Opzioni di distribuzione della reimpostazione della password self-service

Importante

Nel settembre 2022 Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non serviceranno più le richieste di autenticazione a più fattori (MFA). I clienti del server Azure Multi-Factor Authentication devono invece pianificare il passaggio a usare provider MFA personalizzati con la reimpostazione della password self-service mim o Microsoft Entra reimpostazione della password self-service anziché la reimpostazione della password self-service mim.

Per i nuovi clienti con licenza per Microsoft Entra ID P1 o P2, è consigliabile usare Microsoft Entra reimpostazione della password self-service per offrire l'esperienza dell'utente finale. Microsoft Entra la reimpostazione della password self-service offre sia un'esperienza basata sul Web che integrata windows per consentire a un utente di reimpostare la propria password e supporta molte delle stesse funzionalità di MIM, tra cui posta elettronica alternativa e Q&A gate. Quando si distribuisce Microsoft Entra reimpostazione della password self-service, è possibile configurare Microsoft Entra Connetti per scrivere le nuove password in Servizi di dominio Active Directory e è possibile usare il servizio di notifica delle modifiche delle password MIM per inoltrare le password ad altri sistemi, ad esempio il server directory di un altro fornitore. La distribuzione di MIM per la gestione delle password non richiede la distribuzione della reimpostazione della password del servizio MIM o self-service MIM o dei portali di registrazione. In alternativa, è possibile seguire questi passaggi:

• In primo luogo, se è necessario inviare password a directory diverse da Microsoft Entra ID e Servizi di dominio Active Directory, distribuire sincronizzazione MIM con i connettori in Active Directory Domain Services ed eventuali sistemi di destinazione aggiuntivi, configurare MIM per la gestione delle password e distribuire il servizio di notifica delle modifiche delle password.
• Quindi, se è necessario inviare password a directory diverse da Microsoft Entra ID, configurare Microsoft Entra Connetti per la scrittura delle nuove password in Servizi di dominio Active Directory.
• Facoltativamente, eseguire la preregistrazione degli utenti.
• Infine, implementare Microsoft Entra reimpostazione della password self-service agli utenti finali.

Per i clienti esistenti che in precedenza avevano distribuito Forefront Identity Manager (FIM) per la reimpostazione della password self-service e hanno una licenza per Microsoft Entra ID P1 o P2, è consigliabile pianificare la transizione a Microsoft Entra reimpostazione della password self-service. È possibile eseguire la transizione degli utenti finali a Microsoft Entra reimpostazione della password self-service senza bisogno di registrarli di nuovo, sincronizzando o impostando tramite PowerShell l'indirizzo di posta elettronica alternativo o il numero di telefono cellulare di un utente. Dopo che gli utenti sono stati registrati per Microsoft Entra reimpostazione della password self-service, il portale di reimpostazione della password FIM può essere rimosso.

Per i clienti, che non hanno ancora distribuito Microsoft Entra reimpostazione della password self-service per gli utenti, MIM offre anche portali di reimpostazione della password self-service. Rispetto a FIM, in MIM 2016 sono state apportate le modifiche seguenti:

• Mim Self-Service portale di reimpostazione della password e schermata di accesso di Windows consente agli utenti di sbloccare gli account senza modificare le password.

• È stato aggiunto a MIM un nuovo controllo di autenticazione, il controllo tramite telefono. Ciò consente l'autenticazione utente tramite chiamata telefonica tramite il servizio di autenticazione a più fattori Microsoft Entra.

La versione di MIM 2016 si basa sulla versione 4.5.26.0 basata sul cliente per scaricare un SDK deprecato e le distribuzioni esistenti devono passare all'uso della reimpostazione della password self-service con un provider MFA personalizzato o Microsoft Entra la reimpostazione della password self-service. Le nuove distribuzioni devono usare un provider MFA personalizzato o Microsoft Entra la reimpostazione della password self-service.

Distribuzione di MIM Self-Service portale di reimpostazione della password usando un provider personalizzato per l'autenticazione a più fattori

La sezione seguente descrive come distribuire il portale di reimpostazione della password self-service MIM usando un provider per l'autenticazione a più fattori. Questi passaggi sono necessari solo per i clienti che non usano Microsoft Entra reimpostazione della password self-service per gli utenti.

Con l'autenticazione a più fattori, gli utenti eseguono l'autenticazione tramite il provider esterno per verificare la propria identità durante il tentativo di ottenere nuovamente l'accesso all'account e alle risorse. È possibile eseguire l'autenticazione tramite SMS o chiamata telefonica. Più forte è l'autenticazione, maggiore sarà la sicurezza che la persona che sta provando ad accedere sia realmente l'utente titolare dell'identità. Una volta autenticato, l'utente può scegliere una nuova password per sostituire quella precedente.

Prerequisiti per configurare lo sblocco degli account self-service e la reimpostazione della password usando MFA

In questa sezione si presuppone di aver scaricato e completato la distribuzione di Microsoft Identity Manager 2016, dei componenti Sincronizzazione MIM, Servizio MIM e Portale MIM, inclusi i seguenti componenti e servizi:

• Un computer in cui è installato Windows Server 2008 R2 o versioni successive è stato configurato come server Active Directory che include Servizi di dominio Active Directory e un controller di dominio con un dominio designato (un dominio "aziendale")

• Un criterio di gruppo è definito per il blocco degli account

• Il servizio di sincronizzazione MIM 2016 (Sincronizzazione) deve essere installato e in esecuzione in un server con dominio appartenente al dominio di Active Directory

• Il portale di & del servizio MIM 2016, incluso il portale di registrazione della reimpostazione della password self-service e il portale di reimpostazione della reimpostazione della password self-service, sono installati e in esecuzione in un server (potrebbe essere in modalità condivisa con la sincronizzazione)

• Sincronizzazione MIM è configurato per la sincronizzazione delle identità MIM di Active Directory, tra cui:

  • Configurazione dell’agente di gestione di Active Directory (ADMA) per la connettività con Active Directory DS e la capacità di importare i dati di identità ed esportarli in Active Directory.

  • Configurazione dell'agente di gestione MIM (MIM MA) per la connettività con il database del servizio FIM e la funzionalità di importazione dei dati di identità dal database FIM e di esportazione in tale database.

  • Configurazione delle regole di sincronizzazione nel portale MIM per consentire la sincronizzazione dei dati utente e semplificare le attività basate sulla sincronizzazione nel servizio MIM.

• I componenti aggiuntivi MIM 2016 & Estensioni, incluso il client integrato accesso Windows SSPR, vengono distribuiti nel server o in un computer client separato.

Se si usa Microsoft Entra l'autenticazione a più fattori, questo scenario richiede di avere licenze CAL MIM per gli utenti e una sottoscrizione per Microsoft Entra l'autenticazione a più fattori.

Preparare MIM per l'uso con MFA

Configurare la sincronizzazione MIM per supportare la funzionalità di reimpostazione della password e sblocco dell’account. Per altre informazioni, vedere Installazione dei componenti aggiuntivi e delle estensioni di FIM, installazione di FIM SSPR, Controlli di autenticazione SSPR e Guida al lab di test SSPR

Configurare il controllo del telefono o il controllo della password monouso tramite SMS

1. Avviare Internet Explorer e passare al portale MIM, autenticando come amministratore MIM, quindi fare clic su Flussi di lavoro nella barra di spostamento a sinistra.

   

2. Selezionare Flusso di lavoro autenticazione reimpostazione password

   

3. Fare clic sulla scheda Attività e scorrere verso il basso fino a Aggiungi attività.

4. Selezionare Phone Gate o One-Time Password SMS Gate (Controllo SMS password monouso ) fare clic su Seleziona e quindi su OK.

   Nota

   Se si usa un altro provider che genera la password una tantum, assicurarsi che il campo di lunghezza configurato in precedenza corrisponda a quello generato dal provider MFA. Questa lunghezza deve essere 6 per il server Azure Multi-Factor Authentication. Il server Azure Multi-Factor Authentication genera anche il proprio testo del messaggio in modo che il sms venga ignorato.

Gli utenti dell'organizzazione possono ora registrarsi per la reimpostazione della password. Durante questo processo, dovranno immettere il proprio numero di telefono dell'ufficio o di cellulare, in modo che il sistema abbia le informazioni necessarie per chiamarli o inviare loro SMS.

Registrare gli utenti per la reimpostazione della password

1. Un utente avvierà un Web browser e passerà al portale di registrazione per la reimpostazione della password MIM. In genere, questo portale è configurato con l'autenticazione di Windows. All'interno del portale gli utenti forniranno di nuovo nome utente e password per confermare la propria identità.

   Gli utenti devono accedere al portale di registrazione password ed effettuare l’autenticazione con nome utente e password.

2. Nel campo Numero di telefono o telefono cellulare devono immettere un codice paese, uno spazio e il numero di telefono e fare clic su Avanti.

   

   

Come funziona per gli utenti?

Ora che tutto è configurato e in esecuzione, è possibile sapere cosa dovranno fare gli utenti se dimenticano le proprie password.

È possibile usare la funzionalità di reimpostazione della password e sblocco dell'account in due modi: dalla schermata di accesso di Windows oppure dal portale self-service.

Installando Componenti aggiuntivi ed estensioni MIM in un computer aggiunto al dominio connesso tramite la rete aziendale al servizio MIM, gli utenti possono recuperare una password dimenticata al momento dell'accesso al desktop. I passaggi seguenti descrivono il processo in modo dettagliato.

Reimpostazione della password integrata all'accesso al desktop di Windows

1. Se l'utente immette più volte la password errata, nella schermata di accesso avrà la possibilità di fare clic su Problemi di accesso? .

   

   Facendo clic su questo collegamento viene visualizzata la schermata Reimpostazione password MIM è possibile modificare la password o sbloccare l'account.

   

2. L'utente verrà indirizzato per l'autenticazione. Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata.

3. In background, ciò che accade è che il provider MFA invia quindi una telefonata al numero assegnato dall'utente quando l'utente ha effettuato l'iscrizione al servizio.

4. Quando un utente risponde al telefono, potrebbe essere richiesto di interagire, ad esempio, per premere il tasto cancelletto # sul telefono. Quindi l'utente fa clic su Avanti nel portale.

   Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

   Nota

   Se l'utente fa clic su Avanti prima di premere il tasto #, l'autenticazione non riesce.

5. Dopo l'autenticazione, l'utente potrà scegliere se sbloccare l'account e mantenere la password corrente oppure impostare una nuova password.

6. L’utente deve quindi immettere due volte una nuova password e la password sarà reimpostata.

Accedere dal portale self-service.

1. Gli utenti possono aprire un Web browser, passare alportale per la reimpostazione della password, immettere il proprio nome utente e fare clic su Avanti.

   Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata. In background, ciò che accade è che Microsoft Entra l'autenticazione a più fattori invia quindi una telefonata al numero che l'utente ha dato quando ha effettuato l'iscrizione al servizio.

   Quando un utente risponde al telefono, gli viene chiesto di premere il tasto cancelletto (#). Quindi l'utente fa clic su Avanti nel portale.

2. Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

   Nota

   Se l'utente fa clic su Avanti prima di premere il tasto #, l'autenticazione non riesce.

3. L'utente dovrà scegliere se reimpostare la password o sbloccare l'account. Se scelgono di sbloccare il proprio account, l'account verrà sbloccato.

   

4. Al termine dell'autenticazione, all'utente verranno fornite due opzioni, per mantenere la password corrente o per impostare una nuova password.

5. 

6. Se l'utente sceglie di reimpostare la password, dovrà digitare una nuova password due volte e fare clic su Avanti per modificare la password corrente.