Self-Service možností nasazení resetování hesel

Důležité

V září 2022 Microsoft oznámil vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 přestanou nasazení Azure Multi-Factor Authentication Serveru obsluhovat požadavky vícefaktorového ověřování (MFA). Zákazníci Azure Multi-Factor Authentication Serveru by měli místo toho použít vlastní poskytovatele MFA s MIM SSPR nebo Microsoft Entra SSPR místo MIM SSPR.

Pro nové zákazníky, kteří mají licenci na id Microsoft Entra P1 nebo P2, doporučujeme použít Microsoft Entra samoobslužné resetování hesla, které zajistí prostředí pro koncové uživatele. Microsoft Entra samoobslužné resetování hesla poskytuje uživatelům možnost resetování vlastního hesla na webu i integrované prostředí systému Windows a podporuje řadu stejných funkcí jako MIM, včetně alternativních e-mailů a bran Q&A. Při nasazení Microsoft Entra samoobslužného resetování hesla můžete nakonfigurovat Microsoft Entra Connect tak, aby nová hesla zpětně zapsávala do služby AD DS, a službu MIM Password Change Notification Service můžete použít k předávání hesel jiným systémům, jako je adresářový server jiného dodavatele. Nasazení MIM pro správu hesel nevyžaduje nasazení služby MIM, samoobslužného resetování hesla NEBO registračních portálů MIM. Místo toho můžete postupovat takto:

• Pokud potřebujete odesílat hesla do jiných adresářů než Microsoft Entra ID a AD DS, nasaďte MIM Sync s konektory pro Active Directory Domain Services a další cílové systémy, nakonfigurujte MIM pro správu hesel a nasaďte službu Oznámení o změnách hesel.
• Pokud pak potřebujete odesílat hesla do jiných adresářů než Microsoft Entra ID, nakonfigurujte Microsoft Entra Connect tak, aby nová hesla zpětně zapisovali do služby AD DS.
• Volitelně můžete uživatele předem zaregistrovat.
• Nakonec nasaďte Microsoft Entra samoobslužné resetování hesla pro koncové uživatele.

Stávajícím zákazníkům, kteří dříve nasadili Forefront Identity Manager (FIM) pro samoobslužné resetování hesla a mají licenci na Microsoft Entra ID P1 nebo P2, doporučujeme naplánovat přechod na Microsoft Entra samoobslužné resetování hesla. Koncové uživatele můžete převést na Microsoft Entra samoobslužné resetování hesla, aniž by je museli znovu zaregistrovat. Provedete to synchronizací nebo nastavením alternativní e-mailové adresy nebo čísla mobilního telefonu prostřednictvím PowerShellu. Po registraci uživatelů k Microsoft Entra samoobslužného resetování hesla je možné portál FIM pro resetování hesla vyřadit z provozu.

Pro zákazníky, kteří ještě nenasadili Microsoft Entra samoobslužné resetování hesla pro své uživatele, POSKYTUJE MIM také portály pro samoobslužné resetování hesla. Oproti FIM zahrnuje MIM 2016 následující změny:

• MiM Self-Service portálu pro resetování hesla a přihlašovací obrazovka Windows umožňují uživatelům odemknout účty beze změny hesla.

• Do MIM byla přidána nová ověřovací brána Phone Gate. To umožňuje ověřování uživatelů prostřednictvím telefonního hovoru prostřednictvím vícefaktorové služby Microsoft Entra ověřování.

Buildy MIM 2016 až do verze 4.5.26.0 spoléhaly na zákazníka, že si stáhne sadu SDK, která je zastaralá, a stávající nasazení by se měla přesunout buď na použití MIM SSPR s vlastním poskytovatelem MFA, nebo Microsoft Entra samoobslužné resetování hesla. Nová nasazení by měla používat vlastního poskytovatele vícefaktorového ověřování nebo Microsoft Entra samoobslužného resetování hesla.

Nasazení mim Self-Service portálu pro resetování hesel pomocí vlastního zprostředkovatele pro vícefaktorové ověřování

Následující část popisuje, jak nasadit portál pro samoobslužné resetování hesla MIM pomocí poskytovatele pro vícefaktorové ověřování. Tento postup je nezbytný jenom pro zákazníky, kteří nepoužívají Microsoft Entra samoobslužné resetování hesla pro své uživatele.

Při vícefaktorovém ověřování se uživatelé ověřují prostřednictvím externího zprostředkovatele, aby mohli ověřit svoji identitu při pokusu o opětovné získání přístupu ke svému účtu a prostředkům. K ověřování se dá využít SMS nebo telefonní hovor. Čím silnější je ověřování, tím větší je jistota, že osobou, která se pokouší získat přístup, je skutečně reálný uživatel, který je vlastníkem příslušné identity. Po ověření si uživatel může zvolit nové heslo, kterým nahradí to původní.

Požadavky pro nastavení samoobslužného odemknutí účtu a resetování hesla pomocí MFA

V této části se předpokládá, že jste stáhli a dokončili nasazení komponent MIM Sync Microsoft Identity Manager 2016, služby MIM a portálu MIM, včetně následujících komponent a služeb:

• Windows Server 2008 R2 nebo novější byl nastavený jako server Active Directory, včetně služby AD Domain Services a řadiče domény s určenou doménou („podniková“ doména).

• Pro uzamčení účtu byly definované zásady skupiny.

• Synchronizační služba MIM 2016 (Sync) je nainstalovaná a spuštěná na serveru, který je připojený k doméně AD.

• Portál & služeb MIM 2016, včetně portálu pro registraci SSPR a portálu pro resetování SSPR, jsou nainstalované a spuštěné na serveru (může být umístěné společně se synchronizací).

• Služba MIM Sync je nakonfigurovaná pro synchronizaci identit AD-MIM včetně:

  • Konfigurace agenta pro správu služby Active Directory (ADMA) pro zajištění připojení ke službě AD DS a možnosti importovat data identit ze služby Active Directory a exportovat je do této služby.

  • Konfigurace agenta pro správu MIM (MIM MA) pro zajištění připojení k databázi služby FIM a možnosti importovat data identit z databáze FIM a exportovat je do této databáze.

  • Konfigurace pravidel synchronizace na portálu MIM pro povolení synchronizace uživatelských dat a usnadnění synchronizačních aktivit ve službě MIM.

• Doplňky MIM 2016 & rozšíření včetně integrovaného klienta SSPR Windows Login jsou nasazené na serveru nebo na samostatném klientském počítači.

Pokud používáte Microsoft Entra vícefaktorové ověřování, tento scénář vyžaduje, abyste pro uživatele měli licence CAL MIM a také předplatné pro Microsoft Entra vícefaktorové ověřování.

Příprava MIM pro práci s MFA

Nakonfigurujte službu MIM Sync, aby podporovala funkce resetování hesla a odemknutí účtu. Další informace najdete v tématu Instalace doplňků a rozšíření FIM, Instalace FIM SSPR, Ověřovací brány SSPR a Průvodce testovacím prostředím SSPR.

Konfigurace telefonní nebo SMS brány pro ověřování heslem OTP

1. Spusťte Internet Explorer, přejděte na portál MIM, ověřte se jako správce MIM a pak na levém navigačním panelu klikněte na Pracovní postupy .

   

2. Zaškrtněte položku pro výběr ověřovacího pracovního postupu pro obnovení hesla.

   

3. Klikněte na kartu Aktivity a přejděte dolů k položce Přidat aktivitu.

4. Vyberte Telefonní brána nebo SMS brána s jednorázovým heslem , klikněte na Vybrat a pak na OK.

   Poznámka

   Pokud používáte jiného zprostředkovatele, který generuje jednorázové heslo samotného, ujistěte se, že pole délka nakonfigurované výše má stejnou délku jako pole vygenerované poskytovatelem MFA. Tato délka musí být 6 pro Azure Multi-Factor Authentication Server. Azure Multi-Factor Authentication Server také generuje vlastní text zprávy, takže textová zpráva SMS se ignoruje.

Uživatelé ve vaší organizaci se teď můžou zaregistrovat pro resetování hesla. V průběhu tohoto procesu zadají svoje telefonní číslo do zaměstnání nebo mobilní číslo, aby systém věděl, kam jim může zavolat (nebo poslat SMS zprávy).

Registrace uživatelů pro resetování hesla

1. Uživatel spustí webový prohlížeč a přejde na portál MIM pro registraci resetování hesel. (Tento portál se obvykle konfiguruje s ověřováním systému Windows.) Na portálu znovu zadá svoje uživatelské jméno a heslo k potvrzení identity.

   Pak musí přejít na portál pro registraci hesel a provést ověření pomocí svého uživatelského jména a hesla.

2. Do pole Telefonní číslo nebo Mobilní telefon musí zadat směrové číslo země, mezeru a telefonní číslo a kliknout na Další.

   

   

Jak to funguje z pohledu uživatelů?

Teď, když je všechno nastavené a funguje to, budete asi chtít vědět, čím uživatelé musí projít, když resetují svoje vlastní hesla bezprostředně před dovolenou a po návratu si uvědomí, že je všechny zapomněli.

Existují dva způsoby využití funkce resetování hesla a odemknutí účtu – z přihlašovací obrazovky Windows a ze samoobslužného portálu.

Pokud jsou doplňky a rozšíření MIM nainstalované na počítači připojeném v doméně, který je prostřednictvím sítě vaší organizace připojený ke službě MIM, můžou si uživatelé obnovit zapomenuté heslo při přihlášení k ploše. Následující kroky vás tímto procesem provedou.

Integrované resetování hesla při desktopovém přihlášení k Windows

1. Pokud uživatel několikrát zadá nesprávné heslo, na přihlašovací obrazovce bude mít možnost kliknout na Problémy s přihlášením? .

   

   Kliknutím na tento odkaz přejdou k obrazovce pro resetování hesla MIM, kde můžou změnit heslo a odemknout svůj účet.

   

2. Uživatel se přesměruje k ověření. Pokud bylo nakonfigurované vícefaktorové ověřování, služba uživateli zavolá.

3. Na pozadí se děje to, že poskytovatel vícefaktorového ověřování pak zavolá na číslo, které uživatel zadal, když se uživatel zaregistroval ke službě.

4. Když uživatel odpoví na telefon, může být požádán o interakci, například aby na telefonu stiskl křížek #. Potom uživatel klikne na portálu na Další.

   Pokud jste nastavili i další brány, uživatel se vyzve, aby na následných obrazovkách zadal další informace.

   Poznámka

   Pokud je uživatel netrpělivý a klikne na tlačítko Další ještě před stisknutím klávesy křížku (#), ověření se nepovede.

5. Po úspěšném ověření má uživatel dvě možnosti, buď odemknout účet a nechat si původní heslo, nebo nastavit nové heslo.

6. Uživatel pak musí dvakrát zadat nové heslo a tím je heslo resetované.

Přístup ze samoobslužného portálu

1. Uživatel může otevřít webový prohlížeč, přejít k portálu pro resetování hesel, zadat svoje uživatelské jméno a kliknout na Další.

   Pokud bylo nakonfigurované vícefaktorové ověřování, služba uživateli zavolá. Na pozadí se děje to, že Microsoft Entra vícefaktorové ověřování pak zavolá na číslo, které uživatel zadal při registraci ke službě.

   Po přijetí hovoru se uživatel vyzve ke stisknutí křížku (#) na telefonu. Potom uživatel klikne na portálu na Další.

2. Pokud jste nastavili i další brány, uživatel se vyzve, aby na následných obrazovkách zadal další informace.

   Poznámka

   Pokud je uživatel netrpělivý a klikne na tlačítko Další ještě před stisknutím klávesy křížku (#), ověření se nepovede.

3. Uživatel si bude muset vybrat, jestli si chce resetovat heslo, nebo odemknout svůj účet. Pokud se rozhodnou svůj účet odemknout, účet se odemkne.

   

4. Po úspěšném ověření bude mít uživatel dvě možnosti, buď zachovat aktuální heslo, nebo nastavit nové heslo.

5. 

6. Pokud se uživatel rozhodne resetovat heslo, musí dvakrát zadat nové heslo a potom změnu hesla potvrdit kliknutím na Další.