Domande frequenti sulla reimpostazione della password self-service

Di seguito sono riportate alcune domande frequenti su tutti gli aspetti riguardanti la reimpostazione della password self-service.

Se si ha una domanda generale sull'ID Microsoft Entra e la reimpostazione della password self-service (SSPR) non risolta qui, è possibile chiedere assistenza alla community per la pagina delle domande di Microsoft Q&A per Microsoft Entra ID. La community è composta da ingegneri, responsabili di prodotto, MVP e informatici.

Questo articolo di domande frequenti è suddiviso nelle sezioni seguenti:

  • Domande sulla registrazione per la reimpostazione della password
  • Domande sulla reimpostazione della password
  • Domande sulla modifica della password
  • Domande sui report di gestione delle password
  • Domande sul writeback delle password

Registrazione per la reimpostazione della password

Gli utenti possono registrare i propri dati per la reimpostazione della password?

Sì. Se la reimpostazione della password è abilitata, gli utenti con licenza possono accedere al portale di registrazione per la reimpostazione della password (https://aka.ms/ssprsetup) per registrare le proprie informazioni di autenticazione. La registrazione può essere eseguita anche tramite il pannello di accesso (https://myapps.microsoft.com). Per la registrazione tramite il pannello di accesso, gli utenti devono selezionare la propria immagine del profilo, quindi Profilo e infine l'opzione Registrazione per reimpostazione password.

Se si abilita la registrazione combinata, gli utenti possono registrarsi contemporaneamente sia per la reimpostazione della password self-service che per l'autenticazione a più fattori Microsoft Entra.

Se si abilita la reimpostazione della password per un gruppo e quindi si decide di abilitare questa funzionalità per tutti gli utenti, è necessario che gli utenti ripetano la registrazione?

No. Gli utenti che hanno inserito i dati di autenticazione non devono ripetere la registrazione.

È possibile definire i dati di reimpostazione della password per conto degli utenti?

È possibile sincronizzare i dati per le domande di sicurezza dall'ambiente locale?

No, attualmente non è possibile.

Gli utenti possono registrare i dati in modo che non siano visibili ad altri utenti?

Sì. I dati che l'utente registra usando il portale di registrazione per la reimpostazione della password vengono salvati in campi di autenticazione privati visibili solo agli Amministratori dell’autenticazione con privilegi e all’utente.

Gli utenti devono essere registrati prima di poter usare la funzionalità di reimpostazione della password?

No. Se le informazioni di autenticazione definite per conto degli utenti sono sufficienti, gli utenti non dovranno eseguire la registrazione. La reimpostazione della password funziona a condizione che i dati archiviati nei campi appropriati nella directory siano nel formato corretto.

È possibile sincronizzare o impostare i campi Telefono per l'autenticazione, Indirizzo di posta elettronica per l'autenticazione o Telefono per l'autenticazione alternativo per conto degli utenti?

I campi che possono essere impostati da un Amministratore dell’autenticazione con privilegi vengono definiti nell'articolo Requisiti relativi ai dati di SSPR.

In che modo il portale di registrazione determina le opzioni da visualizzare agli utenti?

Il portale di registrazione per la reimpostazione della password mostra solo le opzioni che sono state abilitate per gli utenti. Queste opzioni si trovano nella sezione Criteri di reimpostazione password utente della scheda Configura della directory. Se non si abilitano le domande di sicurezza, ad esempio, gli utenti non potranno registrarsi per questa opzione.

Quando viene considerato registrato un utente?

Un utente viene considerato registrato per la reimpostazione della password self-service quando ha registrato almeno il numero di metodi necessari per reimpostare una password impostata nell'interfaccia di amministrazione di Microsoft Entra.

Reimpostazione della password

Agli utenti viene impedito di effettuare più tentativi di reimpostazione di una password in un breve periodo di tempo?

Sì, la reimpostazione della password include funzionalità di sicurezza per evitare un uso improprio di questa procedura.

