C’è una chiamata che ogni help-desk conosce a memoria: “Ho dimenticato la password, non riesco ad accedere”. Arriva il lunedì mattina dopo il weekend, arriva al rientro dalle ferie, arriva di sera quando l’unica persona che sa resettare le credenziali ha già staccato. In una PMI dove l’IT è una persona sola o un fornitore esterno, ognuna di queste chiamate è tempo sottratto a lavoro più utile e, per l’utente bloccato, è un’attesa.
Il Self-Service Password Reset (SSPR) di Microsoft Entra ID risolve esattamente questo punto: dà all’utente la possibilità di reimpostare o sbloccare la propria password in autonomia, in modo sicuro, senza passare dall’amministratore. È una di quelle funzioni che sono già incluse nelle licenze che molte aziende hanno comprato, ma che restano spente perché nessuno le ha mai configurate.
Questa guida spiega cos’è SSPR, quali licenze servono, come si configura passo passo e come gestirlo negli ambienti ibridi con Active Directory locale.
Cos’è SSPR e perché conviene attivarlo
SSPR è la funzione di Microsoft Entra ID (la directory di identità che sta dietro a Microsoft 365 e Azure) che consente all’utente di reimpostare la password da solo. Quando dimentica la password, invece di chiamare l’IT, l’utente clicca su “Non riesci ad accedere al tuo account?” nella pagina di login, verifica la propria identità con uno o più metodi di sicurezza che ha registrato in precedenza, e imposta una nuova password.
I benefici sono concreti e misurabili nel quotidiano:
- Meno ticket all’help-desk. Il reset password è storicamente una delle voci più frequenti tra le richieste di supporto. Spostarla in self-service libera tempo prezioso.
- Sblocco fuori orario. L’utente che resta fuori la sera, nel weekend o durante una trasferta non deve aspettare che qualcuno sia disponibile: rientra da solo.
- Meno rischio di scorciatoie insicure. Quando reimpostare una password è complicato, le persone tendono a riusare credenziali deboli o ad annotarle su post-it. Un processo fluido e sicuro disincentiva queste abitudini.
SSPR copre tre scenari distinti: la modifica della password (l’utente la conosce e vuole cambiarla), la reimpostazione (l’ha dimenticata) e lo sblocco dell’account in ambienti ibridi senza necessariamente cambiarla.
I prerequisiti di licenza
SSPR non è una funzione gratuita di base per tutti gli scenari aziendali: per gli utenti membri richiede almeno Microsoft Entra ID P1.
La buona notizia per le PMI è che Entra ID P1 è incluso in Microsoft 365 Business Premium, il piano pensato proprio per le piccole e medie imprese. Se la tua azienda ha già Business Premium, hai già diritto a SSPR completo: si tratta solo di accenderlo. Lo stesso vale per i piani enterprise come Microsoft 365 E3 ed E5, e per le licenze Entra ID P1/P2 acquistate separatamente.
Se non sei certo di cosa includa il tuo piano, può aiutarti la panoramica su cosa include Microsoft 365 Business Premium, che mette in fila le componenti di sicurezza e identità del pacchetto.
Un punto sempre delicato: le scelte sulle licenze e sulla conformità hanno implicazioni che vanno oltre il lato tecnico. Per casi particolari o ambienti misti conviene una verifica con il proprio consulente prima di procedere.
Configurazione passo passo
La configurazione di SSPR si fa dal portale di Microsoft Entra (entra.microsoft.com), con un account che abbia i privilegi di amministratore appropriati. Vediamo i passaggi nell’ordine consigliato.
1. Abilitare SSPR per un gruppo pilota
Nel portale di Entra, in Protezione > Reimpostazione password, trovi l’impostazione che definisce a chi si applica SSPR. Le opzioni sono tre: nessuno, un gruppo selezionato, oppure tutti gli utenti.
La best practice non è accendere subito per tutta l’azienda. Conviene partire con un gruppo pilota — un gruppo di sicurezza di Entra ID contenente qualche utente collaborativo — per testare il flusso, verificare i messaggi e raccogliere feedback. Una volta confermato che tutto funziona, si estende a tutti.
2. Scegliere i metodi di autenticazione
Questo è il cuore della configurazione: definire come l’utente prova di essere chi dice di essere prima di reimpostare la password. I metodi disponibili includono l’app Microsoft Authenticator (notifica o codice), il codice via SMS o chiamata al telefono, l’email alternativa (non aziendale) e le domande di sicurezza.
Due indicazioni pratiche:
- Richiedi almeno due metodi per la reimpostazione. Affidarsi a un solo metodo riduce la sicurezza e aumenta il rischio che un utente resti bloccato se quel canale non è disponibile.
- Privilegia i metodi forti. Microsoft Authenticator e il codice OTP sono più robusti delle domande di sicurezza, che andrebbero usate come ultima risorsa per la natura facilmente indovinabile di molte risposte.
Se in azienda non hai ancora configurato l’app di autenticazione, parti dalla guida come configurare l’MFA con Microsoft Authenticator: gli stessi metodi registrati dall’utente serviranno sia per l’accesso che per SSPR.
3. La registrazione degli utenti
Perché SSPR funzioni, ogni utente deve aver registrato in anticipo i propri metodi di contatto. Un utente che non ha mai registrato nulla non potrà reimpostare la password da solo: dovrà comunque rivolgersi all’IT (o avere il metodo precompilato dall’amministratore).
Entra ID consente di richiedere la registrazione al primo accesso: l’utente, dopo il login, viene guidato a impostare i metodi di sicurezza. Si può anche definire ogni quanti giorni riconfermare i dati di contatto, in modo che restino aggiornati nel tempo.
Per le PMI, l’approccio più efficace è abbinare l’attivazione di SSPR a una comunicazione interna chiara: un’email o un breve momento di formazione che spieghi perché viene chiesto di registrare i metodi e come funzionerà il reset. È il passaggio che fa la differenza tra una funzione attivata e una funzione realmente usata.
4. La registrazione combinata con MFA
Microsoft ha unificato la registrazione dei metodi per SSPR e per l’autenticazione a più fattori (MFA): è la cosiddetta registrazione combinata. In pratica l’utente registra una sola volta Microsoft Authenticator o il numero di telefono, e quegli stessi metodi servono sia per il secondo fattore in fase di login sia per reimpostare la password.
Questo elimina la confusione di registrazioni doppie e rende l’esperienza più lineare. Se stai introducendo MFA e SSPR insieme — scelta consigliata, perché lavorano sulla stessa logica di identità — la registrazione combinata è il modo corretto di farlo.
Password writeback per gli ambienti ibridi
Molte PMI italiane non sono ancora completamente nel cloud: hanno ancora un dominio Active Directory locale sincronizzato con Entra ID tramite Microsoft Entra Connect. In questi ambienti ibridi, gli account “vivono” su Active Directory e vengono sincronizzati verso il cloud.
Qui si pone un problema: se l’utente reimposta la password tramite SSPR nel cloud, quella nuova password deve tornare indietro verso Active Directory, altrimenti l’utente avrebbe due password diverse e l’accesso ai sistemi locali (PC aggiunti al dominio, file server) resterebbe bloccato.
La funzione che risolve questo è il password writeback: si attiva in Entra Connect e fa sì che la password reimpostata nel cloud venga riscritta in tempo reale sull’Active Directory locale. Senza writeback, SSPR funziona solo per gli account nativi del cloud, non per quelli sincronizzati.
Il writeback richiede attenzione alla configurazione di Entra Connect e ai permessi dell’account di servizio sul dominio. Se la tua azienda sta valutando di andare oltre l’ibrido, può essere utile la guida sulla migrazione da Active Directory a Entra ID, che inquadra quando ha senso ridurre la dipendenza dal dominio locale.
Best practice per una PMI
Mettendo insieme i punti, ecco le raccomandazioni che funzionano bene nelle realtà piccole e medie:
- Attiva SSPR e MFA insieme, sfruttando la registrazione combinata. Sono due facce della stessa strategia di identità.
- Richiedi almeno due metodi di autenticazione e privilegia quelli forti rispetto alle domande di sicurezza.
- Imponi la registrazione al primo accesso e accompagnala con una comunicazione interna: la registrazione preventiva è il vero punto critico.
- Parti da un pilota prima di estendere a tutti, così intercetti eventuali attriti.
- Integra con le policy di accesso. SSPR vive accanto alle regole di Conditional Access, che governano da dove e con quali condizioni si accede: progettare i due aspetti in modo coerente evita buchi e attriti.
- Non dimenticare l’uscita. Lo stesso rigore sulle identità in ingresso vale per chi lascia l’azienda: vale la pena allineare SSPR alla checklist di offboarding sicuro.
Vista nel complesso, SSPR è uno dei tasselli del lavoro sull’identità: trova la sua casa nel piano di sicurezza basato su Microsoft Entra ID, insieme a MFA, Conditional Access e gestione del ciclo di vita degli account.
Da dove partire
SSPR è una funzione che molte PMI hanno già pagato senza saperlo e che, una volta configurata bene, ripaga ogni settimana in chiamate evitate e in autonomia restituita alle persone. La parte delicata non è il singolo interruttore, ma la regia complessiva: metodi giusti, registrazione effettiva degli utenti, writeback negli ambienti ibridi e coerenza con le altre policy di accesso.
Se preferisci che la configurazione sia impostata correttamente fin dall’inizio — e mantenuta nel tempo insieme al resto del tenant — il servizio di assistenza Microsoft 365 gestita di SynSphere segue PMI italiane proprio su questi aspetti: identità, sicurezza e supporto agli utenti. Parliamone insieme: partiamo da come è messo oggi il tuo Entra ID e definiamo i passi giusti per la tua realtà.