Kurz: Umožněte uživatelům odemknout účet nebo resetovat heslo pomocí samoobslužného resetování hesla Azure Active Directory

Samoobslužné resetování hesla (SSPR) Azure Active Directory (Azure AD) umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud Azure AD uzamkne účet uživatele nebo zapomene své heslo, může postupovat podle pokynů k odblokování a návratu k práci. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Doporučujeme toto video o povolení a konfiguraci SSPR v Azure AD. Máme také video pro správce IT o řešení šesti nejběžnějších chybových zpráv koncových uživatelů pomocí SSPR.

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla správcem. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na stránku pro resetování hesla Microsoft Online .

Pokud váš IT tým nepovolil resetování vlastního hesla, obraťte se na helpdesk a požádejte o další pomoc.

Co se v tomto kurzu naučíte:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Azure AD
  • Nastavení metod ověřování a možností registrace
  • Testování procesu SSPR jako uživatele

Videokurz

Můžete také sledovat související video: Jak povolit a nakonfigurovat SSPR v Azure AD.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Azure AD s povolenou aspoň bezplatnou nebo zkušební licencí Azure AD. Na úrovni Free funguje SSPR jenom pro cloudové uživatele v Azure AD. Změna hesla se podporuje na úrovni Free, ale resetování hesla není.
    • Pro pozdější kurzy v této sérii budete potřebovat licenci Azure AD Premium P1 nebo zkušební verzi pro zpětný zápis hesla v místním prostředí.
    • V případě potřeby vytvořte bezplatný účet Azure.
  • Účet s oprávněními globálního správce
  • Uživatel bez oprávnění správce s heslem, které znáte, jako je testuser. Otestujete prostředí SSPR koncového uživatele pomocí tohoto účtu v tomto kurzu.
  • Skupina, ze které uživatel, který není správcem, je členem skupiny SSPR-Test-Group. V tomto kurzu povolíte SSPR pro tuto skupinu.

Povolení samoobslužného resetování hesel

Azure AD umožňuje povolit SSPR pro žádné, vybrané nebo všechny uživatele. Tato podrobná schopnost umožňuje zvolit podmnožinu uživatelů, kteří otestují proces registrace A pracovní postup SSPR. Až budete s procesem spokojeni a čas je správný ke komunikaci požadavků s širší sadou uživatelů, můžete vybrat skupinu uživatelů, která se má povolit pro SSPR. Nebo můžete povolit SSPR všem uživatelům v tenantovi Azure AD.

Poznámka

V současné době můžete povolit pouze jednu skupinu Azure AD pro SSPR pomocí webu Azure Portal. V rámci širšího nasazení SSPR podporuje Azure AD vnořené skupiny.

V tomto kurzu nastavte SSPR pro sadu uživatelů v testovací skupině. Použijte skupinu SSPR-Test-Group a podle potřeby zadejte vlastní skupinu Azure AD:

  1. Přihlaste se k webu Azure Portal pomocí účtu s oprávněními globálního správce .

  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně vyberte Resetování hesla .

  3. Na stránce Vlastnosti vyberte v části Možnost Samoobslužné resetování hesla povolenou možnost Vybraná.

  4. Pokud vaše skupina není viditelná, zvolte Žádné skupiny, vyhledejte a vyberte skupinu Azure AD, například SSPR-Test-Group, a pak zvolte Vybrat.

    Select a group in the Azure portal to enable for self-service password reset

  5. Pokud chcete povolit SSPR pro vybrané uživatele, vyberte Uložit.

Výběr metod ověřování a možností registrace

Když uživatelé potřebují odemknout svůj účet nebo resetovat heslo, zobrazí se výzva k zadání jiné metody potvrzení. Tento další ověřovací faktor zajišťuje, že Služba Azure AD dokončila pouze schválené události SSPR. Na základě informací o registraci, které uživatel poskytuje, můžete zvolit, které metody ověřování chcete povolit.

  1. V nabídce na levé straně stránky Metody ověřování nastavte počet metod potřebných k resetování na hodnotu 2.

    Pokud chcete zlepšit zabezpečení, můžete zvýšit počet metod ověřování požadovaných pro SSPR.

  2. Zvolte metody dostupné uživatelům , které vaše organizace chce povolit. V tomto kurzu zaškrtněte políčka pro povolení následujících metod:

    • Oznámení mobilní aplikace
    • Kód mobilní aplikace
    • E-mail
    • Mobilní telefon

    Podle potřeby můžete povolit další metody ověřování, jako jsou dotazyk telefonu nebo zabezpečení Office, aby vyhovovaly vašim obchodním požadavkům.

  3. Chcete-li použít metody ověřování, vyberte Uložit.

Aby uživatelé mohli odemknout svůj účet nebo resetovat heslo, musí si zaregistrovat kontaktní údaje. Azure AD používá tyto kontaktní informace pro různé metody ověřování nastavené v předchozích krocích.

Správce může tyto kontaktní informace zadat ručně, nebo uživatelé můžou přejít na registrační portál a zadat informace sami. V tomto kurzu nastavte Azure AD tak, aby uživatelům zobrazila výzvu k registraci při příštím přihlášení.

  1. V nabídce na levé straně stránky Registrace vyberte Možnost Ano pro Vyžadovat, aby se uživatelé při přihlašování zaregistrovali.

  2. Nastavte Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací na 180.

    Je důležité udržovat kontaktní údaje aktuální. Pokud při spuštění události SSPR existuje zastaralé kontaktní informace, nemusí být uživatel schopen odemknout svůj účet nebo resetovat heslo.

  3. Pokud chcete použít nastavení registrace, vyberte Uložit.

Nastavení oznámení a přizpůsobení

Pokud chcete uživatelům zajistit informace o aktivitě účtu, můžete nastavit službu Azure AD tak, aby posílala e-mailová oznámení, když dojde k události SSPR. Tato oznámení se můžou týkat běžných uživatelských účtů i účtů správců. U účtů správců toto oznámení poskytuje další vrstvu povědomí o resetování hesla účtu privilegovaného správce pomocí SSPR. Azure AD upozorní všechny globální správce, když někdo používá SSPR na účtu správce.

  1. V nabídce na levé straně stránky Oznámení nastavte následující možnosti:

    • Nastavte možnost Upozornit uživatele na resetování hesel? na Ano.
    • Nastavte možnost Upozornit všechny správce, když ostatní správci resetují heslo? Na Ano.
  2. Pokud chcete použít předvolby oznámení, vyberte Uložit.

Pokud uživatelé potřebují další pomoc s procesem SSPR, můžete upravit odkaz Kontaktovat správce. Uživatel může tento odkaz vybrat v procesu registrace SSPR a při odemknutí účtu nebo resetování hesla. Pokud chcete zajistit, aby vaši uživatelé získali potřebnou podporu, doporučujeme zadat vlastní e-mail nebo adresu URL helpdesku.

  1. V nabídce na levé straně stránky Přizpůsobení nastavte odkaz Přizpůsobit helpdesk na Ano.
  2. V poli Vlastní e-mail nebo adresu URL helpdesku zadejte e-mailovou adresu nebo adresu URL webové stránky, kde můžou uživatelé získat další pomoc od vaší organizace, například https://support.contoso.com/
  3. Pokud chcete použít vlastní odkaz, vyberte Uložit.

Testování samoobslužného resetování hesla

S povoleným a nastaveným SSPR otestujte proces SSPR s uživatelem, který je součástí skupiny, kterou jste vybrali v předchozí části, jako je Test-SSPR-Group. Následující příklad používá účet testuser . Zadejte vlastní uživatelský účet. Je součástí skupiny, kterou jste povolili pro SSPR v první části tohoto kurzu.

Poznámka

Při testování samoobslužného resetování hesla použijte účet, který není správcem. Azure AD ve výchozím nastavení umožňuje samoobslužné resetování hesla pro správce. K resetování hesla se vyžadují dvě metody ověřování. Další informace najdete v tématu Rozdíly v zásadách resetování správce.

  1. Pokud chcete zobrazit proces ruční registrace, otevřete nové okno prohlížeče v režimu InPrivate nebo incognito a přejděte na https://aka.ms/ssprsetup. Azure AD při příštím přihlášení přesměruje uživatele na tento registrační portál.

  2. Přihlaste se pomocí testovacího uživatele, jako je testuser, a zaregistrujte kontaktní údaje metod ověřování.

  3. Po dokončení vyberte tlačítko s označením Vypadá dobře a zavřete okno prohlížeče.

  4. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přejděte na adresu https://aka.ms/sspr.

  5. Zadejte informace o účtu uživatele bez oprávnění správce, jako je testuser, znaky z CAPTCHA a pak vyberte Další.

    Enter user account information to reset the password

  6. Pokud chcete resetovat heslo, postupujte podle pokynů k ověření. Po dokončení obdržíte e-mailové oznámení o resetování hesla.

Vyčištění prostředků

V pozdějším kurzu v této sérii nastavíte zpětný zápis hesla. Tato funkce zapisuje změny hesla ze služby Azure AD SSPR zpět do místního prostředí AD. Pokud chcete pokračovat v této sérii kurzů k nastavení zpětného zápisu hesla, nezakažte teď SSPR.

Pokud už nechcete používat funkci SSPR, kterou jste nastavili v rámci tohoto kurzu, nastavte stav SSPR na Hodnotu None pomocí následujícího postupu:

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně vyberte Resetování hesla .
  3. Na stránce Vlastnosti vyberte v části Možnost Samoobslužné resetování hesla povolenoumožnost Žádné.
  4. Pokud chcete použít změnu SSPR, vyberte Uložit.

Nejčastější dotazy

Tato část vysvětluje běžné otázky od správců a koncových uživatelů, kteří zkouší SSPR:

  • Proč federovaní uživatelé čekají až 2 minuty po zobrazení resetování hesla , než budou moct používat hesla synchronizovaná z místního prostředí?

    Pro federované uživatele, jejichž hesla se synchronizují, je zdroj autority pro hesla místně. V důsledku toho SSPR aktualizuje jenom místní hesla. Synchronizace hodnot hash hesel zpět do Azure AD je naplánovaná každých 2 minut.

  • Když nově vytvořený uživatel, který je předem vyplněný daty SSPR, jako je telefon a e-mail, navštíví registrační stránku SSPR, nezobrazí se přístup k vašemu účtu. Zobrazí se jako název stránky. Proč se zpráva nezobrazují ostatním uživatelům, kteří mají předem vyplněná data SSPR?

    Uživatel, který uvidí, že nepřijde o přístup k vašemu účtu! je členem skupin SSPR nebo kombinovaných registračních skupin, které jsou nakonfigurované pro tenanta. Uživatelé, kteří nevidí, že nepřijdou o přístup k vašemu účtu! nebyli součástí skupin SSPR nebo kombinované registrace.

  • Když někteří uživatelé procházejí procesem SSPR a resetují heslo, proč nevidí indikátor síly hesla?

    Uživatelé, kteří nevidí slabou nebo silnou sílu hesla, mají povolenou synchronizaci zpětného zápisu hesla. Vzhledem k tomu, že SSPR nemůže určit zásady hesel místního prostředí zákazníka, nemůže ověřit sílu nebo slabinu hesla.

Další kroky

V tomto kurzu jste povolili samoobslužné resetování hesla Azure AD pro vybranou skupinu uživatelů. Naučili jste se:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Azure AD
  • Nastavení metod ověřování a možností registrace
  • Testování procesu SSPR jako uživatele