Povolte samoobslužné resetování hesla Microsoft Entra na přihlašovací obrazovce systému Windows

Pomocí samoobslužného resetování hesla (SSPR) v Microsoft Entra ID mohou uživatelé změnit nebo resetovat své heslo bez zapojení správce nebo helpdesku. Uživatelé obvykle otevřou webový prohlížeč na jiném zařízení pro přístup k portálu SSPR. Chcete-li zlepšit práci v počítačích se systémem Windows 7, 8, 8.1, 10 a 11, můžete uživatelům povolit resetování hesla na přihlašovací obrazovce systému Windows.

Tento článek ukazuje správcům, jak povolit SSPR pro zařízení s Windows v podniku.

Pokud váš IT tým nepovolil možnost používat SSPR ze zařízení s Windows nebo máte problémy s přihlašováním, požádejte o další pomoc technickou podporu.

Obecná omezení

Následující omezení platí pro použití SSPR z přihlašovací obrazovky Windows:

• Resetovat heslo není v současné době podporováno na vzdálené ploše ani v rozšířených relacích Hyper-V.

• Je známo, že někteří poskytovatelé přihlašovacích údajů od jiných společností než Microsoft způsobují problémy s touto funkcí.

• Je známo, že zakázání řízení uživatelských účtů prostřednictvím úpravy klíče registru EnableLUA způsobuje problémy.

• Tato funkce nefunguje v sítích s nasazeným ověřováním sítě 802.1x a možností Provést bezprostředně před přihlášením uživatele. U sítí s nasazeným ověřováním v síti 802.1x doporučujeme k povolení této funkce použít ověřování počítače.

• Počítače připojené k hybridnímu připojení Microsoft Entra musí mít přímé dohled síťového připojení k řadiči domény, aby bylo možné použít nové heslo a aktualizovat přihlašovací údaje uložené v mezipaměti. Zařízení musí být buď v interní síti organizace, nebo ve virtuální privátní síti se síťovým přístupem k místnímu řadiči domény. Pokud je jediným požadavkem SSPR, linka síťového připojení k řadiči domény se nevyžaduje.

• Pokud používáte obrázek, před spuštěním sysprep se před provedením CopyProfile tohoto kroku ujistěte, že je webová mezipaměť vymazána pro vestavěného správce. Další informace naleznete v tématu Nízký výkon při použití vlastního výchozího uživatelského profilu.

• Je známo, že následující nastavení narušují schopnost používat a resetovat hesla na zařízeních se systémem Windows 10:

  • Pokud jsou oznámení na zamykací obrazovce vypnutá, Resetovat heslo nebude fungovat.
  • HideFastUserSwitching je nastavena na hodnotu Povoleno nebo 1.
  • DontDisplayLastUserName je nastavena na hodnotu Povoleno nebo 1.
  • NoLockScreen je nastavena na hodnotu Povoleno nebo 1.
  • BlockNonAdminUserInstall je nastavena na hodnotu Povoleno nebo 1.
  • EnableLostMode nastavena na zařízení.
  • Explorer.exe je nahrazen vlastním shellem.
  • Interaktivní přihlášení: Vyžadovat čipovou kartu je nastaveno na Povoleno nebo 1.

• Kombinace následujících tří nastavení může způsobit, že tato funkce nebude fungovat.

  • Interaktivní přihlášení: Nevyžadovat CTRL+ALT+DEL je nastaveno na Zakázáno (pouze pro Windows 10 verze 1710 a starší).
  • DisableLockScreenAppNotifications je nastavena na hodnotu Povoleno nebo 1.
  • Verze pro Windows je edice Home.

Poznámka

Tato omezení platí také pro resetování PIN kódu Windows Hello pro firmy z zamykací obrazovky zařízení.

Resetování hesla pro Windows 11 a Windows 10

Pokud chcete na přihlašovací obrazovce nakonfigurovat zařízení s Windows 11 nebo Windows 10 pro SSPR, projděte si následující požadavky a kroky konfigurace.

Požadavky na Windows 11 a Windows 10

• Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování a povolte Microsoft Entra SSPR.
• Uživatelé se musí před použitím této funkce na přihlašovací obrazovce systému Windows zaregistrovat do SSPR.
  • Všichni uživatelé musí před resetováním hesla zadat kontaktní údaje pro ověření, což není jedinečné pro použití SSPR z přihlašovací obrazovky Windows.
• Požadavky na proxy server sítě:
  • Port 443 do passwordreset.microsoftonline.com a ajax.aspnetcdn.com.
  • Zařízení s Windows 10 vyžadují konfiguraci proxy serveru na úrovni počítače nebo konfiguraci proxy serveru s vymezeným oborem pro dočasný defaultuser1 účet, který se používá k provádění SSPR. Další informace najdete v části Řešení potíží .
• Spusťte aspoň Windows 10, verzi z dubna 2018 Update (v1803) a zařízení musí být:
  • Připojila se společnost Microsoft Entra.
  • Připojil se hybridní Microsoft Entra.

Povolení pro Windows 11 a Windows 10 pomocí Intune

Nasazení změny konfigurace pro povolení SSPR z přihlašovací obrazovky Windows pomocí Intune je nejflexibilnější metodou. Pomocí Intune můžete změnu konfigurace nasadit do konkrétní skupiny počítačů, které definujete. Tato metoda vyžaduje registraci zařízení do Intune.

Vytvoření zásady konfigurace zařízení v Intune

1. Přihlaste se do centra pro správu Microsoft Intune.

2. Vytvořte nový konfigurační profil zařízení tak, že přejdete dočásti Profily> zařízení a poté vyberete možnost + Vytvořit profil:

   • V části Platforma zvolte Windows 10 a novější.
   • V části Typ profilu vyberte možnost Šablony a poté vyberte možnost Vlastní šablona.

3. Vyberte Vytvořit a pak zadejte smysluplný název profilu, například SSPR přihlašovací obrazovky Windows 11.

   Volitelně můžete zadat smysluplný popis profilu a pak vybrat Další.

4. V části Nastavení konfiguracevyberte Přidat a zadejte následující OMA-URI nastavení pro povolení odkazu pro resetování hesla:

   • Zadejte smysluplný název, který vysvětlí, co nastavení dělá, například Přidat odkaz SSPR.
   • Volitelně můžete zadat smysluplný popis nastavení.
   • Nastavte OMA-URI na ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Nastavte Datový typ na Celé číslo.
   • Nastavte hodnotu na 1.

   Zvolte Přidat a pak vyberte Další.

5. Zásadu můžete přiřadit konkrétním uživatelům, zařízením nebo skupinám. Přiřaďte profil, který chcete pro své prostředí. Osvědčeným postupem je nejprve ho přiřadit k testovací skupině zařízení a pak vybrat Další.

   Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení v Microsoft Intune.

6. Nakonfigurujte pravidla použitelnosti, která chcete pro své prostředí, například Přiřadit profil, pokud je edice operačního systému Windows 10 Enterprise, a pak vyberte Další.

7. Zkontrolujte svůj profil a poté vyberte možnost Vytvořit.

Povolte pro Windows 11 a Windows 10 pomocí registru

Pokud chcete povolit SSPR na přihlašovací obrazovce Windows pomocí klíče registru, postupujte takto:

1. Přihlaste se k počítači se systémem Windows pomocí přihlašovacích údajů správce.

2. Výběrem možnosti Windows + R otevřete dialogové okno Spustit a poté spusťte regedit jako správce.

3. Nastavte následující klíč registru:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Odstraňování problémů s resetováním hesla Windows 11 a Windows 10

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, protokol auditu Microsoft Entra obsahuje informace o IP adrese a ClientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu.

Když uživatelé resetují heslo z přihlašovací obrazovky zařízení s Windows 11 nebo 10, vytvoří se dočasný účet s nízkými oprávněními s názvem defaultuser1. Tento účet slouží k zabezpečení procesu resetování hesla.

Samotný účet má náhodně vygenerované heslo, které je ověřeno podle zásad organizace pro hesla. Heslo se nezobrazí pro přihlášení zařízení a poté, co uživatel resetuje heslo, se automaticky odstraní. Může existovat více defaultuser profilů, ale můžete je bezpečně ignorovat.

Konfigurace proxy serveru pro resetování hesla systému Windows

Během resetování hesla vytvoří SSPR dočasný místní uživatelský účet pro připojení k https://passwordreset.microsoftonline.com/n/passwordreset. Pokud je proxy server nakonfigurován pro ověřování uživatelů, může selhat s chybou "Něco se pokazilo. Zkuste to prosím znovu později." K této chybě dochází, protože místní uživatelský účet není oprávněn používat ověřený proxy server.

V takovém případě použijte jedno z následujících alternativních řešení:

• Nakonfigurujte nastavení proxy serveru pro celý počítač, které nezávisí na typu uživatele přihlášeného k počítači. Můžete například povolit zásady skupiny Nastavit nastavení proxy serveru pro jednotlivé počítače (nikoli pro uživatele) pro pracovní stanice.

• Konfiguraci proxy serveru pro jednotlivé uživatele můžete pro SSPR použít také pokud upravíte šablonu registru pro výchozí účet. Příkazy jsou:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Chyba "Něco se pokazilo" se může objevit také v případě, že cokoli přeruší připojení k adrese URL https://passwordreset.microsoftonline.com/n/passwordreset. K této chybě může dojít například v případě, že antivirový software běží na pracovní stanici bez výjimek pro adresy URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, a ocsp.digicert.com. Zakažte tento software dočasně a otestujte, jestli je problém vyřešený nebo ne.

Resetování hesla pro Windows 7, 8 a 8.1

Pokud chcete na přihlašovací obrazovce Windows nakonfigurovat zařízení s Windows 7, 8 nebo 8.1 pro SSPR, projděte si následující požadavky a kroky konfigurace.

Požadavky pro Windows 7, 8 a 8.1

• Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování a povolte Microsoft Entra SSPR.
• Uživatelé se musí před použitím této funkce zaregistrovat do SSPR na přihlašovací obrazovce Windows .
  • Všichni uživatelé musí před resetováním hesla zadat kontaktní údaje pro ověření, což není jedinečné pro použití SSPR z přihlašovací obrazovky Windows.
• Požadavky na proxy server sítě:
  • Port 443 na passwordreset.microsoftonline.com.
• Opravený operační systém Windows 7 nebo Windows 8.1.
• Protokol TLS 1.2 je povolen podle pokynů v nastavení registru protokolu TLS (Transport Layer Security).
• Pokud je ve vašem počítači povolen více než jeden poskytovatel přihlašovacích údajů od jiných výrobců než Microsoft, uživatelé uvidí na přihlašovací obrazovce systému Windows více než jeden uživatelský profil.

Varování

Protokol TLS 1.2 musí být povolený, nikoli pouze nastavený na automatické vyjednávání.

Instalace komponenty SSPR

Pro Windows 7, 8 a 8.1 musí být na počítači nainstalovaná malá komponenta, která povolí SSPR na přihlašovací obrazovce Windows. Pokud chcete nainstalovat tuto komponentu SSPR, postupujte takto:

1. Stáhněte si příslušný instalační program pro verzi systému Windows, kterou chcete povolit.

   Instalační program softwaru je k dispozici na webu služby Stažení softwaru.

2. Přihlaste se k počítači, na který chcete instalaci nainstalovat, a spusťte instalační program.

3. Po instalaci doporučujeme provést restart.

4. Po restartu na přihlašovací obrazovce systému Windows vyberte uživatele a výběrem možnosti Zapomněli jste heslo? spusťte pracovní postup resetování hesla.

5. Postupujte podle pokynů k obnovení hesla.

   

Bezobslužná instalace

Pokud chcete nainstalovat nebo odinstalovat komponentu SSPR bez výzev, použijte následující příkazy:

• Bezobslužná instalace: Použijte msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Tichá odinstalace: Použijte msiexec /x SsprWindowsLogon.PROD.msi /qn.

Odstraňování problémů s resetováním hesla ve Windows 7, 8 a 8.1

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, události se protokolují na počítači a v Microsoft Entra ID. Události Microsoft Entra obsahují informace o IP adrese a parametru, kde došlo k resetování ClientType hesla.

Pokud je vyžadováno další protokolování, změňte klíč registru na počítači tak, aby bylo povoleno podrobné protokolování. Podrobné protokolování povolte pouze pro účely řešení potíží pomocí následující hodnoty klíče registru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Chcete-li povolit podrobné protokolování, vytvořte REG_DWORD: "EnableLogging" ho a nastavte na hodnotu 1.
• Chcete-li zakázat podrobné protokolování, změňte REG_DWORD: "EnableLogging" hodnotu na 0.
• Zkontrolujte protokolování ladění v protokolu událostí aplikace ve zdroji AADPasswordResetCredentialProvider.

Co uživatelé vidí?

Jaké jsou změny pro uživatele, když je SSPR nakonfigurované pro vaše zařízení s Windows? Jak zjistí, že si na přihlašovací obrazovce může resetovat heslo? Následující ukázkové snímky obrazovky ukazují další možnosti, jak může uživatel resetovat heslo pomocí SSPR.

Když se uživatelé pokusí přihlásit, zobrazí se jim odkaz Resetovat heslo nebo Zapomenuté heslo , který na přihlašovací obrazovce otevře prostředí SSPR. Uživatelé nyní mohou resetovat své heslo, aniž by museli pro přístup k webovému prohlížeči používat jiné zařízení.

Další informace o tom, jak tuto funkci používat, najdete v tématu Resetování pracovního nebo školního hesla.

Související obsah

Pokud chcete zjednodušit registraci uživatele, můžete předem vyplnit kontaktní informace pro ověřování uživatelů pro SSPR.