni agli utenti in modo che possano tentare di risolvere il problema senza l'intervento dell'amministratore.

Sicurezza del writeback delle password

Il writeback delle password è un servizio altamente sicuro. Per garantire che le informazioni siano protette, viene abilitato un modello di sicurezza a quattro livelli come descritto di seguito:

• Inoltro del bus di servizio specifico del tenant
  • Quando si configura il servizio, viene configurato l'inoltro del bus di servizio specifico del tenant, protetto da una password complessa generata in modo casuale, a cui Microsoft non può mai accedere.
• Chiave di crittografia bloccata e crittograficamente complessa per le password
  • Dopo la creazione dell'inoltro del bus di servizio, viene creata una chiave asimmetrica complessa, usata per la crittografia della password durante la trasmissione. Questa chiave si trova solo nell'archivio segreto dell'azienda nel cloud, bloccato in modo sicuro e controllato, come qualsiasi altra password nella directory.
• Transport Layer Security (TLS) standard di settore
  1. Quando si verifica nel cloud un'operazione di reimpostazione o modifica della password, la password non crittografata viene crittografata con la chiave pubblica dell'utente.
  2. La chiave crittografata viene inclusa in un messaggio HTTPS inviato tramite un canale crittografato mediante certificati TLS/SSL Microsoft al proprio inoltro del bus di servizio.
  3. Quando il messaggio arriva nel bus di servizio, l'agente locale viene attivato e autenticato al bus di servizio tramite la password complessa generata in precedenza.
  4. L'agente locale preleva il messaggio crittografato e lo decrittografa con la chiave privata.
  5. L'agente locale tenta di impostare la password tramite l'API SetPassword di AD DS. Questo passaggio consente di applicare i criteri password locali di AD DS, come complessità, validità, cronologia, filtri e così via, nel cloud.
• Criteri di scadenza del messaggio
  • Se il messaggio si trova nel bus di servizio perché il servizio locale è inattivo, raggiungerà il timeout e verrà rimosso dopo alcuni minuti. Il timeout e la rimozione del messaggio migliorano ulteriormente la sicurezza.

Informazioni dettagliate sulla crittografia del writeback delle password

Dopo che un utente ha inviato una reimpostazione password, la richiesta di reimpostazione passa attraverso diverse operazioni di crittografia prima di arrivare nell'ambiente locale. Queste operazioni di crittografia garantiscono la massima affidabilità del servizio e sicurezza. Sono descritte come segue:

1. Crittografia della password con una chiave RSA a 2048 bit: dopo che un utente ha inviato una password per il writeback in locale, la password inviata viene crittografata con una chiave RSA a 2048 bit.
2. Crittografia a livello di pacchetto con AES-GCM: l'intero pacchetto, ovvero la password più i metadati necessari, viene crittografato con AES-GCM (con dimensione della chiave di 256 bit). Questa crittografia impedisce a chiunque abbia accesso diretto al canale del bus di servizio sottostante di visualizzare o manomettere il contenuto.
3. Tutte le comunicazioni avvengono tramite TLS/SSL: tutte le comunicazioni con Service Bus avvengono in un canale SSL/TLS. Questa crittografia protegge i contenuti da terze parti non autorizzate.
4. Rollover automatico delle chiavi ogni 6 mesi: ogni 6 mesi o ogni volta che il writeback delle password viene disabilitato e di nuovo abilitato in Microsoft Entra Connect, viene eseguito automaticamente il rollover di tutte le chiavi per garantire i massimi livelli di sicurezza e protezione del servizio.

Utilizzo della larghezza di banda per il writeback delle password

Il writeback delle password è un servizio a larghezza di banda ridotta, che invia le richieste all'agente locale solo nelle circostanze seguenti:

• Vengono inviati due messaggi quando la funzionalità viene abilitata o disabilitata tramite Microsoft Entra Connect.
• Viene inviato un messaggio viene ogni 5 minuti come heartbeat del servizio per la durata dell'esecuzione del servizio.
• Vengono inviati due messaggi ogni volta che viene inviata una nuova password:
  • Il primo messaggio è un richiesta di eseguire l'operazione.
  • Il secondo messaggio contiene il risultato dell'operazione e viene inviato nelle circostanze seguenti:
    • Ogni volta che viene inviata una nuova password durante la reimpostazione self-service della password utente.
    • Ogni volta che viene inviata una nuova password durante un'operazione di modifica della password utente.
    • Ogni volta che viene inviata una nuova password durante una reimpostazione della password utente avviata dall'amministratore, solo dal portale di amministrazione di Azure.

Considerazioni sulle dimensioni dei messaggi e sulla larghezza di banda

La dimensione di ogni messaggio illustrato in precedenza è in genere inferiore a 1 KB. Anche in caso di carichi estremi, il servizio di writeback delle password stesso usa qualche kilobit di larghezza di banda al secondo. Poiché ogni messaggio viene inviato in tempo reale, solo quando necessario per un'operazione di aggiornamento della password, e poiché le dimensioni dei messaggi sono così ridotte, l'utilizzo della larghezza di banda da parte della funzionalità di writeback è troppo basso per avere un impatto significativo.

Operazioni di writeback supportate

Il writeback delle password viene eseguito in tutte le situazioni seguenti:

• Attività degli utenti finali supportate

  • Qualsiasi operazione self-service volontaria di modifica della password dell'utente finale.
  • Qualsiasi operazione self-service forzata di modifica della password dell'utente finale, ad esempio in seguito a scadenza della password.
  • Qualsiasi reimpostazione password self-service dell'utente finale originata dal portale di reimpostazione password.

• Operazioni degli amministratori supportate

  • Qualsiasi operazione self-service volontaria di modifica della password dell'amministratore.
  • Qualsiasi operazione self-service forzata di modifica della password dell'amministratore, ad esempio in seguito a scadenza della password.
  • Qualsiasi reimpostazione password self-service dell'amministratore originata dal portale di reimpostazione password.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft Entra.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'API Microsoft Graph.

Operazioni di writeback non supportate

Il writeback delle password non viene eseguito nelle situazioni seguenti:

• Attività degli utenti finali non supportate
  • Qualsiasi reimpostazione, da parte dell'utente finale, della propria password tramite PowerShell versione 1, versione 2 o l'API Graph di Microsoft.
• Operazioni degli amministratori non supportate
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dalla versione 1 o 2 di PowerShell.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft 365.
  • Qualsiasi amministratore non può usare lo strumento di reimpostazione della password per reimpostare la propria password per il writeback delle password.

Avviso

L'uso della casella di controllo "Cambiamento obbligatorio password all'accesso successivo" negli strumenti di amministrazione di Active Directory Domain Services locali come Utenti e computer di Active Directory oppure il Centro di amministrazione di Active Directory è supportato come funzionalità di anteprima di Microsoft Entra Connect. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.

Nota

Se un utente ha l'opzione "Password never expires" impostata in Active Directory (AD), il flag per forzare la modifica della password non verrà impostato in Active Directory (AD), quindi all'utente non verrà richiesto di modificare la password durante l'accesso successivo anche se l'opzione per forzare l'utente a modificare la password al successivo accesso viene selezionata durante una reimpostazione della password dell'utente finale avviata dall'amministratore.

Passaggi successivi

Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:

Esercitazione: abilitare il writeback della reimpostazione della password self-service (SSPR)