Vai al contenuto principale
Questo articolo spiega come identificare la causa di un problema di accesso correlato a una password, risolvere la situazione (in remoto o localmente) e prevenire incidenti futuri.

Identificare le cause comuni

I problemi di accesso possono essere causati da:
  • Una password dimenticata dopo un periodo di inattività o una modifica recente.
  • Un errore di battitura relativo al layout della tastiera (ad esempio, passaggio da AZERTY a QWERTY).
  • Un cambiamento nelle politiche di sicurezza (requisiti di complessità, lunghezza o rotazione).
  • Un problema con SecureToken su macOS: alcune richieste di password nella schermata di accesso richiedono effettivamente un account abilitato a SecureToken, non la normale password di accesso dell’utente.

Diagnosticare e proteggere

Evita tentativi di accesso ripetuti

Importante: chiedi all’utente di non tentare più accessi errati. Su macOS, diversi tentativi falliti potrebbero attivare il Ripristino del sistema operativo, rendendo il recupero della password più complesso.

Verificare l’immissione della password con l’utente

  1. Chiedere all’utente di digitare la password in un campo visibile (ad esempio “Nome Utente”) per verificare i caratteri inseriti.
  2. Controlla il layout della tastiera e la lingua di input:
    • macOS: Impostazioni di sistema → Lingua e zona → Metodo di immissione
    • Windows: Impostazioni → Ora e lingua → Lingua e zona

Controlla la policy password applicata

Gli amministratori possono definire le politiche di sicurezza (complessità, frequenza di rinnovo, rotazione, ecc.). In Primo, vai su Impostazioni → Sicurezza → Criteri password e conferma la regola applicata al dispositivo dell’utente. Una policy recente potrebbe aver richiesto la modifica della password.

Controlla lo stato del SecureToken (solo macOS)

Su macOS, alcune richieste di accesso, in particolare quando si sblocca FileVault, si utilizzano funzionalità a livello di amministratore o dopo una modifica della policy, richiedono effettivamente un account abilitato a SecureToken, non la normale password di accesso. Un utente potrebbe avere la password corretta ma essere comunque bloccato se il suo account non dispone di un SecureToken o se gli viene richiesto un account diverso (amministratore) che contiene il token. Per verificare lo stato del SecureToken sul dispositivo:
  1. Apri Terminale sul Mac.
  2. Esegui: 
    sysadminctl -secureTokenStatus <username>
  3. L’output mostrerà SecureToken is ENABLED o SecureToken is DISABLED per quell’utente.
Se SecureToken è disabilitato:
  • Un utente amministratore con SecureToken può concederlo a un altro utente: 
    sysadminctl -secureTokenOn <target_username> -password <target_password> -adminUser <admin_username> -adminPassword <admin_password>
  • In alternativa, puoi utilizzare MDM → Profili → Gestione utenti amministratore per garantire che su tutti i dispositivi esista un account amministratore bootstrap con SecureToken.
SecureToken è necessario per lo sblocco di FileVault e per concedere ad altri utenti l’autorizzazione a sbloccare volumi crittografati. Se un utente non riesce a sbloccare FileVault anche con la password corretta, SecureToken è la causa più probabile.

Reimposta la password

Scegli l’opzione appropriata in base allo stato del dispositivo.

Opzione 1: rinnova la password in remoto da Primo

Requisiti:
  • Sei un amministratore del tuo spazio aziendale.
  • Il dispositivo è registrato in MDM.
  • Il dispositivo è acceso e connesso a Internet (online).
  • Sul dispositivo esiste una sessione di amministratore.

Opzione 2: utilizza l’account Apple o Microsoft collegato

Se al dispositivo è collegato un account, seguire la procedura del venditore:
  • macOS: Accedi con l’account iCloud (vedi la guida Apple)
  • Windows: Accedi con l’account Microsoft (consulta la guida Microsoft)

Opzione 3: sblocca con la chiave di ripristino (FileVault/BitLocker)

Requisiti:
  • Il dispositivo è registrato in MDM.
  • Il dispositivo non è connesso a Internet o non comunica con MDM.
  • La crittografia è abilitata (FileVault su macOS/BitLocker su Windows).
  • La chiave di ripristino è sincronizzata.
Azioni:
  1. Recupera la chiave di ripristino dal record del dispositivo in Primo → Informazioni → Chiave di ripristino.
  2. Sblocca la sessione localmente utilizzando questa chiave.
  3. Imposta una nuova password.

Opzione 4: ripristina completamente il dispositivo

Se nessuna delle opzioni precedenti funziona, l’unica soluzione è reimpostare completamente il dispositivo. Attenzione: questo processo cancellerà tutti i dati locali.

Prevenire incidenti futuri

Per evitare futuri problemi di accesso legati alla password, implementare le seguenti azioni:
  • Abilita la crittografia del dispositivo e assicurati che ciascuna chiave di ripristino sia archiviata correttamente.
  • Crea automaticamente una sessione di amministratore sui dispositivi tramite MDM → Profili → Gestione utenti amministratore.
  • Pianifica e comunica le modifiche alle policy di sicurezza ai tuoi team (data di entrata in vigore, requisiti di complessità).
  • Informare gli utenti prima di qualsiasi rinnovo della password globale.
Se un utente riscontra un problema di accesso relativo alla password:
  1. Verificare l’immissione della password e il layout della tastiera.
  2. Controlla la politica della password applicata.
  3. Scegli l’opzione corretta: rinnovo remoto, chiave di ripristino o account collegato.
  4. Implementa misure preventive (crittografia, sessione di amministrazione, comunicazione delle policy).
Il problema di accesso relativo alla password è ora risolto.