Precompilare le informazioni di contatto per l’autenticazione degli utenti per la reimpostazione della password self-service (SSPR) Microsoft Entra

Per usare la reimpostazione della password self-service (SSPR) Microsoft Entra, devono essere presenti le informazioni di autenticazione per un utente. La maggior parte delle organizzazioni ha utenti che registrano autonomamente i propri dati di autenticazione durante la raccolta di informazioni per l'autenticazione a più fattori. Alcune organizzazioni preferiscono eseguire il bootstrap di questo processo tramite la sincronizzazione dei dati di autenticazione già esistenti in Active Directory Domain Services (AD DS). Questi dati sincronizzati sono resi disponibili a Microsoft Entra ID e a alla funzionalità di reimpostazione della password self-service (SSPR) senza richiedere l'intervento dell'utente. Quando gli utenti devono modificare o reimpostare la password, possono farlo anche se non hanno registrato in precedenza le informazioni di contatto.

Puoi precompilare le informazioni di contatto per l’autenticazione se soddisfi i seguenti requisiti:

• Hai formattato correttamente i dati nella tua directory locale.
• Hai configurato Microsoft Entra Connect per il tuo tenant di Microsoft Entra.

I numeri di telefono devono essere nel formato +Prefisso internazionale, Numero di telefono, come in +1 4251234567.

Campi popolati

Se usi le impostazioni predefinite in Microsoft Entra Connect, vengono eseguiti i mapping seguenti per compilare le informazioni di contatto per l’autenticazione per la reimpostazione della password self-service:

Quando l'utente verifica il numero di cellulare, il campo Telefono in Informazioni di contatto per l'autenticazione in Microsoft Entra ID viene compilato con il numero.

Informazioni di contatto per l'autenticazione

Nella pagina Metodi di autenticazione per un utente di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra, un Amministratore dell’autenticazione con privilegi può impostare manualmente le informazioni di contatto per l’autenticazione per chiunque. Puoi esaminare i metodi esistenti nella sezione Metodi di autenticazione utilizzabili oppure +Aggiungi metodi di autenticazione, come illustrato nello screenshot di esempio seguente:

A queste informazioni di contatto per l’autenticazione si applicano le considerazioni seguenti:

• Se il campo Telefono è compilato e l'opzione Cellulare è abilitata nei criteri SSPR, l’utente visualizza quel numero nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
• Se il campo Email è compilato e l'opzione Email è abilitata nei criteri SSPR, l’utente visualizza quell'indirizzo di posta elettronica nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.

Domande e risposte di sicurezza

Le domande di sicurezza e le risposte sono archiviate in modo sicuro nel tuo tenant di Microsoft Entra e sono accessibili agli utenti esclusivamente tramite l’esperienza di registrazione combinata di My Security-Info's. Gli amministratori non possono vedere, impostare o modificare il contenuto di domande e risposte di altri utenti.

Cosa accade quando un utente si registra

Quando un utente si registra, i campi seguenti vengono impostati nella pagina di registrazione:

• Telefono per l'autenticazione
• Indirizzo di posta elettronica per l'autenticazione
• Domande di sicurezza e risposte

Se hai specificato un valore per Cellulare o Indirizzo di posta elettronica alternativo, gli utenti possono usare immediatamente questi valori per reimpostare le password, anche se non hanno eseguito la registrazione per il servizio.

Inoltre, gli utenti visualizzano tali valori quando si registrano per la prima volta e, se vogliono, possono modificarli. Dopo aver completato la registrazione, questi valori vengono salvati in modo permanente rispettivamente nei campi Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazione.

Impostare e leggere i dati di autenticazione tramite PowerShell

I campi seguenti possono essere impostati tramite PowerShell:

• Indirizzo di posta elettronica alternativo
• Telefono cellulare
• Telefono ufficio
  • Può essere impostato solo se non in sincronizzazione con una directory locale.

Puoi usare Microsoft Graph PowerShell per interagire con Microsoft Entra ID oppure usare l'API REST di Microsoft Graph per gestire i metodi di autenticazione.

Usare PowerShell di Microsoft Graph

Per iniziare, scarica e installa il modulo di Microsoft Graph PowerShell.

Per eseguire l'installazione rapida da versioni recenti di PowerShell che supportano Install-Module, esegui i comandi seguenti. La prima riga controlla se il modulo è già installato:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Dopo aver installato il modulo, segui la procedura indicata per configurare ogni campo.

Imposta i dati di autenticazione con Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Leggi i dati di autenticazione con Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Passaggi successivi

Dopo aver precompilato le informazioni di contatto per l’autenticazione per gli utenti, completa l'esercitazione seguente per abilitare la reimpostazione della password self-service: