Co je samoobslužné resetování hesla v Microsoft Entra ID?
Byli jste požádáni, abyste posoudili způsoby, jak snížit náklady na helpdesk ve vaší maloobchodní organizaci. Všimli jste si, že pracovníci podpory tráví většinu času resetováním hesel pro uživatele. Uživatelé si často stěžují na zpoždění tohoto procesu a tato zpoždění mají vliv na jejich produktivitu. Chcete pochopit, jak nakonfigurovat Azure tak, aby uživatelům umožňovala spravovat vlastní hesla.
V této lekci se dozvíte, jak funguje samoobslužné resetování hesla (SSPR) v Microsoft Entra ID.
Proč používat SSPR?
V Microsoft Entra ID může každý uživatel změnit heslo, pokud už je přihlášený. Pokud ale nejsou přihlášení a zapomněli svoje heslo nebo jeho platnost vypršela, bude muset resetovat heslo. S SSPR můžou uživatelé resetovat svá hesla ve webovém prohlížeči nebo na přihlašovací obrazovce Windows, aby znovu získali přístup k Azure, Microsoftu 365 a jakékoli jiné aplikaci, která k ověřování používá Microsoft Entra ID.
SSPR snižuje zatížení správců, protože uživatelé můžou řešit problémy s hesly sami, aniž by museli zavolat na helpdesk. Minimalizuje také dopad zapomenutého hesla nebo hesla, jehož platnost vypršela. Uživatelé nemusí čekat, až bude správce k dispozici pro resetování hesla.
Jak funguje samoobslužné resetování hesla
Uživatel zahájí resetování hesla tak, že přejde přímo na portál pro resetování hesla nebo vybere odkaz Nejde získat přístup k vašemu účtu na přihlašovací stránce. Portál pro resetování provede následující kroky:
- Lokalizace: Portál zkontroluje nastavení národního prostředí prohlížeče a vykreslí stránku SSPR v příslušném jazyce.
- Ověření: Uživatel zadá své uživatelské jméno a předá captcha, aby se zajistilo, že se jedná o uživatele, a ne robota.
- Ověřování: Uživatel zadá požadovaná data k ověření své identity. Můžou například zadat kód nebo odpovědět na bezpečnostní otázky.
- Resetování hesla: Pokud uživatel projde ověřovacími testy, může zadat nové heslo a potvrdit ho.
- Oznámení: Uživateli se odešle zpráva s potvrzením resetování.
Uživatelské prostředí samoobslužného resetování hesla můžete přizpůsobit několika způsoby. Na přihlašovací stránku můžete například přidat logo vaší společnosti, aby uživatelé věděli, že jsou na správném místě pro resetování hesla.
Ověření resetování hesla
Před povolením resetování hesla je důležité ověřit identitu uživatele. Uživatelé se zlými úmysly můžou zneužít jakoukoli slabinu systému k zosobnění daného uživatele. podpora Azure šest různých způsobů ověřování žádostí o resetování.
Jako správce můžete zvolit metody, které se mají použít při konfiguraci SSPR. Povolte dvě nebo více těchto metod, aby si uživatelé mohli vybrat ty, které můžou snadno použít. Metody jsou:
| Metoda ověřování | Jak se zaregistrovat | Ověření pro resetování hesla |
|---|---|---|
| Oznámení mobilní aplikace | Nainstalujte na mobilní zařízení aplikaci Microsoft Authenticator a pak ji zaregistrujte na stránce nastavení vícefaktorového ověřování. | Azure pošle aplikaci oznámení, které můžete ověřit nebo zamítnout. |
| Kód mobilní aplikace | Tato metoda také používá aplikaci Authenticator, kterou nainstalujete a zaregistrujete stejným způsobem. | Zadejte kód z aplikace. |
| Zadejte e-mailovou adresu, která je externí pro Azure a Microsoft 365. | Azure odešle kód na adresu, kterou zadáte v průvodci resetováním. | |
| Mobilní telefon | Zadejte číslo mobilního telefonu. | Azure odešle do telefonu kód ve zprávě SMS, kterou zadáte v průvodci resetováním. Můžete se také rozhodnout, že chcete získat automatizovaný hovor. |
| Telefon do kanceláře | Zadejte nemobilní telefonní číslo. | Obdržíte automatizovaný hovor na toto číslo a stisknete #. |
| Bezpečnostní otázky | Vyberte otázky, jako je třeba "V jakém městě se vaše matka narodila?" a uložte odpovědi. | Odpovězte na otázky. |
V organizacích Microsoft Entra zdarma a zkušebních verzích nejsou podporované možnosti telefonních hovorů.
Vyžadovat minimální počet metod ověřování
Můžete zadat minimální počet metod, které musí uživatel nastavit: jeden nebo dva. Můžete například povolit kód mobilní aplikace, e-mail, telefon do kanceláře a metody bezpečnostních otázek a zadat minimálně dvě metody. Uživatelé pak můžou zvolit dvě metody, které preferují, například kód mobilní aplikace a e-mail.
Pro metodu otázky zabezpečení můžete zadat minimální počet otázek, které musí uživatel nastavit pro registraci pro tuto metodu. Můžete také zadat minimální počet otázek, na které musí odpovědět správně, aby resetovali heslo.
Jakmile vaši uživatelé zaregistrují požadované informace pro minimální počet metod, které jste zadali, považují se za registrované pro SSPR.
Doporučení
- Povolte dvě nebo více metod žádosti o resetování ověřování.
- Jako primární metodu použijte oznámení nebo kód mobilní aplikace, ale také povolte e-mailové nebo telefonní metody office, aby podporovaly uživatele bez mobilních zařízení.
- Metoda mobilního telefonu není doporučenou metodou, protože je možné odesílat podvodné zprávy SMS.
- Možnost bezpečnostní otázky je nejméně doporučená metoda, protože odpovědi na bezpečnostní otázky můžou být známé ostatním uživatelům. Metodu bezpečnostní otázky používejte pouze v kombinaci s alespoň jednou jinou metodou.
Účty přidružené k rolím správce
- Silné zásady ověřování se dvěma metodami se vždy použijí na účty s rolí správce bez ohledu na vaši konfiguraci pro ostatní uživatele.
- Metoda otázky zabezpečení není dostupná pro účty přidružené k roli správce.
Konfigurace oznámení
Správa istrátory můžou zvolit, jak budou uživatelé upozorněni na změny hesel. Můžete povolit dvě možnosti:
- Upozorňovat uživatele na resetování hesla: Uživatel, který resetuje vlastní heslo, bude upozorněn na primární a sekundární e-mailové adresy. Pokud resetování provedl uživatel se zlými úmysly, upozorní toto oznámení uživatele, který může podniknout kroky pro zmírnění rizika.
- Upozornit všechny správce, když ostatní správci resetují heslo: Všichni správci budou upozorněni, když si heslo resetuje jiný správce.
Požadavky na licenci
Existují tři edice Microsoft Entra ID: free, Premium P1 a Premium P2. Funkce resetování hesla, kterou můžete použít, závisí na vaší edici.
Každý uživatel, který je přihlášený, může změnit heslo bez ohledu na edici Microsoft Entra ID.
Pokud nejste přihlášení a zapomněli jste heslo nebo vypršela platnost hesla, můžete použít SSPR v Microsoft Entra ID P1 nebo P2. Je také k dispozici pro Microsoft 365 Apps pro firmy nebo Microsoft 365.
V hybridní situaci, kdy máte místní službu Active Directory a ID Microsoft Entra v cloudu, musí se jakákoli změna hesla v cloudu zapsat zpět do místního adresáře. Tato podpora zpětného zápisu je k dispozici v Microsoft Entra ID P1 nebo P2. Je také k dispozici v Microsoft 365 Apps pro firmy.
Možnosti nasazení SSPR
SSPR můžete nasadit se zpětným zápisem hesla pomocí Microsoft Entra Připojení nebo cloudové synchronizace v závislosti na potřebách uživatelů. Každou možnost můžete nasadit vedle sebe v různých doménách, abyste mohli cílit na různé sady uživatelů. To pomáhá stávajícím uživatelům místně zapisovat změny hesel a současně přidávat možnost pro uživatele v odpojených doménách kvůli sloučení nebo rozdělení společnosti. Uživatelé z existující místní domény mohou používat Microsoft Entra Připojení, zatímco noví uživatelé z fúze můžou používat cloudovou synchronizaci v jiné doméně. Synchronizace cloudu může také poskytovat vyšší dostupnost, protože nespoléhá na jedinou instanci microsoft Entra Připojení. Porovnání funkcí mezi těmito dvěma možnostmi nasazení najdete v tématu Porovnání mezi microsoft entra Připojení a cloudovou synchronizací.