Self-Service Password Reset e Password Writeback negli ambienti ibridi con Azure AD

Il writeback delle password è una funzionalità abilitata con Azure AD Connect che permette agli utenti di potersi resettare in autonomia la password, usando il Self-Service Password Reset del portale di Microsoft Online, e di poter poi sincronizzare la stessa password anche nell’Active Directory aziendale.

Con Azure AD Connect possiamo tenere aggiornati gli utenti e le password del dominio locale con Azure AD (e quindi anche con Office 365), ma la modifica o il reset della password deve essere effettuato dall’Active Directory locale.

Il Self-Service Password Reset/Change/Unlock con on-premises writeback  è una funzionalità premium in Azure AD e per poterla abilitare è necessario che abbiate assegnato una di queste licenze al vostro tenant:

  • Azure AD Premium P1
  • Azure AD Premium P2
  • Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 or A3
  • Microsoft 365 E5 or A5
  • Microsoft 365 F1
  • Microsoft 365 Business

NOTA: le licenze standalone di Office 365 sia Business che Enterprise
non sono sufficienti a darvi la possibilità di usare il self-service password reset ed il password writeback.

Molte volte mi è capitato infatti che, durante i corsi su Microsoft Azure o su Office 365, i tecnici mi facciano domande in merito al password writeback di Azure AD e spesso rimangano delusi del fatto che la funzionalità preveda una licenza aggiuntiva di Azure AD Premium.

Vantaggi e supporto del password writeback

Il writeback delle password è supportato in ambienti che usano:

e ha i seguenti vantaggi:

  • Applica i criteri della password che sono stati stabiliti nell’Active Directory aziendale: quando un utente reimposta la propria password, viene verificato che soddisfi i criteri di Active Directory locali prima di eseguirne il commit nella directory. Questo esame include il controllo di cronologia, complessità, validità, filtri delle password e altre restrizioni per le password definite in Active Directory locale.
  • Non c’è nessun ritardo nell’effettuare il writeback delle password:
    Il writeback delle password è un’operazione sincrona. Gli utenti vengono informati immediatamente se la password non soddisfa i criteri o non può essere reimpostata o modificata per qualsiasi motivo.
  • Supporta la modifica delle password dal pannello di accesso del federation server e da Office 365: quando gli utenti federati o sincronizzati con l’hash delle password modificano le password scadute o non scadute, queste verranno sincronizzate con l’ambiente Active Directory locale.
  • Supporta il writeback delle password quando un amministratore le reimposta dal portale di Azure: quando un amministratore reimposta la password di un utente nel portale di Azure, se tale utente è federato o sincronizzato con l’hash delle password, la password verrà riscritta in locale. Questa funzionalità non è attualmente supportata nel portale di amministrazione di Office.
  • Non richiede regole del firewall in entrata: il writeback delle password usa un bus di servizio di Azure come canale di comunicazione sottostante. Tutte le comunicazioni sono in uscita tramite la porta 443.

Operazioni di writeback supportate

Il writeback delle password viene eseguito in tutte le seguenti situazioni:

  • Attività degli utenti finali
    • Qualsiasi operazione self-service volontaria di modifica della password dell’utente finale
    • Qualsiasi operazione self-service forzata di modifica della password dell’utente finale, ad esempio in seguito a scadenza della password
    • Qualsiasi reimpostazione password self-service dell’utente finale originata dal portale di reimpostazione password
  • Operazioni degli amministratori
    • Qualsiasi operazione self-service volontaria di modifica della password dell’amministratore
    • Qualsiasi operazione self-service forzata di modifica della password dell’amministratore, ad esempio in seguito a scadenza della password
    • Qualsiasi reimpostazione password self-service dell’amministratore originata dal portale di reimpostazione password
    • Qualsiasi reimpostazione della password dell’utente finale avviata dall’amministratore dal portale di Azure
    • Qualsiasi password dell’utente finale avviata dall’amministratore di reimpostare la password dal interfaccia di amministrazione di Microsoft 365

NOTA: Per utilizzare la funzionalità di password writeback è necessario prima abilitare la reimpostazione self-service delle password

Abilitare la reimpostazione self-service delle password

La funzionalità di reimpostazione della password è gratuita per gli utenti creati direttamente in Azure AD in Cloud ma se vogliamo poi effettuare il password writeback per gli utenti che sono sincronizzati in modalità ibrida con Active Directory locale dobbiamo assegnare ad ogni utente una licenza a pagamento di Azure AD. Vi rimando alla pagina Requisiti di licenza per la reimpostazione password self-service di Azure AD per ottenere maggiori informazioni sulle differenze di funzionalità di reimpostazione della password self-service disponibili per le diverse versioni di Azure AD, che come sapete è disponibile in quattro edizioni: Gratuita, Basic, Premium P1 e Premium P2.

Per abilitare la reimpostazione self-service delle password è necessario accedere al portale di Azure con un account amministratore globale, passare ad Azure Active Directory e selezionare Reimpostazione password. Potete iniziare ad abilitate la funzionalità per un numero di utenti limitato (un gruppo pilota) oppure potete abilitarla per tutti gli utenti.

Figura 1: Proprietà di password reset per Azure Active Directory

Nella pagina Metodi di autenticazione potete impostare il  Numero di metodi da reimpostare e scegliere i Metodi disponibili per gli utenti che l’azienda vuole consentire. È possibile abilitare posta elettronica, telefono cellulare, telefono ufficio, notifica dell’app per dispositivi mobili (anteprima) e Codice dell’app per dispositivi mobili (anteprima). L’app per dispositivi mobili che vi consiglio è Microsoft Authenticator, ma io uso anche con successo Google Authenticator

Figura 2: Modifica dei metodi di autenticazione per il Password reset

Nella pagina Registrazione potete Richiedere agli utenti di registrarsi all’accesso e impostare il Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazione

Figura 3: Richiesta agli utenti di registrarsi all’accesso

Nella pagina Notifiche potete impostare l’opzione Notificare agli utenti le reimpostazioni delle password e potete impostare di Notificare agli amministratori quando altri amministratori reimpostano le proprie password

Figura 4: Notifiche dell’avvenuto reset delle password

Nella pagina Personalizzazione potete specificare un indirizzo di posta elettronica o l’URL di una pagina web in cui gli utenti possono ottenere ulteriore assistenza dal supporto nel campo Indirizzo di posta elettronica o URL del supporto tecnico

Figura 5: Persoanlizzazione della pagina di assistenza tecnica

Testare la reimpostazione della password self-service come utente

Eseguite la registrazione per la reimpostazione della password self-service per un utente di prova (che non sia amministratore) usando il portale di registrazione all’indirizzo https://aka.ms/ssprsetup. Dopo aver effettuato il login sarà necessario inserire le informazioni richieste, in particolare un numero di telefono ed una e-mail alternativa, come mostrato in figura:

Figura 6: Configurazione delle Informazioni utente utili per il reset della password

Una volta che avete inserito le informazioni richieste, l’utente potrà accedere al portale di reimpostazione della password self-service utilizzando il link https://aka.ms/sspr oppure il link https://passwordreset.microsoftonline.com/.

Nelle figure sotto è mostrata la procedura che l’utente seguirà per resettarsi in autonomia la password:

Figura 7: Richiesta dell’account di cui si vuole resettare la password

Figura 8: Scelta del metodo di verifica della propria identità

Figura 9: Codice ricevuto da Microsoft, da inserire nel portale per conferma la propria identità

Figura 10: Modifica della password in modalità self-service

Abilitazione del writeback delle password

Come ho scritto prima, il writeback delle password è abilitato tramite Azure AD Connect. Avviate la configurazione guidata di Azure AD Connect e dopo esservi autenticati, nella pagina Optional features mettete il segno di spunta su Password writeback

Figura 11: Abilitazione della funzionalità di Password Writeback in Azure Ad Connect

Proseguite il wizard, cliccate su Configure e attendere il completamento del processo.

Figura 12: Abilitazione del Password writeback

Ricordatevi che l’abilitazione della funzionalità di writeback delle password in Azure AD Connect è soltanto parte del processo. Per completare il processo, occorre consentire alla reimpostazione della password self-service di usare il writeback delle password, in modo che gli utenti che modificano o reimpostano la password possano avere la nuova password impostata anche nell’Active Direcotry locale.

Accedete quindi al portale di Azure con un account amministratore globale, passate ad Azure Active Directory, fate clic su Reimpostazione password e quindi scegliete Integrazione locale. Impostate l’opzione Eseguire il writeback delle password nella directory locale su  e decidete se volete anche impostare l’opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password, come mostrato nella figura sotto:

Figura 13: Abilitazione dell’integrazione con l’Active Directory on-premises

A questo punto la procedura è terminata e d’ora in poi i vostri utenti, se dimenticano la password, possono resettarla in autonomia senza dover richiederlo al servizio di Helpdesk.

Conclusioni

Il Self-Service Password Reset ed il Password Writeback permettono agli utenti di potersi resettare in autonomia la password, anche quella di Active Directory locale, utilizzando il portale di Microsoft Online. Questa funzionalità alleggerisce parecchio il compito dell’HelpDesk, che come ben sappiamo viene spesso interessato dagli utenti per il cambio password dovuto a dimenticanza o smarrimento.