Gli utenti possono tentare di convalidare le informazioni ,ad esempio il numero di telefono, ma se non riescono a dimostrare la propria identità cinque volte entro un periodo di 24 ore, vengono bloccati per 24 ore.

Gli utenti possono provare a convalidare un numero di telefono, un'app di autenticazione, inviare un SMS o convalidare domande di sicurezza e risposte solo cinque volte entro un'ora prima che vengano bloccati per 24 ore.

Gli utenti possono inviare un’email al massimo 10 volte nell'arco di 10 minuti, trascorsi i quali verranno bloccati per 24 ore.

I contatori vengono reimpostati dopo che un utente ha reimpostato la password.

Quanto tempo devo aspettare per ricevere un’email, un SMS o una telefonata dalla reimpostazione della password?

I messaggi di posta elettronica, i messaggi di testo e le telefonate dovrebbero arrivare entro un minuto. L'intervallo normale è da 5 a 20 secondi. Se non si riceve la notifica entro questo periodo di tempo:

  • Controllare la cartella della posta indesiderata.
  • Controllare che il numero o l'indirizzo di posta elettronica contattato sia quello previsto.
  • Controllare che i dati di autenticazione nella directory siano nel formato corretto, ad esempio +1 4255551234 o user@contoso.com.

Quali lingue sono supportate per la reimpostazione della password?

L'interfaccia utente di reimpostazione della password, i messaggi di testo e le chiamate vocali vengono localizzate nelle stesse lingue supportate in Microsoft 365.

A quali parti dell'esperienza di reimpostazione della password vengono applicate le impostazioni di personalizzazione dell'organizzazione specificate nella scheda Configura della directory?

Il portale per la reimpostazione della password mostra il logo dell'organizzazione e consente di configurare il collegamento "Contattare l'amministratore" in modo da puntare a un indirizzo di posta elettronica o un URL personalizzato. Tutti i messaggi di posta elettronica inviati dalla funzionalità di reimpostazione della password includono nel corpo il logo, i colori e il nome dell'organizzazione e sono personalizzati in base alle impostazioni associate al nome specifico.

In che modo è possibile spiegare agli utenti come fare per reimpostare le proprie password?

Provare alcuni dei suggerimenti contenuti nell'articolo relativo alla distribuzione della reimpostazione della password self-service.

Questa pagina può essere usata da un dispositivo mobile?

Sì, la pagina funziona anche sui dispositivi mobili.

È supportato lo sblocco di account Active Directory locali quando gli utenti reimpostano le password?

Sì. Quando un utente reimposta la password, se il writeback delle password è stato distribuito tramite Microsoft Entra Connect, l'account dell'utente viene sbloccato automaticamente quando reimposta la password.

Come è possibile integrare la reimpostazione della password direttamente nell'esperienza di accesso desktop degli utenti?

Se si è un cliente Microsoft Entra ID P1 o P2, è possibile installare Microsoft Identity Manager senza costi aggiuntivi e distribuire la soluzione di reimpostazione della password locale.

È possibile impostare domande di sicurezza diverse per impostazioni locali diverse?

No, attualmente non è possibile.

Quante domande si possono configurare per l'opzione di autenticazione delle domande di sicurezza?

È possibile configurare fino a 20 domande di sicurezza personalizzate nell'interfaccia di amministrazione di Microsoft Entra.

Qual è la lunghezza consentita per le domande di sicurezza?

Le domande di sicurezza possono contenere da 3 a 200 caratteri.

Qual è la lunghezza consentita per le risposte alle domande di sicurezza?

Le risposte possono contenere da 3 a 40 caratteri.

Le risposte duplicate alle domande di sicurezza vengono rifiutate?

Sì, vengono rifiutate.

Un utente può registrare più volte la stessa domanda di sicurezza?

No. Dopo che aver registrato una determinata domanda, l'utente non potrà eseguire la registrazione per quella domanda una seconda volta.

