Kurz: Umožněte uživatelům odemknout účet nebo resetovat heslo pomocí samoobslužného resetování hesla Microsoft Entra

Samoobslužné resetování hesla (SSPR) společnosti Microsoft Entra umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud Microsoft Entra ID zamkne účet uživatele nebo zapomene heslo, může se podle pokynů odblokovat a vrátit se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID. Máme také video pro správce IT o řešení šesti nejběžnějších chybových zpráv koncových uživatelů pomocí SSPR.

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla správcem. Pokud už jste koncový uživatel zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na stránku Microsoft Online pro resetování hesla.

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

V tomto kurzu se naučíte:

• Povolení samoobslužného resetování hesla pro skupinu uživatelů Microsoft Entra
• Nastavení metod ověřování a možností registrace
• Otestovat proces samoobslužného resetování hesla jako uživatel

Důležité

V březnu 2023 jsme oznámili vyřazení správy metod ověřování ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla (SSPR). Od 30. září 2025 nejde v těchto starších zásadách MFA a SSPR spravovat metody ověřování. Zákazníkům doporučujeme použít ruční ovládání migrace k přechodu na politiku metod ověřování do data vyřazení.

Videokurz

Můžete také sledovat související video: Jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Pro resetování hesla se vyžaduje funkční tenant Microsoft Entra s alespoň licencí Microsoft Entra ID P1. Další informace o licenčních požadavcích na změnu hesla a resetování hesla v Microsoft Entra ID naleznete v tématu Licenční požadavky pro samoobslužné resetování hesla Microsoft Entra.
• Účet s alespoň rolí Správce zásad ověřování.
• Uživatel bez oprávnění správce s heslem, které znáte, jako je testuser. V tomto kurzu otestujete prostředí samoobslužného resetování hesla koncového uživatele pomocí tohoto účtu.
  • Pokud potřebujete vytvořit uživatele, přečtěte si článek Rychlý start: Přidání nových uživatelů do Microsoft Entra ID.
• Skupina, ve které uživatel, který není správcem, je členem, například SSPR-Test-Group. V tomto kurzu povolíte samoobslužné resetování hesla pro tuto skupinu.
  • Pokud potřebujete vytvořit skupinu, přečtěte si téma Vytvoření základní skupiny a přidání členů pomocí ID Microsoft Entra.

Povolení samoobslužného resetování hesel

Microsoft Entra ID umožňuje povolit SSPR pro žádné, vybrané nebo všechny uživatele. Tato členitá schopnost umožňuje zvolit podmnožinu uživatelů k otestování procesu registrace a pracovního postupu samoobslužného resetování hesla. Až se s procesem sžijete a nastane vhodná chvíle ke komunikaci požadavků se širší skupinou uživatelů, můžete vybrat skupinu uživatelů, kterou povolíte pro samoobslužné resetování hesla. Nebo můžete povolit samoobslužné resetování hesla pro všechny uživatele v tenantovi Microsoft Entra.

Poznámka:

V současné době můžete povolit pouze jednu skupinu Microsoft Entra pro samoobslužné resetování hesla pomocí Centra pro správu Microsoft Entra. V rámci širšího nasazení SSPR podporuje Microsoft Entra ID vnořené skupiny.

V tomto kurzu nastavte samoobslužné resetování hesla pro sadu uživatelů v testovací skupině. Použijte skupinu SSPR-Test-Group a podle potřeby zadejte vlastní skupinu Microsoft Entra:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

2. V nabídce na levé straně přejděte na Ochrana>Resetování hesla.

3. Na stránce Vlastnosti v části Možnost Samoobslužné resetování hesla povolená zvolte Vybraná.

4. Pokud vaše skupina není viditelná, zvolte Žádné vybrané skupiny, vyhledejte a vyberte skupinu Microsoft Entra, například SSPR-Test-Group, a pak zvolte Vybrat.

   

5. Pokud chcete povolit samoobslužné resetování hesla pro vybrané uživatele, vyberte Uložit.

Výběr metod ověřování a možností registrace

Když uživatelé potřebují odemknout svůj účet nebo resetovat heslo, zobrazí se jim výzva k zadání jiné metody potvrzení. Tento dodatečný ověřovací faktor zajišťuje, že ID Microsoft Entra dokončilo pouze schválené události SSPR. Na základě informací o registraci, které uživatel poskytuje, můžete zvolit, které metody ověřování chcete povolit.

1. V nabídce na levé straně stránky Metody ověřování nastavte počet metod potřebných k resetování na 2.

   Pokud chcete zlepšit zabezpečení, můžete zvýšit počet metod ověřování vyžadovaných pro samoobslužné resetování hesla.

2. Zvolte metody dostupné uživatelům, které chce vaše organizace povolit. V tomto kurzu zaškrtněte políčka pro povolení následujících metod:

   • Oznámení mobilní aplikace
   • Kód mobilní aplikace
   • E-mail
   • Mobilní telefon

   Podle potřeby můžete povolit jiné metody ověřování, jako jsou telefonní otázky office nebo bezpečnostní otázky, aby vyhovovaly vašim obchodním požadavkům.

3. Pokud chcete použít metody ověřování, vyberte Uložit.

Aby uživatelé mohli odemknout svůj účet nebo resetovat heslo, musí si zaregistrovat své kontaktní údaje. Microsoft Entra ID používá tyto kontaktní informace pro různé metody ověřování nastavené v předchozích krocích.

Správce může tyto kontaktní údaje zadat ručně, nebo uživatelé můžou přejít na registrační portál a zadat informace sami. V tomto kurzu nastavte Microsoft Entra ID tak, aby se uživatelům při příštím přihlášení zobrazila výzva k registraci.

1. V nabídce na levé straně stránky Registrace vyberte Možnost Ano , pokud chcete, aby se uživatelé při přihlašování zaregistrovali.

2. Nastavte Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací na 180.

   Je důležité udržovat kontaktní údaje aktuální. Pokud při spuštění události SSPR existují zastaralé kontaktní informace, uživatel možná nebude moct odemknout svůj účet nebo resetovat heslo.

3. Pokud chcete použít nastavení registrace, vyberte Uložit.

Poznámka:

K přerušení registrace kontaktních informací během přihlašování dochází pouze v případě, že jsou splněny podmínky nakonfigurované v nastavení. To platí jenom pro uživatele a účty správců, kteří mají povolené resetování hesel pomocí samoobslužného resetování hesla Microsoft Entra.

Nastavení oznámení a přizpůsobení

Pokud chcete uživatelům zajistit informace o aktivitě účtu, můžete nastavit ID Microsoft Entra tak, aby posílala e-mailová oznámení, když dojde k události SSPR. Tato oznámení se můžou týkat běžných uživatelských účtů i účtů správců. U účtů správců toto oznámení poskytuje další vrstvu povědomí o resetování hesla účtu privilegovaného správce pomocí SSPR. Id Microsoft Entra může upozornit všechny správce, když někdo používá SSPR na účtu správce.

1. V nabídce na levé straně stránky Oznámení nastavte následující možnosti:

   • Nastavte možnost Upozornit uživatele na resetování hesel? na Ano.
   • Nastavte možnost Upozornit všechny správce, když ostatní správci resetují heslo? Na ano.

2. Pokud chcete použít předvolby oznámení, vyberte Uložit.

Pokud uživatelé potřebují další pomoc s procesem samoobslužného resetování hesla, můžete upravit odkaz "Kontaktujte správce" . Uživatel může vybrat tento odkaz v procesu registrace SSPR a po odemknutí účtu nebo resetování hesla. Pokud chcete zajistit, aby vaši uživatelé získali potřebnou podporu, doporučujeme zadat vlastní e-mail nebo adresu URL helpdesku.

1. V nabídce na levé straně stránky Přizpůsobení nastavte Přizpůsobit odkaz na helpdesk na Ano.
2. Do pole Vlastní helpdesk zadejte e-mailovou adresu nebo adresu URL webové stránky, kde můžou vaši uživatelé získat další pomoc od vaší organizace, napříkladhttps://support.contoso.com/
3. Pokud chcete použít vlastní odkaz, vyberte Uložit.

Testování samoobslužného resetování hesla

S povoleným a nastaveným SSPR otestujte proces SSPR s uživatelem, který je součástí skupiny, kterou jste vybrali v předchozí části, například Test-SSPR-Group. Následující příklad používá účet testuser . Zadejte vlastní uživatelský účet. Je součástí skupiny, kterou jste povolili pro samoobslužné resetování hesla v první části tohoto kurzu.

Poznámka:

Při testování samoobslužného resetování hesla použijte účet bez oprávnění správce. Ve výchozím nastavení umožňuje Microsoft Entra ID samoobslužné resetování hesla pro správce. K resetování hesla musí použít dvě metody ověřování. Pro více informací si přečtěte Rozdíly v zásadách resetování administrátora.

1. Pokud chcete zobrazit proces ruční registrace, otevřete nové okno prohlížeče v režimu InPrivate nebo anonymní režim a přejděte na https://aka.ms/ssprsetup. Microsoft Entra ID přesměruje uživatele na tento registrační portál při příštím přihlášení.

2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser, a zaregistrujte kontaktní údaje metod ověřování.

3. Po dokončení vyberte tlačítko s označením Vypadá dobře a zavřete okno prohlížeče.

4. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přejděte na adresu https://aka.ms/sspr.

5. Zadejte informace o účtu uživatele bez oprávnění správce, jako je testuser, znaky z CAPTCHA a pak vyberte Další.

   

6. Pokud chcete resetovat heslo, postupujte podle pokynů k ověření. Po dokončení obdržíte e-mailové oznámení o resetování hesla.

Vyčištění prostředků

V pozdějším kurzu této série nastavíte zpětný zápis hesla. Tato funkce zapisuje změny hesel z Microsoft Entra SSPR zpět do místního prostředí AD. Pokud chcete pokračovat v této sérii kurzů k nastavení zpětného zápisu hesla, nezakažte SSPR nyní.

Pokud už nechcete používat funkci samoobslužného resetování hesla, kterou jste nastavili v rámci tohoto kurzu, nastavte stav SSPR na Žádné pomocí následujícího postupu:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
2. Přejděte na Entra ID>resetování hesla.
3. Na stránce Vlastnosti vyberte v části Možnost Samoobslužné resetování hesla povolenou možnost Žádné.
4. Pokud chcete použít změnu SSPR, vyberte Uložit.

Nejčastější dotazy

Tato část vysvětluje běžné dotazy správců a koncových uživatelů, kteří zkouší samoobslužné resetování hesla:

• Proč se během samoobslužného resetování hesla nezobrazují místní zásady hesel?

  V tuto chvíli Microsoft Entra Connect a cloudová synchronizace nepodporují sdílení podrobností o zásadách hesel s cloudem. SSPR zobrazuje jenom podrobnosti o zásadách cloudového hesla a nemůže zobrazit místní zásady.

• Proč federovaní uživatelé čekají až 2 minuty poté, co se jim zobrazí Vaše heslo bylo resetováno, než mohou použít hesla synchronizovaná z místního prostředí?

  Pro federované uživatele, jejichž hesla se synchronizují, je zdrojem autority pro hesla místní prostředí. V důsledku toho SSPR (samoobslužné resetování hesla) aktualizuje jenom místní hesla. Synchronizace hodnot hash hesel zpět do Microsoft Entra ID je naplánovaná každých 2 minuty.

• Když nově vytvořený uživatel, který má předem vyplněná data SSPR, jako je telefon a e-mail, navštíví registrační stránku SSPR, objeví se jako název stránky Neztrácejte přístup ke svému účtu!. Proč se zpráva nezobrazí ostatním uživatelům, kteří mají předem vyplněná data SSPR?

  Uživatel, který uvidí Neztraťte přístup ke svému účtu!, je členem skupin pro samoobslužné resetování hesla nebo kombinovanou registraci, které jsou nakonfigurovány pro tenanta. Uživatelé, kteří nevidí Neztraťte přístup ke svému účtu!, nebyli součástí skupin pro samoobslužné resetování hesla nebo kombinovanou registraci.

• Když někteří uživatelé procházejí procesem samoobslužného resetování hesla a resetují si heslo, proč nevidí indikátor síly hesla?

  Uživatelé, kteří nevidí slabou nebo silnou sílu hesla, mají povolenou synchronizaci zpětného zápisu hesla. Vzhledem k tomu, že SSPR nedokáže určit zásady hesel místního prostředí zákazníka, nemůže ověřit sílu ani slabost hesla.

Další kroky

V tomto kurzu jste povolili samoobslužné resetování hesla Microsoft Entra pro vybranou skupinu uživatelů. Naučili jste se:

• Povolení samoobslužného resetování hesla pro skupinu uživatelů Microsoft Entra
• Nastavení metod ověřování a možností registrace
• Otestovat proces samoobslužného resetování hesla jako uživatel

Povolení vícefaktorového ověřování Microsoft Entra