Működés: Microsoft Entra önkiszolgáló jelszóátállítás
A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi a felhasználók számára a jelszó módosítását vagy alaphelyzetbe állítását rendszergazdai vagy ügyfélszolgálati közreműködés nélkül. Ha egy felhasználó fiókja zárolva van, vagy elfelejti a jelszavát, az utasításokat követve feloldhatja a letiltást, és visszatérhet a munkához. Ez a képesség csökkenti az ügyfélszolgálati hívásokat és a termelékenység csökkenését, ha a felhasználó nem tud bejelentkezni az eszközére vagy egy alkalmazásba. Ez a videó azt ismerteti, hogyan engedélyezheti és konfigurálhatja az SSPR-t a Microsoft Entra ID-ban.
Fontos
Ez az elméleti cikk bemutatja a rendszergazdáknak az önkiszolgáló jelszó-visszaállítás működését. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .
Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.
Hogyan működik a jelszó-visszaállítási folyamat?
A felhasználók az SSPR portálon alaphelyzetbe állíthatják vagy módosíthatják a jelszavukat. Először regisztrálniuk kell a kívánt hitelesítési módszereket. Amikor egy felhasználó hozzáfér az SSPR portálhoz, a Microsoft Entra ID platform a következő tényezőket veszi figyelembe:
- Hogyan honosítandó a lap?
- Érvényes a felhasználói fiók?
- Melyik szervezethez tartozik a felhasználó?
- Hol kezelik a felhasználó jelszavát?
Ha egy felhasználó kiválasztja a Nem érhető el a fiók hivatkozását egy alkalmazásból vagy lapról, vagy közvetlenül a webhelyre https://aka.ms/ssprlép, az SSPR portálon használt nyelv a következő beállításokon alapul:
- Alapértelmezés szerint a böngésző területi beállítása a megfelelő nyelven jeleníti meg az SSPR-t. A jelszó-visszaállítási felület a Microsoft 365 által támogatott nyelvekre van honosítva.
- Ha az SSPR-hez egy adott honosított nyelven szeretne kapcsolódni, fűzze hozzá
?mkt=a jelszó-visszaállítási URL-cím végéhez a szükséges területi beállítással együtt.- Például a spanyol es-us területi beállítás megadásához használja a következőt
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us: .
- Például a spanyol es-us területi beállítás megadásához használja a következőt
Miután az SSPR-portál megjelenik a szükséges nyelven, a rendszer kéri a felhasználót, hogy adjon meg egy felhasználói azonosítót, és adjon át egy captcha-t. A Microsoft Entra ID az alábbi ellenőrzések végrehajtásával ellenőrzi, hogy a felhasználó képes-e az SSPR használatára:
- Ellenőrzi, hogy a felhasználó engedélyezve van-e az SSPR-ben.
- Ha a felhasználó nincs engedélyezve az SSPR-ben, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ellenőrzi, hogy a felhasználó rendelkezik-e a megfelelő hitelesítési módszerekkel a fiókjában a rendszergazdai szabályzatnak megfelelően.
- Ha a szabályzat csak egy metódust igényel, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez megadott megfelelő adatokkal.
- Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ha a szabályzathoz két módszer szükséges, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek közül legalább kéthoz a megfelelő adatokkal.
- Ha a hitelesítési módszerek nincsenek konfigurálva, a felhasználónak azt javasoljuk, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
- Ha egy Azure-rendszergazdai szerepkör van hozzárendelve a felhasználóhoz, akkor a rendszer kikényszeríti az erős kétkapus jelszóházirendet. További információ: Rendszergazda a szabályzatok alaphelyzetbe állításának eltérései.
- Ha a szabályzat csak egy metódust igényel, ellenőrizze, hogy a felhasználó rendelkezik-e a rendszergazdai házirend által engedélyezett hitelesítési módszerek legalább egyikéhez megadott megfelelő adatokkal.
- Ellenőrzi, hogy a felhasználó jelszava a helyszínen van-e kezelve, például hogy a Microsoft Entra-bérlő összevont, átmenő hitelesítést vagy jelszókivonat-szinkronizálást használ-e:
- Ha az SSPR-visszaírás konfigurálva van, és a felhasználó jelszava a helyszínen van kezelve, a felhasználó folytathatja a hitelesítést és alaphelyzetbe állíthatja a jelszavát.
- Ha az SSPR-visszaírás nincs üzembe helyezve, és a felhasználó jelszava a helyszínen van kezelve, a rendszer felkéri a felhasználót, hogy kérje meg a rendszergazdát, hogy állítsa alaphelyzetbe a jelszavát.
Ha az összes korábbi ellenőrzés sikeresen befejeződött, a rendszer végigvezeti a felhasználót a jelszó alaphelyzetbe állításának vagy módosításának folyamatán.
Feljegyzés
Az SSPR e-mail-értesítéseket küldhet a felhasználóknak a jelszó-visszaállítási folyamat részeként. Ezeket az e-maileket az SMTP Relay szolgáltatással küldi el, amely aktív-aktív módban működik több régióban.
Az SMTP-továbbítási szolgáltatások fogadják és feldolgozzák az e-mail törzsét, de nem tárolják. Az ügyfél által megadott adatokat esetleg tartalmazó SSPR-e-mail törzse nem található meg az SMTP Relay szolgáltatás naplóiban. A naplók csak a protokoll metaadatait tartalmazzák.
Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot:
A felhasználóknak regisztrálniuk kell a bejelentkezéskor
Engedélyezheti, hogy a felhasználónak be kell fejeznie az SSPR-regisztrációt, ha modern hitelesítést vagy webböngészőt használ a Microsoft Entra-azonosítót használó alkalmazásokba való bejelentkezéshez. Ez a munkafolyamat a következő alkalmazásokat tartalmazza:
- Microsoft 365
- Microsoft Entra felügyeleti központ
- Hozzáférési panel
- Összevont alkalmazások
- Egyéni alkalmazások Microsoft Entra-azonosítóval
Ha nem igényel regisztrációt, a rendszer nem kéri a felhasználókat a bejelentkezés során, de manuálisan regisztrálhatnak. A felhasználók a hozzáférési panel Profil lapján megnyithatják https://aka.ms/ssprsetup vagy kiválaszthatják a Regisztráció jelszó-visszaállításra hivatkozást.
! [Az SSPR regisztrációs lehetőségei a Microsoft Entra felügyeleti központban] [Regisztráció]
Feljegyzés
A felhasználók a lemondás vagy az ablak bezárásával bezárhatják az SSPR regisztrációs portált. A rendszer azonban a regisztráció befejezéséig minden bejelentkezéskor kérni fogja a regisztrációt.
Az SSPR-re való regisztráció megszakítása nem szakítja meg a felhasználó kapcsolatát, ha már bejelentkezett.
A hitelesítési adatok ismételt megerősítése
Annak érdekében, hogy a hitelesítési módszerek helyesek legyenek, amikor alaphelyzetbe kell állítaniuk vagy módosítaniuk kell a jelszavukat, megkövetelheti a felhasználóktól, hogy bizonyos idő elteltével megerősítsék az adataikat. Ez a beállítás csak akkor érhető el, ha engedélyezi, hogy a felhasználók regisztráljanak a bejelentkezéskor .
Érvényes értékek, amelyek arra kérik a felhasználót, hogy erősítse meg, hogy a regisztrált metódusok 0és 730 nap között vannak. Ha ezt az értéket 0 értékre állítja, az azt jelenti, hogy a rendszer soha nem kéri a felhasználókat a hitelesítési adatok megerősítésére. A kombinált regisztrációs felület használata esetén a felhasználóknak meg kell erősíteniük személyazonosságukat az adataik megerősítése előtt.
Hitelesítési módszerek
Ha egy felhasználó engedélyezve van az SSPR-ben, regisztrálnia kell legalább egy hitelesítési módszert. Javasoljuk, hogy válasszon két vagy több hitelesítési módszert, hogy a felhasználók nagyobb rugalmasságot tudjanak biztosítani abban az esetben, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá. További információ: Mik azok a hitelesítési módszerek?.
Az SSPR-hez a következő hitelesítési módszerek érhetők el:
- Mobilalkalmazás-értesítés
- Mobilalkalmazás-kód
- Mobiltelefon
- Office-telefon (csak fizetős előfizetéssel rendelkező bérlők számára érhető el)
- Biztonsági kérdések
A felhasználók csak akkor állíthatják vissza a jelszavukat, ha regisztráltak egy hitelesítési módszert, amelyet a rendszergazda engedélyezett.