È possibile impostare un limite minimo di domande di sicurezza per la registrazione e la reimpostazione?

Sì, è possibile impostare un limite per la registrazione e un altro per la reimpostazione. Possono essere richieste da tre a cinque domande di sicurezza per la registrazione e da tre a cinque domande per la reimpostazione.

Se si sono configurati criteri per richiedere agli utenti di usare domande di sicurezza per la reimpostazione, perché la configurazione risulta diversa per gli amministratori di Azure?**

Si tratta del comportamento previsto. Per qualsiasi ruolo di amministratore di Azure, Microsoft applica criteri avanzati predefiniti di reimpostazione password con doppio controllo. che impediscono agli amministratori di usare domande di sicurezza. Per altre informazioni su questo criterio, vedere l'articolo Criteri password e restrizioni in Microsoft Entra ID.

Se un utente ha registrato un numero di domande superiore al numero massimo delle domande necessarie per la reimpostazione, come vengono selezionate le domande di sicurezza durante la reimpostazione?

Dal numero totale di domande di sicurezza per cui un utente ha eseguito la registrazione viene selezionato in modo casuale un numero N di domande, dove N è il valore impostato per l'opzione Numero di domande necessarie per la reimpostazione. Se un utente ha registrato cinque domande di sicurezza ma per reimpostare una password ne sono necessarie solo tre, ad esempio, al momento della reimpostazione vengono selezionate in modo casuale e presentate solo tre delle cinque domande. Per evitare attacchi hammering sulle domande, se l'utente sbaglia le risposte alle domande, il processo di selezione ricomincia.

Per quanto tempo sono validi i passcode monouso tramite posta elettronica e SMS?

La durata della sessione per la reimpostazione della password è di 15 minuti. Dall'inizio dell'operazione di reimpostazione password, l'utente ha 15 minuti per completare la reimpostazione. I passcode monouso sono validi per 5 minuti durante la sessione di reimpostazione della password.

È possibile impedire agli utenti di reimpostare la password?

Sì, se si usa un gruppo per abilitare la reimpostazione della password self-service, è possibile rimuovere un singolo utente dal gruppo che consente agli utenti di reimpostare la propria password. Se l'utente è un amministratore dell'autenticazione con privilegi, può reimpostare la password e non può essere disabilitata.

Modifica della password

Dove devono andare gli utenti per modificare la password?

Gli utenti possono modificare le password ovunque venga visualizzata l'immagine o l'icona del profilo, ad esempio nell'angolo in alto a destra nell'esperienza del portale di Office 365 o del pannello di accesso. Gli utenti possono modificare le password dalla pagina del profilo del pannello di accesso. È anche possibile chiedere agli utenti di modificare automaticamente le password nella pagina di accesso di Microsoft Entra se le password sono scadute. Infine, gli utenti possono passare al portale di modifica delle password di Microsoft Entra direttamente se vogliono modificare le password.

Gli utenti possono ricevere una notifica nel portale di Office alla scadenza della password locale?

Sì, questo è attualmente possibile se si usa Active Directory Federation Services (AD FS). Se si usa AD FS, seguire le istruzioni riportate nell'articolo relativo all'invio di attestazioni per i criteri password con AD FS. Se si usa la sincronizzazione dell'hash delle password, al momento non è possibile. I criteri password delle directory locali non vengono sincronizzati e non è quindi possibile pubblicare notifiche di scadenza nelle esperienze cloud. In entrambi i casi, è anche possibile inviare notifiche agli utenti con password in scadenza tramite PowerShell.

È possibile impedire agli utenti di modificare la password?

Per gli utenti solo cloud è impossibile bloccare le modifiche delle password. Per gli utenti locali, è possibile selezionare l'opzione Cambiamento password non consentito. Gli utenti selezionati non potranno modificare la password.

Report di gestione delle password

Quanto tempo è richiesto prima che i dati vengano visualizzati nei report di gestione delle password?

I dati dovrebbero essere visualizzati in questi report in 5-10 minuti. In alcuni casi, la visualizzazione potrebbe richiedere fino a un'ora.

Come si possono filtrare i report di gestione delle password?

Per filtrare i report di gestione delle password, selezionare la piccola lente di ingrandimento all'estrema destra delle etichette di colonna, nella parte superiore del report. Per applicare filtri più avanzati, è possibile scaricare il report in Excel e creare una tabella pivot.

Qual è il numero massimo di eventi archiviato nei report di gestione delle password?

Nei report di gestione delle password vengono archiviati fino a 75.000 eventi di reimpostazione della password o di registrazione per la reimpostazione della password, risalendo fino a 30 giorni prima. Stiamo lavorando per espandere questo numero al fine di includere un maggior numero di eventi.

Fino a quando risalgono i report di gestione delle password?

Questi report mostrano le operazioni eseguite negli ultimi 30 giorni. Per il momento, se occorre archiviare i dati, è possibile scaricare i report periodicamente e salvarli in un percorso separato.

Esiste un limite al numero massimo di righe visualizzabili nei report di gestione delle password?

Sì. I report di gestione delle password, sia visualizzati nell'interfaccia utente che scaricati, possono contenere un massimo di 75.000 righe.

Esiste un'API per accedere ai dati di report delle registrazioni o di reimpostazione delle password?

Sì, è possibile ottenere queste informazioni dal report Attività metodi di autenticazione o dall'API per ottenere l'attività di reimpostazione della password. È anche possibile usare l'API dei log di controllo e filtrare in base agli eventi SSPR.

Writeback delle password

Come funziona il writeback delle password in background?

Per una spiegazione di quello che accade quando si abilita il writeback delle password e del flusso dei dati dal sistema all'ambiente locale, vedere Funzionamento del writeback delle password.

Entro quanto tempo si attiva il funzionamento del writeback delle password? Esiste un ritardo di sincronizzazione come nel caso della sincronizzazione dell'hash delle password?

Il writeback delle password è immediato. Si tratta di una pipeline sincrona che funziona fondamentalmente in modo diverso rispetto alla sincronizzazione di hash della password. Il writeback delle password consente agli utenti di avere un feedback in tempo reale sulla riuscita dell'operazione di reimpostazione o modifica della propria password. L'intervallo medio per un writeback della password riuscito è inferiore a 500 ms.

Se l'account locale è disabilitato, qual è l'impatto sull'account e sull'accesso cloud?

Se l'ID locale è disabilitato, anche l'ID cloud e l'accesso verranno disabilitati al successivo intervallo di sincronizzazione tramite Microsoft Entra Connect. Per impostazione predefinita, la sincronizzazione viene eseguita ogni 30 minuti.

Se l'account locale è vincolato da criteri password di Active Directory locali, la reimpostazione della password self-service rispetta questi criteri quando si modifica la password?

Sì, la reimpostazione della password self-service applica e rispetta i criteri password di Active Directory locali. che includono i criteri password tipici per i domini di Active Directory nonché tutti i criteri password specifici per un utente.

Per quali tipi di account funziona il writeback delle password?

Il writeback delle password funziona per gli account utente sincronizzati da Active Directory locale all'ID Microsoft Entra, inclusi gli utenti federati, l'hash delle password sincronizzati e l'autenticazione pass-through.

Il writeback delle password applica i criteri password del dominio?

Sì. Il writeback delle password applica validità, cronologia, complessità, filtri e qualsiasi altra restrizione eventualmente applicata alle password nel dominio locale.

Il writeback delle password è sicuro? Come si può avere la certezza di non essere oggetto di un attacco?

Sì, il writeback delle password è sicuro. Per altre informazioni sui molti livelli di sicurezza implementati dal servizio di writeback delle password, vedere la sezione Sicurezza del writeback delle password dell'articolo Panoramica del writeback delle password.