Pianificare la distribuzione della reimpostazione della password self-service di Microsoft Entra
Importante
Questo piano di distribuzione illustra le linee guida e le procedure consigliate per la distribuzione della reimpostazione della password self-service (SSPR) di Microsoft Entra.
Gli utenti finali che vogliono tornare al loro account devono passare a https://aka.ms/sspr.
La reimpostazione della password self-service (SSPR) è una funzionalità di Microsoft Entra che consente agli utenti di reimpostare le proprie password senza l'assistenza del personale IT. Gli utenti possono sbloccarsi rapidamente e continuare a lavorare indipendentemente dalla posizione o dall'ora del giorno. Consentendo ai dipendenti di sbloccare autonomamente l'account, l'organizzazione può ridurre il tempo non produttivo e i costi di supporto elevati legati ai problemi più comuni correlati alle password.
La reimpostazione della password self-service offre le funzionalità chiave seguenti:
- L'operazione in modalità self-service consente agli utenti finali di reimpostare le password scadute o non scadute senza rivolgersi a un amministratore o al supporto tecnico per assistenza.
- Il writeback delle password consente la gestione delle password locali e la risoluzione del blocco dell'account tramite il cloud.
- I report sulle attività di gestione delle password forniscono agli amministratori informazioni dettagliate sulle attività di reimpostazione e registrazione delle password all'interno dell'organizzazione.
Questa guida alla distribuzione illustra come pianificare e quindi testare un'implementazione della reimpostazione della password self-service.
Per vedere rapidamente come funziona la reimpostazione della password self-service e quindi tornare a esaminare ulteriori considerazioni sulla distribuzione:
Suggerimento
A integrazione di questo articolo, consigliamo di usare la Guida alla pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Questa guida consente di personalizzare l'esperienza in base all'ambiente in uso. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.
Informazioni sulla reimpostazione della password self-service
Informazioni sulla reimpostazione della password self-service. Consultare Come funziona: la reimpostazione della password self-service di Microsoft Entra.
Vantaggi chiave
I principali vantaggi dell'abilitazione della reimpostazione della password self-service sono i seguenti:
Gestione dei costi. La reimpostazione della password self-service riduce i costi di assistenza IT consentendo agli utenti di reimpostare le password in modo autonomo. Consente inoltre di ridurre i costi legati alle perdite di tempo dovute a password perse e blocchi degli account.
Esperienza utente intuitiva. Viene fornito un processo di registrazione utente occasionale intuitivo che consente agli utenti di reimpostare le password e sbloccare gli account su richiesta da qualsiasi dispositivo o posizione. La reimpostazione della password self-service consente agli utenti di tornare al lavoro più rapidamente ed essere più produttivi.
Flessibilità e sicurezza. La reimpostazione della password self-service offre alle aziende la sicurezza e la flessibilità tipiche di una piattaforma cloud. Gli amministratori possono modificare le impostazioni per soddisfare i nuovi requisiti di sicurezza e implementare queste modifiche senza compromettere l'accesso degli utenti.
Controllo e monitoraggio dell'utilizzo avanzati. Un'organizzazione può garantire che i sistemi aziendali rimangano sicuri anche se gli utenti reimpostano le proprie password. I log di controllo avanzati includono informazioni su ogni passaggio del processo di reimpostazione della password. Questi log sono disponibili tramite un'API e consentono all'utente di importare i dati in un sistema SIEM (Security Incident and Event Monitoring, informazioni di sicurezza e gestione degli eventi) di sua scelta.
Licenze
Microsoft Entra ID prevede un modello di licenza per utente, ovvero per ogni utente è necessaria una licenza appropriata in base alle funzionalità usate. Per la reimpostazione della password self-service è consigliabile usare licenze basate sui gruppi.
Per confrontare le edizioni e le funzionalità e abilitare le licenze basate sui gruppi o sugli utenti, vedere Requisiti di licenza per la reimpostazione della password self-service di Microsoft Entra.
Per altre informazioni sui costi, vedere Prezzi di Microsoft Entra.
Prerequisiti
Un tenant di Microsoft Entra funzionante, con almeno una licenza di valutazione abilitata. Se necessario, crearne uno gratuitamente.
Devi essere assegnato almeno a un ruolo di amministratore dei criteri di autenticazione .
Procedura guidata dettagliata
Per una procedura guidata dettagliata relativa a molti elementi consigliati in questo articolo, vedere la guida alla Pianificazione della distribuzione della reimpostazione della password self-service dopo aver effettuato l'accesso all'interfaccia di amministrazione di Microsoft 365. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passa al portale di installazione di M365.
Risorse di formazione
Architettura della soluzione
L'esempio seguente descrive l'architettura della soluzione di reimpostazione della password per ambienti ibridi comuni.
Descrizione del flusso di lavoro
Per reimpostare la password, gli utenti devono usare il portale di reimpostazione della password. Devono verificare il metodo o i metodi di autenticazione registrati in precedenza per dimostrare la propria identità. Se la password viene reimpostata correttamente, inizia il processo di reimpostazione.
Per gli utenti solo cloud, la reimpostazione della password self-service archivia la nuova password in Microsoft Entra ID.
Per gli utenti ibridi, SSPR aggiorna la password su Active Directory locale tramite il servizio Microsoft Entra Connect.
Nota
Per gli utenti con sincronizzazione dell'hash delle password (PHS) disabilitata, le password vengono archiviate solo in Active Directory locale.
Procedure consigliate
È possibile aiutare gli utenti a eseguire rapidamente la registrazione distribuendo la reimpostazione della password self-service insieme a un altro servizio o applicazione popolare nell'organizzazione. Questa azione genera un volume elevato di accessi e promuove la registrazione.
Prima di distribuire la reimpostazione della password self-service, è possibile scegliere di determinare il numero e il costo medio delle chiamate per la reimpostazione della password. È possibile usare questi dati successivamente alla distribuzione per mostrare il valore che la reimpostazione della password self-service offre all'organizzazione.
Registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori Microsoft Entra
SSPR consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per l'autenticazione a più fattori Microsoft Entra. La registrazione combinata è un unico passaggio di registrazione per gli utenti finali che consente la registrazione di metodi MFA e SSPR contemporaneamente. Per comprendere meglio le funzionalità e l’esperienza degli utenti finali, vedere Principi della registrazione delle informazioni di sicurezza combinata.
È fondamentale informare gli utenti delle modifiche imminenti, dei requisiti di registrazione e di eventuali azioni utente necessarie. Sono disponibili modelli di comunicazione e documentazione utente per preparare gli utenti alla nuova esperienza e contribuire a garantire un'implementazione corretta. Indirizzare gli utenti su https://myprofile.microsoft.com per registrarsi selezionando il collegamento Informazioni di sicurezza su tale pagina.
Pianificare il progetto di distribuzione
Considerare le esigenze organizzative quando si determina la strategia per la distribuzione nell'ambiente in uso.
Coinvolgere gli stakeholder appropriati
Quando i progetti tecnologici hanno esito negativo, in genere la causa sono le diverse aspettative in merito a conseguenze, risultati e responsabilità. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder nel progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder e sui rispettivi input e responsabilità in merito al progetto.
Ruoli di amministratore obbligatori
| Ruolo aziendale/Utente tipo | Ruolo di Microsoft Entra (se necessario) |
|---|---|
| Supporto tecnico di livello 1 | Amministratore password |
| Supporto tecnico di livello 2 | Amministratore utenti |
| Amministratore della reimpostazione della password self-service | Amministratore dell'autenticazione |
Pianificare un progetto pilota
È consigliabile eseguire la configurazione iniziale della reimpostazione della password self-service in un ambiente di test. Iniziare con un gruppo pilota abilitando la reimpostazione della password self-service per un subset di utenti nell'organizzazione. Consultare Procedure consigliate per un progetto pilota.
Per creare un gruppo, vedere come creare un gruppo e aggiungere membri in Microsoft Entra ID.
