Condividi tramite


Esercitazione: consentire agli utenti di sbloccare l'account o reimpostare le password con la reimpostazione della password self-service di Microsoft Entra

La reimpostazione della password self-service di Microsoft Entra consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se Microsoft Entra ID blocca l'account di un utente o quest'ultimo si dimentica la password, l'utente può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione. Consigliamo questo video in Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID. È disponibile anche un video per gli amministratori IT sulla risoluzione dei sei messaggi di errore più comuni dell'utente finale con reimpostazione della password self-service.

Importante

Questa esercitazione illustra in che modo un amministratore può abilitare la reimpostazione della password self-service. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare alla pagina Reimpostazione della password Microsoft Online.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
  • Configurare i metodi di autenticazione e le opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente

Importante

Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti in questi criteri legacy di autenticazione MFA e reimpostazione della password self-service. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione in base alla data di deprecazione.

Esercitazione video

È anche possibile seguire la procedura in un video correlato: Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

Abilitare la reimpostazione self-service delle password

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Microsoft Entra ID consente di abilitare la reimpostazione della password self-service per Nessuno, utente Selezionato o Tutti gli utenti. Questa funzionalità granulare consente di scegliere un subset di utenti per testare il processo e il flusso di lavoro di reimpostazione della password self-service e registrazione. Una volta acquisita familiarità con il processo e quando si è pronti per condividere i requisiti con un set più ampio di utenti, è possibile selezionare un gruppo di utenti da abilitare per la reimpostazione della password self-service. In alternativa, è possibile abilitare la reimpostazione della password self-service per tutti gli utenti nel tenant Microsoft Entra.

Nota

Attualmente, è possibile abilitare un solo gruppo Microsoft Entra per la reimpostazione della password self-service tramite l'Interfaccia di amministrazione di Microsoft Entra. Nell'ambito di una distribuzione più ampia della reimpostazione della password self-service, Microsoft Entra ID supporta i gruppi annidati.

In questa esercitazione verrà configurata la reimpostazione della password self-service per un set di utenti in un gruppo di test. Usare SSPR-Test-Group e fornire il proprio gruppo Microsoft Entra in base alle esigenze:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Reimpostazione della password dal menu a sinistra.

  3. Nella pagina Proprietà scegliere Selezionato in Reimpostazione password self-service abilitata.

  4. Se il gruppo non è visibile, scegliere Nessun gruppo selezionato, cercare e selezionare il gruppo Microsoft Entra, ad esempio SSPR-Test-Group, e quindi scegliere Seleziona.

    Selezionare un gruppo da abilitare per la reimpostazione della password self-service

  5. Per abilitare la reimpostazione della password self-service per gli utenti selezionati, selezionare Salva.

Selezionare i metodi di autenticazione e le opzioni di registrazione

Quando gli utenti devono sbloccare l'account o reimpostare la password, viene richiesto loro un metodo di conferma aggiuntivo. Questo fattore di autenticazione aggiuntivo garantisce che Microsoft Entra ID abbia completato solo gli eventi SSPR approvati. È possibile scegliere quali metodi di autenticazione consentire, in base alle informazioni di registrazione fornite dall'utente.

  1. Dal menu a sinistra della pagina Metodi di autenticazione impostare il Numero di metodi necessari per reimpostare su 2.

    Per migliorare la sicurezza, è possibile aumentare il numero di metodi di autenticazione necessari per la reimpostazione della password self-service.

  2. Scegliere i Metodi disponibili per gli utenti che l'organizzazione vuole consentire. Per questa esercitazione, selezionare le caselle per abilitare i metodi seguenti:

    • Notifica dell'app per dispositivi mobili
    • Codice app per dispositivi mobili
    • E-mail
    • Telefono cellulare

    È possibile abilitare altri metodi di autenticazione, ad esempio Telefono ufficio o Domande di sicurezza, in base alle esigenze aziendali.

  3. Per applicare i metodi di autenticazione, selezionare Salva.

Prima di poter sbloccare l'account o reimpostare una password, gli utenti devono registrare le proprie informazioni di contatto. Microsoft Entra ID usa queste informazioni di contatto per i diversi metodi di autenticazione configurati nei passaggi precedenti.

Le informazioni di contatto possono essere specificate manualmente dall'amministratore o dagli utenti stessi tramite un portale di registrazione. In questa esercitazione configurare Microsoft Entra ID per richiedere agli utenti la registrazione al successivo accesso.

  1. Dal menu a sinistra della pagina Registrazione selezionare per Richiedere agli utenti di registrarsi durante l'accesso.

  2. Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su 180.

    È importante mantenere aggiornate le informazioni di contatto. Se le informazioni di contatto non sono aggiornate al momento dell'avvio di un evento di reimpostazione della password self-service, l'utente potrebbe non riuscire a sbloccare l'account o a reimpostare la password.

  3. Per applicare le impostazioni di registrazione, selezionare Salva.

Nota

L'interruzione della richiesta di registrazione delle informazioni di contatto durante l'accesso si verificherà solo se vengono soddisfatte le condizioni configurate nelle impostazioni e si applicherà solo agli utenti e agli account amministratore abilitati alla reimpostazione della password self-service di Microsoft Entra.

Configurare notifiche e personalizzazioni

Per informare gli utenti sull'attività dell'account, è possibile configurare Microsoft Entra ID per inviare notifiche e-mail quando si verifica un evento di reimpostazione della password self-service. Queste notifiche possono essere impostate sia per gli account utente normali che per gli account amministratore. Per gli account amministratore, questa notifica fornisce un altro livello di consapevolezza quando una password dell'account amministratore con privilegi viene reimpostata tramite la reimpostazione della password self-service. Microsoft Entra ID può informare tutti gli amministratori quando un utente usa la reimpostazione della password self-service in un account amministratore.

  1. Dal menu a sinistra della pagina Notifiche configurare le opzioni seguenti:

    • Impostare l'opzione Notificare agli utenti le reimpostazioni delle password su .
    • Impostare Notificare agli amministratori quando altri amministratori reimpostano le proprie password? su .
  2. Per applicare le preferenze di notifica, selezionare Salva.

Se gli utenti necessitano di ulteriore assistenza per il processo di reimpostazione della password self-service, è possibile personalizzare il collegamento "Contattare l'amministratore". L'utente può selezionare questo collegamento nel processo di registrazione della reimpostazione della password self-service e quando sblocca l'account o reimposta la password. Per assicurarsi che gli utenti ottengano il supporto necessario, è consigliabile fornire un URL o un indirizzo di posta elettronica del supporto tecnico personalizzato.

  1. Dal menu a sinistra della pagina Personalizzazione impostare Personalizza collegamento helpdesk su .
  2. Nel campo Indirizzo di posta elettronica o URL del supporto tecnico specificare un indirizzo di posta elettronica o l'URL di una pagina Web in cui gli utenti possono ottenere ulteriore assistenza dall'organizzazione, ad esempio https://support.contoso.com/
  3. Per applicare il collegamento personalizzato, selezionare Salva.

Testare la reimpostazione della password self-service

Dopo aver abilitato e configurato la reimpostazione della password self-service, testare il processo con un utente che fa parte del gruppo selezionato nella sezione precedente, ad esempio Test-SSPR-Group. Nell'esempio seguente viene usato l'account testuser. Specificare il proprio account utente. Fa parte del gruppo abilitato per la reimpostazione della password self-service nella prima sezione di questa esercitazione.

Nota

Per eseguire il test della reimpostazione della password self-service, usare un account non amministratore. Per impostazione predefinita, Microsoft Entra ID abilita la reimpostazione della password self-service per gli amministratori. È necessario usare due metodi di autenticazione per reimpostare la password. Per altre informazioni, vedere Differenze dei criteri di reimpostazione degli amministratori.

  1. Per visualizzare il processo di registrazione manuale, aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://aka.ms/ssprsetup. Microsoft Entra ID indirizzerà gli utenti a questo portale di registrazione al loro accesso successivo.

  2. Accedere con un utente di test non amministratore, ad esempio testuser, e registrare le informazioni di contatto dei metodi di autenticazione.

  3. Al termine, selezionare il pulsante Sono corrette e chiudere la finestra del browser.

  4. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://aka.ms/sspr.

  5. Immettere le informazioni dell'account dell'utente di test non amministratore, ad esempio, testuser, i caratteri dell'immagine CAPTCHA e quindi selezionare Avanti.

    Immettere le informazioni sull'account utente per reimpostare la password

  6. Seguire i passaggi di verifica per reimpostare la password. Al termine, si riceverà una notifica tramite posta elettronica che segnala che la password è stata reimpostata.

Pulire le risorse

In un'esercitazione successiva di questa serie viene configurato il writeback delle password. Questa funzionalità consente di eseguire il writeback delle modifiche delle password dalla reimpostazione della password self-service di Microsoft Entra a un ambiente Active Directory locale. Se si intende continuare con questa serie di esercitazioni per configurare il writeback delle password, non disabilitare la reimpostazione della password self-service adesso.

Se non si intende usare più la funzionalità di reimpostazione della password self-service configurata come parte di questa esercitazione, impostare lo stato della reimpostazione della password self-service su Nessuna con la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
  2. Passare a Protezione>Reimpostazione della password.
  3. Nella pagina Proprietà selezionare Nessuna per l'opzione Reimpostazione password self-service abilitata.
  4. Per applicare la modifica alla reimpostazione della password self-service, selezionare Salva.

Domande frequenti

Questa sezione illustra le domande comuni degli amministratori e degli utenti finali che provano a effettuare la reimpostazione della password self-service:

  • Perché i criteri password locali non vengono visualizzati durante la reimpostazione della password self-service?

    Al momento, Microsoft Entra Connect e la sincronizzazione cloud non supportano la condivisione dei dettagli dei criteri password con il cloud. La reimpostazione della password self-service visualizza solo i dettagli dei criteri password cloud e non può visualizzare i criteri locali.

  • Perché gli utenti federati attendono fino a 2 minuti dopo aver visualizzato La password è stata reimpostata prima di poter usare password sincronizzate dall'ambiente locale?

    Per gli utenti federati le cui password sono sincronizzate, l'origine dell'autorità per le password è locale. Di conseguenza, la reimpostazione della password self-service aggiorna solo le password locali. La sincronizzazione dell'hash delle password in Microsoft Entra ID è effettuata ogni 2 minuti.

  • Quando un utente appena creato che viene prepopolato con i dati della reimpostazione della password self-service, ad esempio telefono e indirizzo e-mail, visita la pagina di registrazione della reimpostazione della password self-service, viene visualizzato Non perdere l'accesso al tuo account. come titolo della pagina. Perché gli altri utenti che dispongono di dati della reimpostazione della password self-service prepopolati visualizzano il messaggio?

    Un utente che vede Non perdere l'accesso al tuo account. è membro di gruppi di registrazione SSPR/combinati configurati per il tenant. Gli utenti che non vedono Non perdere l'accesso al tuo account. non fanno parte dei gruppi di registrazione SSPR/combinati.

  • Quando alcuni utenti seguono il processo di reimpostazione della password self-service e reimpostano la password, perché non vedono l'indicatore di complessità della password?

    Gli utenti che non visualizzano l'efficacia della password hanno abilitato il writeback delle password sincronizzato. Poiché la reimpostazione della password self-service non è in grado di determinare i criteri password dell'ambiente locale del cliente, non può convalidare la complessità della password o la debolezza.

Passaggi successivi

In questa esercitazione è stata abilitata la reimpostazione della password self-service di Microsoft Entra per un gruppo selezionato di utenti. Contenuto del modulo:

  • Abilitare la reimpostazione della password self-service per un gruppo di utenti di Microsoft Entra
  • Configurare i metodi di autenticazione e le opzioni di registrazione
  • Testare il processo di reimpostazione della password self-service come utente