Figyelmeztetés
Az Azure-beli rendszergazdai szerepkörökhöz rendelt fiókoknak a szabályzatok alaphelyzetbe állításának Rendszergazda szakaszában meghatározott módszerek használatához van szükség.
! [Hitelesítési módszerek kiválasztása a Microsoft Entra felügyeleti központban] [Hitelesítés]
A szükséges hitelesítési módszerek száma
Beállíthatja, hogy a felhasználónak hány hitelesítési módszert kell megadnia a jelszó alaphelyzetbe állításához vagy zárolásának feloldásához. Ez az érték egy vagy két értékre állítható be.
A felhasználók több hitelesítési módszert is regisztrálhatnak és kell is. Ismét erősen ajánlott, hogy a felhasználók regisztráljanak két vagy több hitelesítési módszert, hogy nagyobb rugalmasságot tudjanak biztosítani, ha nem tudnak hozzáférni egy metódushoz, amikor szükségük van rá.
Ha egy felhasználó nem rendelkezik a szükséges metódusok minimális számával az SSPR használatakor, egy hibaoldal jelenik meg, amely arra utasítja őket, hogy kérjék a rendszergazdatól a jelszó visszaállítását. Ügyeljen arra, hogy a szükséges metódusok száma egyről kettőre nőjön, ha már regisztrált felhasználókat az SSPR-re, és nem tudják használni a funkciót. További információ: a hitelesítési módszerek módosítása a következő szakaszban.
Mobilalkalmazás és SSPR
Ha mobilalkalmazást használ jelszó-visszaállítási módszerként, például a Microsoft Authenticator alkalmazáshoz, a következő szempontokat kell figyelembe venni, ha egy szervezet nem migrált a központosított hitelesítési módszerek szabályzatára:
- Ha a rendszergazdáknak egyetlen módszerre van szükségük a jelszó alaphelyzetbe állításához, az ellenőrző kód az egyetlen elérhető lehetőség.
- Ha a rendszergazdáknak két módszerre van szükségük a jelszó alaphelyzetbe állításához, a felhasználók bármely más engedélyezett módszer mellett használhatnak értesítési vagy ellenőrzési kódot is.
| Az új jelszó kéréséhez szükséges módszerek száma | Eggyel | Kettővel |
|---|---|---|
| Elérhető mobilalkalmazás-funkciók | Kód | Kód vagy értesítés |
A felhasználók regisztrálhatják mobilalkalmazásukat a következő helyen https://aka.ms/mfasetup, vagy a kombinált biztonsági adatok regisztrációjában: https://aka.ms/setupsecurityinfo.
Fontos
Ha az Authenticator alkalmazás nem választható ki egyetlen hitelesítési módszerként, ha csak egy metódusra van szükség. Hasonlóképpen, az Authenticator alkalmazás és csak egy további metódus nem választható ki, ha két metódust igényel.
Az Authenticator alkalmazást metódusként tartalmazó SSPR-szabályzatok konfigurálásakor legalább egy további metódust ki kell jelölni, ha egy metódusra van szükség, és legalább két további metódust kell kijelölni két metódus konfigurálásakor.
Hitelesítési módszerek módosítása
Ha olyan szabályzattal kezd, amely csak egy szükséges hitelesítési módszerrel rendelkezik a regisztrált visszaállításhoz vagy zárolás feloldásához, és ezt két módszerre módosítja, mi történik?
| Regisztrált metódusok száma | A szükséges metódusok száma | Eredmény |
|---|---|---|
| 1 vagy több | 0 | Alaphelyzetbe állítás vagy zárolás feloldása |
| 0 | 2 | Nem lehet alaphelyzetbe állítani vagy feloldani a zárolást |
| 2 vagy több | 2 | Alaphelyzetbe állítás vagy zárolás feloldása |
A rendelkezésre álló hitelesítési módszerek módosítása problémákat okozhat a felhasználók számára is. Ha módosítja a felhasználók által használható hitelesítési módszerek típusait, véletlenül megakadályozhatja, hogy a felhasználók használhassák az SSPR-t, ha nem rendelkeznek a minimális rendelkezésre álló adatmennyiséggel.
Fontolja meg a következő példaforgatókönyvet:
- Az eredeti szabályzat két hitelesítési módszerrel van konfigurálva. Csak az irodai telefonszámot és a biztonsági kérdéseket használja.
- A rendszergazda úgy módosítja a szabályzatot, hogy a továbbiakban ne használja a biztonsági kérdéseket, hanem lehetővé teszi egy mobiltelefon és egy másodlagos e-mail használatát.
- A mobiltelefonnal vagy másodlagos e-mail-mezőkkel nem rendelkező felhasználók most már nem tudják alaphelyzetbe állítani a jelszavukat.
Notifications
A jelszóesemények tudatosítása érdekében az SSPR lehetővé teszi az értesítések konfigurálását mind a felhasználók, mind az identitásgazdák számára.
Értesítse a felhasználókat új jelszó kérésekor?
Ha ez a beállítás Igen értékre van állítva, a felhasználók a jelszavukat visszaállító e-mailt kapnak, amely értesíti őket a jelszó módosításáról. Az e-mailt az SSPR portálon keresztül küldi el a Microsoft Entra-azonosítóban tárolt elsődleges és másodlagos e-mail-címekre. Ha nincs meghatározva elsődleges vagy másodlagos e-mail-cím, az SSPR megkísérli az e-mail-értesítést a felhasználók egyszerű felhasználónévvel (UPN) keresztül. Senki más nem kap értesítést az alaphelyzetbe állítási eseményről.
Értesítse az összes rendszergazdát, ha más rendszergazdák visszaállítják a jelszavukat
Ha ez a beállítás Igen értékre van állítva, akkor a globális Rendszergazda istratorok e-mailt kapnak a Microsoft Entra-azonosítóban tárolt elsődleges e-mail-címükre. Az e-mail értesíti őket arról, hogy egy másik rendszergazda módosította a jelszavát az SSPR használatával.
Feljegyzés
Az SSPR szolgáltatástól érkező e-mail-értesítések a következő címekről lesznek elküldve az Ön által használandó Azure-felhő alapján:
- Nyilvános: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Ha problémákat tapasztal az értesítések fogadása során, ellenőrizze a levélszemét beállításait.
Ha azt szeretné, hogy az egyéni rendszergazdák megkapják az értesítési e-maileket, használjon SSPR-testreszabásokat, és állítson be egy egyéni súgóhivatkozást vagy e-mailt.
Helyszíni integráció
Ha hibrid környezettel rendelkezik, konfigurálhatja a Microsoft Entra Csatlakozás jelszómódosítási események visszaírására a Microsoft Entra-azonosítóról egy helyszíni könyvtárba.
! [A jelszóvisszaírás érvényesítése engedélyezve van a Microsoft Entra-azonosítóhoz egy helyszíni integrációhoz] [Visszaírás]
A Microsoft Entra ID ellenőrzi az aktuális hibrid kapcsolatot, és az alábbi üzenetek egyikét nyújtja a Microsoft Entra felügyeleti központban:
- A helyszíni visszaíró ügyfél működik.
- A Microsoft Entra ID online állapotú, és a helyszíni visszaíró ügyfélhez csatlakozik. Úgy tűnik azonban, hogy a Microsoft Entra Csatlakozás telepített verziója elavult. Fontolja meg a Microsoft Entra Csatlakozás frissítését, hogy biztosan a legújabb kapcsolati funkciókkal és a fontos hibajavításokkal rendelkezzen.
- Sajnos nem tudjuk ellenőrizni a helyszíni visszaíró ügyfél állapotát, mert a Microsoft Entra Csatlakozás telepített verziója elavult. Frissítse a Microsoft Entra Csatlakozás, hogy ellenőrizni tudja a kapcsolat állapotát.
- Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. A kapcsolat visszaállításához a Microsoft Entra Csatlakozás hibaelhárítása.
- Sajnos nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez, mert a jelszóvisszaíró nincs megfelelően konfigurálva. Jelszóvisszaíró konfigurálása a kapcsolat visszaállításához.
- Sajnos úgy tűnik, hogy jelenleg nem tudunk csatlakozni a helyszíni visszaíró ügyfélhez. Ennek oka lehet, hogy átmeneti problémák merülnek fel a mi oldalunkon. Ha a probléma továbbra is fennáll, a Microsoft Entra Csatlakozás hibaelhárításával visszaállíthatja a kapcsolatot.
Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagot:
Jelszavak visszaírása a helyszíni címtárba
A jelszóvisszaírást a Microsoft Entra felügyeleti központban engedélyezheti. Ideiglenesen letilthatja a jelszóvisszaírást anélkül, hogy újrakonfigurálnia kellene a Microsoft Entra Csatlakozás.
