Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se l'account di un utente è bloccato o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa capacità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Ti consigliamo questo video che spiega come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.
Importante
Questo articolo concettuale illustra a un amministratore il funzionamento della reimpostazione della password self-service. Se sei un utente finale già registrato per la reimpostazione self-service della password e devi accedere di nuovo al tuo account, vai a https://aka.ms/sspr.
Se il team IT non ha abilitato la possibilità di reimpostare la propria password, contattare il supporto tecnico per ricevere assistenza aggiuntiva.
Come funziona il processo di reimpostazione della password?
Un utente può ripristinare o modificare la password usando il portale SSPR. Devono prima registrare i metodi di autenticazione desiderati. Quando un utente accede al portale SSPR, la piattaforma Microsoft Entra prende in considerazione i fattori seguenti:
- Come deve essere localizzata la pagina?
- L'account utente è valido?
- A quale organizzazione appartiene l'utente?
- Dove viene gestita la password dell'utente?
Quando un utente seleziona il collegamento Impossibile accedere all'account da un'applicazione o da una pagina o passa direttamente a https://aka.ms/sspr, la lingua usata nel portale SSPR si basa sulle opzioni seguenti:
- Per impostazione predefinita, le impostazioni locali del browser vengono usate per visualizzare la reimpostazione della password self-service nella lingua appropriata. L'esperienza di reimpostazione della password viene localizzata nelle stesse lingue supportate da Microsoft 365.
- Per collegarti al servizio di reimpostazione password self-service (SSPR) in una lingua specifica, aggiungi
?mkt=alla fine dell'URL di reimpostazione della password insieme alla lingua locale richiesta.- Ad esempio, per specificare le impostazioni locali es-us spagnolo, usare
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Ad esempio, per specificare le impostazioni locali es-us spagnolo, usare
Dopo che il portale self-service per la reimpostazione della password viene visualizzato nella lingua richiesta, all'utente viene richiesto di immettere un ID utente e di superare il controllo captcha. Microsoft Entra ID verifica ora che l'utente sia in grado di usare l'SSPR effettuando i controlli seguenti:
- Verifica che l'utente abbia abilitato la reimpostazione della password self-service.
- Se l'utente non è abilitato per la reimpostazione self-service della password, viene chiesto di contattare l'amministratore per reimpostarla.
- Verifica che l'utente disponga dei metodi di autenticazione corretti definiti nel proprio account in base ai criteri di amministratore.
- Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
- Se il criterio richiede due metodi, verificare che l'utente disponga dei dati appropriati definiti per almeno due dei metodi di autenticazione abilitati dai criteri di amministratore.
- Se i metodi di autenticazione non sono configurati, l'utente deve contattare l'amministratore per reimpostare la password.
- Se all'utente viene assegnato un ruolo di amministratore di Azure, vengono applicati i criteri sicuri per la password a due gate. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.
- Se il criterio richiede un solo metodo, verificare che l'utente disponga dei dati appropriati definiti per almeno uno dei metodi di autenticazione abilitati dai criteri di amministratore.
- Verifica se la password dell'utente è gestita in locale, ad esempio se il tenant di Microsoft Entra utilizza l'autenticazione federata, l'autenticazione pass-through o la sincronizzazione hash delle password.
- Se il writeback della reimpostazione automatica della password è configurato e la password dell'utente viene gestita in locale, l'utente può autenticarsi e reimpostare la password.
- Se il writeback SSPR non viene distribuito e la password dell'utente viene gestita on-premises, all'utente viene chiesto di contattare l'amministratore per reimpostare la password.
Se tutti i controlli precedenti sono stati completati correttamente, l'utente viene guidato nel processo di reimpostazione o modifica della password.
Annotazioni
Il sistema SSPR può inviare notifiche tramite email agli utenti come parte del processo di reimpostazione della password. Questi messaggi di posta elettronica vengono inviati usando il servizio di inoltro SMTP, che opera in modalità attiva-attiva in diverse aree.
I servizi di inoltro SMTP ricevono ed elaborano il corpo del messaggio di posta elettronica, ma non lo archiviano. Il corpo del messaggio di posta elettronica SSPR che potrebbe contenere informazioni fornite dal cliente non viene archiviato nei log del servizio di inoltro SMTP. I log contengono solo metadati del protocollo.
