A Microsoft Entra önkiszolgáló jelszó-alaphelyzetbe állításának engedélyezése a Windows bejelentkezési képernyőjén

  • Cikk

Az önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi, hogy a Microsoft Entra-azonosítóban lévő felhasználók rendszergazdai vagy ügyfélszolgálati közreműködés nélkül módosíthassák vagy alaphelyzetbe állíthatják a jelszavukat. A felhasználók általában megnyitnak egy webböngészőt egy másik eszközön az SSPR portál eléréséhez. A Windows 7, 8, 8.1, 10 és 11 rendszert futtató számítógépek felhasználói élményének javítása érdekében engedélyezheti, hogy a felhasználók a Windows bejelentkezési képernyőjén visszaállíthassák a jelszavukat.

Example Windows login screens with SSPR link shown

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik az SSPR-t a vállalati Windows-eszközökhöz.

Ha az informatikai csapat nem engedélyezte az SSPR használatát Windows-eszközéről, vagy a bejelentkezés során problémákat tapasztal, forduljon a segélyszolgálathoz további segítségért.

General limitations

Az SSPR windowsos bejelentkezési képernyőről való használatára a következő korlátozások vonatkoznak:

  • A jelszó-visszaállítás jelenleg nem támogatott távoli asztalról vagy Hyper-V bővített munkamenetekből.
  • Néhány külső hitelesítőadat-szolgáltatóról ismert, hogy problémákat okoz ezzel a funkcióval.
  • Az UAC letiltása az EnableLUA beállításkulcs módosításával ismert, hogy problémákat okoz.
  • Ez a funkció nem működik a 802.1x hálózati hitelesítéssel rendelkező hálózatok esetében, és a "Közvetlenül a felhasználói bejelentkezés előtt" lehetőség. A 802,1-szeres hálózati hitelesítéssel rendelkező hálózatok esetében javasoljuk, hogy a funkció engedélyezéséhez gépi hitelesítést használjon.
  • A Microsoft Entra hibrid csatlakoztatott gépeknek hálózati kapcsolati vonallal kell rendelkezniük egy tartományvezérlőhöz az új jelszó használatához és a gyorsítótárazott hitelesítő adatok frissítéséhez. Ez azt jelenti, hogy az eszközöknek a szervezet belső hálózatán vagy egy helyszíni tartományvezérlőhöz való hálózati hozzáféréssel rendelkező VPN-en kell lenniük.
  • Ha rendszerképet használ, a sysprep futtatása előtt győződjön meg arról, hogy a webgyorsítótár törlődik a beépített Rendszergazda istrator számára a CopyProfile lépés végrehajtása előtt. Erről a lépésről további információt az egyéni alapértelmezett felhasználói profilok használatakor gyenge teljesítményről szóló támogatási cikkben talál.
  • A következő beállításokról ismert, hogy megzavarják a jelszavak használatát és alaphelyzetbe állítását Windows 10-eszközökön:
    • Ha a zárolási képernyő értesítései ki vannak kapcsolva, a jelszó alaphelyzetbe állítása nem fog működni.
    • A HideFastUserSwitching engedélyezve van, vagy 1
    • A DontDisplayLastUserName engedélyezve van, vagy 1
    • A NoLockScreen engedélyezve van, vagy 1
    • A BlockNon Rendszergazda UserInstall engedélyezve van, vagy 1
    • Az EnableLostMode be van állítva az eszközön
    • Az Explorer.exe helyére egy egyéni rendszerhéj kerül
    • Interaktív bejelentkezés: Az intelligens kártya engedélyezésének megkövetelése vagy 1
  • Az alábbi három beállítás kombinációja miatt ez a funkció nem működik.
    • Interaktív bejelentkezés: Nincs szükség CTRL+ALT+DEL = Letiltva (csak a Windows 10 1710-es vagy korábbi verziójára)
    • DisableLockScreenAppNotifications = 1 vagy Enabled
    • A Windows SKU a Home kiadás

Megjegyzés:

Ezek a korlátozások az eszköz zárolási képernyőjén Vállalati Windows Hello PIN-kód alaphelyzetbe állítására is vonatkoznak.

