Pianificare la distribuzione della reimpostazione della password self-service di Microsoft Entra
Importante
Questo piano di distribuzione illustra le linee guida e le procedure consigliate per la distribuzione della reimpostazione della password self-service (SSPR) di Microsoft Entra.
Gli utenti finali che desiderino tornare al loro account devono passare a https://aka.ms/sspr.
La reimpostazione della password self-service (SSPR) è una funzionalità di Microsoft Entra che consente agli utenti di reimpostare le proprie password senza l'assistenza del personale IT. Gli utenti possono sbloccare l'account rapidamente e continuare a lavorare indipendentemente da dove si trovino o dall'ora del giorno. Consentendo ai dipendenti di sbloccare autonomamente l'account, l'organizzazione può ridurre i periodi di non produttività e i costi di supporto elevati legati ai problemi più comuni correlati alle password.
La reimpostazione della password self-service offre le funzionalità chiave seguenti:
- L'operazione in modalità self-service consente agli utenti finali di reimpostare le password scadute o non scadute senza rivolgersi a un amministratore o al supporto tecnico per assistenza.
- Il writeback delle password consente la gestione delle password locali e la risoluzione del blocco dell'account tramite il cloud.
- I report sulle attività di gestione delle password forniscono agli amministratori informazioni dettagliate sulle attività di reimpostazione e registrazione delle password all'interno dell'organizzazione.
Questa guida alla distribuzione illustra come pianificare e quindi testare un'implementazione della reimpostazione della password self-service.
Per vedere rapidamente come funziona la reimpostazione della password self-service e quindi tornare a esaminare ulteriori considerazioni sulla distribuzione:
Suggerimento
A integrazione di questo articolo, è consigliabile usare la Guida alla pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Questa guida consente di personalizzare l'esperienza in base all'ambiente in uso. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.
Informazioni sulla reimpostazione della password self-service. Consultare Come funziona: la reimpostazione della password self-service di Microsoft Entra.
I principali vantaggi dell'abilitazione della reimpostazione della password self-service sono i seguenti:
Gestione dei costi. La reimpostazione della password self-service riduce i costi di assistenza IT consentendo agli utenti di reimpostare le password autonomamente. Consente inoltre di ridurre i costi legati alle perdite di tempo dovute a password perse e blocchi di account.
Esperienza utente intuitiva. Viene fornito un processo di registrazione utente occasionale intuitivo che consente agli utenti di reimpostare password e sbloccare account su richiesta da qualsiasi dispositivo o posizione. La reimpostazione della password self-service consente agli utenti di tornare al lavoro più rapidamente ed essere più produttivi.
Flessibilità e sicurezza. La reimpostazione della password self-service offre alle aziende la sicurezza e la flessibilità tipiche di una piattaforma cloud. Gli amministratori possono modificare le impostazioni per soddisfare i nuovi requisiti di sicurezza e implementare queste modifiche senza compromettere l'accesso degli utenti.
Controllo e monitoraggio dell'utilizzo avanzati. Un'organizzazione può garantire che i sistemi aziendali rimangano sicuri anche se gli utenti reimpostano le proprie password. I log di controllo avanzati includono informazioni su ogni passaggio del processo di reimpostazione della password. Questi log sono disponibili tramite un'API e consentono all'utente di importare i dati in un sistema SIEM (Security Incident and Event Monitoring, informazioni di sicurezza e gestione degli eventi) di sua scelta.
Microsoft Entra ID prevede un modello di licenza per utente, ovvero per ogni utente è necessaria una licenza appropriata in base alle funzionalità usate. Per la reimpostazione della password self-service, è consigliabile usare licenze basate su gruppi.
Per confrontare le edizioni e le funzionalità e abilitare le licenze basate su gruppi o utenti, vedere Requisiti di licenza per la reimpostazione della password self-service di Microsoft Entra.
Per altre informazioni sui costi, vedere Prezzi di Microsoft Entra.
Un tenant di Microsoft Entra funzionante, con almeno una licenza di valutazione abilitata. Se necessario, crearne uno gratuitamente.
-
Per gestire questa funzionalità è necessario un amministratore globale.
Per una procedura guidata dettagliata relativa a molti degli elementi consigliati in questo articolo, vedere la guida alla Pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.
L'esempio seguente descrive l'architettura della soluzione di reimpostazione della password per ambienti ibridi comuni.
Descrizione del flusso di lavoro
Per reimpostare la password, gli utenti devono usare il portale di reimpostazione della password. Devono verificare il metodo o i metodi di autenticazione registrati in precedenza per dimostrare la propria identità. Se la password viene reimpostata correttamente, il processo di reimpostazione avrà inizio.
Per gli utenti solo cloud, la reimpostazione della password self-service archivia la nuova password in Microsoft Entra ID.
Per gli utenti ibridi, la reimpostazione della password self-service esegue il writeback della password nell'istanza di Active Directory locale tramite il servizio Microsoft Entra Connect.
Nota: per gli utenti che hanno la sincronizzazione dell'hash delle password (PHS) disabilitata, la reimpostazione della password self-service archivia le password solo nell'istanza di Active Directory locale.
È possibile aiutare gli utenti a eseguire rapidamente la registrazione distribuendo la reimpostazione della password self-service insieme a un altro servizio o applicazione popolare nell'organizzazione. Ciò genererà un volume elevato di accessi e incentiverà la registrazione.
Prima di distribuire la reimpostazione della password self-service, è possibile scegliere di determinare il numero e il costo medio delle chiamate per la reimpostazione della password. È possibile usare questi dati successivamente alla distribuzione per mostrare il valore che la reimpostazione della password self-service offre all'organizzazione.
Registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori Microsoft Entra
SSPR consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per l'autenticazione a più fattori Microsoft Entra. La registrazione combinata è un unico passaggio di registrazione per gli utenti finali che consente la registrazione di metodi MFA e SSPR contemporaneamente. Per comprendere meglio le funzionalità e l’esperienza degli utenti finali, vedere Principi della registrazione delle informazioni di sicurezza combinata.
È fondamentale informare gli utenti delle modifiche imminenti, dei requisiti di registrazione e di eventuali azioni utente necessarie. Sono disponibili modelli di comunicazione e documentazione dell'utente per preparare gli utenti alla nuova esperienza e contribuire a garantire un'implementazione corretta. Indirizzare gli utenti su https://myprofile.microsoft.com per registrarsi selezionando il collegamento Informazioni di sicurezza su tale pagina.
Considerare le esigenze organizzative quando si determina la strategia per la distribuzione nell'ambiente in uso.
Quando i progetti tecnologici hanno esito negativo, ciò è generalmente causato dalle diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder all’interno del progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder e sui rispettivi input e responsabilità in merito al progetto.
Ruolo aziendale/Utente tipo | Ruolo di Microsoft Entra (se necessario) |
---|---|
Supporto tecnico di livello 1 | Amministratore di password |
Supporto tecnico di livello 2 | Amministratore utenti |
Amministratore della reimpostazione della password self-service | Amministratore dell'autenticazione |
È consigliabile eseguire la configurazione iniziale della reimpostazione della password self-service in un ambiente di test. Iniziare con un gruppo pilota abilitando la reimpostazione della password self-service per un subset di utenti nell'organizzazione. Consultare Procedure consigliate per un progetto pilota.
Per creare un gruppo, vedere come creare un gruppo e aggiungere membri in Microsoft Entra ID.
Le impostazioni seguenti sono necessarie per abilitare la reimpostazione della password self-service con i valori consigliati.
Area | Impostazione | Valore |
---|---|---|
Proprietà della reimpostazione della password self-service | Reimpostazione password self-service abilitata | Gruppo selezionato per il progetto pilota/Tutti per l'ambiente di produzione |
Metodi di autenticazione | Metodi di autenticazione necessari per la registrazione | Sempre uno in più di quanto necessario per la reimpostazione |
Metodi di autenticazione necessari per la reimpostazione | Uno o due | |
Registrazione | Richiedere agli utenti di registrarsi all'accesso | Sì |
Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione | 90 - 180 giorni | |
Notifications | Inviare notifiche agli utenti al momento della reimpostazione della password | Sì |
Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password | Sì | |
Personalizzazione | Personalizza collegamento al supporto tecnico | Sì |
Indirizzo di posta elettronica o URL del supporto tecnico | Sito o indirizzo di posta elettronica del supporto tecnico | |
Integrazione locale | Writeback delle password in Active Directory locale | Sì |
Consenti agli utenti di sbloccare gli account senza reimpostare la password | Sì |
Quando si abilita la reimpostazione della password self-service, scegliere un gruppo di sicurezza appropriato nell'ambiente pilota.
- Per applicare la registrazione della reimpostazione della password self-service per tutti gli utenti, usare l'opzione Tutti.
- Oppure selezionare il gruppo di sicurezza di AD o Microsoft Entra ID appropriato.
Quando la reimpostazione della password self-service è abilitata, gli utenti possono reimpostare la password solo se dispongono di dati presenti nei metodi di autenticazione abilitati dall'amministratore. I metodi includono telefono, notifica dell'app Authenticator, domande di sicurezza e così via. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.
È consigliabile usare le impostazioni dei metodi di autenticazione seguenti:
Impostare l'opzione Metodi di autenticazione necessari per la registrazione su un valore di almeno un'unità superiore rispetto al numero di metodi per la reimpostazione. Consentendo più metodi di autenticazione si offre maggiore flessibilità agli utenti quando devono eseguire la reimpostazione.
Impostare Numero di metodi da reimpostare su un livello appropriato per l'organizzazione. Un valore di uno comporta il minor attrito, mentre un valore pari a due può migliorare la postura di sicurezza.
Nota: l'utente deve avere i metodi di autenticazione configurati come descritto in Restrizioni e criteri password in Microsoft Entra ID.
Impostare Richiedere agli utenti di registrarsi all'accesso su Sì. Questa impostazione richiede agli utenti di registrarsi all'accesso, per assicurare che tutti gli utenti siano protetti.
Impostare Numero di giorni prima che venga chiesto agli utenti di riconfermare le informazioni di autenticazione su un valore compreso tra 90 e 180 giorni, a meno che l'organizzazione richieda un intervallo più breve.
Impostare entrambe le opzioni Notificare agli utenti le reimpostazioni delle password e Notificare agli amministratori quando altri amministratori reimpostano le proprie password su Sì. Selezionando Sì per entrambe le opzioni è possibile aumentare la sicurezza, facendo in modo che gli utenti sappiano quando la loro password viene reimpostata. Si assicura inoltre che tutti gli amministratori sappiano quando un amministratore modifica una password. Se gli utenti o gli amministratori ricevono una notifica e non hanno avviato la modifica, possono segnalare immediatamente un potenziale problema di sicurezza.
Nota
Le notifiche tramite posta elettronica dal servizio reimpostazione della password self-service verranno inviate dagli indirizzi seguenti in base al cloud di Azure in uso:
- Pubblico: msonlineservicesteam@microsoft.com
- Cina: msonlineservicesteam@oe.21vianet.com
- Enti pubblici: msonlineservicesteam@azureadnotifications.us
Se si verificano problemi nella ricezione delle notifiche, controllare le impostazioni di posta indesiderata.
È fondamentale personalizzare l'URL o l'indirizzo di posta elettronica del supporto tecnico per assicurarsi che gli utenti che riscontrano problemi possano ottenere assistenza immediata. Impostare questa opzione su un indirizzo di posta elettronica o una pagina Web del supporto tecnico comune con cui gli utenti hanno familiarità.
Per altre informazioni, vedere Personalizzare la funzionalità di Microsoft Entra per la reimpostazione della password self-service.
Il writeback delle password è una funzionalità abilitata con Microsoft Entra Connect che consente di riscrivere le reimpostazioni delle password nel cloud in una directory locale esistente in tempo reale. Per altre informazioni, vedere Che cos'è il writeback delle password?
È consigliabile usare le impostazioni seguenti:
- Assicurarsi che l'opzione Writeback delle password in Active Directory locale sia impostata su Sì.
- Impostare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su Sì.
Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password.
Gli account amministratore hanno autorizzazioni elevate. Gli amministratori di dominio o aziendali locali non possono reimpostare le password tramite la reimpostazione della password self-service. Gli account amministratore locali prevedono le restrizioni seguenti:
- È possibile modificare la password solo nell'ambiente locale.
- Non è mai possibile usare le domande e le risposte segrete come metodo per reimpostare la password.
È consigliabile non sincronizzare gli account amministratore di Active Directory locali con Microsoft Entra ID.
Alcuni ambienti presentano più sistemi di gestione delle identità. Gli strumenti di gestione delle identità locali come Oracle IAM e SiteMinder richiedono la sincronizzazione con Active Directory per le password. A tale scopo, è possibile usare uno strumento come il servizio di notifica di modifica della password (PCNS, Password Change Notification Service) con Microsoft Identity Manager (MIM). Per informazioni su questo scenario più complesso, vedere l'articolo Distribuire il servizio di notifica di modifica della password di MIM in un controller di dominio.
In ogni fase della distribuzione, dai gruppi pilota iniziali fino al coinvolgimento dell'intera organizzazione, assicurarsi che i risultati siano quelli previsti.
Per assicurarsi che la distribuzione funzioni come previsto, pianificare un set di test case per convalidare l'implementazione. Per valutare i test case, è necessario un utente di test non amministratore con una password. Se è necessario creare un utente, vedere Aggiungere nuovi utenti a Microsoft Entra ID.
La tabella seguente include utili scenari di test che è possibile usare per documentare i risultati previsti per l'organizzazione in base ai criteri.
Caso aziendale | Risultati previsti |
---|---|
Il portale di reimpostazione della password self-service è accessibile dall'interno della rete aziendale | Determinati dall'organizzazione |
Il portale di reimpostazione della password self-service è accessibile dall'esterno della rete aziendale | Determinati dall'organizzazione |
Reimpostazione della password utente dal browser quando l'utente non è abilitato per la reimpostazione della password | L'utente non può accedere al flusso di reimpostazione della password |
Reimpostazione della password utente dal browser quando l'utente non ha eseguito la registrazione per la reimpostazione della password | L'utente non può accedere al flusso di reimpostazione della password |
L'utente accede quando viene richiesta la registrazione per la reimpostazione della password | Viene richiesto all'utente di registrare le informazioni di sicurezza |
L'utente accede quando la registrazione per la reimpostazione della password è completata | Viene richiesto all'utente di registrare le informazioni di sicurezza |
Il portale di reimpostazione della password self-service è accessibile quando l'utente non dispone di una licenza | Accessibile |
Reimpostare la password utente dalla schermata di blocco di un dispositivo Windows 10 aggiunto a Microsoft Entra o a Microsoft Entra ibrido | L'utente può reimpostare la password |
I dati sull'utilizzo e sulla registrazione della reimpostazione della password self-service sono disponibili per gli amministratori quasi in tempo reale | Disponibilità tramite log di controllo |
Vedere anche Completare l'implementazione di un gruppo pilota per la reimpostazione della password self-service di Microsoft Entra. In questa esercitazione viene abilitata un'implementazione pilota della reimpostazione della password self-service nell'organizzazione e la soluzione viene testata con un account non amministratore.
Sebbene la reimpostazione della password self-service non crei in genere problemi per gli utenti, è importante che il personale di supporto sia preparato ad affrontare eventuali problemi che potrebbero verificarsi. Per consentire il successo del team di supporto, è possibile preparare un documento di domande frequenti in base alle domande ricevute dagli utenti. Ecco alcuni esempi:
Scenari | Descrizione |
---|---|
L'utente non ha metodi di autenticazione registrati disponibili | Un utente sta cercando di reimpostare la password, ma non dispone di alcun metodo di autenticazione registrato disponibile (ad esempio, ha lasciato il telefono cellulare a casa e non può accedere alla posta elettronica) |
L'utente non riceve un SMS o una chiamata sul proprio telefono dell'ufficio o cellulare | Un utente sta cercando di verificare la propria identità tramite SMS o telefonata, ma non riceve il messaggio o la chiamata. |
Un utente non può accedere al portale di reimpostazione della password | Un utente vuole reimpostare la password, ma non è abilitato per la reimpostazione e non può accedere alla pagina per l'aggiornamento delle password. |
Un utente non può impostare una nuova password | Un utente completa la verifica durante il flusso di reimpostazione della password, ma non può impostare una nuova password. |
Un utente non visualizza un collegamento per la reimpostazione della password in un dispositivo Windows 10 | Un utente sta cercando di reimpostare la password dalla schermata di blocco di Windows 10, ma il dispositivo non è stato aggiunto a Microsoft Entra ID oppure i criteri dei dispositivi di Microsoft Intune non sono abilitati |
Per eseguire il rollback della distribuzione:
Per un singolo utente, rimuovere l'utente dal gruppo di sicurezza
Per un gruppo, rimuovere il gruppo dalla configurazione della reimpostazione della password self-service
Per tutti, disabilitare la reimpostazione della password self-service per il tenant Microsoft Entra
Prima della distribuzione, assicurarsi di aver eseguito queste operazioni:
Determinato le impostazioni di configurazione appropriate.
identificato gli utenti e i gruppi per gli ambienti pilota e di produzione.
Determinato le impostazioni di configurazione per la registrazione e la gestione self-service.
Configurato il writeback delle password se si usa un ambiente ibrido.
È ora possibile distribuire la reimpostazione della password self-service
Vedere Abilitare la reimpostazione della password self-service per istruzioni dettagliate complete sulla configurazione delle aree seguenti.
Per i computer che eseguono Windows 7, 8, 8.1 e 10, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows
Microsoft Entra ID può fornire informazioni aggiuntive sulle prestazioni della reimpostazione della password self-service tramite controlli e report.
È possibile usare i report predefiniti disponibili nell’interfaccia di amministrazione di Microsoft Entra per misurare le prestazioni della reimpostazione della password self-service. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate. Per altre informazioni, vedere Opzioni di creazione di report per la gestione delle password di Microsoft Entra.
Per gestire questa funzionalità è necessario un amministratore globale.
Nota
È necessario acconsentire esplicitamente alla raccolta di questi dati per l'organizzazione. Per acconsentire esplicitamente, è necessario visitare almeno una volta la scheda Creazione di report o i log di controllo nell’interfaccia di amministrazione di Microsoft Entra. Fino a che non si eseguono queste operazioni, i dati per l'organizzazione non vengono raccolti.
I log di controllo per la registrazione e la reimpostazione della password sono disponibili per 30 giorni. Se il controllo di sicurezza all'interno dell’azienda richiede un periodo di conservazione dati più lungo, i log devono essere esportati e utilizzati in uno strumento SIEM, ad esempio Microsoft Sentinel, Splunk o ArcSight.
La pagina Utilizzo e informazioni dettagliate consente di comprendere come funzionano i metodi di autenticazione per funzionalità come MFA Microsoft Entra e la reimpostazione della password self-service nell'organizzazione. Questa funzionalità di creazione di report consente all'organizzazione di capire quali metodi registrare e come usarli.
Come funziona: reimpostazione della password self-service di Microsoft Entra
Personalizzare la funzionalità di Microsoft Entra per la reimpostazione della password self-service
Per cominciare a distribuire la reimpostazione della password self-service, vedere Abilitare la reimpostazione della password self-service di Microsoft Entra
Considerare l'implementazione delle password di protezione di Microsoft Entra
Considerare l'implementazione di Smart Lockout (Blocco intelligente) di Microsoft Entra