Precompilare le informazioni di contatto per l’autenticazione degli utenti per la reimpostazione della password self-service (SSPR) Microsoft Entra

Per usare la reimpostazione della password self-service di Microsoft Entra, le informazioni di autenticazione per un utente devono essere presenti. La maggior parte delle organizzazioni fa in modo che gli utenti registrino autonomamente i propri dati di autenticazione durante la raccolta di informazioni per l'autenticazione a più fattori.

Alcune organizzazioni preferiscono avviare questo processo tramite la sincronizzazione dei dati di autenticazione già esistenti in Servizi di dominio Active Directory. Questi dati sincronizzati sono resi disponibili a Microsoft Entra ID e alla funzionalità di reimpostazione della password self-service (SSPR) senza richiedere l'intervento dell'utente. Quando gli utenti devono modificare o reimpostare la password, possono farlo anche se non hanno registrato in precedenza le informazioni di contatto.

Importante

A partire dal 6 agosto 2026, se le impostazioni di SSPR richiedono agli utenti di registrarsi al momento dell'accesso e gli utenti abilitati non hanno un numero sufficiente di metodi per completare SSPR, una campagna di registrazione inviterà gli utenti interessati a registrare i metodi prima dell'applicazione obbligatoria. Verificare che gli utenti abbiano registrato almeno un metodo che soddisfi i requisiti previsti dai criteri SSPR. Per altre informazioni, vedere Come gestire i metodi di autenticazione.

A partire dal 7 settembre 2026, SSPR supporterà solo i metodi di autenticazione registrati esplicitamente. Le proprietà provenienti dalla directory, ad esempio mobilePhone, businessPhone e otherMails, che non sono mai state registrate non funzioneranno più per la verifica per la reimpostazione self-service della password.

Puoi precompilare le informazioni di contatto per l’autenticazione se soddisfi i seguenti requisiti:

  • I dati nella directory locale sono stati formattati correttamente.
  • Hai configurato Microsoft Entra Connect per il tuo tenant Microsoft Entra.

I numeri di telefono devono essere nel formato +CountryCode PhoneNumber (+Prefisso internazionale, Numero di telefono), ad esempio +1 4251234567. Ulteriori restrizioni sono:

  • È necessario uno spazio tra il prefisso internazionale e il numero di telefono.
  • La reimpostazione della password non supporta le estensioni del telefono. Anche nel formato +1 4251234567X12345, le estensioni vengono rimosse prima della chiamata.

Campi popolati

Se si utilizzano le impostazioni predefinite in Microsoft Entra Connect, vengono effettuate le seguenti mappature per compilare le informazioni di contatto per l'autenticazione di SSPR.

Active Directory locale Microsoft Entra ID
telephoneNumber Telefono ufficio
mobile Telefono cellulare

Quando l'utente verifica il numero di cellulare, il campo Telefono in Informazioni di contatto per l'autenticazione in Microsoft Entra ID viene compilato con il numero.

Informazioni di contatto per l'autenticazione

Nella pagina Metodi di autenticazione per un utente di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra, gli utenti a cui è assegnato almeno il ruolo di amministratore dell'autenticazione con privilegi possono impostare manualmente le informazioni di contatto per l'autenticazione per chiunque. È possibile esaminare i metodi esistenti nella sezione Metodi di autenticazione utilizzabili o selezionando +Aggiungi metodo di autenticazione.

Screenshot che mostra come gestire i metodi di autenticazione

Per queste informazioni di contatto per l'autenticazione si applicano le seguenti considerazioni:

  • Se il campo Telefono è compilato e l'opzione Cellulare è abilitata nei criteri SSPR, l’utente visualizza quel numero nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
  • Se il campo Posta elettronica è compilato e l'opzione Posta elettronica è abilitata nei criteri SSPR, l’utente visualizza quell'indirizzo di posta elettronica nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.

Domande di sicurezza e risposte

Le domande e le risposte di sicurezza vengono archiviate in modo sicuro nel tenant di Microsoft Entra e sono accessibili agli utenti solo tramite l'esperienza di registrazione combinata My Security-Info. Gli amministratori non possono visualizzare, impostare o modificare il contenuto delle domande e delle risposte di un altro utente.

Cosa succede quando un utente si registra?

Quando un utente si registra, i campi seguenti vengono impostati nella pagina di registrazione:

  • Telefono per l'autenticazione
  • Indirizzo di posta elettronica per l'autenticazione
  • Domande di sicurezza e risposte

Se hai specificato un valore per Cellulare o Indirizzo di posta elettronica alternativo, gli utenti possono usare immediatamente questi valori per reimpostare le password, anche se non hanno eseguito la registrazione per il servizio.

Gli utenti visualizzano tali valori anche quando si registrano per la prima volta e possono modificarli se lo desiderano. Dopo aver completato la registrazione, questi valori vengono salvati in modo permanente rispettivamente nei campi Telefono per l'autenticazione e Indirizzo di posta elettronica per l'autenticazione.

Impostare e leggere i dati di autenticazione tramite PowerShell

È possibile impostare i campi seguenti tramite PowerShell:

  • Indirizzo di posta elettronica alternativo
  • Telefono cellulare
  • Telefono ufficio
    • Può essere impostato solo se non si esegue la sincronizzazione con una directory locale.

È possibile utilizzare Microsoft Graph PowerShell per interagire con l'ID Microsoft Entra. È anche possibile usare l'API REST di Microsoft Graph per la gestione dei metodi di autenticazione.

Usare PowerShell di Microsoft Graph

Per iniziare, scarica e installa il modulo di Microsoft Graph PowerShell.

Per eseguire l'installazione rapida da versioni recenti di PowerShell che supportano Install-Module, esegui i comandi seguenti. La prima riga verifica se il modulo è già installato.

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Dopo aver installato il modulo, segui la procedura indicata per configurare ogni campo.

Imposta i dati di autenticazione con Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Leggi i dati di autenticazione con Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Passo successivo

Dopo aver precompilato le informazioni di contatto per l'autenticazione degli utenti, completa il tutorial seguente per abilitare la reimpostazione self-service della password:

Abilita la reimpostazione della password self-service di Microsoft Entra

  • Last updated on