Jak to funguje: Samoobslužné resetování hesla v Azure AD

Samoobslužné resetování hesla (SSPR) Azure Active Directory (Azure AD) umožňuje uživatelům změnit nebo resetovat heslo bez zásahu správce nebo helpdesku. Pokud je účet uživatele uzamčený nebo zapomene heslo, může se podle pokynů odblokovat a vrátit se do práce. Tato schopnost snižuje volání helpdesku a snižuje produktivitu, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Doporučujeme toto video o tom, jak povolit a nakonfigurovat SSPR v Azure AD.

Důležité

Tento koncepční článek vysvětluje správci, jak funguje samoobslužné resetování hesla. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/sspr.

Pokud váš IT tým nepovolil možnost resetování vlastního hesla, požádejte o další pomoc helpdesk.

Jak funguje proces resetování hesla?

Uživatel může resetovat nebo změnit heslo pomocí portálu SSPR. Nejprve musí mít zaregistrované požadované metody ověřování. Když uživatel přistupuje k portálu SSPR, platforma Azure bere v úvahu následující faktory:

  • Jak by měla být stránka lokalizována?
  • Je uživatelský účet platný?
  • Do jaké organizace uživatel patří?
  • Kde se spravuje heslo uživatele?

Když uživatel vybere odkaz Nejde získat přístup k účtu z aplikace nebo stránky nebo přejde přímo na https://aka.ms/sspr, jazyk použitý na portálu SSPR je založený na následujících možnostech:

  • Ve výchozím nastavení se k zobrazení SSPR v příslušném jazyce používá národní prostředí prohlížeče. Prostředí pro resetování hesla je lokalizované do stejných jazyků, které podporuje Microsoft 365.
  • Pokud chcete propojit SSPR v konkrétním lokalizovaném jazyce, připojte ?mkt= na konec adresy URL pro resetování hesla spolu s požadovaným národním prostředím.

Po zobrazení portálu SSPR v požadovaném jazyce se uživateli zobrazí výzva k zadání ID uživatele a předání captcha. Azure AD teď pomocí následujících kontrol ověří, že uživatel může používat SSPR:

  • Zkontroluje, jestli má uživatel povolené SSPR.
    • Pokud uživatel nemá povolené SSPR, zobrazí se uživateli výzva, aby kontaktoval správce s žádostí o resetování hesla.
  • Zkontroluje, jestli má uživatel ve svém účtu definované správné metody ověřování v souladu se zásadami správce.
    • Pokud zásada vyžaduje pouze jednu metodu, zkontrolujte, jestli má uživatel definovaná příslušná data alespoň pro jednu z metod ověřování povolených zásadami správce.
      • Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli, aby se obrátil na správce a resetoval si heslo.
    • Pokud zásada vyžaduje dvě metody, zkontrolujte, jestli má uživatel definovaná příslušná data alespoň pro dvě metody ověřování povolené zásadami správce.
      • Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli, aby se obrátil na správce a resetoval si heslo.
    • Pokud je uživateli přiřazená role správce Azure, vynucuje se silná zásada hesel se dvěma branými branou. Další informace najdete v tématu Rozdíly v zásadách resetování správcem.
  • Zkontroluje, jestli je heslo uživatele spravované místně, například jestli tenant Azure AD používá federované, předávací ověřování nebo synchronizaci hodnot hash hesel:
    • Pokud je nakonfigurovaný zpětný zápis SSPR a heslo uživatele se spravuje místně, může uživatel pokračovat v ověřování a resetování hesla.
    • Pokud se zpětný zápis SSPR nenasadí a heslo uživatele se spravuje místně, zobrazí se uživateli výzva, aby kontaktoval správce a resetoval si heslo.

Pokud jsou všechny předchozí kontroly úspěšně dokončeny, provede se uživatel procesem resetování nebo změny hesla.

Poznámka

SSPR může uživatelům posílat e-mailová oznámení v rámci procesu resetování hesla. Tyto e-maily se odesílají pomocí služby předávání SMTP, která funguje v režimu aktivní-aktivní napříč několika oblastmi.

Předávací služby SMTP přijímají a zpracovávají text e-mailu, ale neukládají ho. Text e-mailu SSPR, který může potenciálně obsahovat informace poskytnuté zákazníkem, není uložený v protokolech předávací služby SMTP. Protokoly obsahují pouze metadata protokolu.

