Működés: Azure AD önkiszolgáló jelszóátállítás

Az Azure Active Directory (Azure AD) önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását rendszergazdai vagy ügyfélszolgálati közreműködés nélkül. Ha egy felhasználó fiókja zárolva van, vagy elfelejti a jelszavát, az utasításokat követve feloldhatja a letiltást, és visszatérhet a munkához. Ez a képesség csökkenti az ügyfélszolgálati hívások számát és a hatékonyság csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. Ez a videó azt ismerteti, hogyan engedélyezheti és konfigurálhatja az SSPR-t Azure AD.

Fontos

Ez a fogalmi cikk bemutatja a rendszergazdáknak az önkiszolgáló jelszó-visszaállítás működését. Ha Ön egy végfelhasználó, aki már regisztrált az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .

Ha az informatikai csapat nem engedélyezte a saját jelszó alaphelyzetbe állítását, forduljon a segélyszolgálathoz további segítségért.

Hogyan működik a jelszó-visszaállítási folyamat?

A felhasználók az SSPR portálon alaphelyzetbe állíthatják vagy módosíthatják a jelszavukat. Először regisztrálniuk kell a kívánt hitelesítési módszereiket. Amikor egy felhasználó hozzáfér az SSPR portálhoz, az Azure platform a következő tényezőket veszi figyelembe:

  • Hogyan honosítandó a lap?
  • Érvényes a felhasználói fiók?
  • Melyik szervezethez tartozik a felhasználó?
  • Hol kezelik a felhasználó jelszavát?

Ha egy felhasználó kiválasztja a Nem érhető el a fiók hivatkozását egy alkalmazásból vagy lapról, vagy közvetlenül a webhelyre https://aka.ms/ssprlép, az SSPR portálon használt nyelv a következő beállításokon alapul:

  • Alapértelmezés szerint a böngésző területi beállítása a megfelelő nyelven jeleníti meg az SSPR-t. A jelszó-visszaállítási felület ugyanazokra a nyelvekre van honosítva, amelyeket Microsoft 365 támogat.
  • Ha egy adott honosított nyelven szeretne hivatkozni az SSPR-ra, fűzze hozzá ?mkt= a jelszó-visszaállítási URL-cím végéhez a szükséges területi beállítással együtt.

Miután az SSPR-portál megjelenik a szükséges nyelven, a rendszer kérni fogja a felhasználót, hogy adjon meg egy felhasználói azonosítót, és adjon meg egy captcha-t. Azure AD most az alábbi ellenőrzések végrehajtásával ellenőrzi, hogy a felhasználó képes-e az SSPR használatára:

  • Ellenőrzi, hogy a felhasználónak engedélyezve van-e az SSPR.
    • Ha a felhasználó nincs engedélyezve az SSPR-ben, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
  • Ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő hitelesítési módszerekkel a fiókjában a rendszergazdai szabályzatnak megfelelően.
    • Ha a szabályzathoz csak egy módszer szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez megadott megfelelő adatokkal.
      • Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
    • Ha a szabályzathoz két módszer szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett legalább két hitelesítési módszer megfelelő adataival.
      • Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
    • Ha egy Azure-rendszergazdai szerepkör van hozzárendelve a felhasználóhoz, akkor a rendszer kikényszeríti az erős kétkapus jelszóházirendet. További információ: Rendszergazdai visszaállítási szabályzatok eltérései.
  • Ellenőrzi, hogy a felhasználó jelszava a helyszínen van-e kezelve, például hogy a Azure AD bérlő összevont, átmenő hitelesítést vagy jelszókivonat-szinkronizálást használ-e:
    • Ha az SSPR-visszaírás konfigurálva van, és a felhasználó jelszava a helyszínen van kezelve, a felhasználó folytathatja a hitelesítést és alaphelyzetbe állíthatja a jelszavát.
    • Ha az SSPR visszaírása nincs üzembe helyezve, és a felhasználó jelszava a helyszínen van kezelve, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.

Ha az összes korábbi ellenőrzés sikeresen befejeződött, a rendszer végigvezeti a felhasználót a jelszó alaphelyzetbe állításának vagy módosításának folyamatán.

