Önkiszolgáló jelszó-visszaállítás kezelése a Microsoft Entra-azonosítóban
Ha csak a helyszíni AD DS-t használja, a felhasználók önmagukban nem állíthatják alaphelyzetbe az elfelejtett jelszavakat. A Windows Server AD DS nem támogatja natív módon az önkiszolgáló jelszó-visszaállítást.
A Microsoft Entra ID opcionálisan biztosítja az önkiszolgáló jelszó-visszaállítási funkciót. Ha P1 vagy P2 Microsoft Entra-azonosítót használ, ezt a funkciót kiterjesztheti a helyi AD DS-re, amikor az önkiszolgáló jelszó-visszaállítást és a jelszóvisszaíró funkciót használja. Ha ezt teszi, a microsoft entra-azonosítóban visszaállított jelszavak vissza lesznek írva a helyszíni AD DS-be. Ez azt jelenti, hogy a felhasználó módosíthatja a jelszavát felhőbeli vagy helyszíni környezetben is.
Mielőtt a felhasználók elkezdenék használni az önkiszolgáló jelszó-visszaállítást, engedélyeznie kell ezt a funkciót az Azure Portalon a címtár-bérlő felügyeleti paneljének Jelszó-visszaállítás elemének kiválasztásával. Először döntse el, hogy ez a funkció minden felhasználó számára engedélyezve lesz-e, vagy csak egy kiválasztott felhasználócsoport számára. A próbaidőszak során javasoljuk, hogy a jelszó-visszaállítást a felhasználók egy kisebb csoportjára korlátozza.
Az önkiszolgáló jelszó-visszaállítási funkcióhoz alternatív hitelesítési módszereket kell definiálnia azoknak a felhasználóknak, amelyek elfelejtették a jelszavukat. A Microsoft Entra ID-n támogatott alternatív hitelesítési módszerek a következők lehetnek:
- Munkahelyi telefon
- Mobiltelefon
- Alternatív e-mail-cím
- Biztonsági kérdések
Meg kell adnia, hogy hány metódust kell meghatároznia a felhasználónak ahhoz, hogy alaphelyzetbe tudja állítani a jelszavát. Telefonos és alternatív e-mail-beállítások esetén a felhasználónak biztonsági PIN-kódot kell megadnia telefonon keresztül, vagy egy e-mailben, amelyet hitelesítési módszerként használhat a jelszó alaphelyzetbe állítása előtt. Ha biztonsági kérdéseket szeretne használni, meg kell határoznia az egyes felhasználókhoz szükséges kérdések számát, és előre meg kell határoznia a kérdéskészletet is.
Javasoljuk, hogy legalább 10–15 elérhető kérdést kínáljon fel, és minden felhasználónak legalább négy kérdést kell regisztrálnia a jelszó-visszaállítási funkcióhoz. Ha nem tetszik az előre definiált kérdések készlete, a saját kérdéseit is meghatározhatja a helyi nyelven.
A hitelesítési módszerek követelményeinek pontosításakor konfigurálnia kell az önkiszolgáló jelszó-visszaállítási funkció üzembe helyezésének és használatának beállításait. Javasoljuk, hogy a következő bejelentkezéskor minden felhasználónak regisztrálja az alternatív hitelesítési módszereit, és legalább évente kétszer erősítse meg hitelesítési módszereit. Ez biztosítja, hogy az egyes felhasználók valamilyen alternatív módszerrel igazolhassák identitásukat. Ha címtár-szinkronizálást is implementált, érdemes engedélyeznie a jelszóvisszaíró funkciót annak biztosítása érdekében, hogy a felhasználók önkiszolgáló jelszó-visszaállítással visszaállított jelszavak az Azure-ban szinkronizálva legyenek az AD DS-sel.
A felhasználók a Microsoft Entra alkalmazásportálon regisztrálhatnak az önkiszolgáló jelszó-visszaállítási funkcióra, amely a következő címen https://myapps.microsoft.comérhető el: . Ezen a portálon módosíthatják a jelszót, és alternatív hitelesítési módszereket állíthatnak be, például hitelesítési telefonszámot vagy alternatív e-mail-címet. Ha a felhasználók elfelejtik a jelszavukat egy felhőalapú erőforrás ( például a Microsoft 365) elérésekor, akkor válassza azt a hivatkozást , amely nem tudja elérni a fiókját , hogy egy másik módszert használjon a jelszó alaphelyzetbe állításához.