Per iniziare con la SSPR, completare l'esercitazione seguente:
Richiedere agli utenti di registrarsi quando accedono
È possibile abilitare l'opzione per richiedere a un utente di completare la registrazione della reimpostazione della password self-service se usano l'autenticazione moderna o il Web browser per accedere a qualsiasi applicazione usando Microsoft Entra ID. Questo flusso di lavoro include le applicazioni seguenti:
- Microsoft 365
- Interfaccia di amministrazione di Microsoft Entra
- Pannello di accesso
- Applicazioni federate
- Applicazioni personalizzate che usano Microsoft Entra ID
Quando non è necessaria la registrazione, gli utenti non vengono richiesti durante l'accesso, ma possono registrarsi manualmente. Gli utenti possono visitare https://aka.ms/ssprsetup o selezionare il collegamento Registra per la reimpostazione della password nella scheda Profilo nel pannello di accesso.
Screenshot della registrazione della reimpostazione della password per Microsoft Entra ID.
Annotazioni
Gli utenti possono chiudere il portale di registrazione del reset della password Self-Service selezionando Annulla o chiudendo la finestra. Tuttavia, viene richiesto di registrarsi ogni volta che accedono fino a quando non completano la registrazione.
Questo interruzione per la registrazione alla reimpostazione della password self-service non interrompe la connessione dell'utente se è già loggato.
Riconfermare le informazioni di autenticazione
È possibile richiedere agli utenti di confermare le informazioni di autenticazione dopo un determinato periodo di tempo. Questa opzione è disponibile solo se si abilita l'opzione Richiedi agli utenti di registrarsi durante l'accesso .
Valori validi per richiedere a un utente di confermare che le informazioni di autenticazione sono compresi tra 0 e 730 giorni. L'impostazione di questo valore su 0 indica che agli utenti non viene mai chiesto di confermare le informazioni di autenticazione. Gli utenti devono accedere prima di poter riconfermare le informazioni.
Annotazioni
Se la reimpostazione della password self-service richiede più metodi di autenticazione, un utente che elimina un metodo non deve confermare le informazioni di autenticazione finché non raggiunge il numero di giorni prima che agli utenti venga chiesto di confermare le informazioni di autenticazione.
Metodi di autenticazione
Quando un utente è abilitato per la reimpostazione self-service della password, deve registrare almeno un metodo di autenticazione. È consigliabile scegliere due o più metodi di autenticazione in modo che gli utenti abbiano maggiore flessibilità nel caso in cui non siano in grado di accedere a un metodo quando necessario. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.
Sono disponibili i seguenti metodi di autenticazione per la reimpostazione della password self-service (SSPR):
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
- Token OATH hardware
- Token OATH software
- Posta elettronica
- Telefono cellulare
- Telefono ufficio (disponibile solo per i tenant con sottoscrizioni a pagamento)
- Domande di sicurezza
Gli utenti possono reimpostare la password solo se registrano un metodo di autenticazione abilitato dall'amministratore.
Avvertimento
Gli account assegnati ai ruoli di amministratore di Azure sono necessari per usare i metodi definiti nella sezione Differenze dei criteri di reimpostazione dell'amministratore.
Numero di metodi di autenticazione necessari
È possibile configurare il numero di metodi di autenticazione disponibili che un utente deve fornire per reimpostare o sbloccare la password. Questo valore può essere impostato su uno o due.
Gli utenti devono registrare più metodi di autenticazione in modo che possano accedere in un altro modo se non sono in grado di accedere a un metodo.
Se un utente non registra il numero minimo di metodi necessari, viene visualizzata una pagina di errore quando tenta di utilizzare la reimpostazione password self-service (SSPR). Devono richiedere a un amministratore di reimpostare la password. Per altre informazioni, vedere Modificare i metodi di autenticazione.
App per dispositivi mobili e reimpostazione della password self-service
Quando si usa un'app per dispositivi mobili come metodo per la reimpostazione della password, ad esempio Microsoft Authenticator, le considerazioni seguenti si applicano se non è stata eseguita la migrazione di un'organizzazione ai criteri dei metodi di autenticazione centralizzati:
- Quando gli amministratori richiedono un metodo da usare per reimpostare una password, il codice di verifica è l'unica opzione disponibile.
- Quando gli amministratori richiedono due metodi per reimpostare una password, gli utenti possono usare il codice di verifica OR di notifica oltre a qualsiasi altro metodo abilitato.
| Numero di metodi necessari per la reimpostazione | Uno | Due |
|---|---|---|
| Funzionalità delle app per dispositivi mobili disponibili | Codice | Codice o notifica |
Gli utenti possono registrare l'app per dispositivi mobili in https://aka.ms/mfasetupo nella registrazione combinata delle informazioni di sicurezza all'indirizzo https://aka.ms/setupsecurityinfo.
Importante
Non è possibile selezionare Authenticator come unico metodo di autenticazione quando è necessario un solo metodo. Analogamente, Authenticator e un solo metodo aggiuntivo non possono essere selezionati se sono necessari due metodi.
Quando si configurano criteri di reimpostazione della password self-service che includono l'app Authenticator come metodo, è necessario selezionare almeno un metodo aggiuntivo se si richiede l'uso di un solo metodo, e almeno due metodi aggiuntivi quando si richiedono due metodi.
Modificare i metodi di autenticazione
Se si inizia con una politica che richiede solo un metodo di autenticazione registrato per la reimpostazione o lo sblocco e si passa a due metodi, cosa accade?
| Numero di metodi registrati | Numero di metodi necessari | Risultato |
|---|---|---|
| 1 o più | 1 | Possibilità di reimpostare o sbloccare |
| 1 | 2 | Non è possibile reimpostare o sbloccare |
| 2 o più | 2 | Possibilità di reimpostare o sbloccare |
La modifica dei metodi di autenticazione disponibili può anche causare problemi per gli utenti. Se si modificano i metodi di autenticazione disponibili, gli utenti senza la quantità minima di dati non possono usare l'SSPR.
Si consideri il seguente scenario di esempio:
- I criteri originali sono configurati con due metodi di autenticazione necessari. Usa solo il numero di telefono dell'ufficio e le domande di sicurezza.
- L'amministratore modifica il criterio per non usare più le domande di sicurezza, ma consente l'uso di un telefono cellulare e di un messaggio di posta elettronica alternativo.
- Gli utenti senza il telefono cellulare o i campi di posta elettronica alternativi popolati ora non possono reimpostare le password.
Notifiche
Per migliorare la consapevolezza degli eventi relativi alle password, la reimpostazione della password self-service (SSPR) consente di configurare le notifiche sia per gli utenti che per gli amministratori delle identità.
Inviare notifiche agli utenti al momento della reimpostazione della password
Se questa opzione è impostata su Sì, gli utenti che reimpostano la password ricevono un messaggio di posta elettronica che informa che la password è stata modificata. Il messaggio di posta elettronica viene inviato tramite il portale SSPR agli indirizzi di posta elettronica primari e alternativi archiviati in Microsoft Entra ID. Se non viene definito alcun indirizzo email primario o alternativo, il sistema di reimpostazione automatica della password (SSPR) tenterà di inviare una notifica tramite email utilizzando il Nome Principale Utente (UPN). Nessun altro utente riceve una notifica dell'evento di reimpostazione.
Notificare a tutti gli amministratori quando altri amministratori reimpostano le password
Se questa opzione è impostata su Sì, gli amministratori globali ricevono un messaggio di posta elettronica all'indirizzo di posta elettronica principale archiviato in Microsoft Entra ID. Il messaggio di posta elettronica informa che un altro amministratore ha modificato la password usando la reimpostazione della password self-service.
Annotazioni
Le notifiche email dal servizio di reimpostazione password verranno inviate dai seguenti indirizzi, a seconda del cloud Azure in uso:
- Pubblico: [email protected], [email protected]
- Microsoft Azure gestito da 21Vianet (Azure in Cina): [email protected], [email protected]
- Azure per il governo degli Stati Uniti: [email protected], [email protected]
Se si osservano problemi durante la ricezione di notifiche, controllare le impostazioni di posta indesiderata.