Pianificare la configurazione
Le impostazioni seguenti sono necessarie per abilitare la reimpostazione della password self-service con i valori consigliati.
| Area | Impostazione | Valore |
|---|---|---|
| Proprietà della reimpostazione della password self-service | Reimpostazione password self-service abilitata | Gruppo selezionato per il progetto pilota/Tutti per l'ambiente di produzione |
| Metodi di autenticazione | Authentication methods required to register (Metodi di autenticazione necessari per la registrazione) | Sempre uno in più di quanto necessario per la reimpostazione |
| Authentication methods required to reset (Metodi di autenticazione necessari per la reimpostazione) | Uno o due | |
| Registrazione | Richiedere agli utenti di registrarsi all'accesso | Sì |
| Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione | 90 - 180 giorni | |
| Notifications | Inviare notifiche agli utenti al momento della reimpostazione della password | Sì |
| Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le proprie password | Sì | |
| Personalizzazione | Personalizza collegamento al supporto tecnico | Sì |
| Indirizzo di posta elettronica o URL del supporto tecnico | Sito o indirizzo di posta elettronica del supporto tecnico | |
| Integrazione locale | Writeback delle password in Active Directory locale | Sì |
| Consenti agli utenti di sbloccare gli account senza reimpostare la password | Sì |
Proprietà della reimpostazione della password self-service
Quando si abilita la reimpostazione della password self-service, scegliere un gruppo di sicurezza appropriato nell'ambiente pilota.
- Per applicare la registrazione della reimpostazione della password self-service per tutti gli utenti, usare l'opzione Tutti.
- Oppure selezionare il gruppo di sicurezza di AD o Microsoft Entra ID appropriato.
Metodi di autenticazione
Quando la reimpostazione della password self-service è abilitata, gli utenti possono reimpostare la password solo se dispongono di dati presenti nei metodi di autenticazione abilitati dall'amministratore. I metodi includono telefono, notifica dell'app Authenticator, domande di sicurezza e così via. Per altre informazioni, vedere Cosa sono i metodi di autenticazione?.
È consigliabile usare le impostazioni dei metodi di autenticazione seguenti:
Impostare l'opzione Authentication methods required to register (Metodi di autenticazione necessari per la registrazione) su un valore di almeno un'unità superiore rispetto al numero di metodi per la reimpostazione. Consentendo più metodi di autenticazione si offre maggiore flessibilità agli utenti quando devono eseguire la reimpostazione.
Impostare Numero di metodi da reimpostare su un livello appropriato per l'organizzazione. Un valore di uno comporta il minor attrito, mentre un valore pari a due può migliorare la postura di sicurezza.
Nota: l'utente deve avere i metodi di autenticazione configurati come descritto in Restrizioni e criteri password in Microsoft Entra ID.
Impostazioni di registrazione
Impostare Richiedere agli utenti di registrarsi all'accesso su Sì. Questa impostazione richiede agli utenti di registrarsi all'accesso, per assicurare che tutti gli utenti siano protetti.
Impostare Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione su un valore compreso tra 90 e 180 giorni, a meno che l'organizzazione richieda un intervallo più breve.
Impostazioni notifiche
Impostare entrambe le opzioni Notificare agli utenti le reimpostazioni delle password e Notificare agli amministratori quando altri amministratori reimpostano le proprie password su Sì. Selezionando Sì per entrambe le opzioni è possibile aumentare la sicurezza, facendo in modo che gli utenti sappiano quando la loro password viene reimpostata. Si assicura inoltre che tutti gli amministratori sappiano quando un amministratore modifica una password. Se gli utenti o gli amministratori ricevono una notifica e non hanno avviato la modifica, possono segnalare immediatamente un potenziale problema di sicurezza.
Nota
Le notifiche tramite posta elettronica del servizio di reimpostazione della password self-service (SSPR) vengono inviate dagli indirizzi seguenti in base al cloud di Azure in uso.
- Pubblico: msonlineservicesteam@microsoft.com
- Cina: msonlineservicesteam@oe.21vianet.com
- Enti pubblici: msonlineservicesteam@azureadnotifications.us
Se si osservano problemi durante la ricezione delle notifiche, controllare le impostazioni di posta indesiderata.
Impostazioni di personalizzazione
È fondamentale personalizzare l'URL o l'indirizzo di posta elettronica del supporto tecnico per assicurarsi che gli utenti che riscontrano problemi possano ottenere assistenza immediata. Impostare questa opzione su un indirizzo di posta elettronica o una pagina Web del supporto tecnico comune con cui gli utenti hanno familiarità.
Per altre informazioni, vedere Personalizzare la funzionalità di Microsoft Entra per la reimpostazione della password self-service.
Writeback delle password
Il writeback delle password è una funzionalità abilitata con Microsoft Entra Connect che consente di riscrivere le reimpostazioni delle password nel cloud in una directory locale esistente in tempo reale. Per altre informazioni, vedere Che cos'è il writeback delle password?
È consigliabile usare le impostazioni seguenti:
- Assicurarsi che l'opzione Writeback delle password in Active Directory locale sia impostata su Sì.
- Impostare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su Sì.
Per impostazione predefinita, Microsoft Entra ID sblocca gli account quando esegue una reimpostazione della password.
Impostazione della password di amministratore
Gli account amministratore hanno autorizzazioni elevate. Gli amministratori di dominio o aziendali locali non possono reimpostare le password tramite la reimpostazione della password self-service. Gli account amministratore locali prevedono le restrizioni seguenti:
- Può modificare la password solo nell'ambiente locale.
- Non è mai possibile usare le domande e le risposte segrete come metodo per reimpostare la password.
È consigliabile non sincronizzare gli account amministratore di Active Directory locali con l'ID Microsoft Entra.
Ambienti con più sistemi di gestione delle identità
Alcuni ambienti presentano più sistemi di gestione delle identità. Gli strumenti di gestione delle identità locali come Oracle IAM e SiteMinder richiedono la sincronizzazione con Active Directory per le password. A tale scopo, è possibile usare uno strumento come il servizio di notifica di modifica della password (PCNS, Password Change Notification Service) con Microsoft Identity Manager (MIM). Per trovare informazioni su questo scenario più complesso, vedere l'articolo Distribuire il servizio di notifica di modifica della password di MIM in un controller di dominio.
Pianificare i test e il supporto
In ogni fase della distribuzione, dai gruppi pilota iniziali fino al coinvolgimento dell'intera organizzazione, assicurarsi che i risultati siano quelli previsti.
Panificare i test
Per assicurarsi che la distribuzione funzioni come previsto, pianificare un set di test case per convalidare l'implementazione. Per valutare i test case, è necessario un utente di test non amministratore con una password. Se è necessario creare un utente, vedere Aggiungere nuovi utenti a Microsoft Entra ID.
La tabella seguente include utili scenari di test che è possibile usare per documentare i risultati previsti per l'organizzazione in base ai criteri.
| Caso aziendale | Risultati previsti |
|---|---|
| Il portale di reimpostazione della password self-service è accessibile dall'interno della rete aziendale | Determinati dall'organizzazione |
| Il portale di reimpostazione della password self-service è accessibile dall'esterno della rete aziendale | Determinati dall'organizzazione |
| Reimpostazione della password utente dal browser quando l'utente non è abilitato per la reimpostazione della password | L'utente non può accedere al flusso di reimpostazione della password |
| Reimpostazione della password utente dal browser quando l'utente non ha eseguito la registrazione per la reimpostazione della password | L'utente non può accedere al flusso di reimpostazione della password |
| L'utente accede quando viene richiesta la registrazione per la reimpostazione della password | Viene richiesto all'utente di registrare le informazioni di sicurezza |
| L'utente accede quando la registrazione per la reimpostazione della password è completata | Viene richiesto all'utente di registrare le informazioni di sicurezza |
| Il portale SSPR è accessibile quando l'utente non ha una licenza | Accessibile |
| Reimpostare la password utente dalla schermata di blocco di un dispositivo Windows 10 aggiunto a Microsoft Entra o aggiunto a Microsoft Entra ibrido | L'utente può reimpostare la password |
| I dati sull'utilizzo e sulla registrazione della reimpostazione della password self-service sono disponibili per gli amministratori quasi in tempo reale | Disponibilità tramite log di controllo |
Vedere anche Completare l'implementazione di un gruppo pilota per la reimpostazione della password self-service di Microsoft Entra. In questa esercitazione, abiliti un'implementazione pilota della reimpostazione della password self-service (SSPR) nell'organizzazione e effettui un test utilizzando un account non amministratore.
Pianificare il supporto
Anche se la reimpostazione della password self-service non crea in genere problemi per gli utenti, è importante preparare lo staff di supporto per gestire eventuali problemi che possono sorgere. Per garantire il successo del tuo team di supporto, puoi creare un elenco di domande frequenti basato sulle domande ricevute dagli utenti. Ecco alcuni esempi:
| Scenari | Descrizione |
|---|---|
| L'utente non ha metodi di autenticazione registrati disponibili | Un utente sta cercando di reimpostare la password, ma non dispone di alcun metodo di autenticazione registrato disponibile (ad esempio, ha lasciato il telefono cellulare a casa e non può accedere alla posta elettronica) |
| L'utente non riceve un SMS o una chiamata sul proprio telefono dell'ufficio o cellulare | Un utente sta cercando di verificare la propria identità tramite SMS o telefonata, ma non riceve il messaggio o la chiamata |
| Un utente non può accedere al portale di reimpostazione della password | Un utente vuole reimpostare la password, ma non è abilitato per la reimpostazione e non può accedere alla pagina per l'aggiornamento delle password |
| Un utente non può impostare una nuova password | Un utente completa la verifica durante il flusso di reimpostazione della password, ma non può impostare una nuova password |
| Un utente non visualizza un collegamento per la reimpostazione della password in un dispositivo Windows 10 | Un utente sta cercando di reimpostare la password dalla schermata di blocco di Windows 10, ma il dispositivo non è stato aggiunto a Microsoft Entra ID oppure i criteri dei dispositivi di Microsoft Intune non sono abilitati |
Pianificare il rollback
Per eseguire il rollback della distribuzione:
Per un singolo utente, rimuovere l'utente dal gruppo di sicurezza
Per un gruppo, rimuovere il gruppo dalla configurazione della reimpostazione della password self-service
Per tutti, disabilitare la reimpostazione della password self-service per il tenant Microsoft Entra
Distribuire la reimpostazione della password self-service
Prima della distribuzione, assicurarsi di aver eseguito queste operazioni:
Determinazione delle impostazioni di configurazione appropriate.
Identificazione degli utenti e dei gruppi per gli ambienti pilota e di produzione.
Determinazione delle impostazioni di configurazione per la registrazione e la gestione self-service.
Configurazione del writeback delle password se si usa un ambiente ibrido.
È ora possibile distribuire la reimpostazione della password self-service
Vedere Abilitare la reimpostazione della password self-service per istruzioni dettagliate complete sulla configurazione delle aree seguenti.
Abilitare la reimpostazione della password self-service in Windows
Per i computer che eseguono Windows 7, 8, 8.1 e 10 è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows
Gestire la reimpostazione della password self-service
Microsoft Entra ID può fornire informazioni aggiuntive sulle prestazioni della reimpostazione della password self-service tramite controlli e report.
Report sulle attività di gestione delle password
È possibile usare i report predefiniti disponibili nell’interfaccia di amministrazione di Microsoft Entra per misurare le prestazioni della reimpostazione della password self-service. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate. Per altre informazioni, vedere Opzioni di creazione di report per la gestione delle password di Microsoft Entra.
Nota
È necessario acconsentire esplicitamente alla raccolta di questi dati per l'organizzazione. Per acconsentire esplicitamente, è necessario visitare almeno una volta la scheda Creazione di report o i log di controllo nell’interfaccia di amministrazione di Microsoft Entra. Fino a che non si eseguono queste operazioni, i dati per l'organizzazione non vengono raccolti.
I log di controllo per la registrazione e la reimpostazione della password sono disponibili per 30 giorni. Se il controllo di sicurezza all'interno dell’azienda richiede un periodo di conservazione dati più lungo, i log devono essere esportati e utilizzati in uno strumento SIEM, ad esempio Microsoft Sentinel, Splunk o ArcSight.
Metodi di autenticazione - Utilizzo e informazioni dettagliate
La pagina Utilizzo e informazioni dettagliate consente di comprendere come funzionano i metodi di autenticazione per funzionalità come MFA Microsoft Entra e la reimpostazione della password self-service nell'organizzazione. Questa funzionalità di creazione di report consente all'organizzazione di capire quali metodi registrare e come usarli.
Risoluzione dei problemi
Documentazione utile
Come funziona: reimpostazione della password self-service di Microsoft Entra
Personalizzare la funzionalità di Microsoft Entra per la reimpostazione della password self-service
Passaggi successivi
Per cominciare a distribuire la reimpostazione della password self-service, vedere Abilitare la reimpostazione della password self-service di Microsoft Entra
Considerare l'implementazione delle password di protezione di Microsoft Entra
Considerare l'implementazione di Smart Lockout (Blocco intelligente) di Microsoft Entra