Abilitare la reimpostazione della password self-service di Microsoft Entra nella schermata di accesso di Windows

La reimpostazione della password self-service (SSPR) consente agli utenti di Microsoft Entra ID di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale della reimpostazione della password self-service. Per migliorare l'esperienza sui computer che eseguono Windows 7, 8, 8.1, 10 e 11, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows.

Importante

Questa esercitazione illustra come abilitare la reimpostazione della password self-service per i dispositivi Windows in un'azienda.

Se il team IT non ha consentito di usare la reimpostazione della password self-service dal dispositivo Windows o se si verificano problemi durante l'accesso, rivolgersi al supporto tecnico per ulteriore assistenza.

Limitazioni generali

Le limitazioni seguenti si applicano all'uso della reimpostazione della password self-service dalla schermata di accesso di Windows:

• La reimpostazione della password non è attualmente supportata da Desktop remoto o da sessioni avanzate Hyper-V.
• Alcuni provider di credenziali di terze parti sono noti per causare problemi con questa funzionalità.
• La disabilitazione del controllo dell'account utente tramite la modifica della chiave del registro di sistema EnableLUA è nota per causare problemi.
• Questa funzionalità non funziona per le reti con autenticazione di rete 802.1x distribuita e l'opzione "Esegui immediatamente prima dell'accesso utente". Per le reti con autenticazione di rete 802.1x distribuita, è consigliabile usare l'autenticazione di computer per abilitare questa funzionalità.
• Per usare la nuova password e aggiornare le credenziali memorizzate nella cache, è necessario che i computer aggiunti a Microsoft Entra ibrido abbiano la connettività di rete associata a un controller di dominio. Ciò significa che i dispositivi devono trovarsi nella rete interna dell'organizzazione o in una VPN con accesso di rete a un controller di dominio locale.
• Se si usa un'immagine, assicurarsi che la cache Web sia stata cancellata per l'amministratore predefinito prima di eseguire il passaggio CopyProfile di Sysprep. Per altre informazioni su questo passaggio, vedere l'articolo di supporto Prestazioni insufficienti quando si usa il profilo utente predefinito personalizzato.
• È noto che le impostazioni seguenti interferiscono con la capacità di usare e reimpostare le password sui dispositivi Windows 10:
  • Se le notifiche della schermata di blocco sono disattivate Reimposta password non funziona.
  • HideFastUserSwitching è impostato su 1, ovvero è abilitato
  • DontDisplayLastUserName è impostato su 1, ovvero è abilitato
  • NoLockScreen è impostato su 1, ovvero è abilitato
  • BlockNonAdminUserInstall è impostato su 1, ovvero è abilitato
  • EnableLostMode è impostato sul dispositivo
  • Explorer.exe è sostituito con una shell personalizzata
  • Accesso interattivo: richiedere che la smart card sia impostata su 1, ovvero sia abilitata
• La combinazione delle tre impostazioni specifiche seguenti può causare un funzionamento non corretto di questa funzionalità.
  • Accesso interattivo: non richiedere CTRL+ALT+CANC = Disabilitato (solo per Windows 10 versione 1710 e precedenti)
  • DisableLockScreenAppNotifications = 1 o abilitato
  • Lo SKU di Windows è Home Edition

Nota

Queste limitazioni si applicano anche alla reimpostazione del PIN di Windows Hello for Business dalla schermata di blocco del dispositivo.

Reimpostazione della password di Windows 11 e Windows 10

Per configurare un dispositivo Windows 11 o Windows 10 per la reimpostazione della password self-service nella schermata di accesso, consultare i prerequisiti e la procedura di configurazione seguente.

Prerequisiti di Windows 11 e Windows 10

• Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dei criteri di autenticazione e abilitare la reimpostazione della password self-service di Microsoft Entra.
• Prima di usare questa funzionalità, gli utenti devono registrarsi per la reimpostazione della password self-service su https://aka.ms/ssprsetup
  • Non solo per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni sul contatto di autenticazione prima di poter reimpostare la password.
• Requisiti del proxy di rete:
  • Porta 443 per passwordreset.microsoftonline.com e ajax.aspnetcdn.com
  • I dispositivi Windows 10 richiedono una configurazione proxy a livello di computer o una configurazione proxy con ambito per l'account defaultuser1 temporaneo usato per eseguire la reimpostazione della password self-service (per altri dettagli vedere la sezione Risoluzione dei problemi).
• Eseguire almeno Windows 10, versione aggiornamento di aprile 2018 (v1803) e i dispositivi devono essere:
  • Microsoft Entra aggiunto
  • Microsoft Entra aggiunto ibrido

Abilitati per Windows 11 e Windows 10 con Microsoft Intune

Distribuire la modifica della configurazione per abilitare la reimpostazione della password self-service dalla schermata di accesso con Microsoft Intune è il metodo più flessibile. Microsoft Intune consente di distribuire la modifica della configurazione a uno specifico gruppo di computer definito. Questo metodo richiede la registrazione del dispositivo a Microsoft Intune.

