Microsoft Intune – Abilitare il Self-Service Password Reset SSPR al login di Windows 10/11

La reimpostazione della password self-service (SSPR) offre agli utenti in Azure Active Directory (Azure AD) la possibilità di modificare o reimpostare la password, senza coinvolgimento dell’amministratore o dell’help desk. In genere, gli utenti aprono un Web browser in un altro dispositivo per accedere al portale della reimpostazione della reimpostazione della password di accesso. Per migliorare l’esperienza nei computer che eseguono Windows 10 e 11, è possibile consentire agli utenti di reimpostare la password nella schermata di accesso di Windows.

Le funzionalità che costituiscono la reimpostazione della password self-service includono la modifica, la reimpostazione, lo sblocco e il writeback in una directory locale e sono disponibili in Microsoft 365 Business Standard o versione successiva e tutti gli SKU Azure AD Premium senza costi. Qui di seguito c’è un elenco delle licenze necessarie:

  • Azure AD Premium P1
  • Azure AD Premium P2
  • Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 or A3
  • Microsoft 365 E5 or A5
  • Microsoft 365 F1
  • Microsoft 365 Business Standard
  • Microsoft 365 Business Premium

Maggiori informazioni sono disponibili alla pagina Assegnare la licenza per la reimpostazione della password self-service – Azure Active Directory – Microsoft Entra | Microsoft Learn

Limitazioni generali

Le limitazioni seguenti si applicano all’uso della reimpostazione della password di accesso di Windows dalla schermata di accesso di Windows:

  • La reimpostazione della password non è attualmente supportata da desktop remoto o da sessioni avanzate di Hyper-V.
  • Questa funzionalità non funziona per le reti con l’autenticazione di rete 802.1x distribuita e l’opzione “Esegui immediatamente prima dell’accesso dell’utente”.
  • Per usare la nuova password e aggiornare le credenziali memorizzate nella cache, è necessario che i computer aggiunti ad Azure AD ibrido (Hybrid Azure AD Join) possano contattare un controller di dominio. Ciò significa che i dispositivi devono trovarsi nella rete interna dell’organizzazione o in una VPN con accesso di rete a un controller di dominio locale. In alternativa si può usare il password writeback, come ho avuto modo di mostrare nell’articolo Self-Service Password Reset e Password Writeback negli ambienti ibridi con Azure AD – ICT Power

Abilitare la reimpostazione self-service delle password

La funzionalità di reimpostazione della password è gratuita per gli utenti creati direttamente in Azure AD in Cloud.

Se vogliamo poi effettuare il password writeback per gli utenti che sono sincronizzati in modalità ibrida con Active Directory locale dobbiamo assegnare ad ogni utente una licenza a pagamento di Azure AD. Vi rimando alla pagina Requisiti di licenza per la reimpostazione password self-service di Azure AD per ottenere maggiori informazioni sulle differenze di funzionalità di reimpostazione della password self-service disponibili per le diverse versioni di Azure AD, che come sapete è disponibile in quattro edizioni: Gratuita, Basic, Premium P1 e Premium P2.

Per abilitare la reimpostazione self-service delle password è necessario accedere al portale Microsoft Entra admin center con un account amministratore globale e selezionare Reimpostazione password. Potete iniziare ad abilitate la funzionalità per un numero di utenti limitato (un gruppo pilota) oppure potete abilitarla per tutti gli utenti.

Figura 1: Abilitazione del self-service password reset per un gruppo di Azure AD

Nella pagina Registrazione potete Richiedere agli utenti di registrarsi all’accesso e impostare il Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione

Figura 2: Richiesta agli utenti di registrarsi all’accesso ad Azure AD

Nella pagina Metodi di autenticazione potete impostare il  Numero di metodi da reimpostare e scegliere i Metodi disponibili per gli utenti che l’azienda vuole consentire. È possibile abilitare posta elettronica, telefono cellulare, telefono ufficio, notifica dell’app per dispositivi mobili e Codice dell’app per dispositivi mobili L’app per dispositivi mobili che vi consiglio è Microsoft Authenticator.

Figura 3: Modifica dei metodi di autenticazione per il Password reset

Creazione del profilo di configurazione dei dispositivi utilizzando Microsoft Intune

Collegatevi al portale Microsoft Endpoint Manager admin center e scegliete Device configuration -> Profiles -> Create profile. Create un profilo per Windows 10 e versioni successive e come profile type scegliete Settings Catalog.

Il Settings catalog (catalogo delle impostazioni) semplifica la creazione di un criterio di configurazione in Microsoft Intune e la visualizzazione di tutte le impostazioni disponibili. Se si preferisce configurare le impostazioni a livello granulare, analogamente alle Group Policy, il catalogo delle impostazioni è una transizione naturale.

A partire da  Intune Service Release 2206, il Settings catalog è diventato generally available (GA) per gestire dispositivi Windows, iOS/iPadOS e macOS.

In particolare, tramite il settings catalog possiamo configurare:

  • Per iOS/iPadOS le impostazioni del dispositivo generate direttamente da Apple Profile-Specific Payload Keys. Per altre informazioni sulle chiavi di payload specifiche del profilo, visitate la pagina Chiavi payload specifiche del profilo
  • Per macOS le impostazioni del dispositivo generate direttamente da Apple Profile-Specific Payload Keys. Per altre informazioni sulle chiavi di payload specifiche del profilo, visitate la pagina Chiavi payload specifiche del profilo
  • Per Windows10/11 migliaia di impostazioni, incluse le impostazioni che non sono state disponibili in precedenza. Queste impostazioni vengono generate direttamente dai provider di servizi di configurazione (CSP) di Windows. È anche possibile configurare modelli amministrativi e disporre di altre impostazioni dei modelli amministrativi disponibili.

Le impostazioni che vengono scelte saranno poi aggiunte ai configuration profiles.

Per maggiori approfondimenti vi rimando al mio articolo Microsoft Intune – Utilizzare il settings catalog per configurare dispositivi Windows, iOS/iPadOS e macOS – ICT Power

Figura 4: Creazione di un profilo di configurazione in Microsoft Intune

Inserite nel wizard il nome del profilo di configurazione e una descrizione.

Figura 5: Nome e descrizione del profilo di configurazione

Nella scheda Configuration settings fate clic su + Add settings e dal Settings picker cercate la configurazione che più vi interessa. Io ho cercato “Allow Aad Password Reset”e mi ha mostrato l’unica configurazione disponibile, che poi è possibile selezionare mettendo un segno di spunta.

Figura 6: Scelta della configurazione da distribuire

La configurazione sarà aggiunta alla scheda Configuration Settings e potremo quindi abilitarla spostando il toggle su Allow.

Figura 7: Abilitazione della funzionalità scelta

Nella scheda Scope tags aggiungete eventuali tag per applicare il profilo ad un ambito ristretto.

Figura 8: Scope tag del configuration profile

Assegnate il profilo al gruppo di dispositivi che volete configurare. Io ho scelto di applicarlo a tutti i dispositivi aziendali.

Figura 9: Assegnazione del profilo al gruppo di dispositivi da configurare

Figura 10: Schermata di riepilogo del profilo di configurazione

Figura 11: Nuovo profilo di configurazione creato

Attendete che il profilo di configurazione venga distribuito e sulla schermata di login di Windows 10 e Windows 11 apparirà il link Reset password.

Esperienza utente

Se l’utente ha dimenticato la password avrà la possibilità di resettarla anche se non ha ancora effettuato il login a Windows. Cliccando sul pulsante Reset password gli apparrà infatti il wizard per reimpostare la password di Azure AD. È ovvio che sia necessario che il computer sia connesso ad Internet.

Figura 12: Nella schermata di login è apparso il pulsante Reset password

Figura 13: Inserimento della username di cui vogliamo effettuare il reset della password

Se l’utente non è nel gruppo autorizzato ad effettuare il Self-Service password reset (vi ricordate che lo abbiamo impostato all’inizio di questa guida?) non potrà resettarsi da solo da password e verrà effettuata una richiesta che arriverà via agli amministratori di Azure AD, come mostrato nelle figure sotto:

Figura 14: L’utente non appartiene al gruppo di Azure AD a cui è concesso il self-service password reset e non può resettarsi la password da solo

Figura 15: Invio della richiesta di reset della password agli amministratori di Azure AD

Figura 16: Mail di richiesta di reset della password ricevuta dall’amministratore di Azure AD

Anche gli utenti che non hanno preventivamente effettuato la registrazione al portale di Self-Service password reset riceveranno lo stesso errore. Per questo motivo è necessario che gli utenti prima si registrino al portale https://aka.ms/ssprsetup , in modo tale da fornire una modalità alternativa per verificare la propria identità. Lo stesso portale può essere utilizzato per la registrazione della Multi-factor Authentication.

Nelle schermate sotto sono mostrati tutti i passaggi richiesti dal portale per la registrazione delle informazioni necessarie al Self-Service password reset.

Figura 17: Accesso al portale di self-service password reset registration

Figura 18: Utilizzo dell’SMS per la verifica dell’identità

Figura 19: Inserimento del metodo di verifica dell’identità tramite SMS effettuato

Nelle schermate sotto vengono mostrati tutti i passaggi che l’utente che si è registrato al portale di Self-Service password reset e che è autorizzato al reset della password dovrà effettuare.

Figura 20: Richiesta di reset della password al login di Windows

Figura 21: Inserimento dell’utenza di cui si vuole effettuare il reset della password

Figura 22: Inserimento del numero di telefono necessario alla verifica dell’identità dell’utente

Figura 23: Inserimento del codice di verifica ricevuto dall’utente tramite SMS

Figura 24: Inserimento della nuova password

Figura 25: Password resettata con successo

Se è stato abilitato il writeback delle password tramite Azure AD Connect nel caso di computer in Azure AD Hybrid Join, come già scritto nell’articolo Self-Service Password Reset e Password Writeback negli ambienti ibridi con Azure AD – ICT Power, la password modificata verrà immediatamente sincronizzata con il domain controller.

Conclusioni

Il Self-Service Password Reset ed il Password Writeback permettono agli utenti di potersi resettare in autonomia la password, anche quella di Active Directory locale. Questa funzionalità alleggerisce parecchio il compito dell’HelpDesk, che come ben sappiamo viene spesso interessato dagli utenti per il cambio password dovuto a dimenticanza o smarrimento. Grazie a questa funzionalità, gli utenti sono autonomi nel reimpostare la propria password anche al di fuori della propria rete aziendale.