Plánování nasazení samoobslužného resetování hesla v Azure Active Directory

Důležité

Tento plán nasazení nabízí pokyny a osvědčené postupy pro nasazení Azure AD samoobslužného resetování hesla (SSPR).

Pokud jste koncový uživatel a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/sspr.

Samoobslužné resetování hesla (SSPR) je funkce Azure Active Directory (AD), která uživatelům umožňuje resetovat hesla bez kontaktování it pracovníků o pomoc. Uživatelé se můžou rychle odblokovat a pokračovat v práci bez ohledu na to, kde jsou, nebo čas dne. Díky tomu, že zaměstnancům umožníte odblokovat sami sebe, může vaše organizace snížit neproduktivní dobu a vysoké náklady na podporu pro nejběžnější problémy související s heslem.

SSPR má následující klíčové možnosti:

  • Samoobslužná služba umožňuje koncovým uživatelům resetovat hesla s vypršenou platností nebo nevypršenou platností bez kontaktování správce nebo technické podpory.
  • Zpětný zápis hesla umožňuje správu místních hesel a řešení uzamčení účtu prostřednictvím cloudu.
  • Sestavy aktivit správy hesel poskytují správcům přehled o resetování hesel a aktivitě registrace, ke kterým dochází ve své organizaci.

V tomto průvodci nasazením se dozvíte, jak naplánovat a otestovat zavedení SSPR.

Pokud chcete rychle zobrazit SSPR v akci a pak se vraťte, abyste porozuměli dalším aspektům nasazení:

Další informace o SSPR

Přečtěte si další informace o SSPR. Podívejte se, jak funguje: Azure AD samoobslužné resetování hesla.

Klíčové výhody

Mezi klíčové výhody povolení SSPR patří:

  • Správa nákladů SSPR snižuje náklady na podporu IT tím, že uživatelům umožní resetovat hesla sami. Snižuje také náklady na čas ztráty kvůli ztraceným heslům a uzamčením.

  • Intuitivní uživatelské prostředí. Poskytuje intuitivní jednorázový proces registrace uživatelů, který uživatelům umožňuje resetovat hesla a odblokovat účty na vyžádání z libovolného zařízení nebo umístění. SSPR umožňuje uživatelům rychleji pracovat a být produktivnější.

  • Flexibilita a zabezpečení SSPR umožňuje podnikům přístup k zabezpečení a flexibilitě, kterou poskytuje cloudová platforma. Správci můžou změnit nastavení tak, aby vyhovovala novým požadavkům na zabezpečení, a tyto změny zavádět uživatelům bez narušení přihlašování.

  • Robustní auditování a sledování využití Organizace může zajistit, aby firemní systémy zůstaly zabezpečené, zatímco uživatelé resetují svá vlastní hesla. Robustní protokoly auditu obsahují informace o jednotlivých krocích procesu resetování hesla. Tyto protokoly jsou dostupné z rozhraní API a umožňují uživateli importovat data do zvoleného systému siEM (Security Incident and Event Monitoring).

Licencování

Azure Active Directory je licencovaný pro jednotlivé uživatele, což znamená, že každý uživatel vyžaduje odpovídající licenci pro funkce, které používají. Doporučujeme licencování na základě skupin pro SSPR.

Pokud chcete porovnat edice a funkce a povolit licencování na základě skupin nebo uživatelů, přečtěte si informace o licenčních požadavcích na Azure AD samoobslužného resetování hesla.

Další informace o cenách najdete v tématu Ceny služby Azure Active Directory.

Požadavky

  • Funkční tenant Azure AD, který má přiřazenou alespoň zkušební licenci. Pokud je to potřeba, vytvořte si ho zdarma.

  • Účet s oprávněními globálního správce

Školicí materiály

Zdroje informací Odkaz a popis
Videa Podpora uživatelů s lepší škálovatelností IT
Co je samoobslužné resetování hesla?
Nasazení samoobslužného resetování hesla
Povolení a konfigurace SSPR v Azure AD
Jak nakonfigurovat samoobslužné resetování hesla pro uživatele v Azure AD?
Jak [připravit uživatele na] registraci [jejich] informací o zabezpečení pro Azure Active Directory
Online kurzy Správa identit v Microsoft Azure Active Directory Použití SSPR k poskytnutí moderního chráněného prostředí uživatelům Podívejte se zejména na modul Správa uživatelů a skupin Azure Active Directory.
Pluralsight Placené kurzy Problémy správy identit a přístupu Přečtěte si o problémech se službou IAM a zabezpečením, které je potřeba znát ve vaší organizaci. Podívejte se zejména na modul "Jiné metody ověřování".
Začínáme s Microsoft Enterprise Mobility Suite Learn osvědčenými postupy pro rozšíření místních prostředků do cloudu způsobem, který umožňuje ověřování, autorizaci, šifrování a zabezpečené mobilní prostředí. Podívejte se zejména na modul Konfigurace pokročilých funkcí Microsoft Azure Active Directory Premium.
Kurzy Dokončení pilotního nasazení samoobslužného resetování hesla Azure AD
Povolení zpětného zápisu hesla
Azure AD resetování hesla z přihlašovací obrazovky pro Windows 10
Časté otázky Nejčastější dotazy ke správě hesel

Architektura řešení

Následující příklad popisuje architekturu řešení pro resetování hesla pro běžná hybridní prostředí.

diagram architektury řešení

Popis pracovního postupu

Pokud chcete resetovat heslo, uživatelé přejdou na portál pro resetování hesla. Musí ověřit dříve zaregistrovanou metodu ověřování nebo metody, aby prokázali svou identitu. Pokud heslo úspěšně resetují, zahájí proces resetování.

  • Pro uživatele jen pro cloud ukládá SSPR nové heslo v Azure AD.

  • U hybridních uživatelů služba SSPR zapíše heslo do místní služby Active Directory prostřednictvím služby Azure AD Connect.

Poznámka: Pro uživatele, kteří mají zakázanou synchronizaci hodnot hash hesel (PHS), ukládá SSPR hesla pouze v místní službě Active Directory.

Osvědčené postupy

Uživatelům můžete pomoct rychle zaregistrovat nasazením SSPR spolu s další oblíbenou aplikací nebo službou v organizaci. Tato akce vygeneruje velký objem přihlášení a bude řídit registraci.

Před nasazením SSPR se můžete rozhodnout určit číslo a průměrné náklady na každé volání resetování hesla. Pomocí tohoto nasazení po nasazení dat můžete zobrazit hodnotu SSPR, která se do organizace přináší.

Kombinovaná registrace pro SSPR a Azure AD Multi-Factor Authentication

Poznámka

Od 15. srpna 2020 budou všechny nové tenanty Azure AD automaticky povolené pro kombinovanou registraci. Tenanti vytvořená po tomto datu nebudou moct využívat starší pracovní postupy registrace. Po 30. září 2022 budou všechny stávající tenanty Azure AD automaticky povolené pro kombinovanou registraci.

Doporučujeme, aby organizace používaly kombinované prostředí registrace pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR). SSPR umožňuje uživatelům resetovat heslo zabezpečeným způsobem pomocí stejných metod, které používají pro Azure AD Multi-Factor Authentication. Kombinovaná registrace je jedním krokem pro koncové uživatele. Abyste měli jistotu, že rozumíte funkcím a prostředím koncových uživatelů, podívejte se na koncepty kombinované registrace bezpečnostních informací.

Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech potřebných uživatelských akcích. Poskytujeme komunikační šablony a uživatelskou dokumentaci k přípravě uživatelů na nové prostředí a pomáháme zajistit úspěšné zavedení. https://myprofile.microsoft.com Pokud chcete uživatele zaregistrovat, vyberte na této stránce odkaz Bezpečnostní informace.

Plánování projektu nasazení

Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.

Zapojení správných zúčastněných stran

Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a odpovědností. Abyste se těmto úskalím vyhnuli, ujistěte se, že jste zapojeni do správných zúčastněných stran a že role zúčastněných stran v projektu jsou dobře srozumitelné tím, že dokumentují zúčastněné strany a jejich vstupy a závazky k projektu.

Požadované role správce

Obchodní role/osoba Azure AD role (v případě potřeby)
Helpdesk úrovně 1 Správce hesel
Helpdesk úrovně 2 Správce uživatelů
Správce SSPR Globální správce

Plánování pilotního nasazení

Doporučujeme, aby počáteční konfigurace SSPR byla v testovacím prostředí. Začněte pilotní skupinou tím, že povolíte samoobslužné resetování hesla pro podmnožinu uživatelů ve vaší organizaci. Podívejte se na osvědčené postupy pro pilotní nasazení.