Creare criteri di configurazione dei dispositivi in Microsoft Intune

1. Accedere all'interfaccia di amministrazione di Microsoft Intune.

2. Creare un nuovo profilo di configurazione dei dispositivi passando a Configurazione del dispositivo>Profili, poi selezionare + Crea profilo

   • In Piattaforma scegliere Windows 10 e versioni successive
   • In Tipo di profilo scegliere Modelli, quindi selezionare il modello personalizzato seguente

3. Selezionare Crea, quindi specificare un nome significativo per il profilo, ad esempio reimpostazione della password self-service per la schermata di accesso a Windows 11

   Specificare eventualmente una descrizione significativa per il profilo, poi selezionare Avanti.

4. In Impostazioni di configurazione selezionare Aggiungi e specificare l'impostazione OMA-URI seguente per abilitare il collegamento per la reimpostazione della password:

   • Specificare un nome significativo per spiegare a cosa serve l'impostazione, ad esempio Aggiungi collegamento reimpostazione della password self-service.
   • Specificare eventualmente una descrizione significativa per l'impostazione.
   • Impostare URI OMA su ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Impostare Tipo di dati su Integer
   • Impostare Valore su 1

   Selezionare Aggiungi, quindi Avanti.

5. Il criterio può essere assegnato a utenti, dispositivi o gruppi specifici. Assegnare il profilo come desiderato per l'ambiente, idealmente prima a un gruppo di dispositivi di test, quindi selezionare Avanti.

   Per altre informazioni, vedere Assegnare profili utente e dispositivo in Microsoft Intune.

6. Configurare le regole di applicabilità desiderate per l'ambiente, ad esempio Assegnare il profilo se l'edizione del sistema operativo è Windows 10 Enterprise, quindi selezionare Avanti.

7. Ricontrollare il profilo, quindi selezionare Crea.

Abilitare per Windows 11 e Windows 10 con il Registro di sistema

Per abilitare la reimpostazione della password self-service nella schermata di accesso usando una chiave del Registro di sistema, seguire questa procedura:

1. Accedere al PC Windows con credenziali amministrative.

2. Premere Windows + R per aprire la finestra di dialogo Esegui, quindi eseguire regedit come amministratore

3. Impostare la chiave del Registro di sistema seguente:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 11 e 10

Se si verificano problemi con l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, il log di controllo di Microsoft Entra include informazioni sull'indirizzo IP e sul ClientType in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Quando gli utenti reimpostano la password dalla schermata di accesso di un dispositivo Windows 11 o 10, viene creato un account temporaneo con privilegi limitati chiamato defaultuser1. Questo account viene usato per proteggere il processo di reimpostazione della password.

Lo stesso account ha una password generata in modo casuale, che viene convalidata in base ai criteri password dell’organizzazione, non viene visualizzata per l'accesso al dispositivo e viene rimossa automaticamente dopo che l'utente reimposta la password. Possono esistere più profili defaultuser, ma è possibile tranquillamente ignorarli.

Configurazioni proxy per la reimpostazione della password di Windows

Durante la reimpostazione della password, la reimpostazione della password self-service crea un account utente locale temporaneo per la connessione a https://passwordreset.microsoftonline.com/n/passwordreset. Quando un proxy è configurato per l'autenticazione utente, questa potrebbe dare esito negativo con il messaggio "Si è verificato un errore. Riprovare più tardi". Ciò è dovuto al fatto che l'account utente locale non è autorizzato a usare il proxy autenticato.

In questo caso, è possibile usare una delle soluzioni alternative seguenti:

• Configurare un'impostazione proxy a livello di computer che non dipenda dal tipo di utente connesso al computer. Ad esempio, è possibile abilitare i Criteri di gruppo Rendi impostazioni proxy per computer (anziché per utente) per le workstation.

• È inoltre possibile usare la configurazione proxy per utente per la reimpostazione della password self-service se si modifica il modello del Registro di sistema per l'account predefinito. I comandi sono i seguenti:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Il messaggio "Si è verificato un errore" può comparire anche quando qualsiasi elemento interrompe la connettività all'URL https://passwordreset.microsoftonline.com/n/passwordreset. Ad esempio, questo errore può verificarsi quando il software antivirus viene eseguito nella workstation senza esclusioni per gli URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com e ocsp.digicert.com. Disabilitare temporaneamente questo software per verificare se il problema è stato risolto o meno.

