Opzioni di distribuzione per la reimpostazione della password self-service

Importante

A settembre 2022, Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non supportano più richieste di autenticazione a più fattori (MFA). I clienti del server Azure Multi-Factor Authentication devono invece passare a usare provider MFA personalizzati con la reimpostazione della password self-service mim o la reimpostazione della password self-service di Microsoft Entra anziché la reimpostazione della password self-service mim.

Per i nuovi clienti con licenza per Microsoft Entra ID P1 o P2, è consigliabile usare la reimpostazione della password self-service di Microsoft Entra per offrire l'esperienza dell'utente finale. La reimpostazione della password self-service di Microsoft Entra offre sia un'esperienza basata sul Web che integrata in Windows per consentire a un utente di reimpostare la propria password e supporta molte delle stesse funzionalità di MIM, tra cui messaggi di posta elettronica alternativi e controlli Q&A. Quando si distribuisce la reimpostazione della password self-service di Microsoft Entra, è possibile configurare Microsoft Entra Connect per eseguire il writeback delle nuove password in Servizi di dominio Active Directory e per inoltrare le password ad altri sistemi, ad esempio il server directory di un altro fornitore. La distribuzione di MIM per la gestione delle password non richiede la distribuzione del servizio MIM o la reimpostazione della password self-service MIM o i portali di registrazione. È invece possibile seguire questa procedura:

• Prima di tutto, se è necessario inviare password a directory diverse da Microsoft Entra ID e ACTIVE Directory Domain Services, distribuire la sincronizzazione MIM con i connettori ai servizi di Dominio di Active Directory e a eventuali sistemi di destinazione aggiuntivi, configurare MIM per la gestione delle password e distribuire il servizio di notifica delle modifiche delle password.
• Quindi, se è necessario inviare password a directory diverse da Microsoft Entra ID, configurare Microsoft Entra Connect per la scrittura delle nuove password in Servizi di dominio Active Directory.
• Facoltativamente, preregistra gli utenti.
• Infine, implementare la reimpostazione della password self-service di Microsoft Entra agli utenti finali.

Per i clienti di Forefront Identity Manager (FIM) o MIM concessi in licenza per Microsoft Entra ID P1 o P2, è consigliabile pianificare la transizione alla reimpostazione della password self-service di Microsoft Entra. È possibile eseguire la transizione degli utenti finali alla reimpostazione della password self-service di Microsoft Entra senza bisogno di registrarli di nuovo, sincronizzando o impostando tramite PowerShell l'indirizzo di posta elettronica alternativo o il numero di telefono cellulare di un utente. Dopo che gli utenti sono stati registrati per la reimpostazione della password self-service di Microsoft Entra, il portale di reimpostazione della password FIM può essere rimosso.

Le distribuzioni MIM 2016 che usano Microsoft Entra MFA devono passare all'uso della reimpostazione della password self-service MIM con un provider MFA personalizzato o la reimpostazione della password self-service di Microsoft Entra. Le nuove distribuzioni devono usare un provider MFA personalizzato o la reimpostazione della password self-service di Microsoft Entra.

Distribuzione del portale di reimpostazione password self-service MIM tramite un provider personalizzato per l'autenticazione a più fattori

La sezione seguente descrive come distribuire il portale di reimpostazione della password self-service MIM usando un provider per l'autenticazione a più fattori. Questi passaggi sono necessari solo per i clienti che non usano la reimpostazione della password self-service di Microsoft Entra per gli utenti.

Con l'autenticazione a più fattori, gli utenti eseguono l'autenticazione tramite il provider esterno per verificare la propria identità durante il tentativo di ottenere nuovamente l'accesso all'account e alle risorse. È possibile eseguire l'autenticazione tramite SMS o chiamata telefonica. Più forte è l'autenticazione, maggiore è la fiducia che la persona che tenta di ottenere l'accesso è effettivamente l'utente reale che possiede l'identità. Una volta autenticato, l'utente può scegliere una nuova password per sostituire quella precedente.

Prerequisiti per configurare lo sblocco e la reimpostazione della password dell'account self-service tramite MFA

Questa sezione presuppone che siano stati scaricati e completati la distribuzione dei componenti di Sincronizzazione MIM di Microsoft Identity Manager 2016, del servizio MIM e del portale MIM, inclusi i componenti e i servizi seguenti:

• Un controller Dominio di Active Directory con un dominio designato (un dominio "aziendale")

• Un criterio di gruppo è definito per il blocco degli account

• Il servizio di sincronizzazione MIM 2016 (sincronizzazione) viene installato e in esecuzione in un server aggiunto a un dominio di Active Directory

• Il portale e il servizio MIM 2016, incluso il portale di registrazione della reimpostazione della password self-service e il portale di reimpostazione della password self-service, vengono installati e in esecuzione in un server (potrebbero essere posizionati in modalità condivisa con la sincronizzazione)

• La sincronizzazione MIM è configurata per la sincronizzazione delle identità AD-MIM, tra cui:

  • Configurazione dell'agente di gestione Active Directory (ADMA) per la connettività ad Active Directory Domain Services ed eseguire i profili per importare i dati di identità da ed esportarli in Active Directory.

  • Configurazione dell'agente di gestione MIM (MIM MA) per la connettività al database del servizio FIM ed eseguire i profili per importare i dati di identità da ed esportarli nel database FIM.

  • Configurazione delle regole di sincronizzazione nel portale MIM per consentire la sincronizzazione dei dati utente e semplificare le attività basate sulla sincronizzazione nel servizio MIM.

• I componenti aggiuntivi e le estensioni MIM 2016, incluso il client integrato SSPR Di Accesso Windows, vengono distribuiti nel server o in un computer client separato.

Preparare MIM per l'uso con MFA

Configurare la sincronizzazione MIM per supportare la funzionalità di reimpostazione della password e sblocco dell’account. Per altre informazioni, vedere Installazione dei componenti aggiuntivi e delle estensioni FIM, Installazione della reimpostazione della password self-service fim, controlli di autenticazione della reimpostazione della password self-service e guida al lab di test della reimpostazione della password self-service.

Configurare il controllo del telefono o il controllo della password monouso tramite SMS

1. Avviare Internet Explorer e passare al portale MIM, autenticandosi come amministratore MIM, quindi fare clic su Flussi di lavoro nella barra di spostamento a sinistra.

   

2. Controllare il flusso di lavoro di autenticazione per la reimpostazione della password.

   

3. Fare clic sulla scheda Attività e quindi scorrere verso il basso fino a Aggiungi attività.

4. Selezionare Gate telefonico o Controllo SMS monouso fare clic su Seleziona e quindi su OK.

   Nota

   Se si usa un altro provider che genera la password una tantum, assicurarsi che il campo di lunghezza configurato sia la stessa lunghezza di quella generata dal provider MFA.

Gli utenti dell'organizzazione possono ora registrarsi per la reimpostazione della password. Durante questo processo, dovranno immettere il proprio numero di telefono dell'ufficio o di cellulare, in modo che il sistema abbia le informazioni necessarie per chiamarli o inviare loro SMS.

Registrare gli utenti per la reimpostazione della password

1. Un utente avvierà un Web browser e passerà al portale di registrazione per la reimpostazione della password MIM. In genere, questo portale è configurato con l'autenticazione di Windows. All'interno del portale gli utenti forniranno di nuovo nome utente e password per confermare la propria identità.

   Gli utenti devono accedere al portale di registrazione password ed effettuare l’autenticazione con nome utente e password.

2. Nel campo Numero di telefono o telefono cellulare devono immettere un codice paese, uno spazio e il numero di telefono e fare clic su Avanti.

   

   

Come funziona per gli utenti?

Ora che tutto è configurato e in esecuzione, è possibile sapere cosa dovranno fare gli utenti se dimenticano le proprie password.

Esistono due modi in cui un utente può usare la funzionalità di reimpostazione della password e sblocco dell'account, dalla schermata di accesso di Windows o dal portale self-service.

Installando Componenti aggiuntivi ed estensioni MIM in un computer aggiunto al dominio connesso tramite la rete aziendale al servizio MIM, gli utenti possono recuperare una password dimenticata al momento dell'accesso al desktop. I passaggi seguenti illustrano il processo.

Reimpostazione della password integrata all'accesso al desktop di Windows

1. Se l'utente immette la password errata più volte, nella schermata di accesso sarà possibile fare clic su Problemi di accesso? .

   

   Facendo clic su questo collegamento, verrà visualizzata la schermata di reimpostazione della password MIM in cui è possibile modificare la password o sbloccare l'account.

   

2. L'utente verrà indirizzato per l'autenticazione. Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata.

3. In background, ciò che accade è che il provider MFA inserisce quindi una telefonata al numero assegnato all'utente quando l'utente ha effettuato l'iscrizione al servizio.

4. Quando un utente risponde al telefono, potrebbe essere richiesto di interagire, ad esempio, per premere il tasto cancelletto # sul telefono. Quindi l'utente fa clic su Avanti nel portale.

   Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

   Nota

   Se l'utente è impaziente e fa clic su Avanti prima di premere il tasto cancelletto #, l'autenticazione non riesce.

5. Dopo l'autenticazione, l'utente potrà scegliere se sbloccare l'account e mantenere la password corrente oppure impostare una nuova password.

6. L’utente deve quindi immettere due volte una nuova password e la password sarà reimpostata.

Accedere dal portale self-service.

1. Gli utenti possono aprire un Web browser, passare al portale di reimpostazione password e immettere il nome utente e fare clic su Avanti.

   Se è stata configurata l'autenticazione a più fattori, l'utente riceverà una telefonata. In background, ciò che accade è che l'autenticazione a più fattori Di Microsoft Entra inserisce quindi una telefonata al numero che l'utente ha dato quando ha effettuato l'iscrizione al servizio.

   Quando un utente risponde al telefono, gli viene chiesto di premere il tasto cancelletto (#). Quindi l'utente fa clic su Avanti nel portale.

2. Se si impostano anche altri controlli, all'utente verrà chiesto di fornire ulteriori informazioni nelle schermate successive.

   Nota

   Se l'utente è impaziente e fa clic su Avanti prima di premere il tasto cancelletto #, l'autenticazione non riesce.

3. L'utente dovrà scegliere se vuole reimpostare la password o sbloccare il proprio account. Se scelgono di sbloccare il proprio account, l'account verrà sbloccato.

   

4. Al termine dell'autenticazione, all'utente verranno fornite due opzioni, per mantenere la password corrente o per impostare una nuova password.

5. 

6. Se l'utente sceglie di reimpostare la password, dovrà digitare due volte una nuova password e fare clic su Avanti per modificare la password.