A Microsoft Entra önkiszolgáló jelszó-alaphelyzetbe állításának engedélyezése a Windows bejelentkezési képernyőjén
Az önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi, hogy a Microsoft Entra-azonosítóban lévő felhasználók rendszergazdai vagy ügyfélszolgálati közreműködés nélkül módosíthassák vagy alaphelyzetbe állíthatják a jelszavukat. A felhasználók általában megnyitnak egy webböngészőt egy másik eszközön az SSPR portál eléréséhez. A Windows 7, 8, 8.1, 10 és 11 rendszert futtató számítógépek felhasználói élményének javítása érdekében engedélyezheti, hogy a felhasználók a Windows bejelentkezési képernyőjén visszaállíthassák a jelszavukat.
Fontos
Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik az SSPR-t a vállalati Windows-eszközökhöz.
Ha az informatikai csapat nem engedélyezte az SSPR használatát Windows-eszközéről, vagy a bejelentkezés során problémákat tapasztal, forduljon a segélyszolgálathoz további segítségért.
General limitations
Az SSPR windowsos bejelentkezési képernyőről való használatára a következő korlátozások vonatkoznak:
- A jelszó-visszaállítás jelenleg nem támogatott távoli asztalról vagy Hyper-V bővített munkamenetekből.
- Néhány külső hitelesítőadat-szolgáltatóról ismert, hogy problémákat okoz ezzel a funkcióval.
- Az UAC letiltása az EnableLUA beállításkulcs módosításával ismert, hogy problémákat okoz.
- Ez a funkció nem működik a 802.1x hálózati hitelesítéssel rendelkező hálózatok esetében, és a "Közvetlenül a felhasználói bejelentkezés előtt" lehetőség. A 802,1-szeres hálózati hitelesítéssel rendelkező hálózatok esetében javasoljuk, hogy a funkció engedélyezéséhez gépi hitelesítést használjon.
- A Microsoft Entra hibrid csatlakoztatott gépeknek hálózati kapcsolati vonallal kell rendelkezniük egy tartományvezérlőhöz az új jelszó használatához és a gyorsítótárazott hitelesítő adatok frissítéséhez. Ez azt jelenti, hogy az eszközöknek a szervezet belső hálózatán vagy egy helyszíni tartományvezérlőhöz való hálózati hozzáféréssel rendelkező VPN-en kell lenniük.
- Ha rendszerképet használ, a sysprep futtatása előtt győződjön meg arról, hogy a webgyorsítótár törlődik a beépített Rendszergazda istrator számára a CopyProfile lépés végrehajtása előtt. Erről a lépésről további információt az egyéni alapértelmezett felhasználói profilok használatakor gyenge teljesítményről szóló támogatási cikkben talál.
- A következő beállításokról ismert, hogy megzavarják a jelszavak használatát és alaphelyzetbe állítását Windows 10-eszközökön:
- Ha a zárolási képernyő értesítései ki vannak kapcsolva, a jelszó alaphelyzetbe állítása nem fog működni.
- A HideFastUserSwitching engedélyezve van, vagy 1
- A DontDisplayLastUserName engedélyezve van, vagy 1
- A NoLockScreen engedélyezve van, vagy 1
- A BlockNon Rendszergazda UserInstall engedélyezve van, vagy 1
- Az EnableLostMode be van állítva az eszközön
- Az Explorer.exe helyére egy egyéni rendszerhéj kerül
- Interaktív bejelentkezés: Az intelligens kártya engedélyezésének megkövetelése vagy 1
- Az alábbi három beállítás kombinációja miatt ez a funkció nem működik.
- Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL = Letiltva (csak a Windows 10 1710-es vagy korábbi verziójára)
- DisableLockScreenAppNotifications = 1 vagy Enabled
- A Windows SKU a Home kiadás
Megjegyzés:
Ezek a korlátozások az eszköz zárolási képernyőjén Vállalati Windows Hello PIN-kód alaphelyzetbe állítására is vonatkoznak.
Windows 11 és Windows 10 jelszó kérése
Ha Windows 11 vagy Windows 10 rendszerű eszközt szeretne SSPR-hez konfigurálni a bejelentkezési képernyőn, tekintse át az alábbi előfeltételeket és konfigurációs lépéseket.
A Windows 11 és a Windows 10 előfeltételei
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirendként Rendszergazda istratorként, és engedélyezze a Microsoft Entra önkiszolgáló jelszóátállítását.
- A felhasználóknak regisztrálniuk kell az SSPR-hez, mielőtt ezt a funkciót használják: https://aka.ms/ssprsetup
- A Windows bejelentkezési képernyőjén nem egyedi az SSPR használata, minden felhasználónak meg kell adnia a hitelesítési kapcsolattartási adatokat, mielőtt alaphelyzetbe állíthatja a jelszavát.
- Hálózati proxykövetelmények:
- 443-as
passwordreset.microsoftonline.com
portajax.aspnetcdn.com
- A Windows 10-es eszközökhöz gépszintű proxykonfigurációra vagy hatókörön belüli proxykonfigurációra van szükség az SSPR végrehajtásához használt ideiglenes defaultuser1 fiókhoz (további részletekért lásd a hibaelhárítási szakaszt ).
- 443-as
- Futtassa legalább a Windows 10 2018. áprilisi frissítését (v1803), és az eszközöknek a következőknek kell lenniük:
- Csatlakoztatott Microsoft Entra
- Csatlakoztatott Microsoft Entra hibrid
Engedélyezés Windows 11-hez és Windows 10-hez a Microsoft Intune-tal
A legrugalmasabb módszer az SSPR-t a bejelentkezési képernyőről a Microsoft Intune használatával történő engedélyezéséhez szükséges konfigurációmódosítás üzembe helyezése. A Microsoft Intune lehetővé teszi a konfigurációs módosítás üzembe helyezését egy meghatározott gépcsoportra. Ehhez a módszerhez a Microsoft Intune-nak regisztrálnia kell az eszközt.
Eszközkonfigurációs szabályzat létrehozása a Microsoft Intune-ban
Jelentkezzen be a Microsoft Intune felügyeleti központjába.
Hozzon létre egy új eszközkonfigurációs profilt az eszközkonfigurációs>profilok megnyitásával, majd válassza a + Profil létrehozása lehetőséget
- Platform esetén válassza a Windows 10 és újabb verziót
- Profiltípus esetén válassza a Sablonok lehetőséget, majd válassza az alábbi Egyéni sablont
Válassza a Létrehozás lehetőséget, majd adjon meg egy értelmes nevet a profilnak, például a Windows 11 bejelentkezési képernyő SSPR-jének
Igény szerint adjon meg egy érthető leírást a profilról, majd válassza a Tovább gombot.
A Konfigurációs beállítások területen válassza a Hozzáadás lehetőséget, és adja meg a következő OMA-URI beállítást az alaphelyzetbe állítási jelszó hivatkozásának engedélyezéséhez:
- Adjon meg egy értelmes nevet a beállítás elvégzésének magyarázatához, például SSPR-hivatkozás hozzáadása.
- Igény szerint adjon meg érthető leírást a beállításról.
- Állítsa az OMA-URI beállítást
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
értékre - Állítsa az Adattípusbeállítást Egész szám értékre
- Állítsa az Érték beállítást 1 értékre
Válassza a Hozzáadás, majd a Tovább lehetőséget.
A szabályzat adott felhasználókhoz, eszközökhöz vagy csoportokhoz rendelhető hozzá. Rendelje hozzá a profilt a környezetéhez, ideális esetben először egy tesztcsoporthoz, majd válassza a Tovább gombot.
További információ: Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ban.
Konfigurálja a környezet számára kívánt alkalmazhatósági szabályokat, például a profil hozzárendelését, ha az operációsrendszer-kiadás Windows 10 Enterprise, majd válassza a Tovább gombot.
Tekintse át a profilját, majd válassza a Létrehozás lehetőséget.
Engedélyezés Windows 11-hez és Windows 10-hez a beállításjegyzék használatával
Ha egy beállításkulcs használatával szeretné engedélyezni az SSPR-t a bejelentkezési képernyőn, hajtsa végre a következő lépéseket:
Jelentkezzen be a Windows rendszerű számítógépre rendszergazdai hitelesítő adatokkal.