- Ha a beállítás Igen értékre van állítva, akkor a visszaírás engedélyezve van. Az összevont, átmenő hitelesítés vagy jelszókivonat-szinkronizált felhasználók visszaállíthatják a jelszavukat.
- Ha a beállítás értéke Nem, akkor a visszaírás le van tiltva. Az összevont, az átmenő hitelesítés vagy a jelszókivonat-szinkronizált felhasználók nem tudják alaphelyzetbe állítani a jelszavukat.
Fiókok zárolásának feloldása a felhasználók számára a jelszó visszaállítása nélkül
Alapértelmezés szerint a Microsoft Entra ID feloldja a fiókokat, amikor jelszó-visszaállítást hajt végre. A rugalmasság érdekében dönthet úgy, hogy lehetővé teszi a felhasználók számára a helyszíni fiókok zárolásának feloldását anélkül, hogy alaphelyzetbe kellene állítaniuk a jelszavukat. Ezzel a beállítással különválaszthatja a két műveletet.
- Ha igen értékre van állítva, a felhasználók a jelszó alaphelyzetbe állítása és a fiók zárolásának feloldása, illetve a fiók zárolásának feloldására is lehetőséget kapnak a jelszó alaphelyzetbe állítása nélkül.
- Ha nem értékre van állítva, a felhasználók csak kombinált jelszó-visszaállítási és fiók-feloldási műveletet hajthatnak végre.
Helyszíni Active Directory-jelszószűrők
Az SSPR a rendszergazda által kezdeményezett jelszó-visszaállításnak felel meg az Active Directoryban. Ha külső jelszószűrővel kényszeríti ki az egyéni jelszószabályokat, és megköveteli, hogy a jelszószűrő ellenőrzése a Microsoft Entra önkiszolgáló jelszó-visszaállítás során történjen, győződjön meg arról, hogy a külső jelszószűrő megoldás úgy van konfigurálva, hogy a rendszergazdai jelszó-visszaállítási forgatókönyvben alkalmazza. A Microsoft Entra jelszóvédelmét a Active Directory tartományi szolgáltatások alapértelmezés szerint támogatja.
Jelszó alaphelyzetbe állítása B2B-felhasználók számára
A jelszó-visszaállítás és -módosítás teljes mértékben támogatott minden üzleti (B2B) konfigurációban. A B2B-felhasználók jelszó-alaphelyzetbe állítása a következő három esetben támogatott:
- Meglévő Microsoft Entra-bérlővel rendelkező partnerszervezet felhasználói: Ha a partnerszervezet rendelkezik meglévő Microsoft Entra-bérlővel, tiszteletben tartjuk az adott bérlőn engedélyezett jelszó-visszaállítási házirendeket. A jelszó-visszaállítás működéséhez a partnerszervezetnek csak meg kell győződnie arról, hogy a Microsoft Entra SSPR engedélyezve van. A Microsoft 365-ügyfeleknek nincs külön díj.
- Önkiszolgáló regisztráción keresztül regisztráló felhasználók: Ha a partnerszervezet az önkiszolgáló regisztrációs funkciót használta a bérlőbe való belépéshez, akkor a regisztrált e-mail-címmel visszaállíthatjuk a jelszót.
- B2B-felhasználók: Az új Microsoft Entra B2B-funkciókkal létrehozott új B2B-felhasználók a meghívási folyamat során regisztrált e-mailekkel is alaphelyzetbe állíthatják a jelszavukat.
A forgatókönyv teszteléséhez lépjen https://passwordreset.microsoftonline.com az egyik partnerfelhasználóhoz. Ha másodlagos e-mail vagy hitelesítési e-mail van meghatározva, a jelszó-visszaállítás a várt módon működik.
Feljegyzés
Azok a Microsoft-fiókok, amelyek vendéghozzáférést kaptak a Microsoft Entra-bérlőhöz, például Hotmail.com, Outlook.com vagy más személyes e-mail-címekről, nem tudják használni a Microsoft Entra SSPR-t. A Microsoft-fiók cikkében található információk segítségével alaphelyzetbe kell állítaniuk a jelszavukat.
Következő lépések
Az SSPR használatának megkezdéséhez végezze el az alábbi oktatóanyagot: