Povolení samoobslužného resetování hesla microsoft Entra na přihlašovací obrazovce Windows

  • Článek

Samoobslužné resetování hesla (SSPR) umožňuje uživatelům v Microsoft Entra ID změnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Uživatelé obvykle otevřou webový prohlížeč na jiném zařízení pro přístup k portálu SSPR. Pokud chcete zlepšit možnosti na počítačích se systémem Windows 7, 8, 8.1, 10 a 11, můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows.

Example Windows login screens with SSPR link shown

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla pro zařízení s Windows v podniku.

Pokud váš IT tým nepovolil možnost používat samoobslužné resetování hesla ze zařízení s Windows nebo máte problémy při přihlašování, požádejte o další pomoc helpdesk.

Obecná omezení

Následující omezení platí pro použití SSPR z přihlašovací obrazovky Windows:

  • Resetování hesla se v současné době nepodporuje ze vzdálené plochy ani z rozšířených relací Hyper-V.
  • Někteří poskytovatelé přihlašovacích údajů třetích stran znají problémy s touto funkcí.
  • Zakázání řízení uživatelských účtů prostřednictvím úpravy klíče registru EnableLUA je známo, že způsobují problémy.
  • Tato funkce nefunguje pro sítě s nasazeným ověřováním sítě 802.1x a možností Provést bezprostředně před přihlášením uživatele. Pro sítě s nasazeným ověřováním sítě 802.1x se doporučuje k povolení této funkce použít ověřování počítače.
  • Aby bylo možné používat nové heslo a aktualizovat přihlašovací údaje uložené v mezipaměti, musí mít hybridní počítače připojené k Microsoftu entra přístup k řadiči domény. To znamená, že zařízení musí být buď v interní síti organizace, nebo v síti VPN se síťovým přístupem k místnímu řadiči domény.
  • Pokud používáte image, před spuštěním nástroje Sysprep se ujistěte, že je webová mezipaměť před provedením kroku CopyProfile vymazána pro předdefinovaný Správa istrator. Další informace o tomto kroku najdete v článku podpory Nízký výkon při použití vlastního výchozího profilu uživatele.
  • Následující nastavení je známo, že koliduje s možností používat a resetovat hesla na zařízeních s Windows 10:
    • Pokud jsou oznámení na zamykací obrazovce vypnutá, resetování hesla nebude fungovat.
    • HideFastUserSwitching je nastavený na povolenou nebo 1.
    • Vlastnost DontDisplayLastUserName je nastavená na povolenou nebo 1.
    • Obrazovka NoLockScreen je nastavená na povolenou nebo 1.
    • BlockNon Správa UserInstall je nastavený na povolenou nebo 1
    • Na zařízení je nastavená možnost EnableLostMode
    • Explorer.exe se nahrazuje vlastním prostředím.
    • Interaktivní přihlášení: Vyžadování čipové karty je nastaveno na povolenou nebo 1
  • Kombinace následujících tří nastavení může způsobit, že tato funkce nebude fungovat.
    • Interaktivní přihlášení: Nevyžadují kombinaci kláves CTRL+ALT+DEL = Zakázáno (pouze pro Windows 10 verze 1710 a starší)
    • DisableLockScreenAppNotifications = 1 nebo Enabled
    • Skladová položka windows je edice Home

Poznámka:

Tato omezení platí také pro Windows Hello pro firmy resetování PIN kódu ze zamykací obrazovky zařízení.

Resetování hesla pro Windows 11 a Windows 10

Pokud chcete nakonfigurovat zařízení s Windows 11 nebo Windows 10 pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

Požadavky na Windows 11 a Windows 10

  • Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator a povolte samoobslužné resetování hesla Microsoft Entra.
  • Před použitím této funkce se uživatelé musí před použitím této funkce zaregistrovat pro samoobslužné resetování hesla. https://aka.ms/ssprsetup
    • Není jedinečné pro použití SSPR z přihlašovací obrazovky Windows, všichni uživatelé musí před resetováním hesla zadat ověřovací kontaktní údaje.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com a ajax.aspnetcdn.com
    • Zařízení s Windows 10 vyžadují konfiguraci proxy serveru na úrovni počítače nebo konfiguraci proxy serveru s vymezeným oborem pro dočasný účet výchozího uživatele1, který se používá k provedení SSPR ( další podrobnosti najdete v části Řešení potíží ).
  • Spusťte aspoň Windows 10, verzi z dubna 2018 Update (v1803) a zařízení musí být:
    • Připojení k Microsoft Entra
    • Hybridní připojení k Microsoft Entra

Povolení pro Windows 11 a Windows 10 pomocí Microsoft Intune

Nasazení změny konfigurace pro povolení samoobslužného resetování hesla z přihlašovací obrazovky pomocí Microsoft Intune je nejflexibilnější metodou. Microsoft Intune umožňuje nasadit změnu konfigurace do konkrétní skupiny počítačů, které definujete. Tato metoda vyžaduje registraci zařízení v Microsoft Intune.

Vytvoření zásad konfigurace zařízení v Microsoft Intune

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vytvořte nový konfigurační profil zařízení tak, že přejdete do konfiguračních profilů zařízení>a pak vyberete + Vytvořit profil.

    • Pro platformu zvolte Windows 10 a novější.
    • Jako typ profilu zvolte Šablony a pak vyberte vlastní šablonu níže.

  3. Vyberte Vytvořit a zadejte smysluplný název profilu, jako je přihlašovací obrazovka Windows 11 SSPR.

    Volitelně zadejte smysluplný popis profilu a pak vyberte Další.

  4. V části Nastavení konfigurace vyberte Přidat a zadejte následující nastavení OMA-URI a povolte odkaz pro resetování hesla:

    • Zadejte smysluplný název, který vysvětluje, co nastavení dělá, například odkaz Přidat SSPR.
    • Volitelně můžete zadat smysluplný popis nastavení.
    • Identifikátor OMA-URI nastavte na ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
    • Datový typ nastavte na Integer.
    • Jako Hodnota nastavte 1.

    Vyberte Přidat a pak Další.

  5. Zásady je možné přiřadit konkrétním uživatelům, zařízením nebo skupinám. Přiřaďte profil podle potřeby pro vaše prostředí, ideálně testovací skupině zařízení a pak vyberte Další.

    Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení v Microsoft Intune.

  6. Nakonfigurujte pravidla použitelnosti podle potřeby pro vaše prostředí, například přiřadit profil, pokud je edice operačního systému Windows 10 Enterprise, a pak vyberte Další.

  7. Zkontrolujte svůj profil a pak vyberte Vytvořit.

Povolení pro Windows 11 a Windows 10 pomocí registru

Pokud chcete povolit samoobslužné resetování hesla na přihlašovací obrazovce pomocí klíče registru, proveďte následující kroky:

  1. Přihlaste se k počítači s Windows pomocí přihlašovacích údajů správce.

  2. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit a pak spusťte příkaz regedit jako správce.

  3. Nastavíte následující klíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Řešení potíží s resetováním hesla pro Windows 11 a Windows 10

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, protokol auditu Microsoft Entra obsahuje informace o IP adrese a typu ClientType , kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

Example Windows 7 password reset in the Microsoft Entra audit log

Když uživatelé resetují heslo z přihlašovací obrazovky zařízení s Windows 11 nebo 10, vytvoří se dočasný účet defaultuser1 s nízkými oprávněními. Tento účet slouží k zabezpečení procesu resetování hesla.

Samotný účet má náhodně vygenerované heslo, které se ověřuje proti zásadám hesel organizace, nezobrazuje se pro přihlášení zařízení a po resetování hesla uživatele se automaticky odebere. Může existovat více defaultuser profilů, ale je možné je bezpečně ignorovat.

Konfigurace proxy serveru pro resetování hesla systému Windows

Během resetování hesla vytvoří SSPR dočasný místní uživatelský účet pro připojení https://passwordreset.microsoftonline.com/n/passwordreset. Pokud je proxy server nakonfigurovaný pro ověřování uživatelů, může selhat s chybou Něco se nepovedlo. Zkuste to prosím znovu později." Důvodem je to, že místní uživatelský účet nemá oprávnění používat ověřený proxy server.

V tomto případě můžete použít jedno z následujících alternativních řešení:

  • Nakonfigurujte nastavení proxy serveru pro celý počítač, které nezávisí na typu uživatele přihlášeného k počítači. U pracovních stanic můžete například povolit nastavení proxy serveru pro jednotlivé počítače (nikoli pro jednotlivé uživatele ).

  • Konfiguraci proxy serveru pro jednotlivé uživatele můžete použít také pro SSPR, pokud upravíte šablonu registru pro výchozí účet. Příkazy jsou následující:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • K chybě Něco se nepovedlo, může dojít také v případě, že dojde k přerušení připojení k adrese URL https://passwordreset.microsoftonline.com/n/passwordreset. K této chybě může dojít například v případě, že antivirový software běží na pracovní stanici bez vyloučení adres URL passwordreset.microsoftonline.com, ajax.aspnetcdn.coma ocsp.digicert.com. Zakažte tento software dočasně a otestujte, jestli je problém vyřešený nebo ne.

Resetování hesla pro Windows 7, 8 a 8.1

Pokud chcete nakonfigurovat zařízení s Windows 7, 8 nebo 8.1 pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

Požadavky pro Windows 7, 8 a 8.1

  • Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator a povolte samoobslužné resetování hesla Microsoft Entra.
  • Před použitím této funkce se uživatelé musí před použitím této funkce zaregistrovat pro samoobslužné resetování hesla. https://aka.ms/ssprsetup
    • Není jedinečné pro použití SSPR z přihlašovací obrazovky Windows, všichni uživatelé musí před resetováním hesla zadat ověřovací kontaktní údaje.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com
  • Opravený operační systém Windows 7 nebo Windows 8.1.
  • Protokol TLS 1.2 je povolený pomocí pokynů v nastavení registru TLS (Transport Layer Security).
  • Pokud je na vašem počítači povolené více než jeden poskytovatel přihlašovacích údajů třetí strany, zobrazí se uživatelům na přihlašovací obrazovce více než jeden profil uživatele.

Upozorňující

Musí být povolený protokol TLS 1.2, ne jenom pro automatické vyjednávání.

Instalace

Pro Windows 7, 8 a 8.1 musí být na počítači nainstalovaná malá komponenta, aby bylo možné povolit samoobslužné resetování hesla na přihlašovací obrazovce. Pokud chcete nainstalovat tuto komponentu SSPR, proveďte následující kroky:

  1. Stáhněte si odpovídající instalační program pro verzi Systému Windows, kterou chcete povolit.

    Instalační program softwaru je k dispozici na webu Stažení softwaru na adrese https://aka.ms/sspraddin

  2. Přihlaste se k počítači, na kterém chcete nainstalovat, a spusťte instalační program.

  3. Po instalaci se důrazně doporučuje restartování.

  4. Po restartování zvolte na přihlašovací obrazovce uživatele a vyberte "Zapomenuté heslo?", aby se zahájil pracovní postup resetování hesla.

  5. Dokončete pracovní postup podle kroků na obrazovce a resetujte si heslo.

Example Windows 7 clicked

Bezobslužná instalace

Komponentu SSPR je možné nainstalovat nebo odinstalovat bez výzvy pomocí následujících příkazů:

  • Pro bezobslužnou instalaci použijte příkaz msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Pro bezobslužnou odinstalaci použijte příkaz msiexec /x SsprWindowsLogon.PROD.msi /qn.

Řešení potíží s resetováním hesla ve Windows 7, 8 a 8.1

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, události se protokolují na počítači i v Microsoft Entra ID. Události Microsoft Entra zahrnují informace o IP adrese a clientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

Example Windows 7 password reset in the Microsoft Entra audit log

Pokud je vyžadováno další protokolování, můžete v počítači změnit klíč registru, aby se povolilo podrobné protokolování. Povolte podrobné protokolování pouze pro účely řešení potíží s použitím následující hodnoty klíče registru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Pokud chcete povolit podrobné protokolování, vytvořte REG_DWORD: "EnableLogging"a nastavte ho na 1.
  • Pokud chcete podrobné protokolování zakázat, změňte REG_DWORD: "EnableLogging" na 0.
  • Zkontrolujte protokolování ladění v protokolu událostí aplikace ve zdrojové AADPasswordResetCredentialProvider.

Co vidí uživatelé

S nakonfigurovaným SSPR pro vaše zařízení s Windows, jaké změny pro uživatele? Jak se dozví, že své heslo můžou resetovat na přihlašovací obrazovce? Následující ukázkové snímky obrazovky ukazují další možnosti, jak uživatel resetovat heslo pomocí SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

Když se uživatelé pokusí přihlásit, zobrazí se jim odkaz Pro resetování hesla nebo Zapomenuté heslo, které otevře samoobslužné resetování hesla na přihlašovací obrazovce. Tato funkce umožňuje uživatelům resetovat své heslo, aniž by museli použít jiné zařízení pro přístup k webovému prohlížeči.

Další informace pro uživatele, kteří tuto funkci používají, najdete v tématu Resetování pracovního nebo školního hesla.

Další kroky

Pokud chcete zjednodušit prostředí pro registraci uživatelů, můžete předem naplnit kontaktní informace o ověření uživatele pro samoobslužné resetování hesla.