Reimpostazione della password di Windows 7, 8 e 8.1

Per configurare un dispositivo Windows 7, 8 o 8.1 per la reimpostazione della password self-service nella schermata di accesso, consultare i prerequisiti e la procedura di configurazione seguente.

Prerequisiti di Windows 7, 8 e 8.1

• Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dei criteri di autenticazione e abilitare la reimpostazione della password self-service di Microsoft Entra.
• Prima di usare questa funzionalità, gli utenti devono registrarsi per la reimpostazione della password self-service su https://aka.ms/ssprsetup
  • Non solo per l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, tutti gli utenti devono fornire le informazioni sul contatto di autenticazione prima di poter reimpostare la password.
• Requisiti del proxy di rete:
  • Porta 443 per passwordreset.microsoftonline.com
• Sistema operativo Windows 7 con patch o Windows 8.1.
• Protocollo TLS 1.2 abilitato seguendo le indicazioni riportate in Transport Layer Security (TLS) registry settings (Impostazioni del Registro di sistema di Transport Layer Security - TLS).
• Se nel computer è abilitato più di un provider di credenziali di terze parti, gli utenti visualizzano più di un profilo utente nella schermata di accesso.

Avviso

Il protocollo TLS 1.2 deve essere abilitato, non semplicemente impostato sulla negoziazione automatica.

Installare

Per Windows 7, 8 e 8.1, è necessario installare un piccolo componente sul computer per abilitare la reimpostazione della password self-service nella schermata di accesso. Per installare questo componente per la reimpostazione della password self-service, completare la procedura seguente:

1. Scaricare il programma di installazione appropriato per la versione di Windows che si vuole abilitare.

   Il software installer è disponibile nell'area download Microsoft all'indirizzo https://aka.ms/sspraddin

2. Accedere al computer in cui si vuole effettuare l'installazione ed eseguire il programma di installazione.

3. Al termine dell'installazione è consigliabile riavviare il computer.

4. Dopo il riavvio, nella schermata di accesso scegliere un utente e selezionare "Password dimenticata?" per avviare il flusso di lavoro di reimpostazione della password.

5. Completare il flusso di lavoro seguendo i passaggi visualizzati sullo schermo per reimpostare la password.

Installazione invisibile all'utente

Il componente per la reimpostazione della password self-service può essere installato o disinstallato senza prompt usando i comandi seguenti:

• Per l'installazione invisibile all'utente, usare il comando "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• Per la disinstallazione invisibile all'utente, usare il comando "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Risoluzione dei problemi relativi alla reimpostazione della password di Windows 7, 8 e 8.1

In caso di problemi con l'uso della reimpostazione della password self-service dalla schermata di accesso di Windows, gli eventi vengono registrati sia nel computer che nell'ID Microsoft Entra. Gli eventi di Microsoft Entra includono informazioni sull'indirizzo IP e sul tipo di client in cui si è verificata la reimpostazione della password, come illustrato nell'output di esempio seguente:

Se è necessaria una registrazione aggiuntiva, è possibile modificare una chiave del Registro di sistema per abilitare la registrazione dettagliata. Abilitare la registrazione dettagliata per la risoluzione dei problemi usando solo il valore della chiave del Registro di sistema seguente:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Per abilitare la registrazione dettagliata, creare un REG_DWORD: "EnableLogging" e impostarlo su 1.
• Per disabilitare la registrazione dettagliata, modificare il REG_DWORD: "EnableLogging" su 0.
• Esaminare la registrazione di debug nel log eventi dell'applicazione nell'origine AADPasswordResetCredentialProvider.

Cosa vedono gli utenti

Con la reimpostazione della password self-service configurata per i dispositivi Windows, quali modifiche sono state apportate all'utente? Come capisce che può reimpostare la password nella schermata di accesso? Gli screenshot di esempio seguenti mostrano le opzioni aggiuntive per la reimpostazione della password da parte dell’utente usando la reimpostazione della password self-service:

Quando gli utenti provano ad accedere, viene visualizzato un collegamento Reimposta password o Password dimenticata che apre l'esperienza di reimpostazione della password self-service nella schermata di accesso. Questa funzionalità consente agli utenti di reimpostare la password senza dover usare un altro dispositivo per accedere a un Web browser.

Per altre informazioni sull'uso di questa funzionalità da parte degli utenti, vedere Reimpostare la password aziendale o dell'istituto di istruzione

Passaggi successivi

Per semplificare l'esperienza di registrazione utente, è possibile precompilare le informazioni sul contatto per l'autenticazione utente per la reimpostazione della password self-service.