Megjegyzés

Az SSPR e-mail-értesítéseket küldhet a felhasználóknak a jelszó-visszaállítási folyamat részeként. Ezeket az e-maileket a rendszer az SMTP relay szolgáltatással küldi el, amely aktív-aktív módban működik több régióban.

Az SMTP-továbbítási szolgáltatások fogadják és feldolgozzák az e-mail törzsét, de nem tárolják. Az ügyfél által megadott adatokat esetlegesen tartalmazó SSPR-e-mail törzse nem található meg az SMTP-továbbító szolgáltatás naplóiban. A naplók csak a protokoll metaadatait tartalmazzák.

Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:

A felhasználóknak regisztrálniuk kell a bejelentkezéskor

Engedélyezheti azt a lehetőséget, hogy megkövetelje a felhasználótól az SSPR-regisztráció befejezését, ha modern hitelesítést vagy webböngészőt használnak a Azure AD használó alkalmazásokba való bejelentkezéshez. Ez a munkafolyamat a következő alkalmazásokat tartalmazza:

  • Microsoft 365
  • Azure Portal
  • Hozzáférési panel
  • Összevont alkalmazások
  • Egyéni alkalmazások Azure AD használatával

Ha nincs szükség regisztrációra, a rendszer nem kéri a felhasználókat a bejelentkezés során, de manuálisan regisztrálhatnak. A felhasználók a hozzáférési panel Profil lapján megnyithatják https://aka.ms/ssprsetup vagy kiválaszthatják a Regisztráció jelszó-visszaállításra hivatkozást.

Az SSPR regisztrációs beállításai a Azure Portal

Megjegyzés

A felhasználók bezárhatják az SSPR regisztrációs portált a mégse gombra kattintva vagy az ablak bezárásával. A rendszer azonban arra kéri őket, hogy regisztráljanak minden bejelentkezéskor, amíg be nem fejezik a regisztrációt.

Az SSPR-regisztráció megszakítása nem szakítja meg a felhasználó kapcsolatát, ha már bejelentkezett.

Újrahitelesítési információk

Ha meg szeretné győződni arról, hogy a hitelesítési módszerek helyesek, amikor alaphelyzetbe kell állítaniuk vagy módosítaniuk kell a jelszavukat, megkövetelheti a felhasználóktól, hogy bizonyos idő elteltével megerősítsék az adataik regisztrált adatait. Ez a beállítás csak akkor érhető el, ha engedélyezi a Felhasználók regisztrációjának megkövetelése bejelentkezéskor beállítást.

Érvényes értékek, amelyek arra kérik a felhasználót, hogy erősítse meg a regisztrált metódusokat 0 és 730 nap között. Ha ezt az értéket 0 értékre állítja, az azt jelenti, hogy a rendszer soha nem kéri a felhasználóktól a hitelesítési adatok megerősítését. A kombinált regisztrációs felület használata esetén a felhasználóknak meg kell erősíteniük személyazonosságukat az adataik ismételt megerősítése előtt.

Hitelesítési módszerek

Ha egy felhasználó engedélyezve van az SSPR-ben, regisztrálnia kell legalább egy hitelesítési módszert. Javasoljuk, hogy válasszon két vagy több hitelesítési módszert, hogy a felhasználók nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá. További információ: Mik azok a hitelesítési módszerek?.

Az SSPR-hez a következő hitelesítési módszerek érhetők el:

  • Mobilalkalmazás-értesítés
  • Mobilalkalmazás-kód
  • E-mail
  • Mobiltelefon
  • Office-telefon (csak fizetős előfizetéssel rendelkező bérlők számára érhető el)
  • Biztonsági kérdések

A felhasználók csak akkor állíthatják vissza a jelszavukat, ha a rendszergazda által engedélyezett hitelesítési módszert regisztráltak.

Figyelmeztetés

Az Azure-beli rendszergazdai szerepkörökhöz rendelt fiókoknak a rendszergazdai visszaállítási szabályzatok különbségei című szakaszban meghatározott módszereket kell használniuk.

Hitelesítési módszerek kiválasztása a Azure Portal

A szükséges hitelesítési módszerek száma

Konfigurálhatja az elérhető hitelesítési módszerek számát, ahány felhasználónak meg kell adnia a jelszó alaphelyzetbe állításához vagy feloldásához. Ez az érték egy vagy két értékre állítható be.

A felhasználók több hitelesítési módszert is regisztrálhatnak és kell. Ismét erősen ajánlott, hogy a felhasználók regisztráljanak két vagy több hitelesítési módszert, hogy nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá.

Ha egy felhasználó nem rendelkezik a szükséges metódusok minimális számával, amikor SSPR-t próbál használni, egy hibaoldal jelenik meg, amely arra utasítja őket, hogy kérjék a rendszergazdatól a jelszavuk visszaállítását. Ügyeljen arra, hogy egyről kettőre növelje a szükséges metódusok számát, ha már regisztrált felhasználókat az SSPR-re, és nem tudják használni a funkciót. További információ: A hitelesítési módszerek módosítása című szakasz.

Mobilalkalmazás és SSPR

Ha mobilalkalmazást használ jelszó-visszaállítási módszerként, például a Microsoft Authenticator alkalmazást, a következő szempontokat kell figyelembe venni:

  • Ha a rendszergazdáknak egy metódust kell használniuk a jelszó alaphelyzetbe állításához, az ellenőrző kód az egyetlen elérhető lehetőség.
  • Ha a rendszergazdáknak két módszerre van szükségük a jelszó alaphelyzetbe állításához, a felhasználók az egyéb engedélyezett módszerek mellett az értesítési vagy ellenőrzési kódot is használhatják.
Az alaphelyzetbe állításhoz szükséges módszerek száma Eggyel Kettővel
Elérhető mobilalkalmazás-funkciók Code Kód vagy értesítés

A felhasználók nem regisztrálhatják mobilalkalmazásukat, amikor önkiszolgáló jelszó-visszaállításra regisztrálnak a-ról https://aka.ms/ssprsetup. A felhasználók regisztrálhatják mobilalkalmazásukat a címen https://aka.ms/mfasetupvagy a kombinált biztonsági adatok regisztrációjában a címen https://aka.ms/setupsecurityinfo.

Fontos

Az Authenticator alkalmazás nem választható ki egyetlen hitelesítési módszerként, ha csak egy módszerre van szükség. Hasonlóképpen, az Authenticator alkalmazás és csak egy további metódus nem választható ki, ha két metódust igényel.

Az Authenticator alkalmazást metódusként tartalmazó SSPR-szabályzatok konfigurálásakor legalább egy további metódust ki kell választani, ha egy metódusra van szükség, és legalább két további módszert kell kiválasztani két módszer konfigurálásakor.

Ennek a követelménynek az az oka, hogy az aktuális SSPR-regisztrációs felület nem tartalmazza a hitelesítő alkalmazás regisztrálásának lehetőségét. Az authenticator alkalmazás regisztrálásának lehetőségét az új kombinált regisztrációs felület tartalmazza.

Ha csak az Authenticator alkalmazást (ha egy metódusra van szükség) vagy az Authenticator alkalmazást és csak egy további metódust (ha két metódusra van szükség), az azt eredményezheti, hogy a felhasználók nem regisztrálhatnak az SSPR-re, amíg nem konfigurálják őket az új kombinált regisztrációs felület használatára.

Hitelesítési módszerek módosítása

Ha olyan szabályzattal kezd, amely csak egy szükséges hitelesítési módszerrel rendelkezik a regisztráció alaphelyzetbe állításához vagy feloldásához, és ezt két módszerre módosítja, mi történik?

Regisztrált metódusok száma A szükséges metódusok száma Eredmény
1 vagy több 1 Alaphelyzetbe állítás vagy zárolás feloldása
1 2 Nem lehet alaphelyzetbe állítani vagy feloldani a zárolást
2 vagy több 2 Alaphelyzetbe állítás vagy zárolás feloldása

Az elérhető hitelesítési módszerek módosítása szintén problémákat okozhat a felhasználók számára. Ha módosítja a felhasználók által használható hitelesítési módszerek típusait, véletlenül megakadályozhatja, hogy a felhasználók használhassák az SSPR-t, ha nem rendelkeznek a minimális rendelkezésre álló adatmennyiséggel.

Tekintse meg a következő példaforgatókönyvet:

  1. Az eredeti szabályzat két hitelesítési módszerrel van konfigurálva. Csak az irodai telefonszámot és a biztonsági kérdéseket használja.
  2. A rendszergazda úgy módosítja a házirendet, hogy a továbbiakban ne használja a biztonsági kérdéseket, hanem lehetővé teszi a mobiltelefon és egy másodlagos e-mail használatát.
  3. A mobiltelefon- vagy másodlagos e-mail-mezőkkel nem rendelkező felhasználók most már nem állíthatják alaphelyzetbe a jelszavukat.

Értesítések

A jelszóesemények tudatosítása érdekében az SSPR lehetővé teszi az értesítések konfigurálását mind a felhasználók, mind az identitás-rendszergazdák számára.

Értesítse a felhasználókat új jelszó kérésekor?

Ha ez a beállítás Igen értékre van állítva, a felhasználók a jelszavuk alaphelyzetbe állításáról egy e-mailt kapnak, amely értesíti őket a jelszavuk módosításáról. Az e-mailt az SSPR-portálon keresztül küldi el a rendszer az elsődleges és másodlagos e-mail-címükre, amelyek Azure AD vannak tárolva. Senki más nem kap értesítést az alaphelyzetbe állítási eseményről.

Minden rendszergazda értesítése, ha más rendszergazdák új jelszót kérnek

Ha ez a beállítás Igen értékre van állítva, akkor az összes többi Azure-rendszergazda e-mailt kap a Azure AD tárolt elsődleges e-mail-címére. Az e-mail értesíti őket arról, hogy egy másik rendszergazda módosította a jelszavát az SSPR használatával.

Tekintse meg a következő példaforgatókönyvet:

  • Egy környezetben négy rendszergazda van.
  • A rendszergazda az SSPR használatával alaphelyzetbe állítja a jelszavát.
  • A B, C és D rendszergazdák e-mailt kapnak, amely értesíti őket a jelszó-visszaállításról.

Megjegyzés

Email SSPR szolgáltatás értesítéseit a rendszer a következő címekről küldi el a használt Azure-felhő alapján:

  • Nyilvános: msonlineservicesteam@microsoft.com
  • Kína: msonlineservicesteam@oe.21vianet.com
  • Kormány: msonlineservicesteam@azureadnotifications.us

Ha problémákat tapasztal az értesítések fogadása során, ellenőrizze a levélszemét-beállításokat.

Helyszíni integráció

Ha hibrid környezettel rendelkezik, konfigurálhatja Azure AD Connectet jelszómódosítási események írására Azure AD egy helyszíni címtárba.

A jelszóvisszaíró ellenőrzése engedélyezve van, és működik a

Azure AD ellenőrzi az aktuális hibrid kapcsolatot, és az alábbi üzenetek egyikét adja meg a Azure Portal:

  • A helyszíni visszaíró ügyfél működik.
  • Azure AD online állapotban van, és csatlakozik a helyszíni visszaíró ügyfélhez. Úgy tűnik azonban, hogy a Azure AD Connect telepített verziója elavult. Fontolja meg a Azure AD Connect frissítését, hogy biztosan rendelkezzen a legújabb csatlakozási funkciókkal és a fontos hibajavításokkal.
  • Sajnos nem tudjuk ellenőrizni a helyszíni visszaíró ügyfél állapotát, mert a Azure AD Connect telepített verziója elavult. Frissítse Azure AD Csatlakozás lehetőséget a kapcsolat állapotának ellenőrzéséhez.
  • Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. A kapcsolat visszaállításához Azure AD Connect hibaelhárítása.
  • Sajnos nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez, mert a jelszóvisszaíró nincs megfelelően konfigurálva. A kapcsolat visszaállításához konfigurálja a jelszóvisszaírót .
  • Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. Ennek oka ideiglenes problémák lehetnek a mi oldalunkon. Ha a probléma továbbra is fennáll, a kapcsolat helyreállításához Azure AD Csatlakozás hibaelhárítása.

Az SSPR-visszaírás első lépéseihez végezze el a következő oktatóanyagot:

Jelszavak visszaírása a helyszíni címtárba

A jelszóvisszaírót a Azure Portal használatával engedélyezheti. Ideiglenesen letilthatja a jelszóvisszaírást anélkül, hogy újra kellene konfigurálnia Azure AD Connectet.

  • Ha a beállítás Értéke Igen, akkor a visszaírás engedélyezve van. Az összevont, átmenő hitelesítéssel vagy jelszókivonattal szinkronizált felhasználók alaphelyzetbe állíthatják a jelszavukat.
  • Ha a beállítás értéke Nem, akkor a visszaírás le van tiltva. Az összevont, átmenő hitelesítéssel vagy jelszókivonattal szinkronizált felhasználók nem tudják alaphelyzetbe állítani a jelszavukat.

Fiókok zárolásának feloldása a felhasználók számára a jelszó alaphelyzetbe állítása nélkül

Alapértelmezés szerint Azure AD feloldja a fiókok zárolását új jelszó kérésekor. A rugalmasság érdekében engedélyezheti a felhasználóknak a helyszíni fiókjuk zárolásának feloldását anélkül, hogy új jelszót kellene kérniük. Ezzel a beállítással válassza el egymástól a két műveletet.

  • Ha az Igen értékre van állítva, a felhasználók új jelszó kérésére és a fiók zárolásának feloldására, illetve a fiók zárolásának feloldására is lehetőséget kapnak a jelszó alaphelyzetbe állítása nélkül.
  • Ha a Nem értékre van állítva, a felhasználók csak kombinált jelszó-visszaállítási és fiókfeloldási műveletet hajthatnak végre.

Helyszíni Active Directory-jelszószűrők

Az SSPR a rendszergazda által kezdeményezett jelszó-visszaállítással egyenértékű műveletet hajt végre az Active Directoryban. Ha harmadik féltől származó jelszószűrőt használ az egyéni jelszószabályok kényszerítéséhez, és megköveteli, hogy ez a jelszószűrő legyen ellenőrizve Azure AD önkiszolgáló jelszó-visszaállítás során, győződjön meg arról, hogy a harmadik féltől származó jelszószűrő megoldás úgy van konfigurálva, hogy a rendszergazdai jelszó-visszaállítási forgatókönyvben alkalmazza. Azure AD Active Directory tartományi szolgáltatások jelszavas védelme alapértelmezés szerint támogatott.

Új jelszó kérése B2B-felhasználók számára

Az új jelszó kérése és módosítása teljes mértékben támogatott minden üzleti (B2B) konfigurációban. A B2B-felhasználók jelszó-alaphelyzetbe állítása a következő három esetben támogatott:

  • Meglévő Azure AD bérlővel rendelkező partnerszervezet felhasználói: Ha a partnerszervezet rendelkezik meglévő Azure AD-bérlővel, tiszteletben tartjuk az adott bérlőn engedélyezett jelszó-visszaállítási házirendeket. A jelszó-visszaállítás működéséhez a partnerszervezetnek csak arról kell gondoskodnia, hogy Azure AD SSPR engedélyezve legyen. A Microsoft 365 ügyfélnek nincs további díja.
  • Önkiszolgáló regisztrációval regisztráló felhasználók: Ha a partnerszervezet az önkiszolgáló regisztrációs funkciót használta a bérlői fiókba való bejelentkezéshez, lehetővé tesszük számukra, hogy a regisztrált e-mail-címmel alaphelyzetbe állítsák a jelszót.
  • B2B-felhasználók: Az új Azure AD B2B-funkciókkal létrehozott új B2B-felhasználók a meghívási folyamat során regisztrált e-maillel is alaphelyzetbe állíthatják a jelszavukat.

A forgatókönyv teszteléséhez lépjen az https://passwordreset.microsoftonline.com egyik partnerfelhasználóhoz. Ha másodlagos e-mail- vagy hitelesítési e-mail-cím van definiálva, a jelszó-visszaállítás a várt módon működik.

Megjegyzés

Microsoft Azure AD bérlőhöz vendéghozzáférést kapott fiókok, például Hotmail.com, Outlook.com vagy más személyes e-mail-címekről származó fiókok nem tudják használni Azure AD SSPR-t. Új jelszót kell kérniük a When you can can sign in your Microsoft account (Amikor nem tud bejelentkezni a Microsoft-fiókba) című cikkben található információk alapján.

Következő lépések

Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:

Az alábbi cikkekben az Azure AD jelszóátállításáról olvashat további információkat: