Condividi tramite

Funzionamento: Reimpostazione della password self-service di Microsoft Entra

  • Articolo

La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se l'account di un utente è bloccato o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa capacità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. We recommend this video on how to enable and configure SSPR in Microsoft Entra ID.

Important

Questo articolo concettuale illustra a un amministratore il funzionamento della reimpostazione della password self-service. Se sei un utente finale già registrato per la reimpostazione self-service della password e devi accedere di nuovo al tuo account, vai a https://aka.ms/sspr.

Se il team IT non ha abilitato la possibilità di reimpostare la propria password, contattare il supporto tecnico per ricevere assistenza aggiuntiva.

Come funziona il processo di reimpostazione della password?

Un utente può ripristinare o modificare la password usando il portale SSPR. Devono prima registrare i metodi di autenticazione desiderati. Quando un utente accede al portale SSPR, la piattaforma Microsoft Entra prende in considerazione i fattori seguenti:

  • Come deve essere localizzata la pagina?
  • L'account utente è valido?
  • A quale organizzazione appartiene l'utente?
  • Dove viene gestita la password dell'utente?

Quando un utente seleziona il collegamento Impossibile accedere all'account da un'applicazione o da una pagina o passa direttamente a https://aka.ms/sspr, la lingua usata nel portale SSPR si basa sulle opzioni seguenti:

  • By default, the browser locale is used to display the SSPR in the appropriate language. L'esperienza di reimpostazione della password viene localizzata nelle stesse lingue supportate da Microsoft 365.
  • If you want to link to the SSPR in a specific localized language, append ?mkt= to the end of the password reset URL along with the required locale.

After the SSPR portal is displayed in the required language, the user is prompted to enter a user ID and pass a captcha. Microsoft Entra ID verifica ora che l'utente sia in grado di usare l'SSPR effettuando i controlli seguenti:

  • Checks that the user has SSPR enabled.
    • If the user isn't enabled for SSPR, the user is asked to contact their administrator to reset their password.
  • Verifica che l'utente disponga dei metodi di autenticazione corretti definiti nel proprio account in base ai criteri di amministratore.
    • Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
      • Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
    • Se il criterio richiede due metodi, verificare che l'utente disponga dei dati appropriati definiti per almeno due dei metodi di autenticazione abilitati dai criteri di amministratore.
      • Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
    • Se all'utente viene assegnato un ruolo di amministratore di Azure, vengono applicati i criteri sicuri per la password a due gate. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
  • Verifica se la password dell'utente è gestita in locale, ad esempio se il tenant di Microsoft Entra utilizza l'autenticazione federata, l'autenticazione pass-through o la sincronizzazione hash delle password.
    • If SSPR writeback is configured and the user's password is managed on-premises, the user is allowed to proceed to authenticate and reset their password.
    • If SSPR writeback isn't deployed and the user's password is managed on-premises, the user is asked to contact their administrator to reset their password.

Se tutti i controlli precedenti sono stati completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.

Annotazioni

Il sistema SSPR può inviare notifiche tramite email agli utenti come parte del processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati usando il servizio di inoltro SMTP, che opera in modalità attiva-attiva in diverse aree.

I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica SSPR che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo metadati del protocollo.

To get started with SSPR, complete the following tutorial:

Tutorial: Enable self-service password reset (SSPR)

Richiedere agli utenti di registrarsi quando accedono

You can enable the option to require a user to complete the SSPR registration if they use modern authentication or web browser to sign in to any applications using Microsoft Entra ID. Questo flusso di lavoro include le applicazioni seguenti:

  • Microsoft 365
  • Interfaccia di amministrazione di Microsoft Entra
  • Pannello di accesso
  • Applicazioni federate
  • Applicazioni personalizzate che usano Microsoft Entra ID

Quando non è necessaria la registrazione, gli utenti non vengono richiesti durante l'accesso, ma possono registrarsi manualmente. Gli utenti possono visitare https://aka.ms/ssprsetup o selezionare il collegamento Registra per la reimpostazione della password nella scheda Profilo nel pannello di accesso.

Screenshot of password reset registration for Microsoft Entra ID.

Annotazioni

Users can dismiss the SSPR registration portal by selecting cancel or by closing the window. Tuttavia, viene richiesto di registrarsi ogni volta che accedono fino a quando non completano la registrazione.

This interrupt to register for SSPR doesn't break the user's connection if they're already signed in.

Riconfermare le informazioni di autenticazione

You can require users to confirm their authentication information after a certain period of time. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi durante l'accesso .

Valid values to prompt a user to confirm their authentication information are from 0 to 730 days. L'impostazione di questo valore su 0 indica che agli utenti non viene mai chiesto di confermare le informazioni di autenticazione. Users need to sign in before they can reconfirm their information.

Annotazioni

If SSPR requires more than one authentication method, a user who deletes a method isn't required to confirm their authentication information until they reach the Number of days before users are asked to re-confirm their authentication information.

Metodi di autenticazione

When a user is enabled for SSPR, they must register at least one authentication method. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti abbiano maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.

The following authentication methods are available for SSPR:

  • Notifica dell'app per dispositivi mobili
  • Codice app per dispositivi mobili
  • Hardware OATH token
  • Software OATH token
  • Posta elettronica
  • Telefono cellulare
  • Telefono ufficio (disponibile solo per i tenant con sottoscrizioni a pagamento)
  • Domande di sicurezza

Gli utenti possono reimpostare la password solo se registrano un metodo di autenticazione abilitato dall'amministratore.

Avvertimento

Gli account assegnati ai ruoli di amministratore di Azure sono necessari per usare i metodi definiti nella sezione Differenze dei criteri di reimpostazione dell'amministratore.

Screenshot dei criteri dei metodi di autenticazione per Microsoft Entra ID.

Numero di metodi di autenticazione necessari

È possibile configurare il numero di metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su uno o due.

Gli utenti devono registrare più metodi di autenticazione in modo che possano accedere in un altro modo se non sono in grado di accedere a un metodo.

If a user doesn't register the minimum number of required methods, they see an error page when they try to use SSPR. Devono richiedere a un amministratore di reimpostare la password. Per altre informazioni, vedere Modificare i metodi di autenticazione.

Mobile app and SSPR

Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, ad esempio Microsoft Authenticator, le considerazioni seguenti si applicano se non è stata eseguita la migrazione di un'organizzazione ai criteri dei metodi di autenticazione centralizzati:

  • Quando gli amministratori richiedono un metodo da usare per reimpostare una password, il codice di verifica è l'unica opzione disponibile.
  • Quando gli amministratori richiedono due metodi per reimpostare una password, gli utenti possono usare il codice di verifica OR di notifica oltre a qualsiasi altro metodo abilitato.
Numero di metodi necessari per la reimpostazione Uno Two
Funzionalità delle app per dispositivi mobili disponibili Code Codice o notifica

Gli utenti possono registrare l'app per dispositivi mobili in https://aka.ms/mfasetupo nella registrazione combinata delle informazioni di sicurezza all'indirizzo https://aka.ms/setupsecurityinfo.

Important

Non è possibile selezionare Authenticator come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, Authenticator e un solo metodo aggiuntivo non possono essere selezionati se sono necessari due metodi.

Quando si configurano criteri di reimpostazione della password self-service che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo se si richiede l'uso di un solo metodo, e almeno due metodi aggiuntivi quando si richiedono due metodi.

Modificare i metodi di autenticazione

Se si inizia con una politica che richiede solo un metodo di autenticazione registrato per la reimpostazione o lo sblocco e si passa a due metodi, cosa accade?

Numero di metodi registrati Numero di metodi necessari Risultato
1 o più 1 Possibilità di reimpostare o sbloccare
1 2 Non è possibile reimpostare o sbloccare
2 o più 2 Possibilità di reimpostare o sbloccare

La modifica dei metodi di autenticazione disponibili può anche causare problemi per gli utenti. Se si modificano i metodi di autenticazione disponibili, gli utenti senza la quantità minima di dati non possono usare l'SSPR.

Si consideri il seguente scenario di esempio:

  1. The original policy is configured with two authentication methods required. Usa solo il numero di telefono dell'ufficio e le domande di sicurezza.
  2. L'amministratore modifica il criterio per non usare più le domande di sicurezza, ma consente l'uso di un telefono cellulare e di un messaggio di posta elettronica alternativo.
  3. Gli utenti senza il telefono cellulare o i campi di posta elettronica alternativi popolati ora non possono reimpostare le password.

Notifiche

To improve awareness of password events, SSPR lets you configure notifications for both the users and identity administrators.

Inviare notifiche agli utenti al momento della reimpostazione della password

Se questa opzione è impostata su , gli utenti che reimpostano la password ricevono un messaggio di posta elettronica che informa che la password è stata modificata. Il messaggio di posta elettronica viene inviato tramite il portale SSPR agli indirizzi di posta elettronica primari e alternativi archiviati in Microsoft Entra ID. Se non viene definito alcun indirizzo email primario o alternativo, il sistema di reimpostazione automatica della password (SSPR) tenterà di inviare una notifica tramite email utilizzando il Nome Principale Utente (UPN). Nessun altro utente riceve una notifica dell'evento di reimpostazione.

Notificare a tutti gli amministratori quando altri amministratori reimpostano le password

Se questa opzione è impostata su , gli amministratori globali ricevono un messaggio di posta elettronica all'indirizzo di posta elettronica principale archiviato in Microsoft Entra ID. The email notifies them that another administrator has changed their password by using SSPR.

Annotazioni

Le notifiche email dal servizio di reimpostazione password verranno inviate dai seguenti indirizzi, a seconda del cloud Azure in uso:

Se si osservano problemi durante la ricezione di notifiche, controllare le impostazioni di posta indesiderata.

Se si desidera che gli amministratori personalizzati ricevano i messaggi di posta elettronica di notifica, usare le personalizzazioni SSPR e configurare un collegamento o un'e-mail del supporto tecnico personalizzato.

Integrazione locale

In un ambiente ibrido è possibile configurare la sincronizzazione cloud di Microsoft Entra Connect per scrivere eventi di modifica delle password da Microsoft Entra ID a una directory locale.

Screenshot of password writeback enabled for Microsoft Entra ID to an on-premises integration.

Microsoft Entra ID controlla la connettività ibrida corrente e fornisce messaggi nell'interfaccia di amministrazione di Microsoft Entra. Per informazioni sulla risoluzione dei possibili errori, vedere Risolvere i problemi di Microsoft Entra Connect.

To get started with SSPR writeback, complete the following tutorial:

Tutorial: Enable self-service password reset (SSPR) writeback

Write back passwords to your on-premises directory

È possibile abilitare il writeback delle password tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Microsoft Entra Connect.

  • Se l'opzione è impostata su , il writeback è abilitato. Gli utenti federati, gli utenti con autenticazione pass-through o gli utenti con hash delle password sincronizzati possono reimpostare le loro password.
  • Se l'opzione è impostata su No, il writeback è disabilitato. Gli utenti federati, quelli con autenticazione pass-through e quelli con hash delle password sincronizzate non sono in grado di reimpostare le loro password.

Consentire agli utenti di sbloccare gli account senza reimpostare la password

Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per separare queste due operazioni.

  • Se impostato su , agli utenti viene assegnata la possibilità di reimpostare la password e sbloccare l'account oppure di sbloccare l'account senza dover reimpostare la password.
  • Se impostato su No, gli utenti possono eseguire solo un'operazione combinata di reimpostazione della password e sblocco dell'account.

Filtri delle password di Active Directory installati in locale

SSPR performs the equivalent of an admin-initiated password reset in Active Directory. Se si usa un filtro password di terze parti per applicare regole password personalizzate e si richiede che questo filtro password venga controllato durante la reimpostazione della password self-service di Microsoft Entra, assicurarsi che la soluzione di filtro password di terze parti sia configurata per l'applicazione nello scenario di reimpostazione della password amministratore. La protezione password di Microsoft Entra per Servizi di dominio Active Directory è supportata per impostazione predefinita.

Reimpostazione della password per gli utenti B2B

La reimpostazione e la modifica delle password sono completamente supportate in tutte le configurazioni business-to-business (B2B). La reimpostazione della password utente B2B è supportata nei tre casi seguenti:

  • Utenti di un'organizzazione partner con un tenant Microsoft Entra esistente: se il partner dispone di un tenant di Microsoft Entra, rispettiamo i criteri di reimpostazione delle password abilitati nel tenant. Affinché la reimpostazione della password funzioni, l'organizzazione partner deve semplicemente assicurarsi che Microsoft Entra SSPR sia abilitato. Non sono previsti altri addebiti per i clienti di Microsoft 365.
  • Utenti che accedono tramite iscrizione self-service: se il partner ha usato la funzionalità di iscrizione self-service per accedere a un tenant, è possibile reimpostare la password con il messaggio di posta elettronica registrato.
  • Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità B2B di Microsoft Entra possono anche reimpostare le password con il messaggio di posta elettronica registrato durante il processo di invito.

Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha definito un indirizzo di posta elettronica alternativo o un messaggio di posta elettronica di autenticazione, la reimpostazione della password funziona come previsto.

Annotazioni

Microsoft accounts that are granted guest access to your Microsoft Entra tenant, such as those from Hotmail.com, Outlook.com, or other personal email addresses, can't use Microsoft Entra SSPR. Per altre informazioni, vedere Quando non è possibile accedere all'account Microsoft.

Passaggi successivi

To get started with SSPR, complete the following tutorial:

Tutorial: Enable self-service password reset (SSPR)