Cara kerjanya: Mengatur ulang kata sandi layanan mandiri Microsoft Entra
Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memberi pengguna kemampuan untuk mengubah atau mengatur ulang kata sandi mereka, tanpa keterlibatan administrator atau staf dukungan. Jika akun pengguna terkunci atau lupa kata sandinya, mereka dapat mengikuti petunjuk untuk membukanya sendiri dan kembali bekerja. Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. Kami merekomendasikan video ini tentang cara mengaktifkan dan mengonfigurasi SSPR di ID Microsoft Entra.
Penting
Artikel konseptual ini menjelaskan kepada administrator cara kerja reset kata sandi mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.
Jika tim IT Anda belum mengaktifkan kemampuan untuk mereset kata sandi Anda sendiri, hubungi pusat bantuan Anda untuk mendapatkan bantuan tambahan.
Bagaimana cara kerja proses reset kata sandi?
Pengguna dapat mereset atau mengubah kata sandi mereka menggunakan portal SSPR. Mereka harus terlebih dahulu mendaftarkan metode autentikasi yang diinginkan. Saat pengguna mengakses portal SSPR, platform ID Microsoft Entra mempertimbangkan faktor-faktor berikut:
- Bagaimana halaman harus dilokalkan?
- Apakah akun pengguna valid?
- Di organisasi apa pengguna tersebut berada?
- Di mana kata sandi pengguna dikelola?
Saat pengguna memilih tautan Tidak dapat mengakses akun Anda dari aplikasi atau halaman, atau langsung membuka https://aka.ms/sspr, bahasa yang digunakan di portal SSPR didasarkan pada opsi berikut:
- Secara default, lokal browser digunakan untuk menampilkan SSPR dalam bahasa yang sesuai. Pengalaman reset kata sandi dilokalkan ke dalam bahasa yang sama dengan yang didukung Microsoft 365.
- Jika Anda ingin menautkan ke SSPR dalam bahasa tertentu yang dilokalkan, tambahkan
?mkt=ke akhir URL reset kata sandi bersama dengan lokal yang diperlukan.- Misalnya, untuk menentukan lokal es-us Spanyol, gunakan
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Misalnya, untuk menentukan lokal es-us Spanyol, gunakan
Setelah portal SSPR ditampilkan dalam bahasa yang diperlukan, pengguna diminta untuk memasukkan ID pengguna dan lulus captcha. MICROSOFT Entra ID sekarang memverifikasi bahwa pengguna dapat menggunakan SSPR dengan melakukan pemeriksaan berikut:
- Memeriksa apakah pengguna mengaktifkan SSPR.
- Jika pengguna tidak diaktifkan untuk SSPR, pengguna diminta untuk menghubungi administrator guna mereset kata sandi mereka.
- Memeriksa bahwa pengguna memiliki metode autentikasi yang tepat yang ditentukan pada akun mereka sesuai dengan kebijakan administrator.
- Jika kebijakan hanya memerlukan satu metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya salah satu metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
- Jika kebijakan memerlukan dua metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya dua metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
- Jika peran administrator Azure ditetapkan untuk pengguna, kebijakan kata sandi dua gerbang yang kuat diberlakukan. Untuk mengetahui informasi selengkapnya, lihat Perbedaan kebijakan reset administrator.
- Jika kebijakan hanya memerlukan satu metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya salah satu metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Memeriksa untuk melihat apakah kata sandi pengguna dikelola secara lokal, seperti jika penyewa Microsoft Entra menggunakan federasi, autentikasi pass-through, atau sinkronisasi hash kata sandi:
- Jika penulisan balik SSPR dikonfigurasi dan kata sandi pengguna dikelola secara lokal, pengguna diizinkan untuk melanjutkan untuk mengautentikasi dan mereset kata sandi mereka.
- Jika penulisan balik SSPR tidak digunakan dan kata sandi pengguna dikelola secara lokal, pengguna diminta untuk menghubungi administrator mereka untuk mereset kata sandi mereka.
Jika semua pemeriksaan sebelumnya berhasil diselesaikan, pengguna dipandu melalui proses untuk mereset atau mengubah kata sandi mereka.
