Microsoft 365 Modern Desktop Management – Self-Service Password Reset su dispositivi Windows 10 con Microsoft Intune
Le organizzazioni che dispongono di una licenza Azure Active Directory Premium possono usufruire della Self-Service Password Reset.
Questa funzionalità agevola gli utenti finali nel reimpostare la propria password anche al di fuori della rete aziendale.
Per introdurre la Self-Service Password Reset all’interno della vostra organizzazione, vi invito a leggere l’articolo Self-Service Password Reset e Password Writeback negli ambienti ibridi con Azure AD
Limitazioni principali:
- La reimpostazione della password non è attualmente supportata in Desktop remoto o in enhanced session di Hyper-V.
- Per aggiornare la password sui dispositivi in modalità Hybrid Azure AD Join (articolo Microsoft 365 Modern Desktop Management – Hybrid Azure AD Join dei dispositivi Windows 10 con Autopilot in Microsoft Intune) è necessario l’accesso alla rete dell’organizzazione per contattare i Domain Controller.
- Prima di usare questa funzionalità sul dispositivo Windows 10, gli utenti devono registrarsi al portale https://aka.ms/sspr .
Le altre limitazioni, sono disponibili nell’articolo https://docs.microsoft.com/it-it/azure/active-directory/authentication/howto-sspr-windows
In questa guida vedremo come abilitare la funzionalità sui dispositivi Windows 10 con Microsoft Intune, in modo da consentire agli utenti di reimpostare la password nella schermata di accesso.
Creazione profilo SSPR in Device configuration
Sul portale di Intune, procedete con la creazione di un nuovo profilo in Device Configuration.
Microsoft Intune -> Device configuration -> Profiles -> Create profile:
- Platform: Windows 10 and later;
- Profile: Custom.
Figura 1 – Creazione profilo SSPR in Microsoft Intune
Indicate le seguenti impostazioni al nuovo profilo:
- Name: Self-Service Pwd Reset
- OMA-URI: ./Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
- Data type: Integer
- Value: 1
Figura 2 – Configurazione profilo SSPR in Microsoft Intune
Ed infine assegnate il profilo al gruppo di dispositivi interessati.
Figura 3 – Assegnazione profilo SSPR ai dispositivi interessati su Intune
Abilitazione Self-Service Password Reset su dispositivo Windows 10
Per sincronizzare manualmente le nuove impostazioni con il device interessato, andate in Settings -> Accounts -> Access work or school -> Connected to (azienda) MDM -> Info -> Sync.
Per gli utenti che tenteranno di eseguire l’accesso, sarà disponibile nella schemata di login l’opzione Reset password.
Figura 4 – Self Service Password Reset in Windows 10
In base alla configurazione ed al metodo di verifica dell’identità, vi verrà presentato un wizard per reimpostare la password.
Nel mio caso, ho configurato i seguenti metodi di verifica/autenticazione per la Password Reset in Azure AD:
Figura 5 – Password Reset: Configurazione in Azure AD
Wizard di reimpostazione password su dispositivo Windows 10:
Figura 6 – Inserimento utente nel wizard di reset password
Figura 7 – metodo di verifica durante reimpostazione password
Figura 8 – Inserimento nuova password
Conclusioni
Grazie a questa funzionalità, gli utenti sono autonomi nel reimpostare la propria password anche al di fuori della propria rete aziendale. L’unica nota negativa riguarda la limitazione sui dispositivi joinati in modalità ibrida che necessitano di comunicare con i servizi di Active Directory on-prem per la sincronizzazione della password.
Per approfondire la tematica, è disponibile l’articolo ufficiale https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-windows