Se si desidera che gli amministratori personalizzati ricevano i messaggi di posta elettronica di notifica, usare le personalizzazioni SSPR e configurare un collegamento o un'e-mail del supporto tecnico personalizzato.
Integrazione locale
In un ambiente ibrido è possibile configurare la sincronizzazione cloud di Microsoft Entra Connect per scrivere eventi di modifica delle password da Microsoft Entra ID a una directory locale.
Microsoft Entra ID controlla la connettività ibrida corrente e fornisce messaggi nell'interfaccia di amministrazione di Microsoft Entra. Per informazioni sulla risoluzione dei possibili errori, vedere Risolvere i problemi di Microsoft Entra Connect.
Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente:
Eseguire il writeback delle password nella directory locale
È possibile abilitare il writeback delle password tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile disabilitare temporaneamente il writeback delle password senza dover riconfigurare Microsoft Entra Connect.
- Se l'opzione è impostata su Sì, il writeback è abilitato. Gli utenti federati, gli utenti con autenticazione pass-through o gli utenti con hash delle password sincronizzati possono reimpostare le loro password.
- Se l'opzione è impostata su No, il writeback è disabilitato. Gli utenti federati, quelli con autenticazione pass-through e quelli con hash delle password sincronizzate non sono in grado di reimpostare le loro password.
Consentire agli utenti di sbloccare gli account senza reimpostare la password
Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password. Per offrire flessibilità, è possibile scegliere di consentire agli utenti di sbloccare gli account locali senza dover reimpostare la password. Usare questa impostazione per separare queste due operazioni.
- Se impostato su Sì, agli utenti viene assegnata la possibilità di reimpostare la password e sbloccare l'account oppure di sbloccare l'account senza dover reimpostare la password.
- Se impostato su No, gli utenti possono eseguire solo un'operazione combinata di reimpostazione della password e sblocco dell'account.
Filtri delle password di Active Directory installati in locale
Il sistema di reimpostazione self-service della password esegue l'equivalente di una reimpostazione della password avviata dall'amministratore in Active Directory. Se si usa un filtro password di terze parti per applicare regole password personalizzate e si richiede che questo filtro password venga controllato durante la reimpostazione della password self-service di Microsoft Entra, assicurarsi che la soluzione di filtro password di terze parti sia configurata per l'applicazione nello scenario di reimpostazione della password amministratore. La protezione password di Microsoft Entra per Servizi di dominio Active Directory è supportata per impostazione predefinita.
Reimpostazione della password per gli utenti B2B
La reimpostazione e la modifica delle password sono completamente supportate in tutte le configurazioni business-to-business (B2B). La reimpostazione della password utente B2B è supportata nei tre casi seguenti:
- Utenti di un'organizzazione partner con un tenant Microsoft Entra esistente: se il partner dispone di un tenant di Microsoft Entra, rispettiamo i criteri di reimpostazione delle password abilitati nel tenant. Affinché la reimpostazione della password funzioni, l'organizzazione partner deve semplicemente assicurarsi che Microsoft Entra SSPR sia abilitato. Non sono previsti altri addebiti per i clienti di Microsoft 365.
- Utenti che accedono tramite iscrizione self-service: se il partner ha usato la funzionalità di iscrizione self-service per accedere a un tenant, è possibile reimpostare la password con il messaggio di posta elettronica registrato.
- Utenti B2B: tutti i nuovi utenti B2B creati usando le nuove funzionalità B2B di Microsoft Entra possono anche reimpostare le password con il messaggio di posta elettronica registrato durante il processo di invito.
Per testare questo scenario, passare a https://passwordreset.microsoftonline.com con uno di questi utenti partner. Se l'utente ha definito un indirizzo di posta elettronica alternativo o un messaggio di posta elettronica di autenticazione, la reimpostazione della password funziona come previsto.
Annotazioni
Gli account Microsoft a cui viene concesso l'accesso come guest al tenant di Microsoft Entra, come quelli di Hotmail.com, Outlook.com o altri indirizzi di posta elettronica personali, non possono utilizzare il sistema di reimpostazione della password self-service di Microsoft Entra. Per altre informazioni, vedere Quando non è possibile accedere all'account Microsoft.
Passaggi successivi
Per iniziare con la SSPR, completare l'esercitazione seguente: