Pianificare la distribuzione della reimpostazione della password self-service di Microsoft Entra

Importante

Questo piano di distribuzione illustra le linee guida e le procedure consigliate per la distribuzione della reimpostazione della password self-service (SSPR) di Microsoft Entra.

Gli utenti finali che desiderino tornare al loro account devono passare a https://aka.ms/sspr.

La reimpostazione della password self-service (SSPR) è una funzionalità di Microsoft Entra che consente agli utenti di reimpostare le proprie password senza l'assistenza del personale IT. Gli utenti possono sbloccare l'account rapidamente e continuare a lavorare indipendentemente da dove si trovino o dall'ora del giorno. Consentendo ai dipendenti di sbloccare autonomamente l'account, l'organizzazione può ridurre i periodi di non produttività e i costi di supporto elevati legati ai problemi più comuni correlati alle password.

La reimpostazione della password self-service offre le funzionalità chiave seguenti:

  • L'operazione in modalità self-service consente agli utenti finali di reimpostare le password scadute o non scadute senza rivolgersi a un amministratore o al supporto tecnico per assistenza.
  • Il writeback delle password consente la gestione delle password locali e la risoluzione del blocco dell'account tramite il cloud.
  • I report sulle attività di gestione delle password forniscono agli amministratori informazioni dettagliate sulle attività di reimpostazione e registrazione delle password all'interno dell'organizzazione.

Questa guida alla distribuzione illustra come pianificare e quindi testare un'implementazione della reimpostazione della password self-service.

Per vedere rapidamente come funziona la reimpostazione della password self-service e quindi tornare a esaminare ulteriori considerazioni sulla distribuzione:

Suggerimento

A integrazione di questo articolo, è consigliabile usare la Guida alla pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Questa guida consente di personalizzare l'esperienza in base all'ambiente in uso. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.

Informazioni sulla reimpostazione della password self-service

Informazioni sulla reimpostazione della password self-service. Consultare Come funziona: la reimpostazione della password self-service di Microsoft Entra.

Vantaggi chiave

I principali vantaggi dell'abilitazione della reimpostazione della password self-service sono i seguenti:

  • Gestione dei costi. La reimpostazione della password self-service riduce i costi di assistenza IT consentendo agli utenti di reimpostare le password autonomamente. Consente inoltre di ridurre i costi legati alle perdite di tempo dovute a password perse e blocchi di account.

  • Esperienza utente intuitiva. Viene fornito un processo di registrazione utente occasionale intuitivo che consente agli utenti di reimpostare password e sbloccare account su richiesta da qualsiasi dispositivo o posizione. La reimpostazione della password self-service consente agli utenti di tornare al lavoro più rapidamente ed essere più produttivi.

  • Flessibilità e sicurezza. La reimpostazione della password self-service offre alle aziende la sicurezza e la flessibilità tipiche di una piattaforma cloud. Gli amministratori possono modificare le impostazioni per soddisfare i nuovi requisiti di sicurezza e implementare queste modifiche senza compromettere l'accesso degli utenti.

  • Controllo e monitoraggio dell'utilizzo avanzati. Un'organizzazione può garantire che i sistemi aziendali rimangano sicuri anche se gli utenti reimpostano le proprie password. I log di controllo avanzati includono informazioni su ogni passaggio del processo di reimpostazione della password. Questi log sono disponibili tramite un'API e consentono all'utente di importare i dati in un sistema SIEM (Security Incident and Event Monitoring, informazioni di sicurezza e gestione degli eventi) di sua scelta.

Licenze

Microsoft Entra ID prevede un modello di licenza per utente, ovvero per ogni utente è necessaria una licenza appropriata in base alle funzionalità usate. Per la reimpostazione della password self-service, è consigliabile usare licenze basate su gruppi.

Per confrontare le edizioni e le funzionalità e abilitare le licenze basate su gruppi o utenti, vedere Requisiti di licenza per la reimpostazione della password self-service di Microsoft Entra.

Per altre informazioni sui costi, vedere Prezzi di Microsoft Entra.

Prerequisiti

Procedura guidata dettagliata

Per una procedura guidata dettagliata relativa a molti degli elementi consigliati in questo articolo, vedere la guida alla Pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.

Risorse di formazione

Risorse Collegamento e descrizione
Video Supportare gli utenti con una migliore scalabilità IT
Che cos'è la reimpostazione della password self-service?
Distribuzione della reimpostazione della password self-service
Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID
Come configurare la reimpostazione della password self-service per gli utenti in Microsoft Entra ID?
Come [preparare gli utenti a] registrare le [loro] informazioni di sicurezza per Microsoft Entra ID
Corsi online Managing Identities in Microsoft Entra ID (Gestione delle identità in Microsoft Entra ID). Usa la reimpostazione della password self-service (SSPR) per offrire agli utenti un'esperienza moderna e protetta. Vedere in particolare il modulo "Managing Microsoft Entra Users and Groups".
Introduzione a Microsoft Enterprise Mobility Suite Informazioni sulle procedure consigliate per estendere gli asset locali nel cloud così da consentire autenticazione, autorizzazione, crittografia e sicurezza nell'esperienza con dispositivi mobili. Vedere in particolare il modulo "Configurazione delle funzionalità avanzate di Microsoft Entra ID P1 o P2”.
Esercitazioni Completare l'implementazione di un gruppo pilota per la reimpostazione della password self-service di Microsoft Entra
Abilitazione del writeback delle password
Reimpostazione della password di Microsoft Entra dalla schermata di accesso per Windows 10
Domande frequenti Domande frequenti sulla gestione password

Architettura della soluzione

L'esempio seguente descrive l'architettura della soluzione di reimpostazione della password per ambienti ibridi comuni.

Diagramma dell'architettura della soluzione

Descrizione del flusso di lavoro

Per reimpostare la password, gli utenti devono usare il portale di reimpostazione della password. Devono verificare il metodo o i metodi di autenticazione registrati in precedenza per dimostrare la propria identità. Se la password viene reimpostata correttamente, il processo di reimpostazione avrà inizio.

  • Per gli utenti solo cloud, la reimpostazione della password self-service archivia la nuova password in Microsoft Entra ID.

  • Per gli utenti ibridi, la reimpostazione della password self-service esegue il writeback della password nell'istanza di Active Directory locale tramite il servizio Microsoft Entra Connect.

Nota: per gli utenti che hanno la sincronizzazione dell'hash delle password (PHS) disabilitata, la reimpostazione della password self-service archivia le password solo nell'istanza di Active Directory locale.

Procedure consigliate

È possibile aiutare gli utenti a eseguire rapidamente la registrazione distribuendo la reimpostazione della password self-service insieme a un altro servizio o applicazione popolare nell'organizzazione. Ciò genererà un volume elevato di accessi e incentiverà la registrazione.

Prima di distribuire la reimpostazione della password self-service, è possibile scegliere di determinare il numero e il costo medio delle chiamate per la reimpostazione della password. È possibile usare questi dati successivamente alla distribuzione per mostrare il valore che la reimpostazione della password self-service offre all'organizzazione.

Registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori Microsoft Entra

SSPR consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per l'autenticazione a più fattori Microsoft Entra. La registrazione combinata è un unico passaggio di registrazione per gli utenti finali che consente la registrazione di metodi MFA e SSPR contemporaneamente. Per comprendere meglio le funzionalità e l’esperienza degli utenti finali, vedere Principi della registrazione delle informazioni di sicurezza combinata.

È fondamentale informare gli utenti delle modifiche imminenti, dei requisiti di registrazione e di eventuali azioni utente necessarie. Sono disponibili modelli di comunicazione e documentazione dell'utente per preparare gli utenti alla nuova esperienza e contribuire a garantire un'implementazione corretta. Indirizzare gli utenti su https://myprofile.microsoft.com per registrarsi selezionando il collegamento Informazioni di sicurezza su tale pagina.

Pianificare il progetto di distribuzione

Considerare le esigenze organizzative quando si determina la strategia per la distribuzione nell'ambiente in uso.

Coinvolgere gli stakeholder appropriati

Quando i progetti tecnologici hanno esito negativo, ciò è generalmente causato dalle diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder all’interno del progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder e sui rispettivi input e responsabilità in merito al progetto.

Ruoli di amministratore obbligatori

Ruolo aziendale/Utente tipo Ruolo di Microsoft Entra (se necessario)
Supporto tecnico di livello 1 Amministratore di password
Supporto tecnico di livello 2 Amministratore utenti
Amministratore della reimpostazione della password self-service Amministratore dell'autenticazione

Pianificare un progetto pilota

È consigliabile eseguire la configurazione iniziale della reimpostazione della password self-service in un ambiente di test. Iniziare con un gruppo pilota abilitando la reimpostazione della password self-service per un subset di utenti nell'organizzazione. Consultare Procedure consigliate per un progetto pilota.

Per creare un gruppo, vedere come creare un gruppo e aggiungere membri in Microsoft Entra ID.

Pianificare la configurazione

Le impostazioni seguenti sono necessarie per abilitare la reimpostazione della password self-service con i valori consigliati.

Area Impostazione Valore
Proprietà della reimpostazione della password self-service Reimpostazione password self-service abilitata Gruppo selezionato per il progetto pilota/Tutti per l'ambiente di produzione
Metodi di autenticazione Metodi di autenticazione necessari per la registrazione Sempre uno in più di quanto necessario per la reimpostazione
Metodi di autenticazione necessari per la reimpostazione Uno o due
Registrazione Richiedere agli utenti di registrarsi all'accesso
Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione 90 - 180 giorni
Notifications Inviare notifiche agli utenti al momento della reimpostazione della password
Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password
Personalizzazione Personalizza collegamento al supporto tecnico
Indirizzo di posta elettronica o URL del supporto tecnico Sito o indirizzo di posta elettronica del supporto tecnico
Integrazione locale Writeback delle password in Active Directory locale
Consenti agli utenti di sbloccare gli account senza reimpostare la password

Proprietà della reimpostazione della password self-service

Quando si abilita la reimpostazione della password self-service, scegliere un gruppo di sicurezza appropriato nell'ambiente pilota.

  • Per applicare la registrazione della reimpostazione della password self-service per tutti gli utenti, usare l'opzione Tutti.
  • Oppure selezionare il gruppo di sicurezza di AD o Microsoft Entra ID appropriato.

Metodi di autenticazione

Quando la reimpostazione della password self-service è abilitata, gli utenti possono reimpostare la password solo se dispongono di dati presenti nei metodi di autenticazione abilitati dall'amministratore. I metodi includono telefono, notifica dell'app Authenticator, domande di sicurezza e così via. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.

È consigliabile usare le impostazioni dei metodi di autenticazione seguenti:

  • Impostare l'opzione Metodi di autenticazione necessari per la registrazione su un valore di almeno un'unità superiore rispetto al numero di metodi per la reimpostazione. Consentendo più metodi di autenticazione si offre maggiore flessibilità agli utenti quando devono eseguire la reimpostazione.

  • Impostare Numero di metodi da reimpostare su un livello appropriato per l'organizzazione. Un valore di uno comporta il minor attrito, mentre un valore pari a due può migliorare la postura di sicurezza.

Nota: l'utente deve avere i metodi di autenticazione configurati come descritto in Restrizioni e criteri password in Microsoft Entra ID.

Impostazioni di registrazione

Impostare Richiedere agli utenti di registrarsi all'accesso su . Questa impostazione richiede agli utenti di registrarsi all'accesso, per assicurare che tutti gli utenti siano protetti.

Impostare Numero di giorni prima che venga chiesto agli utenti di riconfermare le informazioni di autenticazione su un valore compreso tra 90 e 180 giorni, a meno che l'organizzazione richieda un intervallo più breve.

Impostazioni delle notifiche

Impostare entrambe le opzioni Notificare agli utenti le reimpostazioni delle password e Notificare agli amministratori quando altri amministratori reimpostano le proprie password su . Selezionando per entrambe le opzioni è possibile aumentare la sicurezza, facendo in modo che gli utenti sappiano quando la loro password viene reimpostata. Si assicura inoltre che tutti gli amministratori sappiano quando un amministratore modifica una password. Se gli utenti o gli amministratori ricevono una notifica e non hanno avviato la modifica, possono segnalare immediatamente un potenziale problema di sicurezza.

Nota

Le notifiche tramite posta elettronica dal servizio reimpostazione della password self-service verranno inviate dagli indirizzi seguenti in base al cloud di Azure in uso:

  • Pubblico: msonlineservicesteam@microsoft.com
  • Cina: msonlineservicesteam@oe.21vianet.com
  • Enti pubblici: msonlineservicesteam@azureadnotifications.us

Se si verificano problemi nella ricezione delle notifiche, controllare le impostazioni di posta indesiderata.

Impostazioni di personalizzazione

È fondamentale personalizzare l'URL o l'indirizzo di posta elettronica del supporto tecnico per assicurarsi che gli utenti che riscontrano problemi possano ottenere assistenza immediata. Impostare questa opzione su un indirizzo di posta elettronica o una pagina Web del supporto tecnico comune con cui gli utenti hanno familiarità.

Per altre informazioni, vedere Personalizzare la funzionalità di Microsoft Entra per la reimpostazione della password self-service.

Writeback delle password

Il writeback delle password è una funzionalità abilitata con Microsoft Entra Connect che consente di riscrivere le reimpostazioni delle password nel cloud in una directory locale esistente in tempo reale. Per altre informazioni, vedere Che cos'è il writeback delle password?

È consigliabile usare le impostazioni seguenti:

  • Assicurarsi che l'opzione Writeback delle password in Active Directory locale sia impostata su .
  • Impostare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su .

Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password.

Impostazione della password di amministratore

Gli account amministratore hanno autorizzazioni elevate. Gli amministratori di dominio o aziendali locali non possono reimpostare le password tramite la reimpostazione della password self-service. Gli account amministratore locali prevedono le restrizioni seguenti:

  • È possibile modificare la password solo nell'ambiente locale.
  • Non è mai possibile usare le domande e le risposte segrete come metodo per reimpostare la password.

È consigliabile non sincronizzare gli account amministratore di Active Directory locali con Microsoft Entra ID.

Ambienti con più sistemi di gestione delle identità

Alcuni ambienti presentano più sistemi di gestione delle identità. Gli strumenti di gestione delle identità locali come Oracle IAM e SiteMinder richiedono la sincronizzazione con Active Directory per le password. A tale scopo, è possibile usare uno strumento come il servizio di notifica di modifica della password (PCNS, Password Change Notification Service) con Microsoft Identity Manager (MIM). Per informazioni su questo scenario più complesso, vedere l'articolo Distribuire il servizio di notifica di modifica della password di MIM in un controller di dominio.

Pianificare test e supporto

In ogni fase della distribuzione, dai gruppi pilota iniziali fino al coinvolgimento dell'intera organizzazione, assicurarsi che i risultati siano quelli previsti.

Panificare test

Per assicurarsi che la distribuzione funzioni come previsto, pianificare un set di test case per convalidare l'implementazione. Per valutare i test case, è necessario un utente di test non amministratore con una password. Se è necessario creare un utente, vedere Aggiungere nuovi utenti a Microsoft Entra ID.

La tabella seguente include utili scenari di test che è possibile usare per documentare i risultati previsti per l'organizzazione in base ai criteri.

Caso aziendale Risultati previsti
Il portale di reimpostazione della password self-service è accessibile dall'interno della rete aziendale Determinati dall'organizzazione
Il portale di reimpostazione della password self-service è accessibile dall'esterno della rete aziendale Determinati dall'organizzazione
Reimpostazione della password utente dal browser quando l'utente non è abilitato per la reimpostazione della password L'utente non può accedere al flusso di reimpostazione della password
Reimpostazione della password utente dal browser quando l'utente non ha eseguito la registrazione per la reimpostazione della password L'utente non può accedere al flusso di reimpostazione della password
L'utente accede quando viene richiesta la registrazione per la reimpostazione della password Viene richiesto all'utente di registrare le informazioni di sicurezza
L'utente accede quando la registrazione per la reimpostazione della password è completata Viene richiesto all'utente di registrare le informazioni di sicurezza
Il portale di reimpostazione della password self-service è accessibile quando l'utente non dispone di una licenza Accessibile
Reimpostare la password utente dalla schermata di blocco di un dispositivo Windows 10 aggiunto a Microsoft Entra o a Microsoft Entra ibrido L'utente può reimpostare la password
I dati sull'utilizzo e sulla registrazione della reimpostazione della password self-service sono disponibili per gli amministratori quasi in tempo reale Disponibilità tramite log di controllo

Vedere anche Completare l'implementazione di un gruppo pilota per la reimpostazione della password self-service di Microsoft Entra. In questa esercitazione viene abilitata un'implementazione pilota della reimpostazione della password self-service nell'organizzazione e la soluzione viene testata con un account non amministratore.

Pianificare il supporto

Sebbene la reimpostazione della password self-service non crei in genere problemi per gli utenti, è importante che il personale di supporto sia preparato ad affrontare eventuali problemi che potrebbero verificarsi. Per consentire il successo del team di supporto, è possibile preparare un documento di domande frequenti in base alle domande ricevute dagli utenti. Ecco alcuni esempi:

Scenari Descrizione
L'utente non ha metodi di autenticazione registrati disponibili Un utente sta cercando di reimpostare la password, ma non dispone di alcun metodo di autenticazione registrato disponibile (ad esempio, ha lasciato il telefono cellulare a casa e non può accedere alla posta elettronica)
L'utente non riceve un SMS o una chiamata sul proprio telefono dell'ufficio o cellulare Un utente sta cercando di verificare la propria identità tramite SMS o telefonata, ma non riceve il messaggio o la chiamata.
Un utente non può accedere al portale di reimpostazione della password Un utente vuole reimpostare la password, ma non è abilitato per la reimpostazione e non può accedere alla pagina per l'aggiornamento delle password.
Un utente non può impostare una nuova password Un utente completa la verifica durante il flusso di reimpostazione della password, ma non può impostare una nuova password.
Un utente non visualizza un collegamento per la reimpostazione della password in un dispositivo Windows 10 Un utente sta cercando di reimpostare la password dalla schermata di blocco di Windows 10, ma il dispositivo non è stato aggiunto a Microsoft Entra ID oppure i criteri dei dispositivi di Microsoft Intune non sono abilitati

Pianificare il rollback

Per eseguire il rollback della distribuzione:

  • Per un singolo utente, rimuovere l'utente dal gruppo di sicurezza

  • Per un gruppo, rimuovere il gruppo dalla configurazione della reimpostazione della password self-service

  • Per tutti, disabilitare la reimpostazione della password self-service per il tenant Microsoft Entra

Distribuire la reimpostazione della password self-service

Prima della distribuzione, assicurarsi di aver eseguito queste operazioni:

  1. Determinato le impostazioni di configurazione appropriate.

  2. identificato gli utenti e i gruppi per gli ambienti pilota e di produzione.

  3. Determinato le impostazioni di configurazione per la registrazione e la gestione self-service.

  4. Configurato il writeback delle password se si usa un ambiente ibrido.

È ora possibile distribuire la reimpostazione della password self-service

Vedere Abilitare la reimpostazione della password self-service per istruzioni dettagliate complete sulla configurazione delle aree seguenti.

  1. Metodi di autenticazione

  2. Impostazioni di registrazione

  3. Impostazioni delle notifiche

  4. Impostazioni di personalizzazione

  5. Integrazione locale

Abilitare la reimpostazione della password self-service in Windows

Per i computer che eseguono Windows 7, 8, 8.1 e 10, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows

Gestire la reimpostazione della password self-service

Microsoft Entra ID può fornire informazioni aggiuntive sulle prestazioni della reimpostazione della password self-service tramite controlli e report.

Report sulle attività di gestione delle password

È possibile usare i report predefiniti disponibili nell’interfaccia di amministrazione di Microsoft Entra per misurare le prestazioni della reimpostazione della password self-service. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate. Per altre informazioni, vedere Opzioni di creazione di report per la gestione delle password di Microsoft Entra.

Per gestire questa funzionalità è necessario un amministratore globale.

Nota

È necessario acconsentire esplicitamente alla raccolta di questi dati per l'organizzazione. Per acconsentire esplicitamente, è necessario visitare almeno una volta la scheda Creazione di report o i log di controllo nell’interfaccia di amministrazione di Microsoft Entra. Fino a che non si eseguono queste operazioni, i dati per l'organizzazione non vengono raccolti.

I log di controllo per la registrazione e la reimpostazione della password sono disponibili per 30 giorni. Se il controllo di sicurezza all'interno dell’azienda richiede un periodo di conservazione dati più lungo, i log devono essere esportati e utilizzati in uno strumento SIEM, ad esempio Microsoft Sentinel, Splunk o ArcSight.

Screenshot dei report di reimpostazione della password self-service

Metodi di autenticazione - Utilizzo e informazioni dettagliate

La pagina Utilizzo e informazioni dettagliate consente di comprendere come funzionano i metodi di autenticazione per funzionalità come MFA Microsoft Entra e la reimpostazione della password self-service nell'organizzazione. Questa funzionalità di creazione di report consente all'organizzazione di capire quali metodi registrare e come usarli.

Risoluzione dei problemi

Documentazione utile

Passaggi successivi