Működés: Microsoft Entra önkiszolgáló jelszóátállítás
A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását rendszergazdai vagy ügyfélszolgálati közreműködés nélkül. Ha egy felhasználó fiókja zárolva van, vagy elfelejti a jelszavát, az utasításokat követve feloldhatja a letiltást, és visszatérhet a munkához. Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. Ez a videó azt ismerteti, hogyan engedélyezheti és konfigurálhatja az SSPR-t a Microsoft Entra ID-ban.
Fontos
Ez az elméleti cikk bemutatja a rendszergazdáknak az önkiszolgáló jelszó-visszaállítás működését. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .
Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.
Hogyan működik a jelszó-visszaállítási folyamat?
A felhasználók az SSPR portálon alaphelyzetbe állíthatják vagy módosíthatják a jelszavukat. Először regisztrálniuk kell a kívánt hitelesítési módszereket. Amikor egy felhasználó hozzáfér az SSPR portálhoz, a Microsoft Entra platform a következő tényezőket veszi figyelembe:
- Hogyan honosítandó a lap?
- Érvényes a felhasználói fiók?
- Melyik szervezethez tartozik a felhasználó?
- Hol kezelik a felhasználó jelszavát?
Ha egy felhasználó kiválasztja a Nem érhető el a fiók hivatkozását egy alkalmazásból vagy lapról, vagy közvetlenül a webhelyre https://aka.ms/ssprlép, az SSPR portálon használt nyelv a következő beállításokon alapul:
- Alapértelmezés szerint a böngésző területi beállítása a megfelelő nyelven jeleníti meg az SSPR-t. A jelszó-visszaállítási felület a Microsoft 365 által támogatott nyelvekre van honosítva.
- Ha az SSPR-hez egy adott honosított nyelven szeretne kapcsolódni, fűzze hozzá
?mkt=
a jelszó-visszaállítási URL-cím végéhez a szükséges területi beállítással együtt.- Például a spanyol es-us területi beállítás megadásához használja a következőt
?mkt=es-us
- https://passwordreset.microsoftonline.com/?mkt=es-us: .
- Például a spanyol es-us területi beállítás megadásához használja a következőt
Miután az SSPR-portál megjelenik a szükséges nyelven, a rendszer kéri a felhasználót, hogy adjon meg egy felhasználói azonosítót, és adjon át egy captcha-t. A Microsoft Entra ID az alábbi ellenőrzések végrehajtásával ellenőrzi, hogy a felhasználó képes-e az SSPR használatára:
- Ellenőrzi, hogy a felhasználó engedélyezve van-e az SSPR-ben.
- Ha a felhasználó nincs engedélyezve az SSPR-ben, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő hitelesítési módszerekkel a fiókjában a rendszergazdai szabályzatnak megfelelően.
- Ha a szabályzat csak egy metódust igényel, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez megadott megfelelő adatokkal.
- Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ha a szabályzathoz két módszer szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek közül legalább kéthoz a megfelelő adatokkal.
- Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ha egy Azure-rendszergazdai szerepkör van hozzárendelve a felhasználóhoz, akkor a rendszer kikényszeríti az erős kétkapus jelszóházirendet. További információ: Rendszergazdai visszaállítási szabályzatok eltérései.
- Ha a szabályzat csak egy metódust igényel, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez megadott megfelelő adatokkal.
- Ellenőrzi, hogy a felhasználó jelszava a helyszínen van-e kezelve, például hogy a Microsoft Entra-bérlő összevont, átmenő hitelesítést vagy jelszókivonat-szinkronizálást használ-e:
- Ha az SSPR-visszaírás konfigurálva van, és a felhasználó jelszava a helyszínen van kezelve, a felhasználó folytathatja a hitelesítést és alaphelyzetbe állíthatja a jelszavát.
- Ha az SSPR-visszaírás nincs üzembe helyezve, és a felhasználó jelszava a helyszínen van kezelve, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
Ha az összes korábbi ellenőrzés sikeresen befejeződött, a rendszer végigvezeti a felhasználót a jelszó alaphelyzetbe állításának vagy módosításának folyamatán.
Feljegyzés
Az SSPR e-mail-értesítéseket küldhet a felhasználóknak a jelszó-visszaállítási folyamat részeként. Ezeket az e-maileket az SMTP Relay szolgáltatással küldi el, amely aktív-aktív módban működik több régióban.
Az SMTP-továbbítási szolgáltatások fogadják és feldolgozzák az e-mail törzsét, de nem tárolják. Az ügyfél által megadott adatokat esetleg tartalmazó SSPR-e-mail törzse nem található meg az SMTP Relay szolgáltatás naplóiban. A naplók csak a protokoll metaadatait tartalmazzák.
Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:
A felhasználóknak regisztrálniuk kell a bejelentkezéskor
Engedélyezheti, hogy a felhasználónak be kell fejeznie az SSPR-regisztrációt, ha modern hitelesítést vagy webböngészőt használ a Microsoft Entra-azonosítót használó alkalmazásokba való bejelentkezéshez. Ez a munkafolyamat a következő alkalmazásokat tartalmazza:
- Microsoft 365
- Microsoft Entra felügyeleti központ
- Hozzáférési panel
- Összevont alkalmazások
- Egyéni alkalmazások Microsoft Entra-azonosítóval
Ha nem igényel regisztrációt, a rendszer nem kéri a felhasználókat a bejelentkezés során, de manuálisan regisztrálhatnak. A felhasználók a hozzáférési panel Profil lapján megnyithatják https://aka.ms/ssprsetup vagy kiválaszthatják a Regisztráció jelszó-visszaállításra hivatkozást.
Feljegyzés
A felhasználók a lemondás vagy az ablak bezárásával bezárhatják az SSPR regisztrációs portált. A rendszer azonban a regisztráció befejezéséig minden bejelentkezéskor kérni fogja a regisztrációt.
Az SSPR-re való regisztráció megszakítása nem szakítja meg a felhasználó kapcsolatát, ha már bejelentkezett.
A hitelesítési adatok ismételt megerősítése
Annak érdekében, hogy a hitelesítési módszerek helyesek legyenek, amikor alaphelyzetbe kell állítaniuk vagy módosítaniuk kell a jelszavukat, megkövetelheti a felhasználóktól, hogy bizonyos idő elteltével megerősítsék az adataikat. Ez a beállítás csak akkor érhető el, ha engedélyezi, hogy a felhasználók regisztráljanak a bejelentkezéskor .
Érvényes értékek, amelyek arra kérik a felhasználót, hogy erősítse meg, hogy a regisztrált metódusok 0és 730 nap között vannak. Ha ezt az értéket 0 értékre állítja, az azt jelenti, hogy a rendszer soha nem kéri a felhasználókat a hitelesítési adatok megerősítésére. A kombinált regisztrációs felület használata esetén a felhasználóknak meg kell erősíteniük személyazonosságukat az adataik megerősítése előtt.
Hitelesítési módszerek
Ha egy felhasználó engedélyezve van az SSPR-ben, regisztrálnia kell legalább egy hitelesítési módszert. Javasoljuk, hogy válasszon két vagy több hitelesítési módszert, hogy a felhasználók nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá. További információ: Mik azok a hitelesítési módszerek?.
Az SSPR-hez a következő hitelesítési módszerek érhetők el:
- Mobilalkalmazás-értesítés
- Mobilalkalmazás-kód
- Mobiltelefon
- Office-telefon (csak fizetős előfizetéssel rendelkező bérlők számára érhető el)
- Biztonsági kérdések
A felhasználók csak akkor állíthatják vissza a jelszavukat, ha a rendszergazda által engedélyezett hitelesítési módszert regisztrálnak.
Figyelmeztetés
Az Azure-beli rendszergazdai szerepkörökhöz hozzárendelt fiókoknak a rendszergazdai visszaállítási szabályzatok eltérései című szakaszban meghatározott módszereket kell használniuk.
A szükséges hitelesítési módszerek száma
Beállíthatja, hogy a felhasználónak hány hitelesítési módszert kell megadnia a jelszó alaphelyzetbe állításához vagy zárolásának feloldásához. Ez az érték egy vagy két értékre állítható be.
A felhasználóknak több hitelesítési módszert kell regisztrálniuk, hogy más módon jelentkezzenek be, ha nem tudnak hozzáférni egy metódushoz.
Ha egy felhasználó nem regisztrálja a szükséges metódusok minimális számát, hibaüzenet jelenik meg, amikor SSPR-t próbál használni. Meg kell kérniük, hogy a rendszergazda állítsa alaphelyzetbe a jelszavát. További információ: Hitelesítési módszerek módosítása.
Mobilalkalmazás és SSPR
Ha mobilalkalmazást használ jelszó-visszaállítási módszerként, például a Microsoft Authenticatort, az alábbi szempontokat kell figyelembe vennie, ha egy szervezet nem migrált a központi hitelesítési módszerek szabályzatára:
- Ha a rendszergazdáknak egyetlen módszerre van szükségük a jelszó alaphelyzetbe állításához, az ellenőrző kód az egyetlen elérhető lehetőség.
- Ha a rendszergazdáknak két módszerre van szükségük a jelszó alaphelyzetbe állításához, a felhasználók bármely más engedélyezett módszer mellett használhatnak értesítési vagy ellenőrzési kódot is.
Az új jelszó kéréséhez szükséges módszerek száma | Eggyel | Kettővel |
---|---|---|
Elérhető mobilalkalmazás-funkciók | Kód | Kód vagy értesítés |
A felhasználók regisztrálhatják mobilalkalmazásukat a következő helyen https://aka.ms/mfasetup, vagy a kombinált biztonsági adatok regisztrációjában: https://aka.ms/setupsecurityinfo.
Fontos
A hitelesítő nem választható ki egyetlen hitelesítési módszerként, ha csak egy metódusra van szükség. Hasonlóképpen, az Authenticator és csak egy további metódus nem választható ki, ha két metódusra van szükség.
Az Authenticator alkalmazást metódusként tartalmazó SSPR-szabályzatok konfigurálásakor legalább egy további metódust ki kell jelölni, ha egy metódusra van szükség, és legalább két további metódust kell kijelölni két metódus konfigurálásakor.
Hitelesítési módszerek módosítása
Ha olyan szabályzattal kezd, amely csak egy szükséges hitelesítési módszerrel rendelkezik a regisztrált visszaállításhoz vagy zárolás feloldásához, és ezt két módszerre módosítja, mi történik?
Regisztrált metódusok száma | A szükséges metódusok száma | Eredmény |
---|---|---|
1 vagy több | 0 | Alaphelyzetbe állítás vagy zárolás feloldása |
0 | 2 | Nem lehet alaphelyzetbe állítani vagy feloldani a zárolást |
2 vagy több | 2 | Alaphelyzetbe állítás vagy zárolás feloldása |
A rendelkezésre álló hitelesítési módszerek módosítása problémákat okozhat a felhasználók számára is. Ha módosítja, hogy mely hitelesítési módszerek érhetők el, a minimális rendelkezésre álló adatmennyiséggel nem rendelkező felhasználók nem használhatják az SSPR-t.
Fontolja meg a következő példaforgatókönyvet:
- Az eredeti szabályzat két hitelesítési módszerrel van konfigurálva. Csak az irodai telefonszámot és a biztonsági kérdéseket használja.
- A rendszergazda úgy módosítja a szabályzatot, hogy a továbbiakban ne használja a biztonsági kérdéseket, hanem lehetővé teszi egy mobiltelefon és egy másodlagos e-mail használatát.
- A mobiltelefonnal vagy másodlagos e-mail-mezőkkel nem rendelkező felhasználók most már nem tudják alaphelyzetbe állítani a jelszavukat.
Értesítések
A jelszóesemények tudatosítása érdekében az SSPR lehetővé teszi az értesítések konfigurálását mind a felhasználók, mind az identitásgazdák számára.
Értesítse a felhasználókat új jelszó kérésekor?
Ha ez a beállítás Igen értékre van állítva, a felhasználók a jelszavukat visszaállító e-mailt kapnak, amely értesíti őket a jelszó módosításáról. Az e-mailt az SSPR portálon keresztül küldi el a Microsoft Entra-azonosítóban tárolt elsődleges és másodlagos e-mail-címekre. Ha nincs meghatározva elsődleges vagy másodlagos e-mail-cím, az SSPR megkísérli az e-mail-értesítést a felhasználók egyszerű felhasználónévvel (UPN) keresztül. Senki más nem kap értesítést az alaphelyzetbe állítási eseményről.
Értesítse az összes rendszergazdát, ha más rendszergazdák visszaállítják a jelszavukat
Ha ez a beállítás Igen értékre van állítva, akkor a globális rendszergazdák e-mailt kapnak a Microsoft Entra-azonosítóban tárolt elsődleges e-mail-címükre. Az e-mail értesíti őket arról, hogy egy másik rendszergazda módosította a jelszavát az SSPR használatával.
Feljegyzés
Az SSPR szolgáltatástól érkező e-mail-értesítések a következő címekről lesznek elküldve az Ön által használandó Azure-felhő alapján:
- Nyilvános: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- A 21Vianet által üzemeltetett Microsoft Azure (Azure Kínában): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Ha problémákat tapasztal az értesítések fogadása során, ellenőrizze a levélszemét beállításait.
Ha azt szeretné, hogy az egyéni rendszergazdák megkapják az értesítési e-maileket, használjon SSPR-testreszabásokat, és állítson be egy egyéni súgóhivatkozást vagy e-mailt.
Helyszíni integráció
Hibrid környezetben konfigurálhatja a Microsoft Entra Connect felhőszinkronizálást jelszómódosítási események írásához a Microsoft Entra ID azonosítóról egy helyszíni címtárra.
A Microsoft Entra ID ellenőrzi az aktuális hibrid kapcsolatot, és üzeneteket biztosít a Microsoft Entra felügyeleti központban. A lehetséges hibák elhárításával kapcsolatos segítségért tekintse meg a Microsoft Entra Connect hibaelhárítását.
Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagot:
Jelszavak visszaírása a helyszíni címtárba
A jelszóvisszaírást a Microsoft Entra felügyeleti központban engedélyezheti. Ideiglenesen letilthatja a jelszóvisszaírást anélkül, hogy újrakonfigurálnia kellene a Microsoft Entra Connectet.
- Ha a beállítás Igen értékre van állítva, akkor a visszaírás engedélyezve van. Az összevont, átmenő hitelesítés vagy jelszókivonat-szinkronizált felhasználók visszaállíthatják a jelszavukat.
- Ha a beállítás értéke Nem, akkor a visszaírás le van tiltva. Az összevont, az átmenő hitelesítés vagy a jelszókivonat-szinkronizált felhasználók nem tudják alaphelyzetbe állítani a jelszavukat.
Fiókok zárolásának feloldása a felhasználók számára a jelszó visszaállítása nélkül
Alapértelmezés szerint a Microsoft Entra ID feloldja a fiókokat, amikor jelszó-visszaállítást hajt végre. A rugalmasság érdekében dönthet úgy, hogy lehetővé teszi a felhasználók számára a helyszíni fiókok zárolásának feloldását anélkül, hogy alaphelyzetbe kellene állítaniuk a jelszavukat. Ezzel a beállítással különválaszthatja a két műveletet.
- Ha igen értékre van állítva, a felhasználók a jelszó alaphelyzetbe állítása és a fiók zárolásának feloldása, illetve a fiók zárolásának feloldására is lehetőséget kapnak a jelszó alaphelyzetbe állítása nélkül.
- Ha nem értékre van állítva, a felhasználók csak kombinált jelszó-visszaállítási és fiók-feloldási műveletet hajthatnak végre.
Helyszíni Active Directory-jelszószűrők
Az SSPR a rendszergazda által kezdeményezett jelszó-visszaállításnak felel meg az Active Directoryban. Ha külső jelszószűrővel kényszeríti ki az egyéni jelszószabályokat, és megköveteli, hogy a jelszószűrő ellenőrzése a Microsoft Entra önkiszolgáló jelszó-visszaállítás során történjen, győződjön meg arról, hogy a külső jelszószűrő megoldás úgy van konfigurálva, hogy a rendszergazdai jelszó-visszaállítási forgatókönyvben alkalmazza. A Microsoft Entra jelszóvédelmét a Active Directory tartományi szolgáltatások alapértelmezés szerint támogatja.
Jelszó alaphelyzetbe állítása B2B-felhasználók számára
A jelszó-visszaállítás és -módosítás teljes mértékben támogatott minden üzleti (B2B) konfigurációban. A B2B-felhasználók jelszó-alaphelyzetbe állítása a következő három esetben támogatott:
- Meglévő Microsoft Entra-bérlővel rendelkező partnerszervezet felhasználói: Ha a partner rendelkezik Microsoft Entra-bérlővel, tiszteletben tartjuk a bérlőn engedélyezett jelszó-visszaállítási házirendeket. A jelszó-visszaállítás működéséhez a partnerszervezetnek csak meg kell győződnie arról, hogy a Microsoft Entra SSPR engedélyezve van. A Microsoft 365-ügyfeleknek nincs más díja.
- Önkiszolgáló regisztrációval regisztráló felhasználók: Ha a partner az önkiszolgáló regisztrációs funkciót használta a bérlőbe való belépéshez, lehetővé tesszük számukra, hogy a regisztrált e-maillel visszaállítsák a jelszót.
- B2B-felhasználók: Az új Microsoft Entra B2B-funkciókkal létrehozott új B2B-felhasználók a meghívási folyamat során regisztrált e-mailekkel is alaphelyzetbe állíthatják a jelszavukat.
A forgatókönyv teszteléséhez lépjen https://passwordreset.microsoftonline.com
az egyik partnerfelhasználóhoz. Ha a felhasználó másodlagos e-mailt vagy hitelesítési e-mailt definiált, a jelszó-visszaállítás a várt módon működik.
Feljegyzés
Azok a Microsoft-fiókok, amelyek vendéghozzáférést kapnak a Microsoft Entra-bérlőhöz, például Hotmail.com, Outlook.com vagy más személyes e-mail-címekről, nem használhatják a Microsoft Entra SSPR-t. További információ: Mikor nem tud bejelentkezni a Microsoft-fiókjába.
Következő lépések
Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot: