Che cos'è la reimpostazione della password self-service in Microsoft Entra ID?
È stato richiesto di valutare alcune ipotesi per ridurre i costi dell'help desk nella propria organizzazione di vendita al dettaglio. Si è notato che il personale del supporto dedica molto tempo alla reimpostazione delle password per gli utenti. Gli utenti spesso lamentano ritardi con questo processo e questi ritardi influiscono sulla produttività. Si vuole quindi capire come poter configurare Azure per consentire agli utenti di gestire autonomamente le password.
In questa unità verrà illustrato il funzionamento della reimpostazione della password self-service in Microsoft Entra ID.
Perché usare la reimpostazione della password self-service?
In Microsoft Entra ID qualsiasi utente che abbia già eseguito l'accesso può modificare facilmente la password. Tuttavia, se non è stato eseguito l'accesso, la password è stata dimenticata o è scaduta, sarà necessario reimpostarla. Con la reimpostazione della password self-service, gli utenti possono reimpostare una password in un Web browser o da una schermata di accesso di Windows per ripristinare l'accesso ad Azure, Microsoft 365 e qualsiasi altra applicazione che usa Microsoft Entra ID per l'autenticazione.
La funzione di reimpostazione della password self-service riduce il carico di lavoro degli amministratori consentendo agli utenti di risolvere i problemi relativi alle password in modo autonomo, senza dover chiamare l'help desk. Limita inoltre il tempo di produttività perso da un utente che ha dimenticato o fatto scadere una password. In questo caso, infatti, gli utenti non devono attendere che un amministratore sia disponibile per reimpostare la password.
Funzionamento della reimpostazione della password self-service
L'utente può avviare la reimpostazione della password accedendo direttamente al portale di reimpostazione della password oppure selezionando il collegamento Non è possibile accedere all'account in una pagina di accesso. Il portale di reimpostazione prevede i passaggi seguenti:
- Localizzazione: Il portale verifica le impostazioni locali del browser e visualizza la pagina di reimpostazione della password self-service nella lingua appropriata.
- Verifica: L'utente immette il proprio nome utente e supera un test CAPTCHA per dimostrare che è un utente e non un robot.
- Autenticazione: L'utente immette i dati necessari per autenticare la propria identità. È possibile che inserisca un codice o risponda a domande di sicurezza.
- Reimpostazione della password: Se l'utente supera i test di autenticazione, può immettere una nuova password e confermarla.
- Notifica: viene inviato un messaggio all'utente per confermare la reimpostazione.
Esistono diversi modi per personalizzare l'esperienza d'uso della funzione di reimpostazione della password self-service. È possibile, ad esempio, aggiungere il logo della società alla pagina di accesso in modo che gli utenti abbiano la certezza di trovarsi nella pagina appropriata per reimpostare la password.
Autenticare la reimpostazione di una password
Prima di consentire la reimpostazione di una password, è essenziale verificare l'identità dell'utente. Gli utenti malintenzionati possono infatti sfruttare eventuali debolezze del sistema per rappresentare l'utente. Azure supporta sei diversi modi per autenticare le richieste di reimpostazione.
Il metodo da usare per la configurazione della reimpostazione della password self-service viene scelto dall'amministratore. Abilitare due o più di questi metodi, in modo che gli utenti possano scegliere quelli che preferiscono. I metodi sono:
| Authentication method | Come eseguire la registrazione | Come eseguire l'autenticazione per la reimpostazione di una password |
|---|---|---|
| Notifica dell'app per dispositivi mobili | Installare l'app Microsoft Authenticator nel proprio dispositivo mobile e quindi registrarla nella pagina di configurazione dell'autenticazione a più fattori. | Azure invia una notifica all'app, che può essere confermata o rifiutata. |
| Codice app per dispositivi mobili | Anche questo metodo prevede l'utilizzo dell'app Authenticator, che viene installata e registrata nello stesso modo. | Immettere il codice dall'app. |
| Specificare un indirizzo di posta elettronica esterno ad Azure e a Microsoft 365. | Azure invia un codice all'indirizzo immesso nella procedura di reimpostazione guidata. | |
| Telefono cellulare | Specificare un numero di telefono cellulare. | Azure invia al telefono un messaggio SMS con un codice da immettere nella procedura di reimpostazione guidata. È anche possibile scegliere di ricevere una chiamata automatica. |
| Telefono ufficio | Specificare un numero di telefono fisso. | Si riceve una chiamata automatica a questo numero e si preme #. |
| Domande di sicurezza | Selezionare domande come "In quale città è nata tua madre?" e salvare le relative risposte. | Rispondere alle domande. |
Nelle organizzazioni di Microsoft Entra di valutazione, le opzioni con chiamata telefonica non sono supportate.
Richiedere il numero minimo di metodi di autenticazione
È possibile specificare il numero minimo di metodi che l'utente deve configurare, ovvero uno o due. Ad esempio, è possibile abilitare i metodi con il codice dell'app per dispositivi mobili, la posta elettronica, il telefono dell'ufficio e le domande di sicurezza, specificando minimo due metodi. Gli utenti possono quindi scegliere i due metodi preferiti, ad esempio il codice dell'app per dispositivi mobili e la posta elettronica.
Per il metodo con le domande di sicurezza, è possibile specificare un numero minimo di domande che l'utente deve configurare per la registrazione per questo metodo. È anche possibile specificare un numero minimo di domande a cui è necessario rispondere correttamente per reimpostare la password.
Dopo aver registrato le informazioni necessarie per il numero minimo di metodi specificati, gli utenti possono essere considerati registrati per la reimpostazione della password self-service.
Consigli
- Abilitare due o più metodi di richiesta di reimpostazione dell'autenticazione.
- Usare la notifica o il codice dell'app per dispositivi mobili come metodo primario. Abilitare tuttavia anche i metodi basati su posta elettronica o telefono dell'ufficio per supportare gli utenti senza dispositivi mobili.
- Il metodo che prevede l'uso del telefono cellulare non è consigliato perché è possibile inviare messaggi SMS fraudolenti.
- Le domande di sicurezza rappresentano il metodo meno consigliato perché le risposte alle domande di sicurezza possono essere note anche ad altre persone. È quindi opportuno usare il metodo con le domande di sicurezza solo in combinazione con almeno un altro metodo.
Account associati ai ruoli di amministratore
- I criteri di autenticazione a due metodi più avanzati vengono sempre applicati agli account con un ruolo di amministratore, indipendentemente dalla configurazione definita per gli altri utenti.
- Il metodo delle domande di sicurezza non è disponibile per gli account associati a un ruolo di amministratore.
Configurare le notifiche
Gli amministratori possono scegliere il modo in cui gli utenti vengono informati che una password è stata modificata. Sono disponibili due opzioni tra cui poter scegliere:
- Notificare agli utenti le reimpostazioni delle password: L'utente che reimposta la password riceve una notifica sugli indirizzi di posta elettronica primari e secondari. Se la reimpostazione è stata eseguita da un utente malintenzionato, questa notifica avvisa l'utente, che può eseguire operazioni di prevenzione.
- Notificare agli amministratori quando altri amministratori reimpostano le proprie password: Tutti gli amministratori ricevono una notifica quando un altro amministratore reimposta una password.
Requisiti di licenza
Le edizioni di Microsoft Entra ID sono due: Premium P1 e Premium P2. La funzionalità di reimpostazione della password disponibile dipende dal tipo di edizione.
Se un utente ha eseguito l'accesso può modificare la password indipendentemente dall'edizione di Microsoft Entra ID in uso.
Cosa accade se non si è connessi e si è dimenticata la password o la password è scaduta? In questo caso è possibile usare la reimpostazione della password self-service in Microsoft Entra ID P1 o P2. È disponibile anche con Microsoft 365 Apps for business o Microsoft 365.
In una situazione ibrida, in cui si usa Active Directory locale e Microsoft Entra ID nel cloud, occorre eseguire il writeback nella directory locale di qualsiasi modifica della password apportata nel cloud. Il supporto per il writeback è disponibile in Microsoft Entra ID P1 o P2. nonché con Microsoft 365 Apps for business.
Opzioni di distribuzione di SSPR
È possibile distribuire la reimpostazione della password self-service con writeback delle password usando Microsoft Entra Connect o la sincronizzazione cloud, a seconda delle esigenze dell'utente. Ogni opzione può essere distribuita side-by-side in domini diversi per specificare diversi set di utenti. Ciò consente agli utenti esistenti in locale di eseguire il writeback delle modifiche delle password durante l'aggiunta di un'opzione per gli utenti in domini disconnessi a causa di una fusione o di una divisione aziendale. Gli utenti di un dominio locale esistente possono usare Microsoft Entra Connect mentre i nuovi utenti acquisiti da una fusione possono usare la sincronizzazione cloud in un altro dominio.
La sincronizzazione cloud può anche offrire una disponibilità più elevata perché non si basa su una singola istanza di Microsoft Entra Connect. Per un confronto delle funzionalità tra le due opzioni di distribuzione, vedere Confronto tra Microsoft Entra Connect e Sincronizzazione cloud.