A Windows + R billentyű lenyomásával nyissa meg a Futtatás párbeszédpanelt, majd futtassa a regeditet rendszergazdaként
Adja meg a következő beállításkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount "AllowPasswordReset"=dword:00000001
A Windows 11 és a Windows 10 új jelszó kérésének hibaelhárítása
Ha problémákat tapasztal az SSPR windowsos bejelentkezési képernyőn való használatával kapcsolatban, a Microsoft Entra naplózási naplója információkat tartalmaz arról az IP-címről és Ügyféltípusról , ahol a jelszó-visszaállítás történt, ahogyan az alábbi példakimenetben látható:
Amikor a felhasználók visszaállítják a jelszavukat egy Windows 11 vagy 10 rendszerű eszköz bejelentkezési képernyőjén, létrejön egy alacsony jogosultságú ideiglenes fiók.defaultuser1
Ez a fiók a jelszó-visszaállítási folyamat biztonságának megőrzésére szolgál.
Maga a fiók véletlenszerűen generált jelszóval rendelkezik, amely egy szervezeti jelszóházirenden van érvényesítve, nem jelenik meg az eszköz bejelentkezésénél, és automatikusan törlődik, miután a felhasználó visszaállította a jelszavát. Előfordulhat, hogy több defaultuser
profil is létezik, de biztonságosan figyelmen kívül hagyható.
Proxykonfigurációk a Windows jelszó-alaphelyzetbe állításához
A jelszó-visszaállítás során az SSPR létrehoz egy ideiglenes helyi felhasználói fiókot a csatlakozáshoz https://passwordreset.microsoftonline.com/n/passwordreset
. Ha egy proxy felhasználói hitelesítésre van konfigurálva, az "Hiba történt" hibaüzenettel meghiúsulhat. Próbálkozzon újra később." Ennek az az oka, hogy a helyi felhasználói fiók nem jogosult a hitelesített proxy használatára.
Ebben az esetben az alábbi áthidaló megoldások egyikét használhatja:
Olyan számítógépszintű proxybeállítás konfigurálása, amely nem függ a gépbe bejelentkezett felhasználó típusától. Engedélyezheti például a csoportházirend proxybeállításait gépenként (nem felhasználónként) a munkaállomásokhoz.
Ha módosítja az alapértelmezett fiók beállításjegyzéksablonját, felhasználónkénti proxykonfigurációt is használhat az SSPR-hez. A parancsok a következők:
reg load "hku\Default" "C:\Users\Default\NTUSER.DAT" reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f reg unload "hku\Default"
A "Hiba történt" hiba akkor is előfordulhat, ha bármi megszakítja az URL-címhez
https://passwordreset.microsoftonline.com/n/passwordreset
való kapcsolódást. Ez a hiba például akkor fordulhat elő, ha a víruskereső szoftver az URL-címekpasswordreset.microsoftonline.com
ajax.aspnetcdn.com
kizárása nélkül fut a munkaállomáson, ésocsp.digicert.com
. Ideiglenesen tiltsa le ezt a szoftvert annak ellenőrzéséhez, hogy a probléma megoldódott-e vagy sem.
Windows 7, 8 és 8.1 jelszó kérése
Ha windowsos, 8 vagy 8.1 rendszerű SSPR-eszközt szeretne konfigurálni a bejelentkezési képernyőn, tekintse át az alábbi előfeltételeket és konfigurációs lépéseket.
Windows 7, 8 és 8.1 előfeltételek
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirendként Rendszergazda istratorként, és engedélyezze a Microsoft Entra önkiszolgáló jelszóátállítását.
- A felhasználóknak regisztrálniuk kell az SSPR-hez, mielőtt ezt a funkciót használják: https://aka.ms/ssprsetup
- A Windows bejelentkezési képernyőjén nem egyedi az SSPR használata, minden felhasználónak meg kell adnia a hitelesítési kapcsolattartási adatokat, mielőtt alaphelyzetbe állíthatja a jelszavát.
- Hálózati proxykövetelmények:
- 443-ás port
passwordreset.microsoftonline.com
- 443-ás port
- Javított Windows 7 vagy Windows 8.1 operációs rendszer.
- A TLS 1.2 engedélyezve van a Transport Layer Security (TLS) beállításjegyzék-beállításainak útmutatásával.
- Ha a számítógépen több külső hitelesítőadat-szolgáltató is engedélyezve van, a felhasználók több felhasználói profilt is láthatnak a bejelentkezési képernyőn.
Figyelmeztetés
A TLS 1.2-et engedélyezni kell, nem csak az automatikus egyeztetésre kell beállítani.
Telepítés
Windows 7, 8 és 8.1 esetén egy kis összetevőt kell telepíteni a gépre az SSPR engedélyezéséhez a bejelentkezési képernyőn. Az SSPR-összetevő telepítéséhez hajtsa végre a következő lépéseket:
Töltse le a megfelelő telepítőt az engedélyezni kívánt Windows-verzióhoz.
A szoftvertelepítő a Microsoft letöltőközpontjában érhető el: https://aka.ms/sspraddin
Jelentkezzen be arra a gépre, ahová telepíteni szeretné, és futtassa a telepítőt.
A telepítés után erősen ajánlott újraindulni.
Az újraindítás után a bejelentkezési képernyőn válasszon ki egy felhasználót, és válassza az "Elfelejtett jelszó?" lehetőséget a jelszó-visszaállítási munkafolyamat elindításához.
A jelszó alaphelyzetbe állításához hajtsa végre a munkafolyamatot a képernyőn megjelenő lépéseket követve.
Csendes telepítés
Az SSPR-összetevő a következő parancsok használatával telepíthető vagy távolítható el kérések nélkül:
- Csendes telepítéshez használja az "msiexec /i SsprWindowsLogon.PROD.msi /qn" parancsot
- A csendes eltávolításhoz használja az "msiexec /x SsprWindowsLogon.PROD.msi /qn" parancsot
A Windows 7, 8 és 8.1 jelszó kérésének hibaelhárítása
Ha problémákat tapasztal az SSPR windowsos bejelentkezési képernyőn való használatával kapcsolatban, az események naplózva lesznek a gépen és a Microsoft Entra-azonosítóban is. A Microsoft Entra-események az IP-címről és a ClientType-ról tartalmaznak információkat, ahol a jelszó-visszaállítás történt, ahogyan az alábbi példakimenetben látható:
Ha további naplózásra van szükség, a gép beállításkulcsa módosítható a részletes naplózás engedélyezéséhez. Részletes naplózás engedélyezése hibaelhárítási célokra csak a következő beállításkulcs-érték használatával:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
- A részletes naplózás engedélyezéséhez hozzon létre egy
REG_DWORD: "EnableLogging"
, majd állítsa 1 értékre. - A részletes naplózás letiltásához módosítsa a
REG_DWORD: "EnableLogging"
0-ra. - Tekintse át a hibakeresési naplózást az Alkalmazás eseménynaplójában az AADPasswordResetCredentialProvider forrás alatt.
Mit látnak a felhasználók?
A Windows-eszközökhöz konfigurált SSPR-vel milyen változások történnek a felhasználó számára? Honnan fogják tudni, hogy a bejelentkezési képernyőn új jelszót kérhetnek? Az alábbi példa képernyőképei azt mutatják be, hogy a felhasználók az SSPR használatával állíthatják vissza a jelszavukat:
Amikor a felhasználók megpróbálnak bejelentkezni, megjelenik egy Jelszó alaphelyzetbe állítása vagy Elfelejtett jelszó hivatkozás, amely megnyitja az önkiszolgáló jelszó-visszaállítási felületet a bejelentkezési képernyőn. Ezzel a funkcióval a felhasználók visszaállíthatják a jelszavukat anélkül, hogy egy másik eszközt kellene használniuk egy webböngésző eléréséhez.
A funkció használatáról további információt a munkahelyi vagy iskolai jelszó alaphelyzetbe állítása című témakörben talál.
További lépések
A felhasználói regisztráció egyszerűbbé tétele érdekében előre feltöltheti az SSPR felhasználói hitelesítési kapcsolattartási adatait.