Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Tento plán nasazení nabízí pokyny a osvědčené postupy pro nasazení samoobslužného resetování hesla Microsoft Entra (SSPR).
Pokud jste koncový uživatel a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .
Samoobslužné resetování hesla (SSPR) je funkce Microsoft Entra, která uživatelům umožňuje resetovat hesla bez kontaktování it pracovníků o pomoc. Uživatelé se můžou rychle odblokovat a pokračovat v práci bez ohledu na to, kde jsou nebo kdy. Díky tomu, že zaměstnancům umožníte odblokovat sami sebe, může vaše organizace snížit neproduktivní dobu a vysoké náklady na podporu pro nejběžnější problémy související s hesly.
SSPR má následující klíčové funkce:
- Samoobslužná služba umožňuje koncovým uživatelům resetovat hesla, jejichž platnost vypršela nebo jejichž platnost nevypršela, aniž by se o podporu obrátili na správce nebo helpdesk.
- Zpětný zápis hesla umožňuje správu místních hesel a řešení uzamčení účtu prostřednictvím cloudu.
- Sestavy aktivit správy hesel poskytují správcům přehled o aktivitách resetování hesel a registrace, ke kterým dochází ve vašich organizacích.
V tomto průvodci nasazením se dozvíte, jak naplánovat a otestovat zavedení SSPR.
Pokud chcete rychle vidět SSPR v akci a pak se vrátit pro pochopení dalších úvah o nasazení:
Návod
Jako doplněk k tomuto článku doporučujeme použít průvodce plánování nasazení samoobslužného resetování hesla při přihlášení do Centra pro správu Microsoft 365. Tento průvodce přizpůsobuje vaši zkušenost na základě vašeho prostředí. Pokud chcete zkontrolovat osvědčené postupy bez přihlášení a aktivace automatizovaných funkcí nastavení, přejděte na portál pro nastavení M365.
Zjistěte více o samoobslužném resetu hesla
Přečtěte si další informace o SSPR. Podívejte se, jak to funguje: Samoobslužné resetování hesla Microsoft Entra.
Klíčové výhody
Mezi klíčové výhody povolení samoobslužného resetování hesla patří:
Správa nákladů SSPR snižuje náklady na podporu IT tím, že uživatelům umožňuje resetovat hesla sami. Také snižuje náklady související s časem ztraceným kvůli ztraceným heslům a uzamčením.
Intuitivní uživatelské prostředí. Poskytuje intuitivní jednorázový proces registrace uživatelů, který umožňuje uživatelům resetovat hesla a odblokovat účty na vyžádání z libovolného zařízení nebo místa. SSPR umožňuje uživatelům rychleji pracovat a být produktivnější.
Flexibilita a zabezpečení SSPR umožňuje podnikům přístup k zabezpečení a flexibilitě, které poskytuje cloudová platforma. Správci můžou změnit nastavení tak, aby vyhovovala novým požadavkům na zabezpečení, a tyto změny zavádět uživatelům bez přerušení přihlášení.
Robustní auditování a sledování užití Organizace může zajistit, aby obchodní systémy zůstaly zabezpečené, zatímco uživatelé resetují svá vlastní hesla. Robustní protokoly auditu obsahují informace o každém kroku procesu resetování hesla. Tyto protokoly jsou k dispozici prostřednictvím API a umožňují uživateli importovat data do zvoleného systému SIEM (Security Incident and Event Monitoring).
Licencování
Id Microsoft Entra je licencované pro jednotlivé uživatele, což znamená, že každý uživatel vyžaduje odpovídající licenci pro funkce, které používají. Pro samoobslužné resetování hesla (SSPR) doporučujeme licencování na základě skupin.
Pokud chcete porovnat edice a funkce a povolit licencování na základě skupin nebo uživatelů, podívejte se na licenční požadavky pro samoobslužné resetování hesla Microsoft Entra.
Další informace o cenách najdete v tématu Microsoft Entra pricing.
Požadavky
Funkční tenant Microsoft Entra s povolenou alespoň zkušební licencí. V případě potřeby si ho vytvořte zdarma.
Musíte mít přiřazenou alespoň roli správce zásad ověřování .
Průvodce s podrobnými pokyny
Pro podrobný návod k mnoha doporučením v tomto článku si prohlédněte průvodce plánováním nasazení samoobslužné funkce resetování hesla po přihlášení do Centra pro správu Microsoft 365. Pokud chcete zkontrolovat osvědčené postupy bez přihlášení a aktivace automatizovaných funkcí nastavení, přejděte na portál pro nastavení M365.
Školicí materiály
Architektura řešení
Následující příklad popisuje architekturu řešení pro resetování hesla pro běžná hybridní prostředí.
Popis pracovního postupu
Pokud chcete resetovat heslo, uživatelé přejdou na portál pro resetování hesla. Aby ověřili svou identitu, musí ověřit dříve zaregistrovanou metodu ověřování nebo metody. Pokud heslo úspěšně resetují, zahájí proces resetování.
Pro pouze cloudové uživatele ukládá služba pro samoobslužné resetování hesla nové heslo do Microsoft Entra ID.
Pro hybridní uživatele služba SSPR zapíše heslo do místní služby Active Directory prostřednictvím služby Microsoft Entra Connect.
Poznámka:
Pro uživatele, kteří mají synchronizaci hodnot hash hesel (PHS) zakázanou, ukládá SSPR hesla pouze v místní službě Active Directory.
Osvědčené postupy
Uživatelům můžete pomoci rychle se zaregistrovat nasazením systému SSPR po boku jiné oblíbené aplikace nebo služby v organizaci. Tato akce vygeneruje velký počet přihlášení a podporuje registraci.
Před nasazením SSPR se můžete rozhodnout určit číslo a průměrné náklady na každé volání resetování hesla. Tato data můžete použít po nasazení k zobrazení hodnoty SSPR, která organizaci přináší.
Kombinovaná registrace pro SSPR a vícefaktorové ověřování Microsoft Entra
SSPR umožňuje uživatelům resetovat heslo bezpečným způsobem pomocí stejných metod, které používají pro vícefaktorové ověřování Microsoft Entra. Kombinovaná registrace je jediný krok registrace pro koncové uživatele, který umožňuje registraci metod MFA i SSPR současně. Abyste se ujistili, že rozumíte funkcím a prostředí koncového uživatele, podívejte se na koncepty kombinované registrace bezpečnostních informací.
Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech nezbytných akcích uživatelů. Poskytujeme komunikační šablony a uživatelskou dokumentaci , abychom připravili uživatele na nové prostředí a pomohli zajistit úspěšné zavedení. Zašlete uživatele na https://myprofile.microsoft.com, aby se zaregistrovali výběrem odkazu Bezpečnostní údaje na této stránce.
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.
Zapojení správných zúčastněných stran
Pokud technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se těmto nástrahám vyhnuli, zajistěte, abyste se zapojili do správných zúčastněných stran a aby role účastníků v projektu byly dobře srozumitelné tím, že zdokumentujete zúčastněné strany a jejich vstupy a účetní závazky.
Požadované role správce
| Obchodní role/osoba | Role Microsoft Entra (v případě potřeby) |
|---|---|
| Helpdesk úrovně 1 | Správce hesel |
| Helpdesk úrovně 2 | Správce uživatelů |
| Správce SSPR | Správce ověřování |
Naplánovat pilotní test
Doporučujeme, aby počáteční konfigurace SSPR byla v testovacím prostředí. Začněte pilotní skupinou tím, že povolíte samoobslužné resetování hesla pro podmnožinu uživatelů ve vaší organizaci. Podívejte se na osvědčené postupy pro pilotní projekt.
Pokud chcete vytvořit skupinu, podívejte se , jak vytvořit skupinu a přidat členy v Microsoft Entra ID.
Konfigurace plánu
K povolení samoobslužného resetování hesla spolu s doporučenými hodnotami se vyžadují následující nastavení.
| Plocha | Nastavení | Hodnota |
|---|---|---|
| Vlastnosti SSPR | Samoobslužné resetování hesla povoleno | Vybraná skupina pro pilotní nasazení / Vše pro výrobu |
| Metody ověřování | Metody ověřování vyžadované k registraci | Vždy 1 více, než je vyžadováno pro resetování |
| Metody ověřování vyžadované k resetování | Jedna nebo dvě | |
| Registrace | Při přihlášení vyžadovat registraci uživatelů | Ano |
| Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací | 90 – 180 dní | |
| Oznámení | Upozornit uživatele na resetování hesla | Ano |
| Upozornit všechny správce na resetování hesla jiného správce | Ano | |
| Vlastní nastavení | Přizpůsobit odkaz na helpdesk | Ano |
| E-mail nebo adresa URL vlastního helpdesku | Web podpory nebo e-mailová adresa | |
| Místní integrace | Zápis hesel do místního Active Directory (AD) | Ano |
| Povolit uživatelům odemknout účet bez resetování hesla | Ano |
Vlastnosti SSPR
Při povolování samoobslužného resetování hesla zvolte v pilotním prostředí příslušnou skupinu zabezpečení.
- Pokud chcete vynutit registraci SSPR pro všechny, doporučujeme použít možnost Vše.
- V opačném případě vyberte příslušné ID Microsoft Entra nebo skupinu zabezpečení AD.
Metody ověřování
Pokud je povolené samoobslužné resetování hesla, uživatelé můžou resetovat heslo jenom v případě, že mají data obsažená v metodách ověřování, které správce povolil. Mezi metody patří oznámení aplikace Authenticator, telefon, bezpečnostní otázky atd. Další informace naleznete v tématu Co jsou metody ověřování?.
Doporučujeme následující nastavení metody ověřování:
Nastavte metody ověřování potřebné k registraci na počet alespoň o jednu vyšší, než je počet potřebný k resetování. Když povolíte více ověřování, získáte uživatelům flexibilitu, když potřebují resetovat.
Nastavte počet metod potřebných k resetování na úroveň odpovídající vaší organizaci. Jedna vyžaduje nejmenší tření, zatímco dva mohou zvýšit stav zabezpečení.
Poznámka: Uživatel musí mít nakonfigurované metody ověřování v zásadách hesel a omezeních v Microsoft Entra ID.
Nastavení registrace
Nastavte možnost Vyžadovat, aby se uživatelé při přihlašování zaregistrovali na Ano. Toto nastavení vyžaduje, aby se uživatelé při přihlašování zaregistrovali a zajistili, že jsou všichni uživatelé chráněni.
Nastavte počet dní, než se uživatelům zobrazí výzva k potvrzení ověřovacích informacína 90 až 180 dnů, pokud vaše organizace nemá obchodní potřebu kratšího časového rámce.
Nastavení oznámení
Upozornit uživatele při resetování hesla a upozornit všechny správce, když jiní správci resetují své heslo na Ano. Výběrem možnosti Ano v obou případech zvýšíte zabezpečení tím, že zajistíte, aby uživatelé věděli, kdy se jejich heslo resetuje. Zajišťuje také, aby všichni správci věděli, když správce změní heslo. Pokud uživatelé nebo správci obdrží oznámení a změnu nesicializovali, můžou okamžitě nahlásit potenciální problém se zabezpečením.
Poznámka:
E-mailová oznámení ze služby SSPR se odesílají z následujících adres na základě cloudu Azure, se kterým pracujete:
- Veřejný: msonlineservicesteam@microsoft.com
- Čína: msonlineservicesteam@oe.21vianet.com
- Vláda: msonlineservicesteam@azureadnotifications.us
Pokud zaznamenáte problémy s příjmem oznámení, zkontrolujte nastavení spamu.
Nastavení přizpůsobení
Je důležité přizpůsobit e-mail helpdesku nebo adresu URL, aby uživatelé, kteří mají problémy, mohli okamžitě získat pomoc. Tuto možnost nastavte na běžnou e-mailovou adresu helpdesku nebo webovou stránku, kterou vaši uživatelé znají.
Další informace naleznete v tématu Přizpůsobení funkce Microsoft Entra pro samoobslužné resetování hesla.
Zpětný zápis hesla
Zpětný zápis hesla je povolený pomocí služby Microsoft Entra Connect a zapisuje resetování hesel v cloudu zpět do existujícího místního adresáře v reálném čase. Další informace najdete v tématu Co je zpětný zápis hesla?
Doporučujeme následující nastavení:
- Ujistěte se, že je zpětný zápis hesel do místní služby AD nastavený na Ano.
- Nastavte možnost Povolit uživatelům odemknout účet bez resetování hesla na Ano.
Ve výchozím nastavení Microsoft Entra ID odemkne účty, když provádí resetování hesla.
Nastavení hesla správce
Účty správce mají zvýšená oprávnění. Lokální podnikoví nebo doménoví správci si nemohou resetovat svá hesla prostřednictvím samoobslužného resetování hesla (SSPR). Místní účty správců mají následující omezení:
- Může změnit heslo jenom v místním prostředí.
- Tajné otázky a odpovědi nikdy nemůžou používat jako metodu resetování hesla.
Doporučujeme nesynchronizovat místní účty správce služby Active Directory s ID Microsoft Entra.
Prostředí s několika systémy pro správu identit
Některá prostředí mají několik systémů správy identit. Místní správci identit, jako je Oracle IAM a SiteMinder, vyžadují synchronizaci s AD pro hesla. Můžete to provést pomocí nástroje, jako je služba PCNS (Password Change Notification Service) s Microsoft Identity Managerem (MIM). Další informace o tomto složitějším scénáři najdete v článku Nasazení služby MIM Password Change Notification Service na řadiči domény.
Plánování testování a podpory
V každé fázi nasazení od počátečních pilotních skupin prostřednictvím celé organizace zajistěte, aby výsledky byly podle očekávání.
Plánování testování
Pokud chcete zajistit, aby nasazení fungovalo podle očekávání, naplánujte sadu testovacích případů pro ověření implementace. K vyhodnocení testovacích případů potřebujete testovacího uživatele bez oprávnění správce s heslem. Pokud potřebujete vytvořit uživatele, přečtěte si téma Přidání nových uživatelů do Microsoft Entra ID.
Následující tabulka obsahuje užitečné testovací scénáře, které můžete použít k dokumentaci očekávaných výsledků vaší organizace na základě vašich zásad.
| Obchodní zdůvodnění | Očekávané výsledky |
|---|---|
| Portál SSPR je přístupný z podnikové sítě. | Určeno vaší organizací |
| Portál SSPR je přístupný mimo podnikovou síť. | Určeno vaší organizací |
| Resetování uživatelského hesla z prohlížeče, pokud uživatel nemá povolené resetování hesla | Uživatel nemá přístup k toku resetování hesla |
| Resetování uživatelského hesla z prohlížeče, když uživatel nezaregistroval resetování hesla | Uživatel nemá přístup k toku resetování hesla |
| Uživatel se přihlásí, když je nucen se zaregistrovat pro resetování hesla. | Vyzve uživatele k registraci bezpečnostních údajů. |
| Po dokončení registrace resetování hesla se uživatel přihlásí. | Vyzve uživatele k registraci bezpečnostních údajů. |
| Portál SSPR je přístupný, když uživatel nemá licenci. | Je přístupná |
| Resetování uživatelského hesla na zamykací obrazovce zařízení s Windows 10, které je připojeno k Microsoft Entra nebo je hybridně připojeno k Microsoft Entra. | Uživatel může resetovat heslo |
| Data o registraci a využití samoobslužného resetování hesla jsou k dispozici správcům téměř v reálném čase. | Je k dispozici prostřednictvím protokolů auditu. |
Můžete se také podívat na dokončení pilotního nasazení samoobslužného resetování hesla Microsoft Entra. V tomto kurzu povolíte pilotní zavedení samoobslužného resetování hesla ve vaší organizaci a otestujete pomocí účtu bez oprávnění správce.
Plánování podpory
I když samoobslužné resetování hesla obvykle nevytváří problémy s uživateli, je důležité připravit pracovníky podpory na řešení problémů, ke kterým může dojít. Pokud chcete týmu podpory umožnit úspěch, můžete vytvořit nejčastější dotazy na základě otázek, které dostanete od uživatelů. Tady je pár příkladů:
| Scénáře | Popis |
|---|---|
| Uživatel nemá k dispozici žádné registrované metody ověřování. | Uživatel se pokouší resetovat heslo, ale nemá k dispozici žádnou metodu ověřování, kterou zaregistroval (příklad: opustil svůj mobilní telefon doma a nemá přístup k e-mailu). |
| Uživatel nedostává text nebo hovor v kanceláři nebo mobilním telefonu | Uživatel se pokouší ověřit svou identitu prostřednictvím textu nebo volání, ale neobdržel text nebo volání. |
| Uživatel nemá přístup k portálu pro resetování hesla | Uživatel chce resetovat heslo, ale není povolený pro resetování hesla a nemůže získat přístup k stránce pro aktualizaci hesel. |
| Uživatel nemůže nastavit nové heslo | Uživatel dokončí ověření během toku resetování hesla, ale nemůže nastavit nové heslo. |
| Uživatel na zařízení s Windows 10 nevidí odkaz resetovat heslo | Uživatel se pokouší resetovat heslo z uzamykací obrazovky Windows 10, ale zařízení není buď připojené k Microsoft Entra ID, nebo není povolena zásada zařízení Microsoft Intune. |
Naplánovat obnovení
Vrácení nasazení zpět:
Pro jednoho uživatele odeberte uživatele ze skupiny zabezpečení.
Pro skupinu odeberte ji z konfigurace SSPR.
Pro všechny zakažte SSPR pro tenanta Microsoft Entra.
Nasazení samoobslužného resetování hesla
Před nasazením se ujistěte, že jste provedli následující:
Určili odpovídající konfigurační nastavení.
Identifikovali jsme uživatele a skupiny pro pilotní a produkční prostředí.
Určuje nastavení konfigurace pro registraci a samoobslužnou službu.
Pokud máte hybridní prostředí, nakonfigurujte zpětný zápis hesla.
Teď jste připraveni nasadit SSPR!
Podrobné pokyny ke konfiguraci následujících oblastí najdete v tématu Povolení samoobslužného resetování hesla.
Povolení samoobslužného resetování hesla ve Windows
U počítačů s Windows 7, 8, 8.1 a 10 můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows.
Správa samoobslužného resetování hesla
Microsoft Entra ID může poskytovat další informace o výkonu SSPR prostřednictvím auditů a reportů.
Sestavy aktivit správy hesel
K měření výkonu SSPR můžete použít předpřipravené sestavy v Microsoft Entra centru pro správu. Pokud máte odpovídající licenci, můžete také vytvářet vlastní dotazy. Další informace naleznete v tématu Možnosti sestavování pro správu hesel Microsoft Entra.
Poznámka:
Abyste mohli shromažďovat tato data pro vaši organizaci, musíte se přihlásit. Pokud se chcete přihlásit, musíte alespoň jednou navštívit kartu Vytváření sestav nebo protokoly auditu v Centru pro správu Microsoft Entra. Do té doby se data pro vaši organizaci neshromažďuje.
Protokoly auditu pro registraci a resetování hesla jsou k dispozici po dobu 30 dnů. Pokud auditování zabezpečení ve vaší společnosti vyžaduje delší uchovávání, je potřeba protokoly exportovat a využívat do nástroje SIEM, jako je Microsoft Sentinel, Splunk nebo ArcSight.
Metody ověřování – Využití a přehledy
Využití a přehledy umožňují pochopit, jak ve vaší organizaci fungují metody ověřování pro funkce, jako je vícefaktorové ověřování Microsoft Entra a SSPR. Tato funkce vytváření sestav poskytuje vaší organizaci prostředky k porozumění tomu, které metody se zaznamenávají a jak je používat.
Odstraňování potíží
Podívejte se na návod na řešení problémů s samoobslužným resetováním hesla
Nejčastější dotazy ke správě hesel
Užitečná dokumentace
Jak to funguje: Samoobslužné resetování hesla Microsoft Entra?
Přizpůsobení funkce Microsoft Entra pro samoobslužné resetování hesla
Další kroky
Pokud chcete začít nasazovat SSPR, přečtěte si téma Povolení samoobslužného resetování hesla Microsoft Entra.