Catatan
SSPR dapat mengirim pemberitahuan email kepada pengguna sebagai bagian dari proses reset kata sandi. Email ini dikirim menggunakan layanan relai SMTP, yang beroperasi dalam mode aktif-aktif di beberapa wilayah.
Layanan relai SMTP menerima dan memproses isi email, tetapi tidak menyimpannya. Isi email SSPR yang mungkin berpotensi berisi info yang disediakan pelanggan tidak disimpan dalam log layanan relai SMTP. Log hanya berisi metadata protokol.
Untuk mulai menggunakan SSPR, selesaikan tutorial berikut:
Mengharuskan pengguna untuk mendaftar saat mereka masuk
Anda dapat mengaktifkan opsi untuk mengharuskan pengguna menyelesaikan pendaftaran SSPR jika mereka menggunakan autentikasi modern atau browser web untuk masuk ke aplikasi apa pun menggunakan ID Microsoft Entra. Alur kerja ini mencakup aplikasi berikut:
- Microsoft 365
- Pusat admin Microsoft Entra
- Panel Akses
- Aplikasi federasi
- Aplikasi kustom menggunakan ID Microsoft Entra
Saat Anda tidak memerlukan pendaftaran, pengguna tidak diminta saat masuk, tetapi mereka dapat mendaftar secara manual. Pengguna dapat mengunjungi https://aka.ms/ssprsetup atau memilih tautan Daftar untuk pengaturan ulang kata sandi di tab Profil di Panel Akses.
! [Opsi pendaftaran untuk SSPR di pusat admin Microsoft Entra] [Pendaftaran]
Catatan
Pengguna dapat menutup portal pendaftaran SSPR dengan memilih batalkan atau dengan menutup jendela. Namun, mereka diminta untuk mendaftar setiap kali masuk sampai mereka menyelesaikan pendaftaran mereka.
Interupsi untuk mendaftar SSPR ini tidak memutuskan koneksi pengguna jika mereka sudah masuk.
Mengonfirmasi ulang informasi autentikasi
Untuk memastikan bahwa metode autentikasi sudah benar saat diperlukan untuk mereset atau mengubah kata sandi mereka, Anda dapat mengharuskan pengguna mengonfirmasi informasi terdaftar info mereka setelah periode waktu tertentu. Opsi ini hanya tersedia jika Anda mengaktifkan opsi Wajibkan pengguna untuk mendaftar saat masuk.
Nilai yang valid untuk meminta pengguna mengonfirmasi metode terdaftar mereka adalah dari 0 hingga 730 hari. Menetapkan nilai ini ke 0 berarti bahwa pengguna tidak pernah diminta untuk mengonfirmasi informasi autentikasi mereka. Saat menggunakan pengalaman pendaftaran gabungan, pengguna akan diminta untuk mengonfirmasi identitas mereka sebelum mengonfirmasi ulang informasi mereka.
Metode autentikasi
Saat pengguna diaktifkan untuk SSPR, mereka harus mendaftarkan setidaknya satu metode autentikasi. Kami sangat menyarankan Anda memilih dua atau lebih metode autentikasi sehingga pengguna memiliki lebih banyak fleksibilitas jika mereka tidak dapat mengakses satu metode saat membutuhkannya. Untuk mengetahui informasi selengkapnya, lihat Apa itu metode autentikasi?.
Metode autentikasi berikut tersedia untuk SSPR:
- Pemberitahuan aplikasi seluler
- Kode aplikasi seluler
- Ponsel
- Telepon kantor (hanya tersedia untuk penyewa dengan langganan berbayar)
- Pertanyaan keamanan
Pengguna hanya dapat mereset kata sandi jika mereka telah mendaftarkan metode autentikasi yang telah diaktifkan administrator.
Peringatan
Akuan yang diberi peran administrator Azure diperlukan untuk menggunakan metode seperti yang ditentukan dalam bagian Perbedaan kebijakan reset administrator.
! [Pilihan metode autentikasi di pusat admin Microsoft Entra] [Autentikasi]
Jumlah metode autentikasi yang diperlukan
Anda dapat mengonfigurasi jumlah metode autentikasi yang tersedia yang harus disediakan oleh pengguna untuk mereset atau membuka kunci kata sandi mereka. Nilai ini dapat diatur ke satu atau dua.
Pengguna dapat, dan harus, mendaftarkan beberapa metode autentikasi. Sekali lagi, sangat disarankan agar pengguna mendaftarkan dua atau beberapa metode autentikasi sehingga mereka memiliki lebih banyak fleksibilitas jika tidak dapat mengakses satu metode saat membutuhkannya.
Jika pengguna tidak memiliki jumlah minimum metode yang diperlukan yang terdaftar saat mereka mencoba menggunakan SSPR, mereka melihat halaman kesalahan yang mengarahkan mereka untuk meminta administrator mereset kata sandi mereka. Berhati-hatilah jika Anda meningkatkan jumlah metode yang diperlukan dari satu menjadi dua jika Anda memiliki pengguna yang sudah ada yang terdaftar untuk SSPR dan kemudian mereka tidak dapat menggunakan fitur tersebut. Untuk mengetahui informasi selengkapnya, lihat bagian berikut ini untuk Mengubah metode autentikasi.
Aplikasi seluler dan SSPR
Saat menggunakan aplikasi seluler sebagai metode untuk reset kata sandi, seperti aplikasi Microsoft Authenticator, pertimbangan berikut berlaku jika organisasi belum bermigrasi ke kebijakan metode Autentikasi terpusat:
- Saat administrator memerlukan satu metode yang digunakan untuk mereset kata sandi, kode verifikasi adalah satu-satunya opsi yang tersedia.
- Saat administrator memerlukan dua metode yang digunakan untuk mereset kata sandi, pengguna dapat menggunakan kode verifikasi ATAU pemberitahuan selain metode lain yang diaktifkan.
| Jumlah metode yang diperlukan untuk mereset | Satu | Dua |
|---|---|---|
| Fitur aplikasi seluler tersedia | Kode | Kode atau Pemberitahuan |
Pengguna dapat mendaftarkan aplikasi seluler mereka di https://aka.ms/mfasetup, atau dalam gabungan pendaftaran info keamanan di https://aka.ms/setupsecurityinfo.
Penting
Jika aplikasi Authenticator tidak dapat dipilih sebagai satu-satunya metode autentikasi saat hanya satu metode yang diperlukan. Demikian pula, aplikasi Authenticator dan hanya satu metode tambahan yang tidak dapat dipilih saat memerlukan dua metode.
Saat mengonfigurasi kebijakan SSPR yang menyertakan aplikasi Authenticator sebagai metode, setidaknya satu metode tambahan harus dipilih saat satu metode diperlukan, dan setidaknya dua metode tambahan harus dipilih saat mengonfigurasi dua metode diperlukan.
Mengubah metode autentikasi
Jika Anda memulai dengan kebijakan yang hanya memiliki satu metode autentikasi yang diperlukan untuk mereset atau membuka kunci terdaftar dan Anda mengubahnya menjadi dua metode, apa yang terjadi?
| Jumlah metode yang terdaftar | Jumlah metode yang diperlukan | Hasil |
|---|---|---|
| 1 atau lebih | 1 | Dapat mereset atau membuka kunci |
| 1 | 2 | Tidak dapat mereset atau membuka kunci |
| 2 atau lebih | 2 | Dapat mereset atau membuka kunci |
Mengubah metode autentikasi yang tersedia juga dapat menyebabkan masalah bagi pengguna. Jika Anda mengubah jenis metode autentikasi yang dapat digunakan pengguna, Anda mungkin secara tidak sengaja menghentikan pengguna untuk dapat menggunakan SSPR jika mereka tidak memiliki jumlah minimum data yang tersedia.
Pertimbangkan skenario contoh berikut:
- Kebijakan asli dikonfigurasi dengan dua metode autentikasi yang diperlukan. Ini hanya menggunakan nomor telepon kantor dan pertanyaan keamanan.
- Administrator mengubah kebijakan untuk tidak lagi menggunakan pertanyaan keamanan, tetapi memungkinkan penggunaan ponsel dan email alternatif.
- Pengguna tanpa ponsel atau bidang email alternatif yang diisi sekarang tidak dapat mereset kata sandi mereka.
Notifications
Untuk meningkatkan kesadaran akan peristiwa kata sandi, SSPR memungkinkan Anda mengonfigurasi pemberitahuan untuk pengguna dan administrator identitas.
Memberi tahu pengguna tentang pengaturan ulang sandi
Jika opsi ini diatur ke Ya, pengguna yang mereset kata sandi mereka menerima email yang memberi tahu bahwa kata sandi telah diubah. Email dikirim melalui portal SSPR ke alamat email utama dan alternatif yang disimpan di ID Microsoft Entra. Jika tidak ada alamat email utama atau alternatif yang ditentukan SSPR akan mencoba pemberitahuan email melalui pengguna Nama Prinsipal Pengguna (UPN). Tidak ada orang lain yang diberi tahu tentang peristiwa reset.
Memberi tahu semua admin saat admin lain mereset kata sandi mereka
Jika opsi ini diatur ke Ya, maka Administrator Global menerima email ke alamat email utama mereka yang disimpan di ID Microsoft Entra. Email memberi tahu mereka bahwa administrator lain telah mengubah kata sandi mereka dengan menggunakan SSPR.
Catatan
Pemberitahuan email dari layanan SSPR akan dikirim dari alamat berikut berdasarkan cloud Azure yang Anda gunakan:
- Publik: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure Tiongkok 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure untuk Pemerintah AS: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Jika Anda menemukan masalah dalam menerima pemberitahuan, harap periksa pengaturan spam Anda.
Jika Anda ingin administrator kustom menerima email pemberitahuan, gunakan kustomisasi SSPR dan siapkan tautan atau email helpdesk kustom.
Integrasi lokal
Jika Anda memiliki lingkungan hibrid, Anda dapat mengonfigurasi Microsoft Entra Koneksi untuk menulis peristiwa perubahan kata sandi kembali dari ID Microsoft Entra ke direktori lokal.
! [Memvalidasi tulis balik kata sandi diaktifkan untuk MICROSOFT Entra ID ke integrasi Lokal] [Tulis Balik]
MICROSOFT Entra ID memeriksa konektivitas hibrid Anda saat ini dan menyediakan salah satu pesan berikut di pusat admin Microsoft Entra:
- Klien penulisan balik lokal Anda sedang aktif dan berjalan.
- ID Microsoft Entra online dan terhubung ke klien tulis balik lokal Anda. Namun, sepertinya versi Microsoft Entra Koneksi yang diinstal sudah kedaluarsa. Pertimbangkan untuk meningkatkan Microsoft Entra Koneksi untuk memastikan bahwa Anda memiliki fitur konektivitas terbaru dan perbaikan bug penting.
- Sayangnya, kami tidak dapat memeriksa status klien tulis balik lokal Anda karena versi Microsoft Entra Koneksi yang diinstal sudah kedaluarsa. Tingkatkan Microsoft Entra Koneksi agar dapat memeriksa status koneksi Anda.
- Sayangnya, sepertinya kita tidak dapat terhubung ke klien penulisan balik lokal Anda sekarang. Memecahkan masalah Microsoft Entra Koneksi untuk memulihkan koneksi.
- Sayangnya, kami tidak dapat terhubung ke klien penulisan balik lokal Anda karena penulisan balik kata sandi belum dikonfigurasi dengan benar. Konfigurasikan penulisan balik kata sandi untuk memulihkan koneksi.
- Sayangnya, sepertinya kita tidak dapat terhubung ke klien penulisan balik lokal Anda sekarang. Ini mungkin karena masalah sementara di pihak kami. Jika masalah berlanjut, Pecahkan masalah Microsoft Entra Koneksi untuk memulihkan koneksi.
Untuk memulai tulis balik SSPR, selesaikan tutorial berikut:
Menulis balik kata sandi ke direktori lokal Anda
Anda dapat mengaktifkan tulis balik kata sandi menggunakan pusat admin Microsoft Entra. Anda juga dapat menonaktifkan tulis balik kata sandi untuk sementara tanpa harus mengonfigurasi ulang Microsoft Entra Koneksi.
- Jika opsi diatur ke Ya, penulisan balik diaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi dapat mereset kata sandi mereka.
- Jika opsi diatur ke Tidak, penulisan balik dinonaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi tidak dapat mereset kata sandi mereka.
Mengizinkan pengguna untuk membuka akun tanpa mereset kata sandi mereka
Secara default, ID Microsoft Entra membuka kunci akun saat melakukan reset kata sandi. Untuk memberikan fleksibilitas, Anda dapat memilih untuk mengizinkan pengguna membuka kunci akun lokal mereka tanpa harus mengatur ulang kata sandi. Gunakan pengaturan ini untuk memisahkan dua operasi tersebut.
- Jika diatur ke Ya, pengguna diberi opsi untuk mereset kata sandi mereka dan membuka kunci akun, atau untuk membuka kunci akun tanpa harus mereset kata sandi.
- Jika diatur ke Tidak, pengguna hanya dapat melakukan reset kata sandi gabungan dan operasi membuka kunci akun.
Filter kata sandi Direktori Aktif lokal
SSPR melakukan hal yang setara dengan reset kata sandi yang dimulai oleh di dalam Direktori Aktif. Jika Anda menggunakan filter kata sandi pihak ketiga untuk menerapkan aturan kata sandi kustom, dan Anda mengharuskan filter kata sandi ini diperiksa selama pengaturan ulang kata sandi mandiri Microsoft Entra, pastikan bahwa solusi filter kata sandi pihak ketiga dikonfigurasi untuk diterapkan dalam skenario pengaturan ulang kata sandi admin. Perlindungan kata sandi Microsoft Entra untuk Active Directory Domain Services didukung secara default.
Reset kata sandi untuk pengguna B2B
Reset dan perubahan kata sandi didukung penuh pada semua konfigurasi bisnis ke bisnis (B2B). Reset kata sandi pengguna B2B didukung dalam tiga kasus berikut:
- Pengguna dari organisasi mitra dengan penyewa Microsoft Entra yang sudah ada: Jika organisasi yang bermitra dengan Anda memiliki penyewa Microsoft Entra yang sudah ada, kami menghormati kebijakan pengaturan ulang kata sandi apa pun yang diaktifkan pada penyewa tersebut. Agar pengaturan ulang kata sandi berfungsi, organisasi mitra hanya perlu memastikan bahwa Microsoft Entra SSPR diaktifkan. Tidak ada biaya tambahan untuk pelanggan Microsoft 365.
- Pengguna yang mendaftar melalui pendaftaran mandiri: Jika organisasi yang bermitra dengan Anda menggunakan fitur pendaftaran mandiri untuk masuk ke penyewa, kami mengizinkan mereka mereset kata sandi dengan email yang mereka daftarkan.
- Pengguna B2B: Setiap pengguna B2B baru yang dibuat dengan menggunakan kemampuan Microsoft Entra B2B baru juga dapat mengatur ulang kata sandi mereka dengan email yang mereka daftarkan selama proses undangan.
Untuk menguji skenario ini, buka https://passwordreset.microsoftonline.com dengan salah satu pengguna mitra ini. Jika mereka memiliki email alternatif atau email autentikasi yang ditentukan, reset kata sandi berfungsi seperti yang diharapkan.
Catatan
Akun Microsoft yang telah diberikan akses tamu ke penyewa Microsoft Entra Anda, seperti yang berasal dari Hotmail.com, Outlook.com, atau alamat email pribadi lainnya, tidak dapat menggunakan Microsoft Entra SSPR. Mereka perlu mereset kata sandi mereka dengan menggunakan informasi yang ditemukan di artikel Kapan Anda tidak dapat masuk ke akun Microsoft Anda.
Langkah berikutnya
Untuk mulai menggunakan SSPR, selesaikan tutorial berikut: