Self-Service új jelszó kérésének üzembehelyezési lehetőségei

Fontos

2022 szeptemberében a Microsoft bejelentette az Azure Multi-Factor Authentication-kiszolgáló elavulását. 2024. szeptember 30-tól az Azure Multi-Factor Authentication Server üzemelő példányai már nem fognak többtényezős hitelesítési (MFA- ) kéréseket kiszolgálni. Az Azure Multi-Factor Authentication-kiszolgáló ügyfeleinek azt kell tervezni, hogy inkább egyéni MFA-szolgáltatókat használnak a MIM SSPR-vel, vagy Microsoft Entra SSPR-t a MIM SSPR helyett.

A P1 vagy P2 azonosítójú Microsoft Entra licenccel rendelkező új ügyfelek számára azt javasoljuk, hogy a végfelhasználói élmény biztosításához használja Microsoft Entra önkiszolgáló jelszóátállítást. Microsoft Entra önkiszolgáló jelszó-visszaállítás webalapú és Windowsba integrált felületet is biztosít a felhasználók számára a saját jelszavuk alaphelyzetbe állításához, és számos olyan képességet támogatnak, mint a MIM, beleértve a másodlagos e-maileket és a Q&A kapukat is. Microsoft Entra önkiszolgáló jelszó-visszaállítás telepítésekor konfigurálhatja Microsoft Entra Connectet az új jelszavak AD DS-be való visszaírására, a MIM jelszóváltozás-értesítési szolgáltatása pedig a jelszavak más rendszerekre, például egy másik gyártó címtárkiszolgálójára való továbbítására használható. A MIM jelszókezeléshez való üzembe helyezéséhez nincs szükség a MIM szolgáltatásra vagy a MIM önkiszolgáló jelszó-visszaállítási vagy regisztrációs portálok üzembe helyezésére. Ehelyett kövesse az alábbi lépéseket:

• Először is, ha a Microsoft Entra azonosítótól és az AD DS-től eltérő címtárakba kell jelszót küldenie, helyezze üzembe a MIM Syncet összekötőkkel Active Directory tartományi szolgáltatások és egyéb célrendszerekben, konfigurálja a MIM-et a jelszókezeléshez, és telepítse a Jelszóváltozás-értesítési szolgáltatást.
• Ezután, ha nem Microsoft Entra azonosítójú címtárakba kell jelszót küldenie, konfigurálja Microsoft Entra Connectet az új jelszavak AD DS-be való visszaírásához.
• Igény szerint előre regisztrálhatja a felhasználókat.
• Végül vezesse be Microsoft Entra önkiszolgáló jelszó-visszaállítást a végfelhasználók számára.

Azoknak a meglévő ügyfeleknek, akik korábban már telepítettek Forefront Identity Manager (FIM) önkiszolgáló jelszó-visszaállításra, és Microsoft Entra P1 vagy P2 azonosítójú licenccel rendelkeznek, javasoljuk, hogy tervezzük Microsoft Entra önkiszolgáló jelszó-visszaállításra való áttérést. A végfelhasználók áttérhetnek Microsoft Entra önkiszolgáló jelszó-visszaállításra anélkül, hogy újra regisztrálniuk kellene őket, ha szinkronizálja vagy beállítja a felhasználó másodlagos e-mail-címét vagy mobiltelefonszámát a PowerShellben. Miután regisztrálta a felhasználókat Microsoft Entra önkiszolgáló jelszó-visszaállításra, a FIM jelszó-visszaállítási portálja leszerelhető.

Azoknak az ügyfeleknek, akik még nem telepítettek Microsoft Entra új jelszó önkiszolgáló kérését a felhasználóik számára, a MIM önkiszolgáló jelszó-visszaállítási portálokat is biztosít. A FIM-hez képest a MIM 2016 a következő módosításokat tartalmazza:

• A MIM Self-Service jelszóátállítási portál és a Windows bejelentkezési képernyője lehetővé teszi a felhasználók számára, hogy jelszó módosítása nélkül oldják fel a fiókjukat.

• A MIM-hez új hitelesítési kaput (Phone Gate) adtunk hozzá. Ez lehetővé teszi a felhasználók telefonhíváson keresztüli hitelesítését a Microsoft Entra többtényezős hitelesítési szolgáltatáson keresztül.

A MIM 2016-os kiadása a 4.5.26.0-s verzióig buildel, amely arra támaszkodott, hogy az ügyfél letölt egy elavult SDK-t, és a meglévő üzemelő példányoknak át kell váltaniuk a MIM SSPR egyéni MFA-szolgáltatóval való használatára, vagy Microsoft Entra önkiszolgáló jelszóátállításra. Az új üzemelő példányoknak egyéni MFA-szolgáltatót vagy Microsoft Entra új jelszó önkiszolgáló kérését kell használniuk.

A MIM Self-Service jelszóátállítási portál üzembe helyezése egyéni szolgáltatóval többtényezős hitelesítéshez

A következő szakasz bemutatja, hogyan helyezheti üzembe a MIM önkiszolgáló jelszóátállítási portálját egy szolgáltató használatával többtényezős hitelesítéshez. Ezek a lépések csak azoknak az ügyfeleknek szükségesek, akik nem használják Microsoft Entra önkiszolgáló jelszó-visszaállítást a felhasználóik számára.

Az MFA-val a felhasználók a külső szolgáltatón keresztül hitelesítik magukat, hogy ellenőrizzék személyazonosságukat, miközben megpróbálják visszaszerezni a hozzáférésüket a fiókjukhoz és az erőforrásaikhoz. A hitelesítés történhet SMS-ben vagy telefonhívással. Minél erősebb a hitelesítés, annál biztosabb, hogy a hozzáférést igénylő felhasználó ténylegesen az adott identitás tulajdonosa. A hitelesítést követően a felhasználó új jelszót választhat a régi helyett.

Az MFA szolgáltatással végzett önkiszolgáló fiókzárfeloldás és jelszóváltoztatás beállításának előfeltételei

Ez a szakasz feltételezi, hogy letöltötte és befejezte a Microsoft Identity Manager 2016 MIM Sync, a MIM Szolgáltatás és a MIM Portal összetevőinek telepítését, beleértve a következő összetevőket és szolgáltatásokat:

• Egy Active Directory-kiszolgálóként beállított Windows Server 2008 R2-alapú kiszolgáló, AD tartományi szolgáltatások és tartományvezérlő szerepkörrel, kijelölt („vállalati”) tartománnyal.

• A fiókzárolásra vonatkozóan definiált csoportházirend.

• A MIM 2016 Synchronization Service (Sync) telepítve van, és az AD-tartományhoz csatlakoztatott kiszolgálón fut.

• A MIM 2016 szolgáltatás & portálja, beleértve az SSPR regisztrációs portált és az SSPR alaphelyzetbe állítási portált, egy kiszolgálón van telepítve és fut (a szinkronizálással együtt is elhelyezhető)

• A MIM Sync be van állítva az identitások szinkronizálására az AD és a MIM között, beleértve a következőket:

  • Az Active Directory-kezelőügynök (ADMA) be van állítva az AD DS-hez való csatlakozásra, és képes identitási adatokat importálni az Active Directoryba és exportálni onnan.

  • A MIM-kezelőügynök (MIM MA) be van állítva a FIM szolgáltatás adatbázisához való kapcsolódásra, és képes identitási adatokat importálni a FIM-adatbázisba és exportálni onnan.

  • A MIM-portál szinkronizálási szabályai úgy vannak beállítva, hogy lehetővé teszik a felhasználói adatok szinkronizálását, és támogatják a MIM szolgáltatás szinkronizálásra épülő tevékenységeit.

• A MIM 2016 bővítmények & bővítmények, beleértve az SSPR Windows Login integrált ügyfelet is, a kiszolgálón vagy egy külön ügyfélszámítógépen települnek.

Ha Microsoft Entra többtényezős hitelesítést használ, ehhez a forgatókönyvhöz MIM CAL-ekkel kell rendelkeznie a felhasználók számára, valamint előfizetéssel kell rendelkeznie Microsoft Entra többtényezős hitelesítéshez.

A MIM előkészítése az MFA használatára

Állítsa be a MIM Sync szolgáltatást a jelszó-átállítási és fiókfeloldási funkció támogatásához. További információért lásd: A FIM beépülő moduljainak és bővítményeinek telepítése, A FIM SSPR telepítése, Az SSPR hitelesítési kapui, illetve Tesztlabor-útmutató az SSPR-hez.

A Telefonos kapu vagy az Egyszeri SMS-jelszó kapu beállítása

1. Indítsa el az Internet Explorert, és lépjen a MIM-portálra, és hitelesítse mim-rendszergazdaként, majd kattintson a munkafolyamatokra a bal oldali navigációs sávon.

   

2. Jelölje be a Password Reset AuthN Workflow (Jelszó-változtatási hitelesítési munkafolyamat) négyzetet.

   

3. Kattintson az Activities (Tevékenységek) lapra, majd görgessen le az Add Activity (Tevékenység felvétele) elemhez.

4. Válassza a Telefonkapu vagy az Egyszeri jelszó SMS-kapu lehetőséget, kattintson a Kiválasztás , majd az OK gombra.

   Megjegyzés

   Ha egy másik szolgáltatót használ, amely magát az egyszeri jelszót hozza létre, győződjön meg arról, hogy a fent konfigurált hosszmező hossza megegyezik az MFA-szolgáltató által létrehozott hosszúságsal. Ennek a hossznak 6-nak kell lennie az Azure Multi-Factor Authentication-kiszolgáló esetében. Az Azure Multi-Factor Authentication-kiszolgáló saját üzenetszöveget is létrehoz, így a rendszer figyelmen kívül hagyja az SMS szöveges üzenetet.

A szervezeti felhasználók ezután már regisztrálhatnak a jelszóváltoztatásra. A folyamat során meg kell adniuk munkahelyi vagy mobiltelefonszámukat, hogy a rendszer tudja, hol keresheti őket (vagy küldhet nekik SMS-t).

Felhasználók regisztrálása jelszóváltoztatásra

1. A felhasználó elindít egy webböngészőt, és megnyitja a MIM jelszó-visszaállítás regisztrációs portálját. (A portál jellemzően Windows-hitelesítésre van konfigurálva.) Identitása megerősítéséhez a portálon ismét meg kell adnia felhasználónevét és jelszavát.

   Be kell lépnie a jelszó-regisztrálási portálra, és hitelesítenie kell magát a felhasználónevével és jelszavával.

2. A Telefonszám vagy a Mobiltelefon mezőben meg kell adnia egy országkódot, egy szóközt és egy telefonszámot, majd kattintson a Tovább gombra.

   

   

Hogyan működik mindez a felhasználóknál?

Most, hogy minden be van állítva és fut, bizonyára tudni szeretné, hogy mit kell tennie a felhasználónak, ha például közvetlenül a szabadsága előtt megváltoztatta a jelszavát, majd visszatérve rájön, hogy teljesen elfelejtette az új jelszót.

A felhasználó kétféleképpen használhatja a jelszó-változtatási és fiókfeloldási funkciót: a Windows bejelentkezési képernyőjéről vagy az önkiszolgáló portálról.

Ha a MIM beépülő moduljait és bővítményeit olyan tartományhoz csatlakoztatott számítógépen telepíti, amely a szervezeti hálózaton keresztül a MIM szolgáltatáshoz csatlakozik, a felhasználó az asztali bejelentkezési környezetből megváltoztathatja az elfelejtett jelszavát. Ezen a folyamaton a következő lépésekkel haladhat végig.

A Windows bejelentkezési felülettel integrált jelszó-átállítási funkció

1. Ha a felhasználó többször is helytelen jelszót ad meg, a bejelentkezési képernyőn lehetősége lesz a Bejelentkezéssel kapcsolatos problémák elemre kattintani.

   

   Ha erre a hivatkozásra kattint, megjelenik a MIM-jelszó átállítása képernyő, amelyen megváltoztathatja a jelszavát vagy feloldhatja a fiók zárolását.

   

2. A rendszer hitelesítésre kéri a felhasználót. Ha a többtényezős hitelesítés be lett állítva, a felhasználó telefonhívást kap.

3. A háttérben az történik, hogy az MFA-szolgáltató ekkor telefonhívást kezdeményez a felhasználó által a szolgáltatásra való regisztrációkor megadott számra.

4. Amikor egy felhasználó válaszol a telefonra, előfordulhat, hogy a rendszer megkéri, hogy kommunikáljon, például nyomja le a font billentyűt # a telefonon. A felhasználónak ezután a Next (Tovább) gombra kell kattintania a portálon.

   Ha más kapuk is be lettek állítva, a rendszer a következő képernyőkön további információk megadására kéri a felhasználót.

   Megjegyzés

   Ha felhasználó türelmetlen, és még a # gomb megnyomása előtt a Next (Tovább) gombra kattint, a hitelesítés meghiúsul.

5. Sikeres hitelesítést követően a felhasználó két lehetőség közül választhat: feloldhatja a fiók zárolását és megtarthatja a jelenlegi jelszavát, vagy új jelszót állíthat be.

6. Ebben az esetben a felhasználónak kétszer meg kell adnia az új jelszót a jelszóváltoztatás érvényesítéséhez.

Elérés az önkiszolgáló portálról

1. A felhasználó böngészőben a jelszó-változtatási portálra lép, megadja a felhasználónevét, majd a Next (Tovább) gombra kattint.

   Ha a többtényezős hitelesítés be lett állítva, a felhasználó telefonhívást kap. A háttérben az történik, hogy Microsoft Entra többtényezős hitelesítést, majd telefonhívást kezdeményez a felhasználó által a szolgáltatásra való regisztrációkor megadott számra.

   Amikor a felhasználó felveszi a telefont, a rendszer arra kéri, hogy nyomja meg a kettőskereszt (#) gombot a készüléken. A felhasználónak ezután a Next (Tovább) gombra kell kattintania a portálon.

2. Ha más kapuk is be lettek állítva, a rendszer a következő képernyőkön további információk megadására kéri a felhasználót.

   Megjegyzés

   Ha felhasználó türelmetlen, és még a # gomb megnyomása előtt a Next (Tovább) gombra kattint, a hitelesítés meghiúsul.

3. A felhasználónak meg kell választania, hogy alaphelyzetbe szeretné-e állítani a jelszavát, vagy fel szeretné oldani a fiók zárolását. Ha úgy döntenek, hogy feloldják a fiók zárolását, a fiók zárolása feloldva lesz.

   

4. A sikeres hitelesítés után a felhasználó két lehetőséget kap, hogy megtartsa az aktuális jelszavát, vagy új jelszót állítson be.

5. 

6. Ha a felhasználó úgy dönt, hogy megváltoztatja a jelszavát, a módosításhoz kétszer be kell írnia az új jelszót, majd a Next (Tovább) gombra kell kattintania.