Pokud chcete vytvořit skupinu, podívejte se, jak vytvořit skupinu a přidat členy v Azure Active Directory.

Plánování konfigurace

K povolení samoobslužného resetování hesla spolu s doporučenými hodnotami se vyžadují následující nastavení.

Plošný Nastavení Hodnota
Vlastnosti SSPR Samoobslužné resetování hesla povoleno Vybraná skupina pro pilotní nasazení / Vše pro produkci
Metody ověřování Metody ověřování vyžadované k registraci Vždy 1 více, než je vyžadováno pro resetování
Metody ověřování vyžadované k resetování Jeden nebo dva
Registrace Při přihlášení vyžadovat registraci uživatelů Yes
Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací 90 – 180 dní
Oznámení Upozornit uživatele na resetování hesla Yes
Upozornit všechny správce na resetování hesla jiného správce Yes
Přizpůsobení Přizpůsobení odkazu helpdesku Yes
Vlastní e-mail nebo adresa URL helpdesku Web podpory nebo e-mailová adresa
Místní integrace Zápis hesel do místní služby AD Yes
Povolit uživatelům odemknout účet bez resetování hesla Yes

Vlastnosti SSPR

Při povolování samoobslužného resetování hesla zvolte v pilotním prostředí příslušnou skupinu zabezpečení.

  • Pokud chcete vynutit registraci samoobslužného resetování hesla pro všechny, doporučujeme použít možnost Vše .
  • V opačném případě vyberte odpovídající Azure AD nebo skupinu zabezpečení AD.

Metody ověřování

Když je SSPR povolené, uživatelé můžou resetovat heslo jenom v případě, že mají data v metodách ověřování, které správce povolil. Mezi metody patří telefonní oznámení, oznámení aplikace Authenticator, bezpečnostní otázky atd. Další informace najdete v tématu Co jsou metody ověřování?.

Doporučujeme následující nastavení metody ověřování:

  • Nastavte metody ověřování potřebné k registraci alespoň na minimálně jedno číslo potřebné k resetování. Povolení více ověřování poskytuje uživatelům flexibilitu, když potřebují resetovat.

  • Nastavte počet metod potřebných k resetování na úroveň odpovídající vaší organizaci. Jedna vyžaduje nejmenší třecí plochy, zatímco dva mohou zvýšit stav zabezpečení.

Poznámka: Uživatel musí mít nakonfigurované metody ověřování v zásadách hesel a omezeních v Azure Active Directory.

Nastavení registrace

Nastavte možnost Vyžadovat, aby se uživatelé zaregistrovali při přihlašování k ano. Toto nastavení vyžaduje, aby se uživatelé při přihlašování zaregistrovali a zajistili, že jsou všichni uživatelé chráněni.

Nastavte počet dní, než se uživatelům zobrazí výzva k opětovnému potvrzení ověřovacích údajů mezi 90 a 180 dny, pokud vaše organizace nemá obchodní potřebu kratšího časového rámce.

Nastavení oznámení

Nakonfigurujte uživatele s oznámením o resetování hesla i oznámení všem správcům, když ostatní správci resetují heslo na Ano. Výběrem možnosti Ano v obou případech zvýšíte zabezpečení tím, že uživatelům zajistíte, že při resetování hesla budou uživatelé vědět. Zajišťuje také, aby všichni správci věděli, když správce změní heslo. Pokud uživatelé nebo správci obdrží oznámení a změnu nesaktivovali, můžou okamžitě nahlásit potenciální problém se zabezpečením.

Poznámka

Email oznámení ze služby SSPR se posílají z následujících adres na základě cloudu Azure, se kterým pracujete:

  • Public: msonlineservicesteam@microsoft.com
  • Čína: msonlineservicesteam@oe.21vianet.com
  • Státní správa: msonlineservicesteam@azureadnotifications.us Pokud zjistíte problémy s přijímáním oznámení, zkontrolujte nastavení spamu.

Nastavení vlastního nastavení

Je důležité přizpůsobit e-mail nebo adresu URL helpdesku, aby uživatelé, kteří mají problémy, mohli získat pomoc okamžitě. Tuto možnost nastavte na běžnou e-mailovou adresu helpdesku nebo webovou stránku, kterou vaši uživatelé znají.

Další informace najdete v tématu Přizpůsobení funkce Azure AD pro samoobslužné resetování hesla.

Zpětný zápis hesla

Zpětný zápis hesla je povolen pomocí Azure AD Connect a zapisuje resetování hesla v cloudu zpět do existujícího místního adresáře v reálném čase. Další informace najdete v tématu Co je zpětný zápis hesla?

Doporučujeme následující nastavení:

  • Ujistěte se, že je pro zápis hesel do místní služby AD nastavená hodnota Ano.
  • Nastavte možnost Povolit uživatelům odemknout účet bez resetování hesla na ano.

Ve výchozím nastavení Azure AD odemknout účty při resetování hesla.

Nastavení hesla správce

Účty správců mají zvýšená oprávnění. Místní podnikoví správci nebo správci domény nemůžou resetovat hesla prostřednictvím samoobslužného resetování hesla. Místní účty správců mají následující omezení:

  • může změnit heslo pouze v místním prostředí.
  • k resetování hesla nikdy nepoužívejte tajné otázky a odpovědi.

Doporučujeme nesynchronizovat místní účty správců služby Active Directory s Azure AD.

Prostředí s více systémy správy identit

Některá prostředí mají několik systémů správy identit. Místní správci identit, jako je Oracle AM a SiteMinder, vyžadují synchronizaci s AD pro hesla. Můžete to udělat pomocí nástroje, jako je služba PCNS (Password Change Notification Service) s Microsoft Identity Manager (MIM). Pokud chcete najít informace o tomto složitějším scénáři, přečtěte si článek Nasazení služby oznámení o změně hesla MIM na řadiči domény.

Plánování testování a podpory

V každé fázi nasazení z počátečních pilotních skupin prostřednictvím celé organizace zajistěte, aby výsledky byly podle očekávání.

Plánování testování

Pokud chcete zajistit, aby nasazení fungovalo podle očekávání, naplánujte sadu testovacích případů pro ověření implementace. K vyhodnocení testovacích případů potřebujete testovacího uživatele bez oprávnění správce s heslem. Pokud potřebujete vytvořit uživatele, přečtěte si téma Přidání nových uživatelů do Azure Active Directory.

Následující tabulka obsahuje užitečné testovací scénáře, které můžete použít k dokumentaci očekávaných výsledků vaší organizace na základě vašich zásad.

Obchodní případ Očekávané výsledky
Portál SSPR je přístupný z podnikové sítě. Určuje vaše organizace
Portál SSPR je přístupný mimo podnikovou síť. Určuje vaše organizace
Resetování uživatelského hesla z prohlížeče, pokud uživatel nemá povolené resetování hesla Uživatel nemá přístup k toku resetování hesla
Resetování uživatelského hesla z prohlížeče, pokud uživatel nezaregistroval resetování hesla Uživatel nemá přístup k toku resetování hesla
Uživatel se přihlásí při vynucení registrace resetování hesla. Vyzve uživatele k registraci bezpečnostních údajů.
Uživatel se přihlásí po dokončení registrace resetování hesla. Vyzve uživatele k registraci bezpečnostních údajů.
Portál SSPR je přístupný, když uživatel nemá licenci. Je přístupná
Resetování hesla uživatele ze zamykací obrazovky zařízení připojené k Windows 10 Azure AD nebo hybridní Azure AD připojené k zařízení Uživatel může resetovat heslo
Data o registraci a využití samoobslužného resetování hesla jsou k dispozici správcům téměř v reálném čase. Je k dispozici prostřednictvím protokolů auditu.

Můžete se také podívat na dokončení pilotního nasazení samoobslužného resetování hesla Azure AD. V tomto kurzu povolíte pilotní nasazení SSPR ve vaší organizaci a otestujete pomocí účtu bez oprávnění správce.

Plánování podpory

I když samoobslužné resetování hesla obvykle nevytváří problémy uživatelů, je důležité připravit pracovníky podpory na řešení problémů, ke kterým může dojít. Správce sice může resetovat heslo pro koncové uživatele prostřednictvím portálu Azure AD, ale je lepší problém vyřešit pomocí procesu samoobslužné podpory.

Pokud chcete povolit úspěch týmu podpory, můžete vytvořit nejčastější dotazy na základě otázek, které obdržíte od uživatelů. Tady je pár příkladů:

Scénáře Description
Uživatel nemá k dispozici žádné registrované metody ověřování. Uživatel se pokouší resetovat heslo, ale nemá žádné metody ověřování, které si zaregistroval (příklad: opustil svůj mobilní telefon doma a nemá přístup k e-mailu).
Uživatel nedostává text nebo hovor v kanceláři nebo mobilním telefonu Uživatel se pokouší ověřit svoji identitu prostřednictvím textu nebo volání, ale nepřijímá text nebo hovor.
Uživatel nemá přístup k portálu pro resetování hesla Uživatel chce resetovat heslo, ale není povolený pro resetování hesla a nemůže získat přístup k stránce pro aktualizaci hesel.
Uživatel nemůže nastavit nové heslo Uživatel dokončí ověření během toku resetování hesla, ale nemůže nastavit nové heslo.
Uživatel na zařízení Windows 10 nevidí odkaz resetovat heslo. Uživatel se pokouší resetovat heslo ze zamykací obrazovky Windows 10, ale zařízení není připojené k Azure AD nebo není povolené zásady zařízení microsoft Endpoint Manager

Vrácení plánu zpět

Vrácení nasazení zpět:

  • pro jednoho uživatele odeberte uživatele ze skupiny zabezpečení.

  • pro skupinu odeberte skupinu z konfigurace SSPR.

  • Pro všechny zakažte samoobslužné resetování hesla pro tenanta Azure AD.

Nasazení samoobslužného resetování hesla

Před nasazením se ujistěte, že jste provedli následující kroky:

  1. Určili příslušná nastavení konfigurace.

  2. Identifikovali uživatele a skupiny pro pilotní a produkční prostředí.

  3. Určuje nastavení konfigurace pro registraci a samoobslužnou službu.

  4. Konfigurace zpětného zápisu hesla , pokud máte hybridní prostředí.

Teď jste připraveni nasadit SSPR!

Podrobné pokyny ke konfiguraci následujících oblastí najdete v tématu Povolení samoobslužného resetování hesla .

  1. Metody ověřování

  2. Nastavení registrace

  3. Nastavení oznámení

  4. Nastavení vlastního nastavení

  5. Místní integrace

Povolení SSPR ve Windows

U počítačů s Windows 7, 8, 8.1 a 10 můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows.

Správa samoobslužného resetování hesla

Azure AD může poskytovat další informace o výkonu samoobslužného resetování hesla prostřednictvím auditů a sestav.

Sestavy aktivit správy hesel

K měření výkonu SSPR můžete použít předdefinované sestavy na Azure Portal. Pokud máte příslušnou licenci, můžete také vytvářet vlastní dotazy. Další informace najdete v tématu Možnosti vytváření sestav pro správu hesel Azure AD

Poznámka

Musíte být globálním správcem a musíte se přihlásit, aby se tato data shromáždila pro vaši organizaci. Pokud se chcete přihlásit, musíte alespoň jednou navštívit kartu Vytváření sestav nebo protokoly auditu na webu Azure Portal. Do té doby se data neshromažďuje pro vaši organizaci.

Protokoly auditu pro registraci a resetování hesla jsou k dispozici po dobu 30 dnů. Pokud auditování zabezpečení ve vaší společnosti vyžaduje delší uchovávání, protokoly je potřeba exportovat a využívat do nástroje SIEM, jako je Microsoft Sentinel, Splunk nebo ArcSight.

Snímek obrazovky s generováním sestav SSPR

Metody ověřování – Využití a přehledy

Využití a přehledy umožňují pochopit, jak ve vaší organizaci fungují metody ověřování pro funkce, jako je Azure AD vícefaktorové ověřování a samoobslužné resetování hesla. Tato funkce vytváření sestav poskytuje vaší organizaci prostředky k pochopení metod, které se registrují a jak je používat.

Řešení potíží

Užitečná dokumentace

Další kroky