Jak to funguje: Samoobslužné resetování hesla v Microsoft Entra
Samoobslužné resetování hesla (SSPR) společnosti Microsoft Entra umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud je účet uživatele uzamčený nebo zapomene heslo, může postupovat podle pokynů, aby se odblokoval a vrátil se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.
Důležité
Tento koncepční článek vysvětluje správci, jak samoobslužné resetování hesla funguje. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .
Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.
Jak funguje proces resetování hesla?
Uživatel může resetovat nebo změnit heslo pomocí portálu SSPR. Nejdřív musí mít zaregistrované požadované metody ověřování. Když uživatel přistupuje k portálu SSPR, platforma Microsoft Entra ID považuje následující faktory:
- Jak má být stránka lokalizována?
- Je uživatelský účet platný?
- Do jaké organizace uživatel patří?
- Kde se spravuje heslo uživatele?
Když uživatel vybere odkaz Nejde získat přístup k vašemu účtu z aplikace nebo stránky nebo přejde přímo na https://aka.ms/sspr, jazyk použitý na portálu SSPR je založený na následujících možnostech:
- Ve výchozím nastavení se národní prostředí prohlížeče používá k zobrazení SSPR v příslušném jazyce. Prostředí pro resetování hesla je lokalizované do stejných jazyků, které Microsoft 365 podporuje.
- Pokud chcete propojit SSPR v konkrétním lokalizovaném jazyce, připojte
?mkt=se ke konci adresy URL pro resetování hesla spolu s požadovaným národním prostředím.- Chcete-li například zadat národní prostředí španělštiny es-us, použijte
?mkt=es-ushttps://passwordreset.microsoftonline.com/?mkt=es-us - .
- Chcete-li například zadat národní prostředí španělštiny es-us, použijte
Po zobrazení portálu SSPR v požadovaném jazyce se uživateli zobrazí výzva k zadání ID uživatele a předání captcha. Id Microsoft Entra teď ověřuje, že uživatel může používat SSPR pomocí následujících kontrol:
- Zkontroluje, jestli má uživatel povolené samoobslužné resetování hesla.
- Pokud uživatel nemá povolené samoobslužné resetování hesla, zobrazí se uživateli výzva, aby kontaktoval správce a resetoval heslo.
- Kontroluje, jestli má uživatel správné metody ověřování definované ve svém účtu v souladu se zásadami správce.
- Pokud zásada vyžaduje jenom jednu metodu, zkontrolujte, jestli má uživatel definovaná odpovídající data pro alespoň jednu metodu ověřování povolenou zásadou správce.
- Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli kontaktovat správce, aby resetoval heslo.
- Pokud zásada vyžaduje dvě metody, zkontrolujte, jestli má uživatel definovaná odpovídající data pro alespoň dvě metody ověřování povolené zásadami správce.
- Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli kontaktovat správce, aby resetoval heslo.
- Pokud je uživateli přiřazena role správce Azure, vynutí se silné zásady hesel se dvěma bránami. Další informace najdete v tématu Správa istrator resetování rozdílů v zásadách.
- Pokud zásada vyžaduje jenom jednu metodu, zkontrolujte, jestli má uživatel definovaná odpovídající data pro alespoň jednu metodu ověřování povolenou zásadou správce.
- Zkontroluje, jestli je heslo uživatele spravované místně, například jestli tenant Microsoft Entra používá federované, předávací ověřování nebo synchronizaci hodnot hash hesel:
- Pokud je nakonfigurovaný zpětný zápis SSPR a heslo uživatele se spravuje místně, může uživatel pokračovat v ověřování a resetování hesla.
- Pokud se zpětný zápis SSPR nenasadí a heslo uživatele se spravuje místně, zobrazí se uživateli výzva, aby se obrátil na správce a resetoval si heslo.
Pokud jsou všechny předchozí kontroly úspěšně dokončeny, provede se uživatel procesem resetování nebo změny hesla.
Poznámka:
SSPR může uživatelům posílat e-mailová oznámení v rámci procesu resetování hesla. Tyto e-maily se odesílají pomocí předávací služby SMTP, která funguje v režimu aktivní-aktivní napříč několika oblastmi.
Předávací služby SMTP přijímají a zpracovávají text e-mailu, ale neukládají je. Text e-mailu SSPR, který může potenciálně obsahovat informace poskytnuté zákazníkem, není uložený v protokolech předávací služby SMTP. Protokoly obsahují pouze metadata protokolu.
Pokud chcete začít používat SSPR, dokončete následující kurz:
Vyžadování registrace uživatelů při přihlášení
Můžete povolit možnost vyžadovat, aby uživatel dokončil registraci SSPR, pokud používá moderní ověřování nebo webový prohlížeč k přihlášení k aplikacím pomocí Microsoft Entra ID. Tento pracovní postup zahrnuje následující aplikace:
- Microsoft 365
- Centrum pro správu Microsoft Entra
- Přístupový panel
- Federované aplikace
- Vlastní aplikace využívající Microsoft Entra ID
Pokud nevyžadujete registraci, uživatelé se během přihlašování nezobrazí výzva, ale můžou se ručně zaregistrovat. Uživatelé můžou buď navštívithttps://aka.ms/ssprsetup, nebo vybrat odkaz Zaregistrovat k resetování hesla na kartě Profil v Přístupový panel.
! [Možnosti registrace pro SSPR v Centru pro správu Microsoft Entra] [Registrace]
Poznámka:
Uživatelé můžou portál pro registraci SSPR zavřít výběrem možnosti Zrušit nebo zavřít okno. Zobrazí se však výzva k registraci pokaždé, když se přihlásí, dokud nedokončí registraci.
Toto přerušení registrace do SSPR neporuší připojení uživatele, pokud už je přihlášený.
Potvrzení ověřovacích informací
Pokud potřebujete resetovat nebo změnit heslo, ujistěte se, že metody ověřování jsou správné, můžete vyžadovat, aby uživatelé po určité době potvrdili své informace o zaregistrovaných informacích. Tato možnost je dostupná jenom v případě, že povolíte možnost Vyžadovat, aby se uživatelé při přihlašování zaregistrovali.
Platné hodnoty, které uživatele vyzve k potvrzení, že jejich registrované metody jsou od 0 do 730 dnů. Když tuto hodnotu nastavíte na 0 , znamená to, že uživatelé nebudou vyzváni k potvrzení ověřovacích údajů. Při použití kombinovaného prostředí registrace budou uživatelé muset před potvrzením svých informací potvrdit svou identitu.
Metody ověřování
Pokud je pro SSPR povolen uživatel, musí zaregistrovat alespoň jednu metodu ověřování. Důrazně doporučujeme zvolit dvě nebo více metod ověřování, aby vaši uživatelé měli větší flexibilitu v případě, že nebudou mít přístup k jedné metodě, když ji potřebují. Další informace naleznete v tématu Co jsou metody ověřování?.
Pro SSPR jsou k dispozici následující metody ověřování:
- Oznámení v mobilní aplikaci
- Kód mobilní aplikace
- Mobilní telefon
- Telefon office (dostupný jenom pro tenanty s placenými předplatnými)
- Bezpečnostní otázky
Uživatelé můžou resetovat heslo jenom v případě, že zaregistrovali metodu ověřování, kterou povolil správce.
Upozorňující
K používání metod definovaných v části Správa rozdíly v zásadách resetování se vyžadují účty přiřazené správcem Azure.
! [Výběr metod ověřování v Centru pro správu Microsoft Entra] [Ověřování]
Počet požadovaných metod ověřování
Můžete nakonfigurovat počet dostupných metod ověřování, které musí uživatel zadat k resetování nebo odemknutí hesla. Tuto hodnotu lze nastavit na jednu nebo dvě.
Uživatelé můžou a měli by zaregistrovat více metod ověřování. Důrazně doporučujeme, aby si uživatelé zaregistrovali dvě nebo více metod ověřování, aby měli větší flexibilitu v případě, že nemají přístup k jedné metodě, když ji potřebují.
Pokud uživatel nemá minimální počet požadovaných metod zaregistrovaných při pokusu o použití SSPR, zobrazí se mu chybová stránka, která ho nasměruje, aby požádal správce o resetování hesla. Pokud máte stávající uživatele zaregistrované pro samoobslužné resetování hesla, je potřeba zvýšit počet metod požadovaných z jedné na dvě a pak tuto funkci nepoužít. Další informace najdete v následující části o změně metod ověřování.
Mobilní aplikace a samoobslužné resetování hesla
Pokud používáte mobilní aplikaci jako metodu pro resetování hesla, jako je aplikace Microsoft Authenticator, platí následující aspekty, pokud organizace nemigrovala na zásady centralizovaných metod ověřování:
- Pokud správci vyžadují použití jedné metody k resetování hesla, je jediným dostupným ověřovacím kódem.
- Pokud správci vyžadují, aby k resetování hesla byly použity dvě metody, uživatelé můžou kromě jiných povolených metod používat i ověřovací kód NEBO oznámení.
| Počet metod nutných pro resetování | Jeden | Dva |
|---|---|---|
| Dostupné funkce mobilních aplikací | Kód | Kód nebo oznámení |
Uživatelé mohou zaregistrovat svou mobilní aplikaci na https://aka.ms/mfasetupadrese , nebo v kombinované registraci bezpečnostních údajů na adrese https://aka.ms/setupsecurityinfo.
Důležité
Pokud aplikaci Authenticator nelze vybrat jako jedinou metodu ověřování, pokud je vyžadována pouze jedna metoda. Podobně nelze při vyžadování dvou metod vybrat aplikaci Authenticator a pouze jednu další metodu.
Při konfiguraci zásad samoobslužného resetování hesla, které zahrnují aplikaci Authenticator jako metodu, by měla být při vyžadování jedné metody vybrána alespoň jedna další metoda a při konfiguraci dvou metod by se měly vybrat aspoň dvě další metody.
Změna metod ověřování
Pokud začnete se zásadami, které mají jenom jednu požadovanou metodu ověřování pro resetování nebo odemknutí, a změníte ji na dvě metody, co se stane?
| Počet registrovaných metod | Počet požadovaných metod | Výsledek |
|---|---|---|
| 1 nebo více | 0 | Možnost resetování nebo odemknutí |
| 1 | 2 | Nejde resetovat nebo odemknout |
| 2 nebo více | 2 | Možnost resetování nebo odemknutí |
Změna dostupných metod ověřování může také způsobit problémy uživatelů. Pokud změníte typy metod ověřování, které může uživatel použít, můžete neúmyslně zabránit tomu, aby uživatelé mohli používat samoobslužné resetování hesla, pokud nemají k dispozici minimální množství dat.
Zvažte následující ukázkový scénář:
- Původní zásada je nakonfigurovaná se dvěma požadovanými metodami ověřování. Používá jenom telefonní číslo kanceláře a bezpečnostní otázky.
- Správce změní zásady tak, aby už nepoužít bezpečnostní otázky, ale umožňuje používat mobilní telefon a alternativní e-mail.
- Uživatelé, kteří nemají vyplněná pole mobilního telefonu nebo alternativního e-mailu, teď nemůžou resetovat svá hesla.
Notifications
Pokud chcete zlepšit povědomí o událostech hesel, SSPR umožňuje nakonfigurovat oznámení pro uživatele i správce identit.
Upozornit uživatele na resetování hesla
Pokud je tato možnost nastavená na Ano, obdrží uživatelé resetování hesla e-mail s oznámením, že se změnilo heslo. E-mail se odešle prostřednictvím portálu SSPR na primární a alternativní e-mailové adresy, které jsou uložené v Microsoft Entra ID. Pokud není definovaná primární nebo alternativní e-mailová adresa, pokusí se o e-mailové oznámení prostřednictvím hlavního názvu uživatele (UPN). O události resetování se nikdo jiný neoznámí.
Upozornit všechny správce, když ostatní správci resetují svá hesla
Pokud je tato možnost nastavená na Ano, globální Správa istrátory dostanou e-mail na primární e-mailovou adresu uloženou v Microsoft Entra ID. E-mail jim oznámí, že jiný správce změnil heslo pomocí samoobslužného resetování hesla.
Poznámka:
E-mailová oznámení ze služby SSPR se posílají z následujících adres na základě cloudu Azure, se kterým pracujete:
- Veřejná: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Pokud zaznamenáte problémy s příjmem oznámení, zkontrolujte nastavení spamu.
Pokud chcete, aby vlastní správci dostávali e-maily s oznámeními, použijte vlastní přizpůsobení samoobslužného resetování hesla a nastavte vlastní odkaz na helpdesk nebo e-mail.
Místní integrace
Pokud máte hybridní prostředí, můžete nakonfigurovat Microsoft Entra Připojení pro zápis událostí změn hesel zpět z Microsoft Entra ID do místního adresáře.
! [Ověřování zpětného zápisu hesla je povolené pro ID Microsoft Entra do místní integrace] [Zpětný zápis]
ID Microsoft Entra kontroluje vaše aktuální hybridní připojení a poskytuje jednu z následujících zpráv v Centru pro správu Microsoft Entra:
- Váš místní klient zpětného zápisu je spuštěný a spuštěný.
- Id Microsoft Entra je online a je připojené k místnímu klientovi zpětného zápisu. Zdá se ale, že nainstalovaná verze Microsoft Entra Připojení je zahlcená. Zvažte upgrade microsoft Entra Připojení, abyste měli jistotu, že máte nejnovější funkce připojení a důležité opravy chyb.
- Bohužel nemůžeme zkontrolovat stav místního klienta zpětného zápisu, protože nainstalovaná verze microsoft Entra Připojení je zahlcená. Upgradujte Microsoft Entra Připojení, abyste mohli zkontrolovat stav připojení.
- Bohužel to vypadá, že se teď nemůžeme připojit k místnímu klientovi zpětného zápisu. Řešení potíží s microsoft entra Připojení pro obnovení připojení
- Bohužel se nemůžeme připojit k místnímu klientovi zpětného zápisu, protože zpětný zápis hesla nebyl správně nakonfigurovaný. Nakonfigurujte zpětný zápis hesla pro obnovení připojení.
- Bohužel to vypadá, že se teď nemůžeme připojit k místnímu klientovi zpětného zápisu. Příčinou můžou být dočasné problémy na naší straně. Pokud potíže potrvají, vyřešte potíže s microsoft entra Připojení a obnovte připojení.
Pokud chcete začít se zpětným zápisem SSPR, dokončete následující kurz:
Zápis hesel do místního adresáře
Zpětný zápis hesla můžete povolit pomocí Centra pro správu Microsoft Entra. Zpětný zápis hesla můžete také dočasně zakázat, aniž byste museli překonfigurovat Microsoft Entra Připojení.
- Pokud je tato možnost nastavená na Ano, je povolený zpětný zápis. Federovaní, předávací ověřování nebo synchronizovaní uživatelé hodnot hash hesel můžou resetovat svá hesla.
- Pokud je tato možnost nastavená na Ne, je zpětný zápis zakázaný. Federovaní, předávací ověřování nebo synchronizovaní uživatelé hodnot hash hesel nemůžou resetovat svá hesla.
Povolit uživatelům odemknout účty bez resetování hesla
Ve výchozím nastavení Microsoft Entra ID odemkne účty, když provádí resetování hesla. Pokud chcete zajistit flexibilitu, můžete uživatelům povolit odemknout místní účty, aniž by museli resetovat heslo. Toto nastavení použijte k oddělení těchto dvou operací.
- Pokud je nastavená hodnota Ano, uživatelé mají možnost resetovat heslo a odemknout účet nebo odemknout svůj účet, aniž by museli resetovat heslo.
- Pokud je nastavená hodnota Ne, uživatelé můžou provádět jenom kombinovanou operaci resetování hesla a odemknutí účtu.
Místní filtry hesel služby Active Directory
SSPR provádí ekvivalent resetování hesla iniciovaného správcem ve službě Active Directory. Pokud k vynucení vlastních pravidel hesel používáte filtr hesel třetí strany a vyžadujete, aby se tento filtr hesel kontroloval během samoobslužného resetování hesla Microsoft Entra, ujistěte se, že je řešení filtru hesel třetí strany nakonfigurované tak, aby se použilo ve scénáři resetování hesla správce. Služba Microsoft Entra pro Doména služby Active Directory Services je ve výchozím nastavení podporovaná.
Resetování hesla pro uživatele B2B
Resetování a změna hesla jsou plně podporovány ve všech konfiguracích B2B (business-to-business). Resetování hesla uživatele B2B se podporuje v následujících třech případech:
- Uživatelé z partnerské organizace s existujícím tenantem Microsoft Entra: Pokud má organizace, se kterou spolupracujete, existujícího tenanta Microsoft Entra, respektujeme všechny zásady resetování hesel, které jsou v tomto tenantovi povolené. Aby resetování hesla fungovalo, musí partnerská organizace jenom zajistit, aby byla povolená služba Microsoft Entra SSPR. Pro zákazníky Microsoftu 365 se neúčtují žádné další poplatky.
- Uživatelé, kteří se registrují prostřednictvím samoobslužné registrace: Pokud organizace, se kterou spolupracujete s používáním funkce samoobslužné registrace , aby se dostala do tenanta, necháme je resetovat pomocí e-mailu, který zaregistroval.
- Uživatelé B2B: Všichni noví uživatelé B2B, kteří vytvořili pomocí nových funkcí Microsoft Entra B2B, můžou také resetovat hesla e-mailem, který zaregistrovali během procesu pozvání.
Pokud chcete tento scénář otestovat, přejděte k https://passwordreset.microsoftonline.com některému z těchto partnerských uživatelů. Pokud mají definovaný alternativní e-mail nebo ověřovací e-mail, resetování hesla funguje podle očekávání.
Poznámka:
Účty Microsoft, kterým byl udělen přístup hosta k vašemu tenantovi Microsoft Entra, jako jsou účty Hotmail.com, Outlook.com nebo jiné osobní e-mailové adresy, nemůžou používat samoobslužné resetování hesla Microsoft Entra. Musí si resetovat heslo pomocí informací uvedených v článku o tom, kdy se nemůžete přihlásit ke svému účtu Microsoft.
Další kroky
Pokud chcete začít používat SSPR, dokončete následující kurz: