Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per usare la reimpostazione della password self-service di Microsoft Entra, le informazioni di autenticazione per un utente devono essere presenti. La maggior parte delle organizzazioni fa in modo che gli utenti registrino autonomamente i propri dati di autenticazione durante la raccolta di informazioni per l'autenticazione a più fattori.
Alcune organizzazioni preferiscono avviare questo processo tramite la sincronizzazione dei dati di autenticazione già esistenti in Servizi di dominio Active Directory. Questi dati sincronizzati sono resi disponibili a Microsoft Entra ID e alla funzionalità di reimpostazione della password self-service (SSPR) senza richiedere l'intervento dell'utente. Quando gli utenti devono modificare o reimpostare la password, possono farlo anche se non hanno registrato in precedenza le informazioni di contatto.
Puoi precompilare le informazioni di contatto per l’autenticazione se soddisfi i seguenti requisiti:
- I dati nella directory locale sono stati formattati correttamente.
- Microsoft Entra Connect è stato configurato per il tenant di Microsoft Entra.
I numeri di telefono devono essere nel formato +CountryCode PhoneNumber (+Prefisso internazionale, Numero di telefono), ad esempio +1 4251234567. Ulteriori restrizioni sono:
- È necessario uno spazio tra il prefisso internazionale e il numero di telefono.
- La reimpostazione della password non supporta le estensioni del telefono. Anche nel formato +1 4251234567X12345, le estensioni vengono rimosse prima della chiamata.
Campi popolati
Se si usano le impostazioni predefinite in Microsoft Entra Connect, vengono eseguiti i mapping seguenti per popolare le informazioni di contatto per l'autenticazione per la reimpostazione della password self-service.
| Active Directory locale | Microsoft Entra ID |
|---|---|
telephoneNumber |
Telefono ufficio |
mobile |
Telefono cellulare |
Quando l'utente verifica il numero di cellulare, il campo Telefono in Informazioni di contatto per l'autenticazione in Microsoft Entra ID viene compilato con il numero.
Informazioni di contatto per l'autenticazione
Nella pagina Metodi di autenticazione per un utente di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra, gli utenti a cui è assegnato almeno il ruolo di amministratore dell'autenticazione con privilegi possono impostare manualmente le informazioni di contatto per l'autenticazione per chiunque. È possibile esaminare i metodi esistenti nella sezione Metodi di autenticazione utilizzabili o selezionando +Aggiungi metodo di autenticazione.
Per queste informazioni di contatto per l'autenticazione si applicano le seguenti considerazioni:
- Se il campo Telefono è compilato e l'opzione Cellulare è abilitata nei criteri SSPR, l’utente visualizza quel numero nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
- Se il campo Posta elettronica è compilato e l'opzione Posta elettronica è abilitata nei criteri SSPR, l’utente visualizza quell'indirizzo di posta elettronica nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
Domande di sicurezza e risposte
Le domande e le risposte di sicurezza vengono archiviate in modo sicuro nel tenant di Microsoft Entra e sono accessibili agli utenti solo tramite l'esperienza di registrazione combinata My Security-Info. Gli amministratori non possono visualizzare, impostare o modificare il contenuto delle domande e delle risposte di un altro utente.
Cosa succede quando un utente si registra?
Quando un utente si registra, i campi seguenti vengono impostati nella pagina di registrazione:
- Telefono per l'autenticazione
- Indirizzo di posta elettronica per l'autenticazione
- Domande di sicurezza e risposte
Se hai specificato un valore per Cellulare o Indirizzo di posta elettronica alternativo, gli utenti possono usare immediatamente questi valori per reimpostare le password, anche se non hanno eseguito la registrazione per il servizio.
Gli utenti visualizzano tali valori anche quando si registrano per la prima volta e possono modificarli se lo desiderano. Dopo aver completato la registrazione, questi valori vengono salvati in modo permanente rispettivamente nei campi Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazione.
Impostare e leggere i dati di autenticazione tramite PowerShell
È possibile impostare i campi seguenti tramite PowerShell:
- Indirizzo di posta elettronica alternativo
- Telefono cellulare
-
Telefono ufficio
- Può essere impostato solo se non si esegue la sincronizzazione con una directory locale.
È possibile utilizzare Microsoft Graph PowerShell per interagire con l'ID Microsoft Entra. È anche possibile usare l'API REST di Microsoft Graph per la gestione dei metodi di autenticazione.
Usare PowerShell di Microsoft Graph
Per iniziare, scarica e installa il modulo di Microsoft Graph PowerShell.
Per eseguire l'installazione rapida da versioni recenti di PowerShell che supportano Install-Module, esegui i comandi seguenti. La prima riga verifica se il modulo è già installato.
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Dopo aver installato il modulo, segui la procedura indicata per configurare ogni campo.
Imposta i dati di autenticazione con Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId '[email protected]' -otherMails @("[email protected]")
Update-MgUser -UserId '[email protected]' -mobilePhone "+1 4251234567"
Update-MgUser -UserId '[email protected]' -businessPhones "+1 4252345678"
Update-MgUser -UserId '[email protected]' -otherMails @("[email protected]") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Leggi i dati di autenticazione con Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId '[email protected]' | select otherMails
Get-MgUser -UserId '[email protected]' | select mobilePhone
Get-MgUser -UserId '[email protected]' | select businessPhones
Get-MgUser -UserId '[email protected]' | Select businessPhones, mobilePhone, otherMails | Format-Table
Passo successivo
Dopo aver prepopolato le informazioni di contatto per l'autenticazione per gli utenti, completare l'esercitazione seguente per abilitare la reimpostazione della password self-service: