Activer la réinitialisation de mot de passe en libre-service Microsoft Entra depuis l’écran de connexion Windows

La réinitialisation de mot de passe en libre-service (SPSPR) permet aux utilisateurs de Microsoft Entra ID de changer ou de réinitialiser leur mot de passe, sans l’intervention d’un administrateur ou d’un agent du support technique. En règle générale, les utilisateurs ouvrent un navigateur web sur un autre appareil pour accéder au portail SSPR. Pour améliorer l’expérience sur les ordinateurs exécutant Windows 7, 8, 8.1, 10 et 11, vous pouvez permettre aux utilisateurs de réinitialiser leur mot de passe depuis l’écran de connexion Windows.

Important

Ce tutoriel montre comment un administrateur peut activer SSPR pour des appareils Windows dans une entreprise.

Si votre service informatique n’a pas activé l’utilisation de SSPR à partir de votre appareil Windows, ou si vous rencontrez des problèmes durant la connexion, contactez votre support technique pour obtenir une assistance supplémentaire.

Limitations générales

Les limitations suivantes s’appliquent à l’utilisation de SSPR depuis l’écran de connexion Windows :

• La réinitialisation de mot de passe n’est pas prise en charge à partir d’une session Bureau à distance ou des sessions améliorées Hyper-V.
• Certains fournisseurs tiers d’informations d’identification sont connus pour poser des problèmes avec cette fonctionnalité.
• La désactivation du Contrôle de compte d’utilisateur via la modification de la clé de Registre EnableLUA est connue pour provoquer des problèmes.
• Cette fonctionnalité est inopérante pour les réseaux où l’authentification réseau 802.1x est déployée et où l’option « Immédiatement avant l’ouverture de session de l’utilisateur » est activée. Pour les réseaux où l’authentification réseau 802.1x est déployée, il est recommandé d’utiliser l’authentification de la machine afin d’activer cette fonctionnalité.
• Les machines jointes Microsoft Entra doivent disposer d’une connectivité réseau à un contrôleur de domaine pour utiliser le nouveau mot de passe et mettre à jour les informations d’identification mises en cache. Cela signifie que les appareils doivent se trouver sur le réseau interne de l’organisation ou sur un VPN disposant d’un accès réseau à un contrôleur de domaine local.
• Si vous utilisez une image, avant d’exécuter sysprep, vérifiez que le cache web est effacé pour le compte Administrateur intégré avant d’effectuer l’étape CopyProfile. Vous trouverez plus d’informations au sujet de cette étape dans l’article de support Performances médiocres lors de l’utilisation du profil d’utilisateur par défaut personnalisé.
• Les paramètres suivants sont connus pour interférer avec la fonctionnalité de réinitialisation des mots de passe sur les appareils Windows 10 :
  • Si les notifications de l’écran de verrouillage sont désactivées, la commande Réinitialiser le mot de passe ne fonctionnera pas.
  • HideFastUserSwitching a la valeur enabled ou 1
  • DontDisplayLastUserName a la valeur enabled ou 1
  • NoLockScreen a la valeur enabled ou 1
  • BlockNonAdminUserInstall a la valeur enabled ou 1
  • EnableLostMode est défini sur l’appareil
  • Explorer.exe est remplacé par un interpréteur de commandes personnalisé
  • Ouverture de session interactive : la carte à puce nécessite la valeur activé ou 1
• La combinaison des trois paramètres spécifiques suivants peut empêcher le fonctionnement de cette fonctionnalité.
  • Ouverture de session interactive : ne nécessite pas CTRL+ALT+DEL = Désactivé (uniquement pour Windows 10 version 1710 et antérieure)
  • DisableLockScreenAppNotifications = 1 ou Enabled
  • La référence SKU de Windows est l’édition Famille

Notes

Ces limitations s’appliquent également à la réinitialisation du code PIN Windows Hello Entreprise à partir de l’écran de verrouillage de l’appareil.

Réinitialisation de mot de passe Windows 11 et Windows 10

Si vous souhaitez configurer un appareil Windows 11 ou Windows 10 pour SSPR à l’écran de connexion, passez en revue les étapes de configuration et les prérequis suivants.

Prérequis pour Windows 11 et Windows 10

• Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification et activez la réinitialisation du mot de passe en libre-service Microsoft Entra.
• Les utilisateurs doivent s’inscrire à SSPR pour pouvoir utiliser cette fonctionnalité sur https://aka.ms/ssprsetup
  • En plus de l’utilisation de SSPR à partir de l’écran de connexion Windows, tous les utilisateurs doivent fournir les informations de contact relatives à l’authentification pour pouvoir réinitialiser leur mot de passe.
• Exigences relatives au proxy réseau :
  • Port 443 vers passwordreset.microsoftonline.com et ajax.aspnetcdn.com
  • Les appareils Windows 10 nécessitent une configuration de proxy au niveau de la machine ou une configuration de proxy étendue pour le compte temporaire defaultuser1 utilisé pour exécuter SSPR (pour plus d’informations, consultez la section Résolution des problèmes ).
• Exécutez au moins Windows 10, avec la mise à jour d’avril 2018 (v1803), et les appareils doivent être :
  • Jonction Microsoft Entra
  • Jonction hybride Microsoft Entra

Activer pour Windows 11 et Windows 10 à l’aide de Microsoft Intune

Le déploiement du changement de configuration pour activer SSPR à partir de l’écran de connexion à l’aide de Microsoft Intune est la méthode la plus flexible. Microsoft Intune vous permet de déployer les modifications de configuration vers un groupe spécifique de machines que vous définissez. Cette méthode nécessite un appareil inscrit à Microsoft Intune.

Créer une stratégie de configuration d’appareil dans Microsoft Intune

1. Connectez-vous au centre d’administration Microsoft Intune.

2. Créez un profil de configuration d’appareil en accédant à Configuration de l’appareil>Profils, puis sélectionnez + Créer un profil

   • Pour Plateforme, choisissez Windows 10 et ultérieur
   • Pour Type de profil, choisissez Modèles, puis sélectionnez le modèle personnalisé ci-dessous

3. Sélectionnez Créer, puis indiquez un nom de profil explicite, par exemple Écran de connexion Windows 11 pour SSPR

   Indiquez éventuellement une description explicite du profil, puis sélectionnez Suivant.

4. Sous Paramètres de configuration, sélectionnez Ajouter, puis indiquez le paramètre OMA-URI suivant pour activer le lien de réinitialisation de mot de passe :

   • Indiquez un nom explicite pour décrire l’action du paramètre, par exemple Ajouter un lien SSPR.
   • Indiquez éventuellement une description explicite du paramètre.
   • Paramètre OMA-URI défini sur ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Paramètre Type de données défini sur la valeur Entier
   • Paramètre Valeur défini sur 1

   Sélectionnez Ajouter, puis Suivant.

5. La stratégie peut être affectée à des utilisateurs, des appareils ou des groupes spécifiques. Affectez d’abord le profil souhaité à votre environnement, idéalement à un groupe de test d’appareils, puis sélectionnez Suivant.

   Pour plus d’informations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.

6. Configurez les règles d’applicabilité souhaitées pour votre environnement, par exemple Affecter un profil si l’édition du système d’exploitation est Windows 10 Entreprise, puis sélectionnez Suivant.

7. Passez en revue votre profil, puis sélectionnez Créer.

Activer pour Windows 11 et Windows 10 à l’aide du Registre

Pour activer SSPR à l’écran de connexion à l’aide d’une clé de Registre, effectuez les étapes suivantes :

1. Connectez-vous au PC Windows à l’aide d’informations d’identification d’administration.

2. Appuyez sur Windows + R pour ouvrir la boîte de dialogue Exécuter, puis exécutez regedit en tant qu’administrateur

3. Définissez la clé de Registre suivante :

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Résolution des problèmes de réinitialisation de mot de passe de Windows 11 et Windows 10

Si vous rencontrez des problèmes d’utilisation de SSPR à partir de l’écran de connexion Windows, le journal d’audit Microsoft Entra contient des informations sur l’adresse IP et le ClientType où la réinitialisation de mot de passe s’est produite, comme illustré dans l’exemple de sortie suivant :

Quand les utilisateurs réinitialisent leur mot de passe à partir de l’écran de connexion d’un appareil Windows 11 ou 10, un compte temporaire doté de faibles privilèges appelé defaultuser1 est créé. Ce compte sert à sécuriser le processus de réinitialisation du mot de passe.

Le compte lui-même utilise un mot de passe généré de manière aléatoire, qui est validé par rapport à une stratégie de mot de passe d’organisation, ne s’affiche pas pour la connexion des appareils et est automatiquement supprimé une fois que l’utilisateur a rédéfini son mot de passe. Il peut exister plusieurs profils defaultuser, mais vous pouvez les ignorer sans risque.

Configurations du Proxy pour la réinitialisation de mot de passe Windows

Pendant la réinitialisation de mot de passe, SSPR crée un compte d’utilisateur local temporaire auquel se connecter https://passwordreset.microsoftonline.com/n/passwordreset. Lorsqu’un proxy est configuré pour l’authentification de l’utilisateur, il peut échouer avec l’erreur « un problème est survenu. Veuillez réessayer plus tard. » Cela est dû au fait que le compte d’utilisateur local n’est pas autorisé à utiliser le proxy authentifié.

Dans ce cas, vous pouvez utiliser l’une des solutions de contournement suivantes :

• Configurez un paramètre de proxy à l’intérieur de la machine qui ne dépend pas du type d’utilisateur y connecté. Par exemple, vous pouvez activer la stratégie de groupe Définir les paramètres de proxy par machine (plutôt que par utilisateur) pour les stations de travail.

• Vous pouvez également utiliser la configuration du proxy par utilisateur pour SSPR si vous modifiez le modèle de Registre pour le compte par défaut. Les commandes sont les suivantes :

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• L’erreur « Un problème est survenu » peut également se produire lorsque quelque chose interrompt la connectivité à l’URL https://passwordreset.microsoftonline.com/n/passwordreset. Par exemple, cette erreur peut se produire lorsque le logiciel antivirus s’exécute sur la station de travail sans exclusion des URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com et ocsp.digicert.com. Désactivez temporairement ce logiciel pour tester si le problème est résolu.

Réinitialisation de mot de passe de Windows 7, 8 et 8.1

Si vous souhaitez configurer un appareil Windows 7, 8 ou 8.1 pour SSPR à l’écran de connexion, passez en revue les prérequis et les étapes de configuration suivantes.

Prérequis pour Windows 7, 8 et 8.1

• Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification et activez la réinitialisation du mot de passe en libre-service Microsoft Entra.
• Les utilisateurs doivent s’inscrire à SSPR pour pouvoir utiliser cette fonctionnalité sur https://aka.ms/ssprsetup
  • En plus de l’utilisation de SSPR à partir de l’écran de connexion Windows, tous les utilisateurs doivent fournir les informations de contact relatives à l’authentification pour pouvoir réinitialiser leur mot de passe.
• Exigences relatives au proxy réseau :
  • Port 443 vers passwordreset.microsoftonline.com
• Système d’exploitation Windows 7 ou Windows 8.1 corrigé.
• TLS 1.2 activé à l’aide des instructions fournies dans l’article Paramètres de Registre TLS.
• Si plusieurs fournisseurs tiers d’informations d’identification sont activés sur votre machine, les utilisateurs voient plusieurs profils utilisateur sur l’écran de connexion.

Avertissement

TLS 1.2 doit être activé, et non simplement défini sur négociation automatique.

Installer

Pour Windows 7, 8 et 8.1, un petit composant doit être installé sur la machine pour permettre l’activation de SSPR à l’écran de connexion. Pour installer ce composant SSPR, effectuez les étapes suivantes :

1. Téléchargez le programme d’installation correspondant à la version de Windows que vous souhaitez activer.

   Le programme d’installation du logiciel est disponible auprès du Centre de téléchargement Microsoft à l’adresse https://aka.ms/sspraddin

2. Connectez-vous à la machine sur laquelle vous souhaitez installer et exécuter le programme d’installation.

3. Après l’installation, un redémarrage est vivement recommandé.

4. Après le redémarrage, dans l’écran de connexion, choisissez un utilisateur et sélectionnez « Mot de passe oublié ? » pour lancer le flux de travail de réinitialisation de mot de passe.

5. Exécutez le flux de travail en suivant les étapes à l’écran pour réinitialiser votre mot de passe.

Installation sans assistance

Vous pouvez installer ou désinstaller le composant SSPR sans invites à l’aide des commandes suivantes :

• Pour une installation sans assistance, utilisez la commande « msiexec /i SsprWindowsLogon.PROD.msi /qn ».
• Pour une désinstallation sans assistance, utilisez la commande « msiexec /x SsprWindowsLogon.PROD.msi /qn ».

Résolution des problèmes de réinitialisation de mot de passe de Windows 7, 8 et 8.1

Si vous rencontrez des problèmes durant l’utilisation de SSPR à partir de l’écran de connexion Windows, les événements sont journalisés à la fois sur la machine et dans Microsoft Entra ID. Les événements Microsoft Entra incluent des informations sur l’adresse IP et le ClientType où la réinitialisation de mot de passe s’est produite, comme illustré dans l’exemple de sortie suivant :

Si une journalisation supplémentaire est requise, vous pouvez modifier une clé de Registre sur la machine pour activer la journalisation détaillée. Activez la journalisation détaillée uniquement pour la résolution des problèmes à l’aide de la valeur de clé de Registre suivante :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Pour activer la journalisation détaillée, créez un REG_DWORD: "EnableLogging", et affectez-lui la valeur 1.
• Pour désactiver la journalisation détaillée, faites basculer la valeur de REG_DWORD: "EnableLogging" à 0.
• Consultez la journalisation du débogage dans le journal des événements d’application sous la source AADPasswordResetCredentialProvider.

Ce que voient les utilisateurs

Une fois SSPR configuré pour vos appareils Windows, quels sont les changements pour l’utilisateur ? Comment peut-il savoir qu’il est possible de réinitialiser un mot de passe sur l’écran de connexion ? Les exemples de captures d’écran suivants montrent les options supplémentaires qui permettent à un utilisateur de réinitialiser son mot de passe à l’aide de SSPR :

Quand les utilisateurs tentent de se connecter, ils voient un lien Réinitialiser le mot de passe ou Mot de passe oublié qui permet d’ouvrir l’expérience de réinitialisation de mot de passe en libre-service à l’écran de connexion. Cette fonctionnalité permet aux utilisateurs de réinitialiser leur mot de passe sans avoir à utiliser un autre appareil pour accéder à un navigateur web.

Pour plus d’informations sur l’utilisation de cette fonctionnalité, consultez Réinitialiser votre mot de passe professionnel ou scolaire

Étapes suivantes

Pour simplifier l’expérience d’inscription des utilisateurs, vous pouvez préremplir les informations de contact relatives à l’authentification utilisateur pour SSPR.