Windows 11 és Windows 10 jelszó kérése

Ha Windows 11 vagy Windows 10 rendszerű eszközt szeretne SSPR-hez konfigurálni a bejelentkezési képernyőn, tekintse át az alábbi előfeltételeket és konfigurációs lépéseket.

A Windows 11 és a Windows 10 előfeltételei

  • Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirendként Rendszergazda istratorként, és engedélyezze a Microsoft Entra önkiszolgáló jelszóátállítását.
  • A felhasználóknak regisztrálniuk kell az SSPR-hez, mielőtt ezt a funkciót használják: https://aka.ms/ssprsetup
    • A Windows bejelentkezési képernyőjén nem egyedi az SSPR használata, minden felhasználónak meg kell adnia a hitelesítési kapcsolattartási adatokat, mielőtt alaphelyzetbe állíthatja a jelszavát.
  • Hálózati proxykövetelmények:
    • 443-as passwordreset.microsoftonline.com port ajax.aspnetcdn.com
    • A Windows 10-es eszközökhöz gépszintű proxykonfigurációra vagy hatókörön belüli proxykonfigurációra van szükség az SSPR végrehajtásához használt ideiglenes defaultuser1 fiókhoz (további részletekért lásd a hibaelhárítási szakaszt ).
  • Futtassa legalább a Windows 10 2018. áprilisi frissítését (v1803), és az eszközöknek a következőknek kell lenniük:
    • Csatlakoztatott Microsoft Entra
    • Csatlakoztatott Microsoft Entra hibrid

Engedélyezés Windows 11-hez és Windows 10-hez a Microsoft Intune-tal

A legrugalmasabb módszer az SSPR-t a bejelentkezési képernyőről a Microsoft Intune használatával történő engedélyezéséhez szükséges konfigurációmódosítás üzembe helyezése. A Microsoft Intune lehetővé teszi a konfigurációs módosítás üzembe helyezését egy meghatározott gépcsoportra. Ehhez a módszerhez a Microsoft Intune-nak regisztrálnia kell az eszközt.

Eszközkonfigurációs szabályzat létrehozása a Microsoft Intune-ban

  1. Jelentkezzen be a Microsoft Intune felügyeleti központjába.

  2. Hozzon létre egy új eszközkonfigurációs profilt az eszközkonfigurációs>profilok megnyitásával, majd válassza a + Profil létrehozása lehetőséget

    • Platform esetén válassza a Windows 10 és újabb verziót
    • Profiltípus esetén válassza a Sablonok lehetőséget, majd válassza az alábbi Egyéni sablont

  3. Válassza a Létrehozás lehetőséget, majd adjon meg egy értelmes nevet a profilnak, például a Windows 11 bejelentkezési képernyő SSPR-jének

    Igény szerint adjon meg egy érthető leírást a profilról, majd válassza a Tovább gombot.

  4. A Konfigurációs beállítások területen válassza a Hozzáadás lehetőséget, és adja meg a következő OMA-URI beállítást az alaphelyzetbe állítási jelszó hivatkozásának engedélyezéséhez:

    • Adjon meg egy értelmes nevet a beállítás elvégzésének magyarázatához, például SSPR-hivatkozás hozzáadása.
    • Igény szerint adjon meg érthető leírást a beállításról.
    • Állítsa az OMA-URI beállítást ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset értékre
    • Állítsa az Adattípusbeállítást Egész szám értékre
    • Állítsa az Érték beállítást 1 értékre

    Válassza a Hozzáadás, majd a Tovább lehetőséget.

  5. A szabályzat adott felhasználókhoz, eszközökhöz vagy csoportokhoz rendelhető hozzá. Rendelje hozzá a profilt a környezetéhez, ideális esetben először egy tesztcsoporthoz, majd válassza a Tovább gombot.

    További információ: Felhasználói és eszközprofilok hozzárendelése a Microsoft Intune-ban.

  6. Konfigurálja a környezet számára kívánt alkalmazhatósági szabályokat, például a profil hozzárendelését, ha az operációsrendszer-kiadás Windows 10 Enterprise, majd válassza a Tovább gombot.

  7. Tekintse át a profilját, majd válassza a Létrehozás lehetőséget.

Engedélyezés Windows 11-hez és Windows 10-hez a beállításjegyzék használatával

Ha egy beállításkulcs használatával szeretné engedélyezni az SSPR-t a bejelentkezési képernyőn, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Windows rendszerű számítógépre rendszergazdai hitelesítő adatokkal.

  2. A Windows + R billentyű lenyomásával nyissa meg a Futtatás párbeszédpanelt, majd futtassa a regeditet rendszergazdaként

  3. Adja meg a következő beállításkulcsot:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

A Windows 11 és a Windows 10 új jelszó kérésének hibaelhárítása

Ha problémákat tapasztal az SSPR windowsos bejelentkezési képernyőn való használatával kapcsolatban, a Microsoft Entra naplózási naplója információkat tartalmaz arról az IP-címről és Ügyféltípusról , ahol a jelszó-visszaállítás történt, ahogyan az alábbi példakimenetben látható:

Example Windows 7 password reset in the Microsoft Entra audit log

Amikor a felhasználók visszaállítják a jelszavukat egy Windows 11 vagy 10 rendszerű eszköz bejelentkezési képernyőjén, létrejön egy alacsony jogosultságú ideiglenes fiók.defaultuser1 Ez a fiók a jelszó-visszaállítási folyamat biztonságának megőrzésére szolgál.

Maga a fiók véletlenszerűen generált jelszóval rendelkezik, amely egy szervezeti jelszóházirenden van érvényesítve, nem jelenik meg az eszköz bejelentkezésénél, és automatikusan törlődik, miután a felhasználó visszaállította a jelszavát. Előfordulhat, hogy több defaultuser profil is létezik, de biztonságosan figyelmen kívül hagyható.

Proxykonfigurációk a Windows jelszó-alaphelyzetbe állításához

A jelszó-visszaállítás során az SSPR létrehoz egy ideiglenes helyi felhasználói fiókot a csatlakozáshoz https://passwordreset.microsoftonline.com/n/passwordreset. Ha egy proxy felhasználói hitelesítésre van konfigurálva, az "Hiba történt" hibaüzenettel meghiúsulhat. Próbálkozzon újra később." Ennek az az oka, hogy a helyi felhasználói fiók nem jogosult a hitelesített proxy használatára.

Ebben az esetben az alábbi áthidaló megoldások egyikét használhatja:

  • Olyan számítógépszintű proxybeállítás konfigurálása, amely nem függ a gépbe bejelentkezett felhasználó típusától. Engedélyezheti például a csoportházirend proxybeállításait gépenként (nem felhasználónként) a munkaállomásokhoz.

  • Ha módosítja az alapértelmezett fiók beállításjegyzéksablonját, felhasználónkénti proxykonfigurációt is használhat az SSPR-hez. A parancsok a következők:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • A "Hiba történt" hiba akkor is előfordulhat, ha bármi megszakítja az URL-címhez https://passwordreset.microsoftonline.com/n/passwordresetvaló kapcsolódást. Ez a hiba például akkor fordulhat elő, ha a víruskereső szoftver az URL-címek passwordreset.microsoftonline.comajax.aspnetcdn.comkizárása nélkül fut a munkaállomáson, és ocsp.digicert.com. Ideiglenesen tiltsa le ezt a szoftvert annak ellenőrzéséhez, hogy a probléma megoldódott-e vagy sem.

Windows 7, 8 és 8.1 jelszó kérése

Ha windowsos, 8 vagy 8.1 rendszerű SSPR-eszközt szeretne konfigurálni a bejelentkezési képernyőn, tekintse át az alábbi előfeltételeket és konfigurációs lépéseket.

Windows 7, 8 és 8.1 előfeltételek

  • Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirendként Rendszergazda istratorként, és engedélyezze a Microsoft Entra önkiszolgáló jelszóátállítását.
  • A felhasználóknak regisztrálniuk kell az SSPR-hez, mielőtt ezt a funkciót használják: https://aka.ms/ssprsetup
    • A Windows bejelentkezési képernyőjén nem egyedi az SSPR használata, minden felhasználónak meg kell adnia a hitelesítési kapcsolattartási adatokat, mielőtt alaphelyzetbe állíthatja a jelszavát.
  • Hálózati proxykövetelmények:
    • 443-ás port passwordreset.microsoftonline.com
  • Javított Windows 7 vagy Windows 8.1 operációs rendszer.
  • A TLS 1.2 engedélyezve van a Transport Layer Security (TLS) beállításjegyzék-beállításainak útmutatásával.
  • Ha a számítógépen több külső hitelesítőadat-szolgáltató is engedélyezve van, a felhasználók több felhasználói profilt is láthatnak a bejelentkezési képernyőn.

Figyelmeztetés

A TLS 1.2-et engedélyezni kell, nem csak az automatikus egyeztetésre kell beállítani.

Telepítés

Windows 7, 8 és 8.1 esetén egy kis összetevőt kell telepíteni a gépre az SSPR engedélyezéséhez a bejelentkezési képernyőn. Az SSPR-összetevő telepítéséhez hajtsa végre a következő lépéseket:

  1. Töltse le a megfelelő telepítőt az engedélyezni kívánt Windows-verzióhoz.

    A szoftvertelepítő a Microsoft letöltőközpontjában érhető el: https://aka.ms/sspraddin

  2. Jelentkezzen be arra a gépre, ahová telepíteni szeretné, és futtassa a telepítőt.

  3. A telepítés után erősen ajánlott újraindulni.

  4. Az újraindítás után a bejelentkezési képernyőn válasszon ki egy felhasználót, és válassza az "Elfelejtett jelszó?" lehetőséget a jelszó-visszaállítási munkafolyamat elindításához.

  5. A jelszó alaphelyzetbe állításához hajtsa végre a munkafolyamatot a képernyőn megjelenő lépéseket követve.

Example Windows 7 clicked

Csendes telepítés

Az SSPR-összetevő a következő parancsok használatával telepíthető vagy távolítható el kérések nélkül:

  • Csendes telepítéshez használja az "msiexec /i SsprWindowsLogon.PROD.msi /qn" parancsot
  • A csendes eltávolításhoz használja az "msiexec /x SsprWindowsLogon.PROD.msi /qn" parancsot

A Windows 7, 8 és 8.1 jelszó kérésének hibaelhárítása

Ha problémákat tapasztal az SSPR windowsos bejelentkezési képernyőn való használatával kapcsolatban, az események naplózva lesznek a gépen és a Microsoft Entra-azonosítóban is. A Microsoft Entra-események az IP-címről és a ClientType-ról tartalmaznak információkat, ahol a jelszó-visszaállítás történt, ahogyan az alábbi példakimenetben látható:

Example Windows 7 password reset in the Microsoft Entra audit log

Ha további naplózásra van szükség, a gép beállításkulcsa módosítható a részletes naplózás engedélyezéséhez. Részletes naplózás engedélyezése hibaelhárítási célokra csak a következő beállításkulcs-érték használatával:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • A részletes naplózás engedélyezéséhez hozzon létre egy REG_DWORD: "EnableLogging", majd állítsa 1 értékre.
  • A részletes naplózás letiltásához módosítsa a REG_DWORD: "EnableLogging" 0-ra.
  • Tekintse át a hibakeresési naplózást az Alkalmazás eseménynaplójában az AADPasswordResetCredentialProvider forrás alatt.

Mit látnak a felhasználók?

A Windows-eszközökhöz konfigurált SSPR-vel milyen változások történnek a felhasználó számára? Honnan fogják tudni, hogy a bejelentkezési képernyőn új jelszót kérhetnek? Az alábbi példa képernyőképei azt mutatják be, hogy a felhasználók az SSPR használatával állíthatják vissza a jelszavukat:

Example Windows 7 and 10 login screens with SSPR link shown

Amikor a felhasználók megpróbálnak bejelentkezni, megjelenik egy Jelszó alaphelyzetbe állítása vagy Elfelejtett jelszó hivatkozás, amely megnyitja az önkiszolgáló jelszó-visszaállítási felületet a bejelentkezési képernyőn. Ezzel a funkcióval a felhasználók visszaállíthatják a jelszavukat anélkül, hogy egy másik eszközt kellene használniuk egy webböngésző eléréséhez.

A funkció használatáról további információt a munkahelyi vagy iskolai jelszó alaphelyzetbe állítása című témakörben talál.

További lépések

A felhasználói regisztráció egyszerűbbé tétele érdekében előre feltöltheti az SSPR felhasználói hitelesítési kapcsolattartási adatait.