Esercitazione: consentire agli utenti di sbloccare l'account o reimpostare le password usando la funzione di Microsoft Entra per la reimpostazione automatica della password.

La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se Microsoft Entra ID blocca l'account di un utente o quest'ultimo si dimentica la password, l'utente può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Consigliamo questo video su Come abilitare e configurare la SSPR in Microsoft Entra ID. È disponibile anche un video per gli amministratori IT sulla risoluzione dei sei messaggi di errore più comuni che l'utente finale incontra con la reimpostazione della password self-service (SSPR).

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service. Se sei un utente finale già registrato per la reimpostazione della password self-service e devi tornare al tuo account, vai alla pagina di reimpostazione della password di Microsoft Online.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

• Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
• Configurare i metodi di autenticazione e le opzioni di registrazione
• Testare il processo di reimpostazione automatizzata della password come utente

Importante

Nel marzo 2023 abbiamo annunciato la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione autonoma della password. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti in queste politiche legacy MFA e di reimpostazione della password self-service. Si consiglia ai clienti di utilizzare il controllo manuale della migrazione per eseguire la migrazione al criterio dei metodi di autenticazione entro la data di deprecazione.

Esercitazione video

È anche possibile seguire la procedura in un video correlato: Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Per la reimpostazione della password è necessario un tenant Microsoft Entra con almeno una licenza Microsoft Entra ID P1. Per altre informazioni sui requisiti di licenza per la modifica della password e la reimpostazione della password in Microsoft Entra ID, vedere Requisiti di licenza per la reimpostazione della password self-service di Microsoft Entra.
• Un Account con almeno il ruolo di Amministratore dei Criteri di Autenticazione.
• Un utente non amministratore con una password nota, ad esempio testuser. In questa esercitazione testerai l'esperienza SSPR dell'utente finale usando questo account.
  • Se è necessario creare un utente, vedere Avvio rapido: Aggiungere nuovi utenti all'ID Microsoft Entra.
• Un gruppo di cui l'utente non amministratore è membro, ad esempio SSPR-Test-Group. In questa esercitazione abiliterai la reimpostazione della password self-service per questo gruppo.
  • Se è necessario creare un gruppo, vedere Creare un gruppo di base e aggiungere membri usando l'ID Microsoft Entra.

Abilitare la reimpostazione della password auto-assistita

Microsoft Entra ID consente di abilitare la reimpostazione della password self-service per Nessuno, Selezionato o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un sottoinsieme di utenti per testare il processo di registrazione e il flusso di lavoro della reimpostazione della password self-service. Una volta acquisita familiarità con il processo e quando giunge il momento giusto per comunicare i requisiti a un numero maggiore di utenti, è possibile selezionare un gruppo di utenti da abilitare per la SSPR. In alternativa, puoi abilitare la reimpostazione self-service della password per tutti gli utenti nel tenant Microsoft Entra.

Nota

Attualmente, è possibile abilitare un solo gruppo Microsoft Entra per la reimpostazione della password self-service tramite l'Interfaccia di amministrazione di Microsoft Entra. Nell'ambito di una distribuzione più ampia della SSPR, Microsoft Entra ID supporta i gruppi annidati.

In questa esercitazione, configura la reimpostazione della password per un insieme di utenti in un gruppo di test. Usare il gruppo SSPR-Test-Group e fornire il proprio gruppo Microsoft Entra in base alle esigenze:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.

2. Passare a Protezione>Reimpostazione della password dal menu a sinistra.

3. Nella pagina Proprietà , sotto l'opzione Reimpostazione password self-service abilitata, scegliere Selezionato.

4. Se il gruppo non è visibile, scegliere Nessun gruppo selezionato, cercare e selezionare il gruppo Microsoft Entra, ad esempio SSPR-Test-Group, quindi scegliere Seleziona.

   

5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto loro un metodo di conferma aggiuntivo. Questo fattore di autenticazione aggiuntivo garantisce che Microsoft Entra ID abbia completato solo gli eventi SSPR approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

1. Dal menu a sinistra della pagina Metodi di autenticazione impostare il numero di metodi necessari per reimpostaresu 2.

   Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

2. Scegliere i metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

   • Notifica dell'app per dispositivi mobili
   • Codice dell'app per dispositivi mobili
   • E-mail
   • Cellulare

   È possibile abilitare altri metodi di autenticazione, ad esempio telefono di Office o domande di sicurezza, in base alle esigenze aziendali.

3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Microsoft Entra ID usa queste informazioni di contatto per i diversi metodi di autenticazione configurati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione configurare Microsoft Entra ID per richiedere agli utenti la registrazione al successivo accesso.

1. Dal menu a sinistra della pagina Registrazione selezionare Sì per Richiedere agli utenti di registrarsi durante l'accesso.

2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

   È importante mantenere aggiornate le informazioni di contatto. Se le informazioni di contatto obsolete sono presenti all'avvio di un evento SSPR, l'utente potrebbe non essere in grado di sbloccare il proprio account o reimpostare la password.

3. Per applicare le impostazioni di registrazione, selezionare Salva.

Nota

L'interruzione della registrazione delle informazioni di contatto durante l'accesso si verifica solo se vengono soddisfatte le condizioni configurate nelle impostazioni. Questo si applica solo agli utenti e agli account amministratore abilitati per reimpostare le password utilizzando la reimpostazione della password self-service di Microsoft Entra.

Configurare notifiche e personalizzazioni

Per informare gli utenti sull'attività dell'account, è possibile configurare Microsoft Entra ID per inviare notifiche via email quando si verifica un evento di SSPR. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica fornisce un altro livello di attenzione quando una password dell'account amministratore con privilegi viene reimpostata tramite SSPR (Self-Service Password Reset). Microsoft Entra ID può informare tutti gli amministratori quando un utente usa la reimpostazione della password self-service in un account amministratore.

1. Dal menu a sinistra della pagina Notifiche configurare le opzioni seguenti:

   • Impostare l'opzione Invia notifica agli utenti per la reimpostazione della password? su Sì.
   • Impostare Invia una notifica a tutti gli amministratori quando altri amministratori reimpostano la password? su Sì.

2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento durante il processo di registrazione della reimpostazione della password e quando sblocca l'account o reimposta la password. Per assicurarsi che gli utenti ottengano il supporto necessario, è consigliabile fornire un URL o un indirizzo di posta elettronica del supporto tecnico personalizzato.

1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento helpdesk su Sì.
2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico personalizzato specificare un indirizzo di posta elettronica o un URL della pagina Web in cui gli utenti possono ottenere assistenza dall'organizzazione, ad esempio https://support.contoso.com/
3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione autonoma della password

Con la reimpostazione della password self-service abilitata e configurata, testare il processo di reimpostazione della password self-service con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser . Specificare il proprio account utente. Fa parte del gruppo che hai abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore. Per impostazione predefinita, Microsoft Entra ID abilita la reimpostazione della password self-service per gli amministratori. È necessario usare due metodi di autenticazione per reimpostare la password. Per altre informazioni, vedere Differenze tra i criteri di reimpostazione dell'amministratore.

1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup. Microsoft Entra ID indirizza gli utenti a questo portale di registrazione quando accedono alla prossima volta.

2. Accedere con un utente di test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.

3. Al termine, selezionare il pulsante contrassegnato Sembra buono e chiudere la finestra del browser.

4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.

5. Immettere le informazioni sull'account degli utenti di test non amministratore, ad esempio testuser, i caratteri di CAPTCHA e quindi selezionare Avanti.

   

6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceve una notifica tramite posta elettronica che indica che la password è stata reimpostata.

Pulire le risorse

In un tutorial successivo di questa serie, configurerai il ripristino delle password. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Microsoft Entra a un ambiente Active Directory locale. Se desideri continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare ora la reimpostazione della password self-service (SSPR).

Se non si vuole più usare la funzionalità SSPR configurata come parte di questo tutorial, impostare lo stato di SSPR su Nessuno seguendo questa procedura:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
2. Passare a Entra ID>Reimpostazione password.
3. Nella pagina Proprietà , sotto l'opzione Reimpostazione password self-service abilitata, selezionare Nessuno.
4. Per applicare la modifica SSPR, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano a effettuare la reimpostazione della password self-service:

• Perché le politiche delle password in locale non vengono visualizzate durante la reimpostazione self-service della password (SSPR)?

  Al momento, Microsoft Entra Connect e la sincronizzazione cloud non supportano la condivisione delle informazioni sui criteri delle password con il cloud. La reimpostazione della password self-service visualizza solo i dettagli dei criteri password cloud e non può visualizzare i criteri locali.

• Perché gli utenti federati attendono fino a 2 minuti dopo che la password è stata reimpostata prima che possano usare password sincronizzate dall'ambiente locale?

  Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, l'aggiornamento SSPR modifica solo le password in locale. La sincronizzazione dell'hash delle password in Microsoft Entra ID è effettuata ogni 2 minuti.

• Quando un utente appena creato con dati SSPR, come telefono ed email, è già compilato in anticipo e visita la pagina di registrazione self-service; la frase Non perdere l'accesso al tuo account! viene visualizzata come titolo della pagina. Perché gli altri utenti che dispongono di dati SSPR prepopolati non visualizzano il messaggio?

  Un utente che vede Non perdere l'accesso al tuo account! è un membro dei gruppi di registrazione SSPR/combinati configurati per il tenant. Gli utenti che non vedono Non perdere l'accesso all'account! non facevano parte dei gruppi di registrazione SSPR/combinati.

• Quando certi utenti attraversano il processo di reimpostazione della password tramite autoservizio e reimpostano la loro password, perché non vedono l'indicatore di robustezza della password?

  Gli utenti che non visualizzano la forza della password, debole/forte, hanno abilitato la reimmissione delle password sincronizzata. Poiché il sistema di reimpostazione della password self-service non è in grado di determinare i criteri delle password per l'ambiente locale del cliente, non può convalidare la robustezza o la debolezza della password.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Microsoft Entra per un gruppo selezionato di utenti. Hai imparato a:

• Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
• Configurare i metodi di autenticazione e le opzioni di registrazione
• Testare il processo di reimpostazione automatizzata della password come utente

Abilitare l'autenticazione a più fattori Di Microsoft Entra