Pokud chcete začít používat SSPR, projděte si následující kurz:

Vyžadovat, aby se uživatelé při přihlášení zaregistrovali

Můžete povolit možnost, která vyžaduje, aby uživatel dokončil registraci SSPR, pokud používá moderní ověřování nebo webový prohlížeč pro přihlášení k aplikacím pomocí Azure AD. Tento pracovní postup zahrnuje následující aplikace:

  • Microsoft 365
  • portál Azure
  • Přístupový panel
  • Federované aplikace
  • Vlastní aplikace využívající Azure AD

Pokud registraci nevyžadujete, nebudou se uživatelům při přihlašování zobrazovat výzvy, ale můžou se zaregistrovat ručně. Uživatelé můžou na kartě Profil v Přístupový panel navštívit https://aka.ms/ssprsetup nebo vybrat odkaz Zaregistrovat se k resetování hesla.

Možnosti registrace pro SSPR v Azure Portal

Poznámka

Uživatelé můžou portál pro registraci SSPR zavřít výběrem možnosti Zrušit nebo zavřením okna. Zobrazí se ale výzva k registraci pokaždé, když se přihlásí, dokud registraci nedokončí.

Toto přerušení registrace k SSPR nenaruší připojení uživatele, pokud už je přihlášený.

Znovu potvrdit ověřovací informace

Abyste měli jistotu, že metody ověřování jsou správné, když jsou potřeba resetovat nebo změnit heslo, můžete vyžadovat, aby uživatelé po určité době potvrdili svoje informace zaregistrované v informacích. Tato možnost je dostupná jenom v případě, že povolíte možnost Vyžadovat, aby se uživatelé při přihlašování zaregistrovali .

Platné hodnoty, které uživatele vyzve k potvrzení, že jeho registrované metody jsou od 0 do 730 dnů. Nastavení této hodnoty na 0 znamená, že uživatelé nebudou nikdy vyzváni k potvrzení ověřovacích údajů. Při použití kombinovaného prostředí registrace budou uživatelé muset před opětovným potvrzením svých informací potvrdit svoji identitu.

Metody ověřování

Pokud má uživatel povolenou službu SSPR, musí zaregistrovat alespoň jednu metodu ověřování. Důrazně doporučujeme, abyste zvolili dvě nebo více metod ověřování, aby uživatelé měli větší flexibilitu v případě, že nebudou mít přístup k jedné metodě, když ji potřebují. Další informace najdete v tématu Co jsou metody ověřování?.

Pro SSPR jsou k dispozici následující metody ověřování:

  • Oznámení v mobilní aplikaci
  • Kód mobilní aplikace
  • E-mail
  • Mobilní telefon
  • Telefon do kanceláře (k dispozici jenom pro tenanty s placenými předplatnými)
  • Bezpečnostní otázky

Uživatelé můžou resetovat heslo jenom v případě, že zaregistrovali metodu ověřování, kterou povolil správce.

Upozornění

Účty přiřazené role správce Azure jsou potřeba k použití metod definovaných v části Rozdíly v zásadách resetování správce.

Výběr metod ověřování v Azure Portal

Počet požadovaných metod ověřování

Můžete nakonfigurovat počet dostupných metod ověřování, které uživatel musí poskytnout k resetování nebo odemknutí hesla. Tuto hodnotu je možné nastavit na jednu nebo dvě.

Uživatelé můžou a měli by zaregistrovat více metod ověřování. Opět se důrazně doporučuje, aby si uživatelé zaregistrovali dvě nebo více metod ověřování, aby měli větší flexibilitu v případě, že nemají přístup k jedné metodě, když ji potřebují.

Pokud uživatel nemá při pokusu o použití SSPR zaregistrovaný minimální počet požadovaných metod, zobrazí se mu chybová stránka, která ho nasměruje, aby požádal správce o resetování hesla. Dávejte pozor, pokud zvýšíte počet požadovaných metod z jedné na dvě, pokud máte stávající uživatele zaregistrované pro SSPR a pak nebudou moct tuto funkci používat. Další informace najdete v následující části věnované změně metod ověřování.

Mobilní aplikace a SSPR

Při použití mobilní aplikace jako metody resetování hesla, jako je aplikace Microsoft Authenticator, platí následující aspekty:

  • Pokud správci vyžadují k resetování hesla jednu metodu, je jedinou dostupnou možností ověřovací kód.
  • Pokud správci vyžadují, aby se k resetování hesla použily dvě metody, můžou uživatelé používat kromě jiných povolených metod také ověřovací kód nebo oznámení.
Počet metod potřebných k resetování Jednu Dvě
Dostupné funkce mobilní aplikace Kód Kód nebo oznámení

Uživatelé nemají možnost zaregistrovat mobilní aplikaci při registraci samoobslužného resetování hesla z https://aka.ms/ssprsetup. Uživatelé si mohou svoji mobilní aplikaci zaregistrovat na adrese https://aka.ms/mfasetupnebo v kombinované registraci bezpečnostních údajů na adrese https://aka.ms/setupsecurityinfo.

