Configurando le impostazioni in Workspace ONE Access è possibile consentire agli utenti di modificare la propria password di Active Directory dall'app o dal portale Workspace ONE Intelligent Hub in qualsiasi momento. Gli utenti possono inoltre modificare la propria password di Active Directory dalla pagina di accesso se la password è scaduta o se l'amministratore di Active Directory l'ha reimpostata, forzando gli utenti a modificarla all'accesso successivo.

È possibile impostare questa opzione per directory, selezionando l'opzione Consenti modifica password nella scheda Impostazioni della directory.

Quando sono connessi a Intelligent Hub da un browser, gli utenti possono modificare la password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Modifica password. Nell'app Intelligent Hub, gli utenti possono modificare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password.

Le password scadute o reimpostate dall'amministratore in Active Directory possono essere cambiate dalla pagina di accesso. Quando un utente prova ad accedere con una password scaduta, gli viene richiesto di reimpostarla. L'utente dovrà quindi specificare la vecchia password così come la nuova password.

Il criterio della password di Active Directory determina i requisiti per la nuova password. Dagli stessi criteri dipende anche il numero di tentativi consentiti.

Nota: Se Workspace ONE Access Connector è in esecuzione in modalità FIPS, alle password si applicano ulteriori requisiti. Vedere Workspace ONE Access Connector e la modalità FIPS per la versione del connettore in uso.

All'opzione Consenti modifica password si applicano le seguenti limitazioni.

  • Quando una directory viene aggiunta in Workspace ONE Access come catalogo globale, l'opzione Consenti modifica password non è disponibile. È possibile aggiungere la directory come Active Directory su LDAP o autenticazione integrata di Windows utilizzando la porta 389 o 636.
  • La password di un utente Nome distinto di binding non può essere reimpostata da Workspace ONE Access, anche se è scaduta o se l'amministratore di Active Directory l'ha reimpostata.

    L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.

  • Le password degli utenti i cui nomi di accesso sono costituiti da caratteri multibyte (caratteri non ASCII) non possono essere reimpostate da Workspace ONE Access.
Nota: Non è possibile selezionare l'opzione Abilita modifica password per le directory ACC.

Prerequisiti

  • Il livello di funzionalità del dominio dei controller di dominio di Active Directory deve essere impostato su Windows 2008 o versioni successive.
  • La porta 464 deve essere aperta dal servizio di sincronizzazione directory ai controller di dominio.
  • Active Directory deve utilizzare uno dei seguenti formati UPN:
    • Formato UPN regolare: samaccountname@domain
    • Formato prefisso UPN alternativo: alternativePrefix@domain
    • Formato suffisso UPN alternativo: samaccountname@alternativeSuffix

    Il formato UPN alternativePrefix@alternativeSuffix non è supportato.

  • Gli orologi dell'host del servizio di sincronizzazione directory e dei controller di dominio devono essere sincronizzati.

Procedura

  1. Nella console di Workspace ONE Access, selezionare Integrazioni > Directory.
  2. Fare clic sulla directory che si desidera configurare.
  3. Selezionare la scheda Impostazioni.
  4. Nella sezione Consenti modifica password, selezionare la casella di controllo Attiva modifica password.
    ""
  5. Immettere la password nome distinto di binding nella sezione Dettagli utente di binding, quindi fare clic su Salva.