Gestire la reimpostazione della password self-service in Microsoft Entra ID
Quando si usa solo Active Directory Domain Services locale, gli utenti non possono reimpostare autonomamente le password dimenticate. Active Directory Domain Services in Windows Server non supporta la reimpostazione della password self-service in modo nativo.
L'ID Microsoft Entra fornisce facoltativamente la funzionalità di reimpostazione della password self-service. Se si usa la licenza P1 o P2 di Microsoft Entra ID, è possibile estendere questa funzionalità al servizio Active Directory Domain Services locale, quando si usa la reimpostazione della password self-service insieme alla funzionalità di writeback delle password. In questo caso, le password reimpostate dall'utente in Microsoft Entra ID vengono riscritte in Active Directory Domain Services in locale. Ciò significa che un utente può modificare la propria password sia in un ambiente cloud che locale.
Prima che gli utenti inizino a usare la reimpostazione della password self-service, è necessario abilitare questa funzionalità nel portale di Azure selezionando l'elemento Reimpostazione password nel riquadro di amministrazione del tenant della directory. Prima di tutto, è necessario decidere se questa funzionalità sarà abilitata per tutti gli utenti o solo per un gruppo selezionato di utenti. Durante la fase pilota, è consigliabile limitare la reimpostazione della password a un gruppo più piccolo di utenti.
La funzionalità di reimpostazione della password self-service richiede la definizione di metodi alternativi di autenticazione per gli utenti che hanno dimenticato le password. I metodi di autenticazione alternativi supportati in Microsoft Entra ID possono essere:
- Telefono dell’ufficio
- Cellulare
- Indirizzo di posta elettronica alternativo
- Domande di sicurezza
È necessario scegliere il numero di metodi che l'utente deve avere definito per poter reimpostare la password. Per le opzioni telefono e indirizzo di posta elettronica alternativo, all'utente viene fornito un PIN di sicurezza tramite telefono o un messaggio di posta elettronica che può usare come metodo di autenticazione prima di reimpostare la password. Se si sceglie di usare le domande di sicurezza, è necessario definire il numero di domande necessarie per ogni utente e anche definire in anticipo il gruppo di domande.
È consigliabile offrire almeno da 10 a 15 domande disponibili e richiedere che ogni utente registri almeno quattro domande per la funzionalità di reimpostazione della password. Se il gruppo di domande predefinite non è di proprio gradimento, è possibile anche definire domande personalizzate nella propria lingua locale.
Quando si affinano i requisiti per i metodi di autenticazione, è necessario configurare le opzioni per la distribuzione e l'utilizzo della funzionalità di reimpostazione della password self-service. È consigliabile richiedere a tutti gli utenti di registrare i propri metodi di autenticazione alternativi al successivo accesso e anche di confermare i metodi di autenticazione almeno due volte all'anno. Ciò garantisce che ogni utente sia in grado di verificare la propria identità usando alcuni metodi alternativi. Inoltre, se è implementata la sincronizzazione della directory, è consigliabile abilitare la funzionalità di writeback delle password per assicurarsi che le password reimpostate dagli utenti tramite la reimpostazione della password self-service in Azure vengano sincronizzate di nuovo in Active Directory Domain Services.
Gli utenti possono registrarsi per la funzionalità di reimpostazione della password self-service usando il portale applicazioni Microsoft Entra, disponibile all'indirizzo https://myapps.microsoft.com. Possono anche usare questo portale per modificare la password e configurare metodi alternativi per verificare l'identità, ad esempio il telefono di autenticazione o l'indirizzo di posta elettronica alternativo. Se gli utenti dimenticano la password quando accedono a una risorsa basata sul cloud, ad esempio Microsoft 365, devono selezionare il collegamento Non è possibile accedere all'account per iniziare a usare un metodo alternativo per reimpostare una password.