Důležité

Aplikaci Authenticator nelze vybrat jako jedinou metodu ověřování, pokud je vyžadována pouze jedna metoda. Podobně nelze vybrat aplikaci Authenticator a pouze jednu další metodu, pokud vyžadují dvě metody.

Při konfiguraci zásad SSPR, které jako metodu zahrnují aplikaci Authenticator, by měla být vybrána alespoň jedna další metoda, pokud je vyžadována jedna metoda, a při konfiguraci dvou metod by se měly vybrat aspoň dvě další metody.

Tento požadavek je ten, že aktuální prostředí registrace SSPR nezahrnuje možnost registrace ověřovací aplikace. Možnost registrace ověřovací aplikace je součástí nového kombinovaného prostředí registrace.

Povolení zásad, které používají jenom aplikaci Authenticator (pokud je vyžadována jedna metoda), nebo aplikaci Authenticator a pouze jednu další metodu (pokud jsou vyžadovány dvě metody), může vést k tomu, že se uživatelům zablokuje registrace pro SSPR, dokud nebudou nakonfigurovaní tak, aby používali nové kombinované prostředí registrace.

Změna metod ověřování

Pokud začnete se zásadou, která má jenom jednu požadovanou metodu ověřování pro resetování nebo odemknutí zaregistrované, a změníte ji na dvě metody, co se stane?

Počet registrovaných metod Počet požadovaných metod Výsledek
1 nebo více 1 Možnost resetování nebo odemknutí
1 2 Nejde resetovat nebo odemknout
2 nebo více 2 Možnost resetování nebo odemknutí

Změna dostupných metod ověřování může také uživatelům způsobit problémy. Pokud změníte typy metod ověřování, které může uživatel používat, můžete nechtěně zabránit uživatelům v používání SSPR, pokud nemají k dispozici minimální množství dat.

Představte si následující ukázkový scénář:

  1. Původní zásada je nakonfigurovaná se dvěma požadovanými metodami ověřování. Používá pouze telefonní číslo do kanceláře a bezpečnostní otázky.
  2. Správce změní zásadu tak, aby už nepoužíly bezpečnostní otázky, ale povolí použití mobilního telefonu a alternativního e-mailu.
  3. Uživatelé bez vyplněných polí pro mobilní telefon nebo alternativní e-mail teď nemůžou resetovat svá hesla.

Oznámení

Kvůli lepšímu povědomí o událostech hesel vám SSPR umožňuje konfigurovat oznámení pro uživatele i správce identit.

Upozornit uživatele na resetování hesla

Pokud je tato možnost nastavená na Ano, uživatelé, kteří si resetují heslo, obdrží e-mail s oznámením, že jejich heslo bylo změněno. E-mail se odešle prostřednictvím portálu SSPR na primární a alternativní e-mailovou adresu uloženou v Azure AD. Nikdo jiný není informován o události resetování.

Upozorňovat všechny správce, když si ostatní správci resetují hesla

Pokud je tato možnost nastavená na Ano, dostanou všichni ostatní správci Azure e-mail na jejich primární e-mailovou adresu uloženou v Azure AD. E-mail ho upozorní, že si jiný správce změnil heslo pomocí SSPR.

Představte si následující ukázkový scénář:

  • V prostředí jsou čtyři správci.
  • Správce A resetuje heslo pomocí SSPR.
  • Správci B, C a D dostanou e-mail s upozorněním na resetování hesla.

Poznámka

Email oznámení ze služby SSPR se budou odesílat z následujících adres v závislosti na cloudu Azure, se kterým pracujete:

  • Public: msonlineservicesteam@microsoft.com
  • Čína: msonlineservicesteam@oe.21vianet.com
  • Vláda: msonlineservicesteam@azureadnotifications.us

Pokud zaznamenáte problémy s příjmem oznámení, zkontrolujte nastavení spamu.

Místní integrace

Pokud máte hybridní prostředí, můžete Azure AD Connect nakonfigurovat tak, aby události změn hesel zapisovaly zpět z Azure AD do místního adresáře.

Ověřování zpětného zápisu hesla je povolené a funguje

Azure AD zkontroluje vaše aktuální hybridní připojení a poskytne jednu z následujících zpráv v Azure Portal:

  • Váš místní klient zpětného zápisu je spuštěný a spuštěný.
  • Azure AD je online a je připojený k místnímu klientovi zpětného zápisu. Zdá se ale, že nainstalovaná verze nástroje Azure AD Connect je za aktuální. Zvažte upgrade Azure AD Connect, abyste měli jistotu, že máte nejnovější funkce připojení a důležité opravy chyb.
  • Bohužel nemůžeme zkontrolovat stav vašeho místního klienta zpětného zápisu, protože nainstalovaná verze Azure AD Connect je za aktuální. Upgradujte Azure AD Connect, abyste mohli zkontrolovat stav připojení.
  • Bohužel to vypadá, že se teď nemůžeme připojit k vašemu místnímu klientovi zpětného zápisu. Řešení potíží s obnovením připojení Azure AD Connect
  • Bohužel se nemůžeme připojit k vašemu místnímu klientovi zpětného zápisu, protože zpětný zápis hesla není správně nakonfigurovaný. Nakonfigurujte zpětný zápis hesla pro obnovení připojení.
  • Bohužel to vypadá, že se teď nemůžeme připojit k vašemu místnímu klientovi zpětného zápisu. Příčinou můžou být dočasné problémy na naší straně. Pokud potíže potrvají, řešení potíží Azure AD Připojení k obnovení připojení.

Pokud chcete začít se zpětným zápisem SSPR, projděte si následující kurz:

Zpětný zápis hesel do místního adresáře

Zpětný zápis hesla můžete povolit pomocí Azure Portal. Zpětný zápis hesla můžete také dočasně zakázat, aniž byste museli překonfigurovat Azure AD Connect.

  • Pokud je možnost nastavená na Ano, je povolený zpětný zápis. Federované, předávací ověřování nebo synchronizovaní uživatelé s hodnotou hash hesel můžou resetovat hesla.
  • Pokud je možnost nastavená na Ne, je zpětný zápis zakázaný. Federovaný, předávací ověřování nebo synchronizovaní uživatelé s hodnotou hash hesel nemůžou resetovat svá hesla.

Povolit uživatelům odemknout účty bez resetování hesla

Ve výchozím nastavení Azure AD odemkne účty při resetování hesla. Abyste zajistili flexibilitu, můžete uživatelům povolit odemknutí místních účtů, aniž by museli resetovat heslo. Toto nastavení použijte k oddělení těchto dvou operací.

  • Pokud je tato možnost nastavená na Ano, uživatelé mají možnost resetovat si heslo a odemknout účet nebo odemknout svůj účet, aniž by museli resetovat heslo.
  • Pokud je nastavená hodnota Ne, uživatelé můžou provádět jenom kombinované resetování hesla a operaci odemknutí účtu.

Místní filtry hesel služby Active Directory

SSPR provádí ekvivalent resetování hesla iniciovaného správcem ve službě Active Directory. Pokud k vynucení vlastních pravidel hesel používáte filtr hesel třetí strany a vyžadujete, aby byl tento filtr hesel kontrolován během Azure AD samoobslužného resetování hesla, ujistěte se, že je řešení filtru hesel jiného výrobce nakonfigurované tak, aby se použilo ve scénáři resetování hesla správce. Azure AD ochrana heslem pro Active Directory Domain Services je ve výchozím nastavení podporovaná.

Resetování hesla pro uživatele B2B

Resetování a změna hesla jsou plně podporovány ve všech konfiguracích B2B (Business-to-Business). Resetování hesla uživatele B2B se podporuje v následujících třech případech:

  • Uživatelé z partnerské organizace s existujícím tenantem Azure AD: Pokud má organizace, se kterou spolupracujete, existujícího tenanta Azure AD, respektujeme zásady resetování hesel, které jsou pro tohoto tenanta povolené. Aby resetování hesla fungovalo, musí se partnerská organizace ujistit, že je povolené Azure AD SSPR. Za Microsoft 365 zákazníků se neplatí žádné další poplatky.
  • Uživatelé, kteří se zaregistrují prostřednictvím samoobslužné registrace: Pokud organizace, se kterou spolupracujete, použila funkci samoobslužné registrace , aby se dostala do tenanta, umožníme jim resetovat heslo e-mailem, který zaregistrovali.
  • Uživatelé B2B: Všichni noví uživatelé B2B, kteří vytvořili pomocí nových funkcí Azure AD B2B, můžou také resetovat svá hesla pomocí e-mailu, který zaregistrovali během procesu pozvání.

Pokud chcete tento scénář otestovat, přejděte na https://passwordreset.microsoftonline.com stránku s jedním z těchto partnerských uživatelů. Pokud má definovaný alternativní e-mail nebo ověřovací e-mail, resetování hesla funguje podle očekávání.

Poznámka

Microsoft účty, kterým byl udělen přístup hostů k vašemu tenantovi Azure AD, jako jsou účty z Hotmail.com, Outlook.com nebo jiných osobních e-mailových adres, nemůžou používat Azure AD SSPR. Musí si resetovat heslo pomocí informací, které najdete v článku Když se nemůžete přihlásit ke svému účtu Microsoft.

Další kroky

Pokud chcete začít používat SSPR, projděte si následující kurz:

V následujících článcích najdete další informace o resetování hesla prostřednictvím Azure AD: