Abilita la reimpostazione della password self-service di Microsoft Entra nella schermata di accesso di Windows

Usando la reimpostazione della password self-service nell'ID Microsoft Entra, gli utenti possono modificare o reimpostare la password senza il coinvolgimento dell'amministratore o del supporto tecnico. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale della reimpostazione della password self-service. Per migliorare l'esperienza nei computer che eseguono Windows 7, 8, 8.1, 10 e 11, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows.

Questo articolo illustra agli amministratori come abilitare la reimpostazione della password self-service per i dispositivi Windows in un'organizzazione.

Se il team IT non ha abilitato la possibilità di usare la reimpostazione della password self-service dal dispositivo Windows o si verificano problemi durante l'accesso, contattare il supporto tecnico per ulteriore assistenza.

Limitazioni generali

Le limitazioni seguenti si applicano all'uso della reimpostazione della password self-service dalla schermata di accesso di Windows:

• La reimpostazione della password non è attualmente supportata da Desktop remoto o da Hyper-V sessioni avanzate.

• È noto che alcuni provider di credenziali non Microsoft causano problemi con questa funzionalità.

• È noto che la disabilitazione del controllo dell'account utente tramite la modifica della chiave del Registro di sistema EnableLUA causa problemi.

• Questa funzione non funziona per le reti con autenticazione di rete 802.1x distribuita e l'opzione Esegui immediatamente prima dell'accesso dell'utente. Per le reti con autenticazione di rete 802.1x distribuita, si consiglia di utilizzare l'autenticazione del computer per abilitare questa funzione.

• I computer aggiunti all'ibrido di Microsoft Entra devono avere una linea di visibilità di connettività di rete a un controller di dominio per usare la nuova password e aggiornare le credenziali memorizzate nella cache. I dispositivi devono trovarsi nella rete interna dell'organizzazione o in una rete privata virtuale con accesso di rete a un controller di dominio locale. Se la reimpostazione della password self-service è l'unico requisito, la linea di connessione di rete al controller di dominio non è necessaria.

• Se si utilizza un'immagine, prima di eseguire l'esecuzione sysprep assicurarsi che la cache Web sia cancellata per l'amministratore integrato prima di eseguire il CopyProfile passaggio. Per ulteriori informazioni, vedere Prestazioni scarse quando si utilizza un profilo utente predefinito personalizzato.

• È noto che le impostazioni seguenti interferiscono con la possibilità di utilizzare e reimpostare le password nei dispositivi Windows 10:

  • Se le notifiche della schermata di blocco sono disattivate, l'opzione Reimposta password non funzionerà.
  • HideFastUserSwitching è impostato su Abilitato o 1.
  • DontDisplayLastUserName è impostato su Abilitato o 1.
  • NoLockScreen è impostato su Abilitato o 1.
  • BlockNonAdminUserInstall è impostato su Abilitato o 1.
  • EnableLostMode è impostato sul dispositivo.
  • Explorer.exe viene sostituito con una shell personalizzata.
  • Accesso interattivo: Richiedi smart card è impostato su Abilitato o 1.

• La combinazione delle tre impostazioni specifiche seguenti può causare il mancato funzionamento di questa funzione.

  • Accesso interattivo: Non richiedere CTRL+ALT+CANC è impostato su Disabilitato (solo per Windows 10 versione 1710 e precedenti).
  • DisableLockScreenAppNotifications è impostato su Abilitato o 1.
  • La versione per Windows è l'edizione Home.

Annotazioni

Queste limitazioni si applicano anche alla reimpostazione del PIN di Windows Hello for Business dalla schermata di blocco del dispositivo.

Reimpostazione della password di Windows 11 e Windows 10

Per configurare un dispositivo Windows 11 o Windows 10 per la reimpostazione della password self-service nella schermata di accesso, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 11 e Windows 10

• Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dei criteri di autenticazione e abilitare la reimpostazione della password self-service di Microsoft Entra.
• Gli utenti devono registrarsi per la reimpostazione della password self-service prima di usare questa funzionalità nella schermata di accesso di Windows.
  • Tutti gli utenti devono fornire le informazioni di contatto per l'autenticazione prima di poter reimpostare la password, che non è univoca per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows.
• Requisiti del proxy di rete:
  • Porta 443 verso passwordreset.microsoftonline.com e ajax.aspnetcdn.com.
  • I dispositivi Windows 10 richiedono una configurazione proxy a livello di computer o una configurazione proxy con ambito per l'account temporaneo defaultuser1 usato per eseguire la reimpostazione della password self-service. Per altre informazioni, vedere la sezione Risoluzione dei problemi .
• Esegui almeno Windows 10, versione April 2018 Update (v1803) e i dispositivi devono essere:
  • Microsoft Entra ha aderito.
  • Microsoft Entra è stato aggiunto in modo ibrido.

Abilitare per Windows 11 e Windows 10 usando Intune

La distribuzione della modifica della configurazione per abilitare la reimpostazione della password self-service dalla schermata di accesso di Windows tramite Intune è il metodo più flessibile. Con Intune è possibile distribuire la modifica della configurazione a un gruppo specifico di computer definiti. Questo metodo richiede la registrazione del dispositivo in Intune.

Creare un criterio di configurazione del dispositivo in Intune

1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Per creare un nuovo profilo di configurazione del dispositivo, passare aProfili> del dispositivo e quindi selezionare + Crea profilo:

   • In Piattaforma scegliere Windows 10 e versioni successive.
   • Per Tipo di profilo, scegli Modelli e quindi seleziona il modello personalizzato .

3. Selezionare Crea e quindi specificare un nome significativo per il profilo, ad esempio la reimpostazione della password self-service della schermata di accesso di Windows 11.

   Facoltativamente, fornire una descrizione significativa del profilo e quindi selezionare Avanti.

4. In Impostazioni di configurazione selezionare Aggiungi e specificare l'impostazione OMA-URI seguente per abilitare il collegamento Reimposta password:

   • Immettere un nome significativo per spiegare le operazioni eseguite dall'impostazione, ad esempio Aggiungi collegamento reimpostazione self-service.
   • Facoltativamente, immettere una descrizione significativa dell'impostazione.
   • Impostare OMA-URI su ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Impostare Tipo di dati su Intero.
   • Impostare Valore su 1.

   Seleziona Aggiungi e quindi Avanti.

5. È possibile assegnare il criterio a utenti, dispositivi o gruppi specifici. Assegnare il profilo desiderato per l'ambiente. La procedura consigliata consiste nell'assegnarlo prima a un gruppo di test di dispositivi e quindi selezionare Avanti.

   Per altre informazioni, vedereAssegnare profili utente e dispositivo in Microsoft Intune.

6. Configurare le regole di applicabilità desiderate per l'ambiente, ad esempio Assegna profilo se l'edizione del sistema operativo è Windows 10 Enterprise, quindi selezionare Avanti.

7. Controlla il tuo profilo, quindi seleziona Crea.

Abilita per Windows 11 e Windows 10 utilizzando il registro

Per abilitare la reimpostazione della password self-service nella schermata di accesso di Windows usando una chiave del Registro di sistema, seguire questa procedura:

1. Accedere al PC Windows utilizzando le credenziali amministrative.

2. Selezionare Windows + R per aprire la finestra di dialogo Esegui , quindi eseguire regedit come amministratore.

3. Impostare la chiave del Registro di sistema seguente:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Risolvere i problemi di reimpostazione della password di Windows 11 e Windows 10

In caso di problemi con la reimpostazione della password self-service dalla schermata di accesso di Windows, il log di controllo di Microsoft Entra include informazioni sull'indirizzo IP e ClientTypesulla posizione in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente.

Quando gli utenti reimpostano la password dalla schermata di accesso di un dispositivo Windows 11 o 10, viene creato un account temporaneo con privilegi limitati chiamato defaultuser1 . Questo account viene utilizzato per proteggere il processo di reimpostazione della password.

L'account stesso dispone di una password generata in modo casuale, che viene convalidata in base ai criteri password di un'organizzazione. La password non viene visualizzata per l'accesso al dispositivo e viene rimossa automaticamente dopo che l'utente ha reimpostato la password. Potrebbero esistere più defaultuser profili, ma puoi tranquillamente ignorarli.

Configurazioni proxy per la reimpostazione della password di Windows

Durante la reimpostazione della password, la reimpostazione della password self-service crea un account utente locale temporaneo a cui connettersi https://passwordreset.microsoftonline.com/n/passwordreset. Quando un proxy è configurato per l'autenticazione utente, potrebbe non riuscire con l'errore "Si è verificato un errore. Per favore, riprova più tardi." Questo errore si verifica perché l'account utente locale non è autorizzato a usare il proxy autenticato.

In questo caso, utilizzare una delle soluzioni alternative seguenti:

• Configurare un'impostazione proxy a livello di computer che non dipenda dal tipo di utente che ha effettuato l'accesso al computer. Ad esempio, è possibile abilitare le impostazioni proxy Crea criteri di gruppo per computer (anziché per utente) per le workstation.

• È anche possibile usare la configurazione proxy per utente per la reimpostazione della password self-service se si modifica il modello del Registro di sistema per l'account predefinito. I comandi sono:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• L'errore "Qualcosa è andato storto" può verificarsi anche quando qualcosa interrompe la connettività all'URL https://passwordreset.microsoftonline.com/n/passwordreset. Ad esempio, questo errore può verificarsi quando il software antivirus viene eseguito sulla workstation senza esclusioni per gli URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, e ocsp.digicert.com. Disabilita temporaneamente questo software per verificare se il problema è stato risolto o meno.

Reimpostazione della password di Windows 7, 8 e 8.1

Per configurare un dispositivo Windows 7, 8 o 8.1 per la reimpostazione della password self-service nella schermata di accesso di Windows, esaminare i prerequisiti e i passaggi di configurazione seguenti.

Prerequisiti di Windows 7, 8 e 8.1

• Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dei criteri di autenticazione e abilitare la reimpostazione della password self-service di Microsoft Entra.
• Gli utenti devono registrarsi per la reimpostazione della password self-service nella schermata di accesso di Windows prima di usare questa funzionalità.
  • Tutti gli utenti devono fornire le informazioni di contatto per l'autenticazione prima di poter reimpostare la password, che non è univoca per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows.
• Requisiti del proxy di rete:
  • Porta 443 a passwordreset.microsoftonline.com.
• Sistema operativo Windows 7 o Windows 8.1 con patch.
• TLS 1.2 abilitato seguendo le indicazioni nelle impostazioni del Registro di sistema TLS (Transport Layer Security).
• Se nel computer sono abilitati più provider di credenziali non Microsoft, gli utenti visualizzano più di un profilo utente nella schermata di accesso di Windows.

Avvertimento

TLS 1.2 deve essere abilitato, non solo impostato per la negoziazione automatica.

Installare il componente SSPR

Per Windows 7, 8 e 8.1, è necessario installare un piccolo componente nel computer per abilitare la reimpostazione della password self-service nella schermata di accesso di Windows. Per installare questo componente della reimpostazione della password self-service, seguire questa procedura:

1. Scaricare il programma di installazione appropriato per la versione di Windows che si desidera abilitare.

   Il programma di installazione del software è disponibile nell'Area download Microsoft.

2. Accedere al computer in cui si desidera eseguire l'installazione ed eseguire il programma di installazione.

3. Dopo l'installazione, si consiglia di eseguire un riavvio.

4. Dopo il riavvio, nella schermata di accesso di Windows, scegli un utente e seleziona Password dimenticata? per avviare il flusso di lavoro di reimpostazione della password.

5. Segui i passaggi per reimpostare la password.

   

Installazione automatica

Per installare o disinstallare il componente SSPR senza richieste, usare i comandi seguenti:

• Installazione invisibile all'utente: utilizzare msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Disinstallazione invisibile all'utente: utilizzare msiexec /x SsprWindowsLogon.PROD.msi /qn.

Risolvere i problemi relativi alla reimpostazione della password di Windows 7, 8 e 8.1

Se si verificano problemi quando si usa la reimpostazione della password self-service dalla schermata di accesso di Windows, gli eventi vengono registrati nel computer e nell'ID Microsoft Entra. Gli eventi di Microsoft Entra includono informazioni sull'indirizzo IP e sul ClientType parametro in cui si è verificata la reimpostazione della password.

Se è necessaria un'ulteriore registrazione, modificare una chiave del Registro di sistema nel computer per abilitare la registrazione dettagliata. Abilitare la registrazione dettagliata solo a scopo di risoluzione dei problemi utilizzando il valore della chiave del Registro di sistema seguente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Per abilitare la registrazione dettagliata, creala REG_DWORD: "EnableLogging" e impostala su 1.
• Per disabilitare la registrazione dettagliata, impostare REG_DWORD: "EnableLogging"0.
• Esaminare la registrazione di debug nel registro eventi dell'applicazione nell'origine AADPasswordResetCredentialProvider.

Cosa vedono gli utenti?

Con la reimpostazione della password self-service configurata per i dispositivi Windows, quali sono le modifiche per l'utente? Come fanno a sapere che possono reimpostare la password nella schermata di accesso? Gli screenshot di esempio seguenti mostrano altre opzioni per un utente per reimpostare la password usando la reimpostazione della password self-service.

Quando gli utenti tentano di accedere, visualizzano un collegamento Reimposta password o Password dimenticata che apre l'esperienza di reimpostazione della password self-service nella schermata di accesso. Ora gli utenti possono reimpostare la password senza dover utilizzare un altro dispositivo per accedere a un browser web.

Per altre informazioni su come usare questa funzionalità, vedere Reimpostare la password aziendale o dell'istituto di istruzione.

Contenuti correlati

Per semplificare l'esperienza di registrazione degli utenti, è possibile prepopolare le informazioni di contatto per l'autenticazione degli utenti per la reimpostazione della password self-service.