Opzioni di distribuzione della reimpostazione della password self-service

Importante

Nel settembre 2022 Microsoft ha annunciato la deprecazione di Azure AD Multi-Factor Authentication Server. A partire dal 30 settembre 2024, le distribuzioni di Azure AD Multi-Factor Authentication Server non eseguiranno più richieste di autenticazione a più fattori . I clienti di Azure AD Multi-Factor Authentication Server devono invece passare a usare provider MFA personalizzati con SSPR MIM o Azure AD SSPR anziché miM SSPR.

Per i nuovi clienti in possesso di una licenza per Azure Active Directory Premium, è consigliabile usare la reimpostazione della password self-service di Azure AD per agevolare l'utilizzo degli utenti finali. La reimpostazione della password self-service di Azure AD offre sia un'esperienza basata sul Web che integrata da Windows per un utente per reimpostare la propria password e supporta molte delle stesse funzionalità di MIM, tra cui messaggi di posta elettronica alternativi e porte Q&A. Quando si distribuisce la reimpostazione della password self-service di Azure AD, è possibile configurare Azure AD Connect per scrivere le nuove password in Servizi di dominio Active Directory e per inoltrare le password ad altri sistemi, ad esempio il server directory di un altro fornitore. La distribuzione di MIM per la gestione delle password non richiede la distribuzione della reimpostazione della password del servizio MIM o self-service MIM o dei portali di registrazione. In alternativa, è possibile seguire questi passaggi:

Per i clienti esistenti che hanno distribuito in precedenza Forefront Identity Manager (FIM) per la reimpostazione della password self-service e sono concessi in licenza per Azure Active Directory Premium, è consigliabile pianificare la transizione alla reimpostazione della password self-service di Azure AD. È possibile far passare gli utenti finali alla reimpostazione self-service della password di Azure AD senza che debbano effettuare nuovamente la registrazione tramite la sincronizzazione o l'impostazione attraverso PowerShell di un indirizzo di posta elettronica alternativo o di un numero di telefono cellulare dell'utente. Una volta che gli utenti sono registrati per la reimpostazione della password self-service di Azure AD, è possibile disattivare il portale per la reimpostazione della password di FIM.

Per i clienti che non hanno ancora distribuito la reimpostazione self-service della password di Azure AD per i loro utenti, MIM offre anche portali per la reimpostazione self-service della password. Rispetto a FIM, in MIM 2016 sono state apportate le modifiche seguenti:

  • La schermata di accesso MIM Self-Service portale di reimpostazione password e Windows consente agli utenti di sbloccare gli account senza modificare le password.
  • È stato aggiunto a MIM un nuovo controllo di autenticazione, il controllo tramite telefono. Ciò consente l'autenticazione utente tramite chiamata telefonica tramite il Microsoft Azure AD Servizio Multi-Factor Authentication.

La versione MIM 2016 si basa sulla versione 4.5.26.0 basata sul cliente per scaricare un SDK deprecato e le distribuzioni esistenti devono passare all'uso della reimpostazione della password miM con un provider MFA personalizzato o sulla reimpostazione della password self-service di Azure AD. Le nuove distribuzioni devono usare un provider MFA personalizzato o la reimpostazione della password self-service di Azure AD.

Distribuzione di MIM Self-Service Portale di reimpostazione password usando un provider personalizzato per l'autenticazione a più fattori

Nella sezione seguente viene descritto come distribuire il portale di reimpostazione della password self-service MIM usando un provider per l'autenticazione a più fattori. Questi passaggi sono necessari solo per i clienti che non usano la reimpostazione della password self-service di Azure AD per i loro utenti.

Con MFA, gli utenti eseguono l'autenticazione tramite il provider esterno per verificare la propria identità durante il tentativo di recuperare l'accesso all'account e alle risorse. È possibile eseguire l'autenticazione tramite SMS o chiamata telefonica. Più forte è l'autenticazione, maggiore sarà la sicurezza che la persona che sta provando ad accedere sia realmente l'utente titolare dell'identità. Una volta autenticato, l'utente può scegliere una nuova password per sostituire quella precedente.

Prerequisiti per configurare lo sblocco degli account self-service e la reimpostazione della password usando MFA

In questa sezione si presuppone di aver scaricato e completato la distribuzione di Microsoft Identity Manager 2016, dei componenti Sincronizzazione MIM, Servizio MIM e Portale MIM, inclusi i seguenti componenti e servizi:

  • Un computer in cui è installato Windows Server 2008 R2 o versioni successive è stato configurato come server Active Directory che include Servizi di dominio Active Directory e un controller di dominio con un dominio designato (un dominio "aziendale")

  • Un criterio di gruppo è definito per il blocco degli account

  • Il servizio di sincronizzazione MIM 2016 (Sincronizzazione) deve essere installato e in esecuzione in un server con dominio appartenente al dominio di Active Directory

  • Il servizio e il portale MIM 2016, incluso il portale di registrazione SSPR e il portale di reimpostazione SSPR, sono installati e in esecuzione su un server (possono condividere il percorso di Sincronizzazione)

  • Sincronizzazione MIM è configurato per la sincronizzazione delle identità MIM di Active Directory, tra cui:

    • Configurazione dell’agente di gestione di Active Directory (ADMA) per la connettività con Active Directory DS e la capacità di importare i dati di identità ed esportarli in Active Directory.

    • Configurazione dell'agente di gestione MIM (MIM MA) per la connettività con il database del servizio FIM e la funzionalità di importazione dei dati di identità dal database FIM e di esportazione in tale database.

    • Configurazione delle regole di sincronizzazione nel portale MIM per consentire la sincronizzazione dei dati utente e semplificare le attività basate sulla sincronizzazione nel servizio MIM.

  • I componenti aggiuntivi e le estensioni di MIM 2016, incluso il client integrato di accesso SSPR Windows, possono quindi essere distribuiti nel server o in un computer client separato.

Se si usa Azure AD Multi-Factor Authentication, questo scenario richiede l'uso di licenze CA MIM per gli utenti e la sottoscrizione per Azure AD Multi-Factor Authentication.

Preparare MIM per l'uso dell'autenticazione a più fattori

Configurare la sincronizzazione MIM per supportare la funzionalità di reimpostazione della password e sblocco dell’account. Per altre informazioni, vedere Installazione dei componenti aggiuntivi e delle estensioni di FIM, installazione di FIM SSPR, Controlli di autenticazione SSPR e Guida al lab di test SSPR

Configurare il controllo del telefono o il controllo della password monouso tramite SMS

  1. Avviare Internet Explorer e passare al portale MIM, autenticando come amministratore MIM, quindi fare clic su Flussi di lavoro nella barra di spostamento a sinistra.

    Immagine di navigazione del portale MIM

  2. Selezionare Flusso di lavoro autenticazione reimpostazione password

    Immagine dei flussi di lavoro del portale MIM

  3. Fare clic sulla scheda Attività e scorrere verso il basso fino a Aggiungi attività.

  4. Selezionare Phone Gate o One-Time Password SMS Gate fare clic su Seleziona e quindi SU OK.

    Nota

    Se si usa un altro provider che genera la password una sola volta, assicurarsi che il campo di lunghezza configurato sopra sia la stessa lunghezza di quella generata dal provider MFA. Questa lunghezza deve essere 6 per il server Azure AD Multi-Factor Authentication. Azure AD Multi-Factor Authentication Server genera anche il proprio testo del messaggio in modo che venga ignorato il messaggio SMS.

Gli utenti dell'organizzazione possono ora registrarsi per la reimpostazione della password. Durante questo processo, dovranno immettere il proprio numero di telefono dell'ufficio o di cellulare, in modo che il sistema abbia le informazioni necessarie per chiamarli o inviare loro SMS.

Registrare gli utenti per la reimpostazione della password

  1. Un utente avvierà un Web browser e passerà al portale di registrazione per la reimpostazione della password MIM. In genere, questo portale è configurato con l'autenticazione di Windows. All'interno del portale gli utenti forniranno di nuovo nome utente e password per confermare la propria identità.

    Gli utenti devono accedere al portale di registrazione password ed effettuare l’autenticazione con nome utente e password.

  2. Nel campo Numero di telefono o telefono cellulare devono immettere un codice paese, uno spazio e il numero di telefono e fare clic su Avanti.

    Immagine della verifica telefonica di MIM

    Immagine della verifica del telefono cellulare di MIM

Come funziona per gli utenti?

Ora che tutto è configurato e in esecuzione, è possibile sapere cosa dovranno fare gli utenti se dimenticano le proprie password.

È possibile usare la funzionalità di reimpostazione della password e sblocco dell'account in due modi: dalla schermata di accesso di Windows oppure dal portale self-service.

Installando Componenti aggiuntivi ed estensioni MIM in un computer aggiunto al dominio connesso tramite la rete aziendale al servizio MIM, gli utenti possono recuperare una password dimenticata al momento dell'accesso al desktop. I passaggi seguenti descrivono il processo in modo dettagliato.

Reimpostazione della password integrata all'accesso al desktop di Windows

  1. Se l'utente immette la password errata più volte, nella schermata di accesso sarà possibile fare clic su Problemi di accesso? .

    Immagine della schermata di accesso

    Facendo clic su questo collegamento viene visualizzata la schermata Reimpostazione password MIM è possibile modificare la password o sbloccare l'account.

    Immagine di Reimpostazione password MIM

  2. L'utente verrà indirizzato per l'autenticazione. Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata.

  3. In background, ciò che accade è che il provider MFA inserisce quindi una chiamata telefonica al numero assegnato all'utente quando l'utente ha effettuato l'iscrizione per il servizio.

  4. Quando un utente risponde al telefono, può essere chiesto di interagire, ad esempio, per premere il tasto sterlina # sul telefono. Quindi l'utente fa clic su Avanti nel portale.

    Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

    Nota

    Se l'utente fa clic su Avanti prima di premere il tasto #, l'autenticazione non riesce.

  5. Dopo l'autenticazione, l'utente potrà scegliere se sbloccare l'account e mantenere la password corrente oppure impostare una nuova password.

  6. L’utente deve quindi immettere due volte una nuova password e la password sarà reimpostata.

Accedere dal portale self-service.

  1. Gli utenti possono aprire un Web browser, passare alportale per la reimpostazione della password, immettere il proprio nome utente e fare clic su Avanti.

    Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata. In background, ciò che accade è che Azure AD Multi-Factor Authentication inserisce quindi una chiamata telefonica al numero fornito dall'utente quando hanno effettuato l'iscrizione al servizio.

    Quando un utente risponde al telefono, gli viene chiesto di premere il tasto cancelletto (#). Quindi l'utente fa clic su Avanti nel portale.

  2. Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

    Nota

    Se l'utente fa clic su Avanti prima di premere il tasto #, l'autenticazione non riesce.

  3. L'utente dovrà scegliere se si vuole reimpostare la password o sbloccare il proprio account. Se scelgono di sbloccare il proprio account, l'account verrà sbloccato.

    Immagine di sblocco dell'account dell'Accesso guidato MIM

  4. Al termine dell'autenticazione, all'utente verranno fornite due opzioni, per mantenere la password corrente o per impostare una nuova password.

  5. Immagine dell'account MIM sbloccato

  6. Se l'utente sceglie di reimpostare la password, dovrà digitare una nuova password due volte e fare clic su Avanti per modificare la password corrente.