Come abilitare la reimpostazione della password self-service in Microsoft Entra (2023)

In questo articolo, ti guideremo attraverso i passaggi necessari per abilitare la reimpostazione della password self-service (SSPR) in Microsoft Entra. Con SSPR, gli utenti possono aggiornare la propria password o sbloccare il proprio account utilizzando un browser web. Questa funzionalità è particolarmente utile in un ambiente ibrido in cui Microsoft Entra è collegato a un ambiente Active Directory Domain Services (AD DS) in locale, poiché può causare la differenza delle password tra i due directory.

Per abilitare la sincronizzazione delle modifiche delle password in Microsoft Entra verso l'ambiente AD DS in locale, è possibile utilizzare la funzionalità di password writeback. Microsoft Entra Connect fornisce un meccanismo sicuro per inviare queste modifiche delle password a un directory in locale da Microsoft Entra. Di seguito, ti mostreremo come configurare le autorizzazioni necessarie per la password writeback, come abilitare l'opzione di password writeback in Microsoft Entra Connect e come abilitare la password writeback in Microsoft Entra SSPR.

Configurare le autorizzazioni necessarie per la password writeback

Prima di abilitare la password writeback, è importante configurare le autorizzazioni necessarie per l'account utilizzato da Microsoft Entra Connect. Questo account deve avere le autorizzazioni e le opzioni appropriate impostate per garantire il corretto funzionamento della password writeback. Di seguito sono elencate le autorizzazioni e le opzioni che devono essere impostate sull'account:

• Reset password
• Change password
• Write permissions on lockoutTime
• Write permissions on pwdLastSet
• Extended rights per "Unexpire Password" sull'oggetto radice di ogni dominio nella foresta

Per impostare correttamente le autorizzazioni per la password writeback, segui i seguenti passaggi:

1. Apri Active Directory Users and Computers nell'ambiente AD DS in locale con un account che abbia le autorizzazioni di amministratore di dominio appropriate.
2. Assicurati che le funzionalità avanzate siano attivate nel menu Visualizza.
3. Seleziona l'oggetto che rappresenta la radice del dominio nel pannello di sinistra e seleziona Proprietà > Sicurezza > Avanzate.
4. Nella scheda Autorizzazioni, seleziona Aggiungi.
5. Seleziona l'account a cui devono essere applicate le autorizzazioni (l'account utilizzato da Microsoft Entra Connect).
6. Nel menu a discesa Applica a, seleziona Oggetti utente discendenti.
7. Sotto Autorizzazioni, seleziona la casella per l'opzione Reset password.
8. Sotto Proprietà, seleziona le caselle per le seguenti opzioni: Write lockoutTime, Write pwdLastSet.
9. Seleziona Applica/OK per applicare le modifiche.
10. Ripeti i passaggi da 4 a 9 per l'account utilizzato da Microsoft Entra Connect, selezionando questa volta l'opzione Questo oggetto e tutti gli oggetti discendenti nel menu a discesa Applica a e selezionando l'opzione Unexpire Password sotto Autorizzazioni.

Ricorda che potrebbe essere necessario attendere fino a un'ora o più affinché queste autorizzazioni si replichino su tutti gli oggetti nella directory.

Abilitare l'opzione di password writeback in Microsoft Entra Connect

Una volta configurate correttamente le autorizzazioni per la password writeback, è possibile abilitare l'opzione di password writeback in Microsoft Entra Connect. Segui i seguenti passaggi:

1. Accedi al server Microsoft Entra Connect e avvia la configurazione guidata di Microsoft Entra Connect.
2. Nella pagina di benvenuto, seleziona Configura.
3. Nella pagina Attività aggiuntive, seleziona Personalizza le opzioni di sincronizzazione e successivamente seleziona Avanti.
4. Nella pagina Connetti a Microsoft Entra ID, inserisci le credenziali di un amministratore globale per il tuo tenant di Azure e seleziona Avanti.
5. Nelle pagine Connetti directory e Filtri dominio/OU, seleziona Avanti.
6. Nella pagina Funzionalità opzionali, seleziona la casella accanto a Password writeback e seleziona Avanti.
7. Nella pagina Estensioni directory, seleziona Avanti.
8. Nella pagina Pronto per la configurazione, seleziona Configura e attendi il completamento del processo.
9. Quando visualizzi la configurazione completata, seleziona Esci.

Abilitare la password writeback in Microsoft Entra SSPR

Ora che l'opzione di password writeback è abilitata in Microsoft Entra Connect, è possibile configurare Microsoft Entra SSPR per la password writeback. Segui i seguenti passaggi:

1. Accedi al centro di amministrazione di Microsoft Entra come amministratore globale.
2. Naviga fino a Protezione > Reimpostazione password e seleziona Integrazione in locale.
3. Seleziona l'opzione Write back passwords to your on-premises directory.
4. (Opzionale) Se sono rilevati gli agenti di sincronizzazione di Microsoft Entra Connect provisioning, puoi selezionare anche l'opzione Write back passwords with Microsoft Entra Connect cloud sync.
5. Seleziona l'opzione Allow users to unlock accounts without resetting their password e impostala su Yes.
6. Quando sei pronto, seleziona Salva.

Conclusioni

In questo articolo, abbiamo esaminato come abilitare la reimpostazione della password self-service in Microsoft Entra utilizzando la funzionalità di password writeback. Abbiamo fornito istruzioni dettagliate su come configurare le autorizzazioni necessarie per la password writeback, come abilitare l'opzione di password writeback in Microsoft Entra Connect e come abilitare la password writeback in Microsoft Entra SSPR. Seguendo questi passaggi, sarai in grado di sincronizzare le modifiche delle password tra Microsoft Entra e l'ambiente AD DS in locale, offrendo agli utenti un'esperienza di reimpostazione della password più fluida e sicura.

Ricorda che la sicurezza delle password è fondamentale per la protezione dei dati sensibili, quindi assicurati di seguire le migliori pratiche di sicurezza e di configurare le autorizzazioni correttamente.