Működés: Azure AD önkiszolgáló jelszóátállítás

Az Azure Active Directory (Azure AD) önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását rendszergazdai vagy ügyfélszolgálati közreműködés nélkül. Ha egy felhasználó fiókja zárolva van, vagy elfelejti a jelszavát, az utasításokat követve feloldhatja a letiltást, és visszatérhet a munkához. Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha egy felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. Ez a videó azt ismerteti, hogyan engedélyezheti és konfigurálhatja az SSPR-t Azure AD.

Fontos

Ez az elméleti cikk bemutatja a rendszergazdának az önkiszolgáló jelszóátállítás működését. Ha Ön már regisztrált önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .

Ha az informatikai csapat nem engedélyezte a saját jelszavának alaphelyzetbe állítását, további segítségért forduljon a segélyszolgálathoz.

Hogyan működik a jelszó-visszaállítási folyamat?

A felhasználók az SSPR portálon alaphelyzetbe állíthatják vagy módosíthatják a jelszavukat. Először regisztrálniuk kell a kívánt hitelesítési módszereket. Amikor egy felhasználó hozzáfér az SSPR-portálhoz, az Azure platform a következő tényezőket veszi figyelembe:

  • Hogyan honosítandó a lap?
  • Érvényes a felhasználói fiók?
  • Melyik szervezethez tartozik a felhasználó?
  • Hol kezelik a felhasználó jelszavát?

Ha egy felhasználó a Nem érheti el a fiók hivatkozását egy alkalmazásból vagy lapról, vagy közvetlenül https://aka.ms/sspraz SSPR portálon használt nyelvre választja, az alábbi beállításokon alapul:

  • Alapértelmezés szerint a böngésző területi beállítása a megfelelő nyelven jeleníti meg az SSPR-t. A jelszó-visszaállítási felület a Microsoft 365 által támogatott nyelvekre van honosítva.
  • Ha az SSPR-hez egy adott honosított nyelven szeretne hivatkozni, fűzze hozzá ?mkt= a jelszó-visszaállítási URL-cím végéhez a szükséges területi beállítással együtt.

Miután az SSPR-portál megjelenik a szükséges nyelven, a felhasználónak meg kell adnia egy felhasználói azonosítót, és át kell adnia egy captcha-ot. Azure AD a következő ellenőrzések végrehajtásával ellenőrzi, hogy a felhasználó képes-e az SSPR használatára:

  • Ellenőrzi, hogy a felhasználó engedélyezve van-e az SSPR-ben.
    • Ha a felhasználó nincs engedélyezve az SSPR-ben, a rendszer megkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
  • Ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő hitelesítési módszerekkel a fiókjában a rendszergazdai szabályzatnak megfelelően.
    • Ha a szabályzathoz csak egy metódus szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez definiált megfelelő adatokkal.
      • Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
    • Ha a szabályzathoz két módszer szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek közül legalább két megfelelő adattal.
      • Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
    • Ha egy Azure-rendszergazdai szerepkör van hozzárendelve a felhasználóhoz, a rendszer kikényszeríti az erős kétkapus jelszóházirendet. További információ: Rendszergazdai visszaállítási szabályzatok eltérései.
  • Ellenőrzi, hogy a felhasználó jelszava a helyszínen van-e kezelve, például hogy a Azure AD bérlő összevont, átmenő hitelesítést vagy jelszókivonat-szinkronizálást használ-e:
    • Ha az SSPR-visszaírás konfigurálva van, és a felhasználó jelszava a helyszínen van kezelve, a felhasználó folytathatja a hitelesítést és alaphelyzetbe állíthatja a jelszavát.
    • Ha az SSPR-visszaírás nincs üzembe helyezve, és a felhasználó jelszava a helyszínen van kezelve, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.

Ha az összes korábbi ellenőrzés sikeresen befejeződött, a rendszer végigvezeti a felhasználót a jelszó alaphelyzetbe állításának vagy módosításának folyamatán.

Megjegyzés

Az SSPR e-mail-értesítéseket küldhet a felhasználóknak a jelszó-visszaállítási folyamat részeként. Ezeket az e-maileket az SMTP Relay szolgáltatással küldi el a rendszer, amely aktív-aktív módban működik több régióban.

Az SMTP-továbbítási szolgáltatások fogadják és feldolgozzák az e-mail törzsét, de nem tárolják. Az ügyfél által megadott adatokat esetleg tartalmazó SSPR-e-mail törzse nem található meg az SMTP-továbbító szolgáltatás naplóiban. A naplók csak a protokoll metaadatait tartalmazzák.

Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:

A felhasználók regisztrálásának megkövetelése bejelentkezéskor

Engedélyezheti azt a beállítást, hogy a felhasználónak be kell fejeznie az SSPR-regisztrációt, ha modern hitelesítést vagy webböngészőt használ a Azure AD használatával bármely alkalmazásba való bejelentkezéshez. Ez a munkafolyamat a következő alkalmazásokat tartalmazza:

  • Microsoft 365
  • Azure Portal
  • Hozzáférési panel
  • Összevont alkalmazások
  • Egyéni alkalmazások Azure AD használatával

Ha nem igényel regisztrációt, a rendszer nem kéri a felhasználókat a bejelentkezés során, de manuálisan regisztrálhatnak. A felhasználók a hozzáférési panel Profil lapján megnyithatják https://aka.ms/ssprsetup vagy kiválaszthatják a Regisztráció jelszó-visszaállításra hivatkozást.

Az SSPR regisztrációs beállításai a Azure Portal

Megjegyzés

A felhasználók elvethetik az SSPR regisztrációs portált a Mégse gombra kattintva vagy az ablak bezárásával. A rendszer azonban arra kéri őket, hogy regisztráljanak minden bejelentkezéskor, amíg be nem fejezik a regisztrációt.

Az SSPR-regisztráció megszakítása nem szakítja meg a felhasználó kapcsolatát, ha már bejelentkezett.

A hitelesítési adatok ismételt megerősítése

Ha meg szeretné győződni arról, hogy a hitelesítési módszerek helyesek, amikor alaphelyzetbe kell állítaniuk vagy módosítaniuk kell a jelszavukat, megkövetelheti a felhasználóktól, hogy bizonyos idő elteltével megerősítsék az adataikat. Ez a beállítás csak akkor érhető el, ha engedélyezi, hogy a felhasználók regisztráljanak a bejelentkezéskor .

Érvényes értékek, amelyek arra kérik a felhasználót, hogy erősítse meg a regisztrált metódusokat 0 és 730 nap között. Ha ezt az értéket 0-ra állítja, a rendszer soha nem kéri a felhasználóktól a hitelesítési adataik megerősítését. A kombinált regisztrációs felület használatakor a felhasználóknak meg kell erősíteniük személyazonosságukat az adataik ismételt megerősítése előtt.

Hitelesítési módszerek

Ha egy felhasználó engedélyezve van az SSPR-ben, legalább egy hitelesítési módszert regisztrálnia kell. Javasoljuk, hogy válasszon két vagy több hitelesítési módszert, hogy a felhasználók nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá. További információ: Mik azok a hitelesítési módszerek?

Az SSPR-hez a következő hitelesítési módszerek érhetők el:

  • Mobilalkalmazás-értesítés
  • Mobilalkalmazás-kód
  • E-mail
  • Mobiltelefon
  • Office-telefon (csak fizetős előfizetéssel rendelkező bérlők számára érhető el)
  • Biztonsági kérdések

A felhasználók csak akkor állíthatják vissza a jelszavukat, ha regisztráltak egy hitelesítési módszert, amelyet a rendszergazda engedélyezett.

Figyelmeztetés

Az Azure-beli rendszergazdai szerepkörökhöz rendelt fiókoknak a rendszergazdai visszaállítási szabályzatok különbségei című szakaszban meghatározott módszereket kell használniuk.

Hitelesítési módszerek kiválasztása a Azure Portal

A szükséges hitelesítési módszerek száma

Beállíthatja, hogy a felhasználónak hány hitelesítési módszert kell megadnia a jelszó alaphelyzetbe állításához vagy feloldásához. Ez az érték egy vagy két értékre állítható.

A felhasználók több hitelesítési módszert is regisztrálhatnak és kell is. Ismételten javasoljuk, hogy a felhasználók regisztráljanak két vagy több hitelesítési módszert, hogy nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá.

Ha egy felhasználó nem rendelkezik a szükséges metódusok minimális számával az SSPR használatakor, egy hibaoldal jelenik meg, amely arra utasítja, hogy kérje a rendszergazda jelszavát. Ha már regisztrált felhasználókat az SSPR-re, és így nem tudják használni a funkciót, ügyeljen arra, hogy a szükséges metódusok száma 1-ről kettőre nőjön. További információkért tekintse meg a következő szakaszt a hitelesítési módszerek módosításához.

Mobilalkalmazás és SSPR

Ha mobilalkalmazást használ jelszó-visszaállítási módszerként, például a Microsoft Authenticator alkalmazáshoz, az alábbi szempontokat kell figyelembe venni:

  • Ha a rendszergazdáknak egy módszert kell használniuk a jelszó alaphelyzetbe állításához, az ellenőrző kód az egyetlen elérhető lehetőség.
  • Ha a rendszergazdáknak két módszerre van szükségük a jelszó alaphelyzetbe állításához, a felhasználók az egyéb engedélyezett módszerek mellett használhatják az értesítési vagy ellenőrző kódot is.
Az alaphelyzetbe állításhoz szükséges módszerek száma Eggyel Kettővel
Elérhető mobilalkalmazás-funkciók Code Kód vagy értesítés

A felhasználók nem regisztrálhatják mobilalkalmazásukat, amikor önkiszolgáló jelszóátállításra regisztrálnak innen https://aka.ms/ssprsetup: . Users can register their mobile app at https://aka.ms/mfasetup, or in the combined security info registration at https://aka.ms/setupsecurityinfo.

Fontos

Az Authenticator alkalmazás nem választható ki egyetlen hitelesítési módszerként, ha csak egy módszerre van szükség. Ehhez hasonlóan az Authenticator alkalmazás és csak egy további metódus nem választható két metódus megkövetelésekor.

Az Authenticator alkalmazást metódusként tartalmazó SSPR-szabályzatok konfigurálásakor legalább egy további metódust ki kell választani, ha egy metódusra van szükség, és legalább két további metódust kell kiválasztani két metódus konfigurálásakor.

Ennek a követelménynek az az oka, hogy a jelenlegi SSPR-regisztrációs felület nem tartalmazza a hitelesítő alkalmazás regisztrálásának lehetőségét. A hitelesítő alkalmazás regisztrálásának lehetőségét az új kombinált regisztrációs felület tartalmazza.

A csak az Authenticator alkalmazást (ha egy metódus szükséges) vagy az Authenticator alkalmazást és csak egy további metódust használó szabályzatok engedélyezése (ha két módszerre van szükség) azt eredményezheti, hogy a felhasználók nem regisztrálhatnak az SSPR-re, amíg nem konfigurálják őket az új kombinált regisztrációs felület használatára.

Hitelesítési módszerek módosítása

Mi történik, ha olyan szabályzattal kezd, amely csak egy szükséges hitelesítési módszerrel rendelkezik az alaphelyzetbe állításhoz vagy a regisztráció feloldásához, és ezt két módszerre módosítja?

Regisztrált metódusok száma A szükséges metódusok száma Eredmény
1 vagy több 1 Alaphelyzetbe állítás vagy zárolás feloldása
1 2 Nem lehet alaphelyzetbe állítani vagy feloldani a zárolást
2 vagy több 2 Alaphelyzetbe állítás vagy zárolás feloldása

Az elérhető hitelesítési módszerek módosítása szintén problémákat okozhat a felhasználók számára. Ha módosítja a felhasználók által használható hitelesítési módszerek típusait, véletlenül megakadályozhatja, hogy a felhasználók használhassák az SSPR-t, ha nem rendelkeznek a minimális rendelkezésre álló adatmennyiséggel.

Tekintse meg a következő példaforgatókönyvet:

  1. Az eredeti házirend két hitelesítési módszerrel van konfigurálva. Csak az irodai telefonszámot és a biztonsági kérdéseket használja.
  2. A rendszergazda úgy módosítja a házirendet, hogy a továbbiakban ne használja a biztonsági kérdéseket, hanem engedélyezi a mobiltelefon és egy másodlagos e-mail használatát.
  3. A mobiltelefon- vagy másodlagos e-mail-mezőkkel nem rendelkező felhasználók most már nem állíthatják alaphelyzetbe a jelszavukat.

Értesítések

A jelszóesemények tudatosítása érdekében az SSPR lehetővé teszi az értesítések konfigurálását mind a felhasználók, mind az identitás-rendszergazdák számára.

Értesítse a felhasználókat új jelszó kérésekor?

Ha ez a beállítás Igen értékre van állítva, a felhasználók a jelszavuk alaphelyzetbe állításáról egy e-mailt kapnak, amely értesíti őket a jelszavuk módosításáról. Az e-mailt az SSPR-portálon keresztül küldi el a rendszer az elsődleges és másodlagos e-mail-címükre, amelyek a Azure AD vannak tárolva. Senki más nem kap értesítést az alaphelyzetbe állítási eseményről.

Minden rendszergazda értesítése, ha más rendszergazdák új jelszót kérnek

Ha ez a beállítás Igen értékre van állítva, akkor az összes többi Azure-rendszergazda e-mailt kap a Azure AD tárolt elsődleges e-mail-címére. Az e-mail értesíti őket arról, hogy egy másik rendszergazda módosította a jelszavát az SSPR használatával.

Tekintse meg a következő példaforgatókönyvet:

  • Egy környezetben négy rendszergazda van.
  • A rendszergazda az SSPR használatával alaphelyzetbe állítja a jelszavát.
  • A B, C és D rendszergazdák e-mailben értesítést kapnak az új jelszó kéréséről.

Megjegyzés

Email SSPR szolgáltatás értesítései a következő címekről lesznek elküldve az Ön által használandó Azure-felhő alapján:

  • Nyilvános: msonlineservicesteam@microsoft.com
  • Kína: msonlineservicesteam@oe.21vianet.com
  • Kormány: msonlineservicesteam@azureadnotifications.us

Ha problémákat tapasztal az értesítések fogadása során, ellenőrizze a levélszemét-beállításokat.

Helyszíni integráció

Ha hibrid környezettel rendelkezik, konfigurálhatja a Azure AD Connectet jelszómódosítási események visszaírására Azure AD egy helyszíni könyvtárba.

A jelszóvisszaíró érvényesítése engedélyezve van, és a

Azure AD ellenőrzi a jelenlegi hibrid kapcsolatot, és az alábbi üzenetek egyikét biztosítja a Azure Portal:

  • A helyszíni visszaíró ügyfél működik.
  • Azure AD online állapotban van, és csatlakozik a helyszíni visszaíró ügyfélhez. Úgy tűnik azonban, hogy a Azure AD Connect telepített verziója elavult. Fontolja meg a Azure AD Connect frissítését, hogy biztosan a legújabb kapcsolati funkciókkal és fontos hibajavításokkal rendelkezzen.
  • Sajnos nem tudjuk ellenőrizni a helyszíni visszaíró ügyfél állapotát, mert a Azure AD Connect telepített verziója elavult. A kapcsolat állapotának ellenőrzéséhez frissítse Azure AD Connectet.
  • Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. A kapcsolat helyreállításához Azure AD Connect hibaelhárítása.
  • Sajnos nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez, mert a jelszóvisszaíró nincs megfelelően konfigurálva. A kapcsolat visszaállításához konfigurálja a jelszóvisszaírót .
  • Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. Ennek oka lehet, hogy átmeneti problémák merülnek fel a mi oldalunkon. Ha a probléma továbbra is fennáll, a kapcsolat helyreállításához Azure AD Connect hibaelhárítása.

Az SSPR-visszaírás első lépéseihez végezze el a következő oktatóanyagot:

Jelszavak visszaírása a helyszíni címtárba

A jelszóvisszaírót a Azure Portal engedélyezheti. Ideiglenesen letilthatja a jelszóvisszaírót anélkül, hogy újra kellene konfigurálnia Azure AD Connectet.

  • Ha a beállítás Értéke Igen, akkor a visszaírás engedélyezve van. Az összevont, átmenő hitelesítés vagy jelszókivonattal szinkronizált felhasználók alaphelyzetbe állíthatják a jelszavukat.
  • Ha a beállítás értéke Nem, akkor a visszaírás le van tiltva. Az összevont, átmenő hitelesítés vagy jelszókivonattal szinkronizált felhasználók nem tudják alaphelyzetbe állítani a jelszavukat.

Fiókok zárolásának feloldása a felhasználók számára a jelszó alaphelyzetbe állítása nélkül

Alapértelmezés szerint Azure AD feloldja a fiókok zárolását új jelszó kérésekor. A rugalmasság biztosítása érdekében engedélyezheti a felhasználóknak a helyszíni fiókjuk zárolásának feloldását anélkül, hogy új jelszót kellene megadniuk. Ezzel a beállítással különválaszthatja a két műveletet.

  • Ha az Igen értékre van állítva, a felhasználók új jelszót kérhetnek, és feloldhatják a fiók zárolását, illetve feloldhatják a fiók zárolását anélkül, hogy új jelszót kellene megadniuk.
  • Ha a Nem értékre van állítva, a felhasználók csak kombinált jelszó-visszaállítási és fiókzárolás-feloldási műveletet hajthatnak végre.

Helyszíni Active Directory-jelszószűrők

Az SSPR a rendszergazda által kezdeményezett jelszó-visszaállítással egyenértékű műveletet hajt végre az Active Directoryban. Ha külső jelszószűrővel kényszeríti ki az egyéni jelszószabályokat, és megköveteli, hogy a jelszószűrő legyen bejelölve Azure AD új jelszó önkiszolgáló kérése során, győződjön meg arról, hogy a harmadik féltől származó jelszószűrő megoldás úgy van konfigurálva, hogy a rendszergazdai jelszó-visszaállítási forgatókönyvben alkalmazza. Azure AD Active Directory tartományi szolgáltatások jelszavas védelme alapértelmezés szerint támogatott.

Új jelszó kérése B2B-felhasználók számára

Az új jelszó kérése és módosítása teljes mértékben támogatott minden vállalatközi (B2B) konfigurációban. A B2B-felhasználók új jelszó kérése a következő három esetben támogatott:

  • Meglévő Azure AD-bérlővel rendelkező partnerszervezet felhasználói: Ha a partnerszervezet rendelkezik meglévő Azure AD bérlővel, a bérlőn engedélyezett jelszóátállítási házirendeket tiszteletben tartjuk. A jelszó-visszaállítás működéséhez a partnerszervezetnek csak meg kell győződnie arról, hogy Azure AD SSPR engedélyezve van. A Microsoft 365-ügyfelek nem számítanak fel további díjakat.
  • Önkiszolgáló regisztráción keresztül regisztráló felhasználók : Ha a partnerszervezet az önkiszolgáló regisztrációs funkciót használta a bérlői fiókba való belépéshez, lehetővé tesszük számukra, hogy a regisztrált e-mail-címmel alaphelyzetbe állítsák a jelszót.
  • B2B-felhasználók: Az új Azure AD B2B-képességekkel létrehozott új B2B-felhasználók a meghívási folyamat során regisztrált e-mail-címmel is alaphelyzetbe állíthatják a jelszavukat.

A forgatókönyv teszteléséhez lépjen az https://passwordreset.microsoftonline.com egyik partnerfelhasználóhoz. Ha másodlagos e-mail- vagy hitelesítési e-mail-cím van megadva, az új jelszó kérése a várt módon működik.

Megjegyzés

Azok a Microsoft-fiókok, amelyek vendéghozzáférést kaptak a Azure AD-bérlőhöz, például Hotmail.com, Outlook.com vagy más személyes e-mail-címekről, nem tudják használni Azure AD SSPR-t. Alaphelyzetbe kell állítaniuk a jelszavukat a When you can't sign in your Microsoft account article (Amikor nem tud bejelentkezni a Microsoft-fiókba ) című cikkben található információk alapján.

Következő lépések

Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:

Az alábbi cikkekben az Azure AD jelszóátállításáról olvashat további információkat: