Cara kerjanya: Reset kata sandi mandiri Azure AD

Reset kata sandi mandiri (SSPR) Azure Active Directory (Azure AD) memberi pengguna kemampuan untuk mengubah atau mereset kata sandi mereka, tanpa keterlibatan administrator atau pusat bantuan. Jika akun pengguna terkunci atau mereka lupa kata sandinya, mereka dapat mengikuti petunjuk untuk membukanya sendiri dan kembali bekerja. Kemampuan ini mengurangi panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. Kami merekomendasikan video ini pada bagaimana mengaktifkan dan mengonfigurasi SSPR di Azure AD.

Penting

Artikel konseptual ini menjelaskan kepada administrator cara kerja reset kata sandi mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk pengaturan ulang kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim IT Anda belum mengaktifkan kemampuan untuk menyetel ulang kata sandi Anda sendiri, menjangkau bantuan teknis Anda untuk mendapatkan bantuan tambahan.

Bagaimana cara kerja proses reset kata sandi?

Pengguna dapat mereset atau mengubah kata sandi mereka menggunakan portal SSPR. Mereka harus terlebih dahulu mendaftarkan metode autentikasi yang diinginkan. Saat pengguna mengakses portal SSPR, platform Azure mempertimbangkan faktor berikut:

  • Bagaimana halaman harus dilokalkan?
  • Apakah akun pengguna valid?
  • Di organisasi apa pengguna tersebut berada?
  • Di mana kata sandi pengguna dikelola?

Saat pengguna memilih tautan Tidak dapat mengakses akun Anda dari aplikasi atau halaman, atau langsung membuka https://aka.ms/sspr, bahasa yang digunakan di portal SSPR didasarkan pada opsi berikut:

  • Secara default, lokal browser digunakan untuk menampilkan SSPR dalam bahasa yang sesuai. Pengalaman reset kata sandi dilokalkan ke dalam bahasa yang sama dengan yang didukung Microsoft 365.
  • Jika Anda ingin menautkan ke SSPR dalam bahasa tertentu yang dilokalkan, tambahkan ?mkt= ke akhir URL reset kata sandi bersama dengan lokal yang diperlukan.

Setelah portal SSPR ditampilkan dalam bahasa yang diperlukan, pengguna diminta untuk memasukkan ID pengguna dan lulus captcha. Azure AD sekarang memverifikasi bahwa pengguna dapat menggunakan SSPR dengan melakukan pemeriksaan berikut:

  • Memeriksa apakah pengguna mengaktifkan SSPR.
    • Jika pengguna tidak diaktifkan untuk SSPR, pengguna diminta untuk menghubungi administrator guna mereset kata sandi mereka.
  • Memeriksa bahwa pengguna memiliki metode autentikasi yang tepat yang ditentukan pada akun mereka sesuai dengan kebijakan administrator.
    • Jika kebijakan hanya memerlukan satu metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya salah satu metode autentikasi yang diaktifkan oleh kebijakan administrator.
      • Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
    • Jika kebijakan memerlukan dua metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya dua metode autentikasi yang diaktifkan oleh kebijakan administrator.
      • Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
    • Jika peran administrator Azure ditetapkan untuk pengguna, kebijakan kata sandi dua gerbang yang kuat diberlakukan. Untuk mengetahui informasi selengkapnya, lihat Perbedaan kebijakan reset administrator.
  • Periksa untuk melihat apakah kata sandi pengguna dikelola secara lokal, seperti jika penyewa Azure AD menggunakan federasi, autentikasi pass-through, atau sinkronisasi hash kata sandi:
    • Jika penulisan balik SSPR dikonfigurasi dan kata sandi pengguna dikelola secara lokal, pengguna diizinkan untuk melanjutkan untuk mengautentikasi dan mereset kata sandi mereka.
    • Jika penulisan balik SSPR tidak digunakan dan kata sandi pengguna dikelola secara lokal, pengguna diminta untuk menghubungi administrator mereka untuk mereset kata sandi mereka.

Jika semua pemeriksaan sebelumnya berhasil diselesaikan, pengguna dipandu melalui proses untuk mereset atau mengubah kata sandi mereka.

Catatan

SSPR dapat mengirim pemberitahuan email kepada pengguna sebagai bagian dari proses reset kata sandi. Email ini dikirim menggunakan layanan relai SMTP, yang beroperasi dalam mode aktif-aktif di beberapa wilayah.

Layanan relai SMTP menerima dan memproses isi email, tetapi tidak menyimpannya. Isi email SSPR yang mungkin berpotensi berisi info yang disediakan pelanggan tidak disimpan dalam log layanan relai SMTP. Log hanya berisi metadata protokol.

Untuk mulai menggunakan SSPR, selesaikan tutorial berikut:

Mengharuskan pengguna untuk mendaftar saat mereka masuk

Anda dapat mengaktifkan opsi untuk mengharuskan pengguna menyelesaikan pendaftaran SSPR jika mereka menggunakan autentikasi modern atau browser web untuk masuk ke aplikasi apa pun menggunakan Azure AD. Alur kerja ini mencakup aplikasi berikut:

  • Microsoft 365
  • portal Microsoft Azure
  • Panel Akses
  • Aplikasi federasi
  • Aplikasi kustom menggunakan Azure AD

Saat Anda tidak memerlukan pendaftaran, pengguna tidak diminta saat masuk, tetapi mereka dapat mendaftar secara manual. Pengguna dapat mengunjungi https://aka.ms/ssprsetup atau memilih tautan Daftar untuk pengaturan ulang kata sandi di tab Profil di Panel Akses.

Opsi pendaftaran SSPR di portal Microsoft Azure

Catatan

Pengguna dapat menutup portal pendaftaran SSPR dengan memilih batalkan atau dengan menutup jendela. Namun, mereka diminta untuk mendaftar setiap kali masuk sampai mereka menyelesaikan pendaftaran mereka.

Interupsi untuk mendaftar SSPR ini tidak memutuskan koneksi pengguna jika mereka sudah masuk.

Mengonfirmasi ulang informasi autentikasi

Untuk memastikan bahwa metode autentikasi sudah benar saat diperlukan untuk mereset atau mengubah kata sandi mereka, Anda dapat mengharuskan pengguna mengonfirmasi informasi terdaftar info mereka setelah periode waktu tertentu. Opsi ini hanya tersedia jika Anda mengaktifkan opsi Wajibkan pengguna untuk mendaftar saat masuk.

Nilai yang valid untuk meminta pengguna mengonfirmasi metode terdaftar mereka adalah dari 0 hingga 730 hari. Menetapkan nilai ini ke 0 berarti bahwa pengguna tidak pernah diminta untuk mengonfirmasi informasi autentikasi mereka. Saat menggunakan pengalaman pendaftaran gabungan, pengguna akan diminta untuk mengonfirmasi identitas mereka sebelum mengonfirmasi ulang informasi mereka.

Metode autentikasi

Saat pengguna diaktifkan untuk SSPR, mereka harus mendaftarkan setidaknya satu metode autentikasi. Kami sangat menyarankan Anda memilih dua atau lebih metode autentikasi sehingga pengguna memiliki lebih banyak fleksibilitas jika mereka tidak dapat mengakses satu metode saat membutuhkannya. Untuk mengetahui informasi selengkapnya, lihat Apa itu metode autentikasi?.

Metode autentikasi berikut tersedia untuk SSPR:

  • Pemberitahuan aplikasi seluler
  • Kode aplikasi seluler
  • Email
  • Ponsel
  • Telepon kantor (hanya tersedia untuk penyewa dengan langganan berbayar)
  • Pertanyaan keamanan

Pengguna hanya dapat mereset kata sandi jika mereka telah mendaftarkan metode autentikasi yang telah diaktifkan administrator.

Peringatan

Akuan yang diberi peran administrator Azure diperlukan untuk menggunakan metode seperti yang ditentukan dalam bagian Perbedaan kebijakan reset administrator.

Pemilihan metode autentikasi di portal Microsoft Azure

Jumlah metode autentikasi yang diperlukan

Anda dapat mengonfigurasi jumlah metode autentikasi yang tersedia yang harus disediakan oleh pengguna untuk mereset atau membuka kunci kata sandi mereka. Nilai ini dapat diatur ke satu atau dua.

Pengguna dapat, dan harus, mendaftarkan beberapa metode autentikasi. Sekali lagi, sangat disarankan agar pengguna mendaftarkan dua atau beberapa metode autentikasi sehingga mereka memiliki lebih banyak fleksibilitas jika tidak dapat mengakses satu metode saat membutuhkannya.

Jika pengguna tidak memiliki jumlah minimum metode yang diperlukan yang terdaftar saat mereka mencoba menggunakan SSPR, mereka melihat halaman kesalahan yang mengarahkan mereka untuk meminta administrator mereset kata sandi mereka. Berhati-hatilah jika Anda meningkatkan jumlah metode yang diperlukan dari satu menjadi dua jika Anda memiliki pengguna yang sudah ada yang terdaftar untuk SSPR dan kemudian mereka tidak dapat menggunakan fitur tersebut. Untuk mengetahui informasi selengkapnya, lihat bagian berikut ini untuk Mengubah metode autentikasi.

Aplikasi seluler dan SSPR

Saat menggunakan aplikasi seluler sebagai metode untuk reset kata sandi, seperti aplikasi Microsoft Authenticator, pertimbangan berikut ini berlaku:

  • Saat administrator memerlukan satu metode yang digunakan untuk mereset kata sandi, kode verifikasi adalah satu-satunya opsi yang tersedia.
  • Saat administrator memerlukan dua metode yang digunakan untuk mereset kata sandi, pengguna dapat menggunakan kode verifikasi ATAU pemberitahuan selain metode lain yang diaktifkan.
Jumlah metode yang diperlukan untuk mereset Satu Dua
Fitur aplikasi seluler tersedia Kode Kode atau Pemberitahuan

Pengguna tidak memiliki opsi untuk mendaftarkan aplikasi seluler mereka saat mendaftar untuk reset kata sandi mandiri dari https://aka.ms/ssprsetup. Pengguna dapat mendaftarkan aplikasi seluler mereka di https://aka.ms/mfasetup, atau dalam gabungan pendaftaran info keamanan di https://aka.ms/setupsecurityinfo.

Penting

Aplikasi Authenticator tidak dapat dipilih sebagai satu-satunya metode autentikasi saat hanya satu metode yang diperlukan. Demikian pula, aplikasi Authenticator dan hanya satu metode tambahan yang tidak dapat dipilih saat memerlukan dua metode.

Saat mengonfigurasi kebijakan SSPR yang menyertakan aplikasi Authenticator sebagai metode, setidaknya satu metode tambahan harus dipilih saat satu metode diperlukan, dan setidaknya dua metode tambahan harus dipilih saat mengonfigurasi dua metode diperlukan.

Persyaratan ini karena pengalaman pendaftaran SSPR saat ini tidak termasuk opsi untuk mendaftarkan aplikasi pengautentikasi. Opsi untuk mendaftarkan aplikasi pengautentikasi disertakan dengan pengalaman pendaftaran gabungan baru.

Mengizinkan kebijakan yang hanya menggunakan aplikasi Authenticator (jika satu metode diperlukan), atau aplikasi Authenticator dan hanya satu metode tambahan (jika dua metode diperlukan), dapat menyebabkan pengguna diblokir dari mendaftar SSPR hingga mereka dikonfigurasi untuk digunakan pengalaman pendaftaran gabungan yang baru.

Mengubah metode autentikasi

Jika Anda memulai dengan kebijakan yang hanya memiliki satu metode autentikasi yang diperlukan untuk mereset atau membuka kunci terdaftar dan Anda mengubahnya menjadi dua metode, apa yang terjadi?

Jumlah metode yang terdaftar Jumlah metode yang diperlukan Hasil
1 atau lebih 1 Dapat mereset atau membuka kunci
1 2 Tidak dapat mereset atau membuka kunci
2 atau lebih 2 Dapat mereset atau membuka kunci

Mengubah metode autentikasi yang tersedia juga dapat menyebabkan masalah bagi pengguna. Jika Anda mengubah jenis metode autentikasi yang dapat digunakan pengguna, Anda mungkin secara tidak sengaja menghentikan pengguna untuk dapat menggunakan SSPR jika mereka tidak memiliki jumlah minimum data yang tersedia.

Pertimbangkan skenario contoh berikut:

  1. Kebijakan asli dikonfigurasi dengan dua metode autentikasi yang diperlukan. Ini hanya menggunakan nomor telepon kantor dan pertanyaan keamanan.
  2. Administrator mengubah kebijakan untuk tidak lagi menggunakan pertanyaan keamanan, tetapi memungkinkan penggunaan ponsel dan email alternatif.
  3. Pengguna tanpa ponsel atau bidang email alternatif yang diisi sekarang tidak dapat mereset kata sandi mereka.

Pemberitahuan

Untuk meningkatkan kesadaran akan peristiwa kata sandi, SSPR memungkinkan Anda mengonfigurasi pemberitahuan untuk pengguna dan administrator identitas.

Memberi tahu pengguna tentang reset kata sandi

Jika opsi ini diatur ke Ya, pengguna yang mereset kata sandi mereka menerima email yang memberi tahu bahwa kata sandi telah diubah. Email dikirim melalui portal SSPR ke alamat email utama dan alternatif yang disimpan di Azure AD. Tidak ada orang lain yang diberi tahu tentang peristiwa reset.

Memberi tahu semua admin saat admin lain mereset kata sandi mereka

Jika opsi ini diatur ke Ya, semua administrator Azure lainnya menerima email ke alamat email utama mereka yang disimpan di Azure AD. Email memberi tahu mereka bahwa administrator lain telah mengubah kata sandi mereka dengan menggunakan SSPR.

Pertimbangkan skenario contoh berikut:

  • Ada empat administrator di lingkungan.
  • Administrator A mereset kata sandi mereka dengan menggunakan SSPR.
  • Administrator B, C, dan D menerima email yang memberi tahu mereka tentang reset kata sandi.

Catatan

Pemberitahuan email dari layanan SSPR akan dikirim dari alamat berikut berdasarkan cloud Azure yang Anda gunakan:

  • Publik: msonlineservicesteam@microsoft.com
  • Tiongkok: msonlineservicesteam@oe.21vianet.com
  • Pemerintahan: msonlineservicesteam@azureadnotifications.us

Jika Anda menemukan masalah dalam menerima pemberitahuan, harap periksa pengaturan spam Anda.

Integrasi lokal

Jika Anda memiliki lingkungan hibrid, Anda dapat mengonfigurasi Azure AD Connect untuk menulis balik peristiwa perubahan kata sandi dari Azure AD ke direktori lokal.

Validasi penulisan balik sandi diaktifkan dan berfungsi

Azure AD memeriksa konektivitas hibrid Anda saat ini dan menyediakan salah satu pesan berikut ini di portal Microsoft Azure:

  • Klien penulisan balik lokal Anda sedang aktif dan berjalan.
  • Azure AD sedang online dan terhubung ke klien penulisan balik lokal Anda. Namun, sepertinya versi Azure AD Connect yang diinstal sudah kedaluwarsa. Pertimbangkan untuk Meningkatkan versi Azure AD Connect untuk memastikan bahwa Anda memiliki fitur konektivitas terbaru dan perbaikan bug penting.
  • Sayangnya, kami tidak dapat memeriksa status klien penulisan balik lokal Anda karena versi Azure AD Connect yang diinstal sudah kedaluwarsa. Tingkatkan versi Azure AD Connect agar bisa memeriksa status koneksi Anda.
  • Sayangnya, sepertinya kita tidak dapat terhubung ke klien penulisan balik lokal Anda sekarang. Pecahkan masalah Azure AD Connect untuk memulihkan koneksi.
  • Sayangnya, kami tidak dapat terhubung ke klien penulisan balik lokal Anda karena penulisan balik kata sandi belum dikonfigurasi dengan benar. Konfigurasikan penulisan balik kata sandi untuk memulihkan koneksi.
  • Sayangnya, sepertinya kita tidak dapat terhubung ke klien penulisan balik lokal Anda sekarang. Ini mungkin karena masalah sementara di pihak kami. Jika masalah berlanjut, Pecahkan Masalah Azure AD Connect untuk memulihkan koneksi.

Untuk memulai penulisan balik SSPR, selesaikan tutorial berikut:

Menulis balik kata sandi ke direktori lokal Anda

Anda dapat mengaktifkan penulisan balik kata sandi menggunakan portal Microsoft Azure. Anda juga dapat menonaktifkan penulisan balik kata sandi untuk sementara tanpa harus mengonfigurasi ulang Azure AD Connect.

  • Jika opsi diatur ke Ya, penulisan balik diaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi dapat mereset kata sandi mereka.
  • Jika opsi diatur ke Tidak, penulisan balik dinonaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi tidak dapat mereset kata sandi mereka.

Mengizinkan pengguna untuk membuka akun tanpa mereset kata sandi mereka

Secara default, Azure AD membuka akun saat melakukan reset kata sandi. Untuk memberikan fleksibilitas, Anda dapat memilih untuk mengizinkan pengguna membuka kunci akun lokal mereka tanpa harus mengatur ulang kata sandi. Gunakan pengaturan ini untuk memisahkan dua operasi tersebut.

  • Jika diatur ke Ya, pengguna diberi opsi untuk mereset kata sandi mereka dan membuka kunci akun, atau untuk membuka kunci akun tanpa harus mereset kata sandi.
  • Jika diatur ke Tidak, pengguna hanya dapat melakukan reset kata sandi gabungan dan operasi membuka kunci akun.

Filter kata sandi Direktori Aktif lokal

SSPR melakukan hal yang setara dengan reset kata sandi yang dimulai oleh di dalam Direktori Aktif. Jika Anda menggunakan filter kata sandi pihak ketiga untuk memberlakukan aturan kata sandi kustom, dan Anda mengharuskan filter kata sandi ini dicentang selama reset kata sandi mandiri Azure AD, pastikan bahwa solusi filter kata sandi pihak ketiga dikonfigurasi untuk diterapkan dalam skenario reset kata sandi admin. Proteksi kata sandi Azure AD untuk Layanan Domain Direktori Aktif didukung secara default.

Reset kata sandi untuk pengguna B2B

Reset dan perubahan kata sandi didukung penuh pada semua konfigurasi bisnis ke bisnis (B2B). Reset kata sandi pengguna B2B didukung dalam tiga kasus berikut:

  • Pengguna dari organisasi mitra dengan penyewa Azure AD yang sudah ada: Jika organisasi yang bermitra dengan Anda memiliki penyewa Azure AD yang ada, kami menghormati kebijakan reset kata sandi apa pun yang diaktifkan pada penyewa tersebut. Agar reset kata sandi berfungsi, organisasi mitra hanya perlu memastikan bahwa Azure AD SSPR diaktifkan. Tidak ada biaya tambahan untuk pelanggan Microsoft 365.
  • Pengguna yang mendaftar melalui pendaftaran mandiri: Jika organisasi yang bermitra dengan Anda menggunakan fitur pendaftaran mandiri untuk masuk ke penyewa, kami mengizinkan mereka mereset kata sandi dengan email yang mereka daftarkan.
  • Pengguna B2B: Setiap pengguna B2B baru yang dibuat dengan menggunakan kemampuan Azure AD B2B baru juga dapat mereset kata sandi mereka dengan email yang mereka daftarkan selama proses undangan.

Untuk menguji skenario ini, buka https://passwordreset.microsoftonline.com dengan salah satu pengguna mitra ini. Jika mereka memiliki email alternatif atau email autentikasi yang ditentukan, reset kata sandi berfungsi seperti yang diharapkan.

Catatan

Akun Microsoft yang telah diberi akses tamu ke penyewa Azure AD Anda, seperti akun dari Hotmail.com, Outlook.com, atau alamat email pribadi lainnya, tidak dapat menggunakan Azure AD SSPR. Mereka perlu mereset kata sandi mereka dengan menggunakan informasi yang ditemukan di artikel Kapan Anda tidak dapat masuk ke akun Microsoft Anda.

Langkah berikutnya

Untuk mulai menggunakan SSPR, selesaikan tutorial berikut:

Artikel berikut ini menyediakan informasi tambahan mengenai reset kata sandi melalui Azure AD: