Activer la réinitialisation du mot de passe en libre-service Microsoft Entra sur l’écran de connexion Windows

En utilisant la réinitialisation de mot de passe en libre-service (SSPR) dans Microsoft Entra ID, les utilisateurs peuvent modifier ou réinitialiser leur mot de passe sans l’intervention d’un administrateur ou d’un service d’assistance. En règle générale, les utilisateurs ouvrent un navigateur web sur un autre appareil pour accéder au portail SSPR. Pour améliorer l’expérience sur les ordinateurs qui exécutent Windows 7, 8, 8.1, 10 et 11, vous pouvez permettre aux utilisateurs de réinitialiser leur mot de passe sur l’écran de connexion Windows.

Cet article montre aux administrateurs comment activer SSPR pour les appareils Windows dans une entreprise.

Si votre équipe informatique n’a pas activé la possibilité d’utiliser SSPR à partir de votre appareil Windows ou si vous rencontrez des problèmes lors de la connexion, contactez votre service d’assistance pour obtenir de l’aide.

Limitations générales

Les limitations suivantes s’appliquent à l’utilisation de SSPR à partir de l’écran de connexion Windows :

• La réinitialisation de mot de passe n'est actuellement pas prise en charge à partir d'un Bureau à distance ou des Sessions améliorées Hyper-V.

• Certains fournisseurs d’informations d’identification non Microsoft sont connus pour causer des problèmes avec cette fonctionnalité.

• La désactivation du contrôle de compte d’utilisateur via la modification de la clé de registre EnableLUA est connue pour causer des problèmes.

• Cette fonctionnalité ne fonctionne pas pour les réseaux sur lesquels l’authentification réseau 802.1x est déployée et l’option Effectuer immédiatement avant l’ouverture de session de l’utilisateur. Pour les réseaux sur lesquels l’authentification réseau 802.1x est déployée, nous vous recommandons d’utiliser l’authentification par ordinateur pour activer cette fonctionnalité.

• Les machines jointes hybrides Microsoft Entra doivent disposer d’une connectivité réseau en visibilité directe sur un contrôleur de domaine pour utiliser le nouveau mot de passe et mettre à jour les informations d’identification mises en cache. Les appareils doivent se trouver sur le réseau interne de l’organisation ou sur un réseau privé virtuel avec accès réseau à un contrôleur de domaine local. Si SSPR est la seule exigence, la ligne de connexion réseau au contrôleur de domaine n’est pas requise.

• Si vous utilisez une image, assurez-vous avant d’exécuter sysprep que le cache Web est effacé pour l’administrateur intégré avant d’effectuer l’étape CopyProfile . Pour plus d’informations, consultez Performances médiocres lors de l’utilisation d’un profil utilisateur par défaut personnalisé.

• Les paramètres suivants sont connus pour interférer avec la capacité d’utiliser et de réinitialiser les mots de passe sur les appareils Windows 10 :

  • Si les notifications d’écran de verrouillage sont désactivées, Réinitialiser le mot de passe ne fonctionnera pas.
  • HideFastUserSwitching est défini sur Activé ou 1.
  • DontDisplayLastUserName est défini sur Activé ou 1.
  • NoLockScreen est défini sur Activé ou 1.
  • BlockNonAdminUserInstall est défini sur Activé ou 1.
  • EnableLostMode est réglé sur l’appareil.
  • Explorer.exe est remplacé par une coque personnalisée.
  • Ouverture de session interactive : l’option Exiger une carte à puce est définie sur Activé ou 1.

• La combinaison des trois paramètres spécifiques suivants peut empêcher cette fonctionnalité de fonctionner.

  • Ouverture de session interactive : Ne pas exiger que CTRL+ALT+SUPPR soit défini sur Désactivé (uniquement pour Windows 10 version 1710 et antérieure).
  • DisableLockScreenAppNotifications est défini sur Activé ou 1.
  • La version Windows est l’édition familiale.

Remarque

Ces limitations s’appliquent également à la réinitialisation du code confidentiel Windows Hello Entreprise à partir de l’écran de verrouillage de l’appareil.

Réinitialisation du mot de passe Windows 11 et Windows 10

Pour configurer un appareil Windows 11 ou Windows 10 pour SSPR sur l’écran de connexion, passez en revue les conditions préalables et les étapes de configuration suivantes.

Conditions préalables pour Windows 11 et Windows 10

• Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins et activez Microsoft Entra SSPR.
• Les utilisateurs doivent s’inscrire à SSPR avant d’utiliser cette fonctionnalité sur l’écran de connexion Windows.
  • Tous les utilisateurs doivent fournir des informations de contact d’authentification avant de pouvoir réinitialiser leur mot de passe, qui n’est pas propre à l’utilisation de SSPR à partir de l’écran de connexion Windows.
• Configuration requise pour le proxy réseau :
  • Port 443 vers passwordreset.microsoftonline.com et ajax.aspnetcdn.com.
  • Les appareils Windows 10 nécessitent une configuration proxy au niveau de l’ordinateur ou une configuration proxy étendue pour le compte temporaire defaultuser1 utilisé pour effectuer SSPR. Pour plus d’informations, consultez la section Résolution des problèmes .
• Exécutez au moins Windows 10 version 2018 Update (v1803) et les appareils doivent être :
  • Microsoft Entra a rejoint l’équipe.
  • Microsoft Entra hybride rejoint.

Activer pour Windows 11 et Windows 10 à l’aide d’Intune

Le déploiement de la modification de configuration pour activer SSPR à partir de l’écran de connexion Windows à l’aide d’Intune est la méthode la plus flexible. Avec Intune, vous pouvez déployer la modification de configuration sur un groupe spécifique de machines que vous définissez. Cette méthode nécessite l’inscription Intune de l’appareil.

Créer une stratégie de configuration d’appareil dans Intune

1. Connectez-vous au centre d’administration Microsoft Intune .

2. Créez un profil de configuration d’appareil en accédant àProfils> d’appareil, puis en sélectionnant + Créer un profil :

   • Pour Plateforme, choisissez Windows 10 et versions ultérieures.
   • Pour Type de profil, choisissez Modèles , puis sélectionnez le modèle personnalisé .

3. Sélectionnez Créer, puis fournissez un nom significatif pour le profil, par exemple SSPR de l’écran de connexion Windows 11.

   Si vous le souhaitez, fournissez une description explicite du profil, puis sélectionnez Suivant.

4. Sous paramètres de configuration, sélectionnez Ajouter et fournissez le paramètre de OMA-URI suivant pour activer le lien de réinitialisation du mot de passe :

   • Entrez un nom explicite pour expliquer ce que fait le paramètre, par exemple Ajouter un lien SSPR.
   • Si vous le souhaitez, entrez une description explicite du paramètre.
   • Définissez OMA-URI sur ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Définissez le type de données sur Entier.
   • Définissez la valeur sur 1.

   Sélectionnez Ajouter, puis sélectionnez Suivant.

5. Vous pouvez attribuer la stratégie à des utilisateurs, des appareils ou des groupes spécifiques. Attribuez le profil souhaité à votre environnement. La meilleure pratique consiste à l’attribuer d’abord à un groupe de tests d’appareils, puis à sélectionner Suivant.

   Pour plus d’informations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.

6. Configurez les règles d’applicabilité que vous souhaitez pour votre environnement, par exemple Attribuer un profil si l’édition du système d’exploitation est Windows 10 Entreprise, puis sélectionnez Suivant.

7. Vérifiez votre profil, puis sélectionnez Créer.

Activer pour Windows 11 et Windows 10 à l’aide du registre

Pour activer SSPR sur l’écran de connexion Windows à l’aide d’une clé de registre, procédez comme suit :

1. Connectez-vous au PC Windows à l’aide des informations d’identification administratives.

2. Sélectionnez Windows + R pour ouvrir la boîte de dialogue Exécuter , puis exécutez regedit en tant qu’administrateur.

3. Définissez la clé de Registre suivante :

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Résoudre les problèmes de réinitialisation de mot de passe Windows 11 et Windows 10

Si vous rencontrez des problèmes lors de l’utilisation de SSPR à partir de l’écran de connexion Windows, le journal d’audit Microsoft Entra inclut des informations sur l’adresse IP et ClientTypel’emplacement de la réinitialisation du mot de passe, comme illustré dans l’exemple de sortie suivant.

Lorsque les utilisateurs réinitialisent leur mot de passe à partir de l’écran de connexion d’un appareil Windows 11 ou 10, un compte temporaire à privilège faible appelé defaultuser1 est créé. Ce compte est utilisé pour sécuriser le processus de réinitialisation de mot de passe.

Le compte lui-même dispose d’un mot de passe généré de manière aléatoire, qui est validé par rapport à la politique de mot de passe d’une organisation. Le mot de passe ne s’affiche pas pour la connexion à l’appareil et est automatiquement supprimé une fois que l’utilisateur a réinitialisé son mot de passe. Il peut exister plusieurs defaultuser profils, mais vous pouvez les ignorer en toute sécurité.

Configurations de proxy pour la réinitialisation du mot de passe Windows

Pendant la réinitialisation du mot de passe, SSPR crée un compte d’utilisateur local temporaire pour se connecter à https://passwordreset.microsoftonline.com/n/passwordreset. Lorsqu’un proxy est configuré pour l’authentification de l’utilisateur, il peut échouer avec l’erreur « Quelque chose s’est mal passé. S’il vous plaît, réessayez plus tard. Cette erreur se produit parce que le compte d’utilisateur local n’est pas autorisé à utiliser le proxy authentifié.

Dans ce cas, utilisez l’une des solutions de contournement suivantes :

• Configurez un paramètre de proxy à l’échelle de l’ordinateur qui ne dépend pas du type d’utilisateur connecté à l’ordinateur. Par exemple, vous pouvez activer la stratégie de groupe Définir des paramètres proxy par ordinateur (plutôt que par utilisateur) pour les stations de travail.

• Vous pouvez également utiliser la configuration de proxy par utilisateur pour SSPR si vous modifiez le modèle de registre du compte par défaut. Les commandes sont les suivantes :

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• L’erreur « Quelque chose s’est mal passé » peut également se produire lorsque quelque chose interrompt la connectivité à l’URL https://passwordreset.microsoftonline.com/n/passwordreset. Par exemple, cette erreur peut se produire lorsqu’un logiciel antivirus s’exécute sur le poste de travail sans exclusions pour les passwordreset.microsoftonline.comURL , ajax.aspnetcdn.com, et ocsp.digicert.com. Désactivez temporairement ce logiciel pour tester si le problème est résolu ou non.

Réinitialisation du mot de passe Windows 7, 8 et 8.1

Pour configurer un appareil Windows 7, 8 ou 8.1 pour SSPR sur l’écran de connexion Windows, passez en revue les conditions préalables et les étapes de configuration suivantes.

Conditions préalables à Windows 7, 8 et 8.1

• Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins et activez Microsoft Entra SSPR.
• Les utilisateurs doivent s’inscrire à SSPR sur l’écran de connexion Windows avant d’utiliser cette fonctionnalité.
  • Tous les utilisateurs doivent fournir des informations de contact d’authentification avant de pouvoir réinitialiser leur mot de passe, qui n’est pas propre à l’utilisation de SSPR à partir de l’écran de connexion Windows.
• Configuration requise pour le proxy réseau :
  • Port 443 à passwordreset.microsoftonline.com.
• Système d’exploitation Windows 7 ou Windows 8.1 corrigé - effectué.
• TLS 1.2 activé en suivant les instructions des paramètres de registre TLS (Transport Layer Security).
• Si plusieurs fournisseurs d’informations d’identification non Microsoft sont activés sur votre ordinateur, les utilisateurs voient plusieurs profils utilisateur sur l’écran de connexion Windows.

Avertissement

TLS 1.2 doit être activé, et pas seulement configuré pour la négociation automatique.

Installer le composant SSPR

Pour Windows 7, 8 et 8.1, un petit composant doit être installé sur l’ordinateur pour activer SSPR sur l’écran de connexion Windows. Pour installer ce composant SSPR, procédez comme suit :

1. Téléchargez le programme d’installation approprié pour la version de Windows que vous souhaitez activer.

   Le programme d’installation du logiciel est disponible sur le Centre de téléchargement Microsoft.

2. Connectez-vous à l’ordinateur sur lequel vous souhaitez installer et exécutez le programme d’installation.

3. Après l’installation, nous vous recommandons d’effectuer un redémarrage.

4. Après le redémarrage, sur l’écran de connexion Windows, choisissez un utilisateur et sélectionnez Mot de passe oublié ? pour lancer le flux de travail de réinitialisation de mot de passe.

5. Suivez les étapes pour réinitialiser votre mot de passe.

   

Installation silencieuse

Pour installer ou désinstaller le composant SSPR sans invite, utilisez les commandes suivantes :

• Installation silencieuse : utilisez msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Désinstallation silencieuse : utilisez msiexec /x SsprWindowsLogon.PROD.msi /qn.

Résoudre les problèmes de réinitialisation de mot de passe Windows 7, 8 et 8.1

Si vous rencontrez des problèmes lorsque vous utilisez SSPR à partir de l’écran de connexion Windows, les événements sont enregistrés sur l’ordinateur et dans Microsoft Entra ID. Les événements Microsoft Entra incluent des informations sur l’adresse IP et le ClientType paramètre où la réinitialisation du mot de passe a eu lieu.

Si une journalisation supplémentaire est nécessaire, modifiez une clé de registre sur l’ordinateur pour activer la journalisation détaillée. Activez la journalisation détaillée à des fins de dépannage uniquement à l’aide de la valeur de clé de registre suivante :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Pour activer la journalisation détaillée, créez-la REG_DWORD: "EnableLogging" et définissez-la sur 1.
• Pour désactiver la journalisation détaillée, passez REG_DWORD: "EnableLogging" à 0.
• Passez en revue la journalisation de débogage dans le journal des événements de l’application sous la source AADPasswordResetCredentialProvider.

Que voient les utilisateurs ?

Avec SSPR configuré pour vos appareils Windows, quels sont les changements pour l’utilisateur ? Comment savent-ils qu’ils peuvent réinitialiser leur mot de passe sur l’écran de connexion ? Les exemples de captures d’écran suivants montrent d’autres options permettant à un utilisateur de réinitialiser son mot de passe à l’aide de SSPR.

Lorsque les utilisateurs tentent de se connecter, ils voient un lien Réinitialiser le mot de passe ou Mot de passe oublié qui ouvre l’expérience SSPR sur l’écran de connexion. Désormais, les utilisateurs peuvent réinitialiser leur mot de passe sans avoir à utiliser un autre appareil pour accéder à un navigateur Web.

Pour en savoir plus sur l’utilisation de cette fonctionnalité, consultez la rubrique Réinitialiser votre mot de passe professionnel ou scolaire.

Contenu connexe

Pour simplifier l’expérience d’inscription des utilisateurs, vous pouvez préremplir les informations de contact d’authentification de l’utilisateur pour SSPR.