Mengaktifkan pengaturan ulang kata sandi mandiri Microsoft Entra di layar masuk Windows

Pengaturan ulang kata sandi mandiri (SSPR) memberi pengguna di MICROSOFT Entra ID kemampuan untuk mengubah atau mengatur ulang kata sandi mereka, tanpa keterlibatan administrator atau staf dukungan. Biasanya, pengguna membuka browser web di perangkat lain untuk mengakses portal SSPR. Untuk meningkatkan pengalaman di komputer yang menjalankan Windows 7, 8, 8.1, 10, dan 11, Anda dapat memungkinkan pengguna untuk mengatur ulang kata sandi mereka di layar masuk Windows.

Example Windows login screens with SSPR link shown

Penting

Tutorial ini menunjukkan cara mengaktifkan SSPR untuk perangkat Windows di perusahaan bagi administrator.

Jika tim IT belum mengaktifkan kemampuan untuk menggunakan SSPR dari perangkat Windows Anda atau Anda mengalami masalah saat masuk, hubungi layanan pelanggan untuk mendapatkan bantuan tambahan.

Batasan umum

Batasan berikut berlaku pada penggunaan SSPR dari layar masuk Windows:

  • Reset kata sandi saat ini tidak didukung dari Desktop Jauh atau dari sesi yang ditingkatkan Hyper-V.
  • Beberapa penyedia kredensial pihak ketiga diketahui menyebabkan masalah dengan fitur ini.
  • Menonaktifkan UAC melalui modifikasi Kunci registri EnableLUA diketahui menyebabkan masalah.
  • Fitur ini tidak berfungsi untuk jaringan yang menerapkan autentikasi jaringan 802.1x dan opsi "Lakukan segera sebelum pengguna masuk". Untuk jaringan yang menerapkan autentikasi jaringan 802.1x, sebaiknya gunakan autentikasi komputer untuk mengaktifkan fitur ini.
  • Mesin gabungan hibrid Microsoft Entra harus memiliki garis pandang konektivitas jaringan ke pengendali domain untuk menggunakan kata sandi baru dan memperbarui kredensial yang di-cache. Ini berarti bahwa perangkat harus berada di jaringan internal organisasi atau pada VPN dengan akses jaringan ke pengendali domain lokal.
  • Jika menggunakan gambar, sebelum menjalankan sysprep, pastikan bahwa cache web dibersihkan untuk Administrator bawaan sebelum melakukan langkah CopyProfile. Informasi selengkapnya tentang langkah ini dapat ditemukan di artikel dukungan Performa buruk saat menggunakan profil pengguna default kustom.
  • Pengaturan berikut diketahui mengganggu kemampuan untuk menggunakan dan mengatur ulang kata sandi pada perangkat Windows 10:
    • Jika pemberitahuan layar kunci dinonaktifkan, Reset kata sandi tidak akan berfungsi.
    • HideFastUserSwitching diatur ke diaktifkan atau 1
    • DontDisplayLastUserName diatur ke diaktifkan atau 1
    • NoLockScreen diatur ke diaktifkan atau 1
    • BlockNonAdminUserInstall disetel untuk diaktifkan atau 1
    • EnableLostMode diatur pada perangkat
    • Explorer.exe diganti dengan shell kustom
    • Masuk interaktif: Memerlukan kartu pintar yang diatur ke diaktifkan atau 1
  • Kombinasi dari tiga pengaturan spesifik berikut ini dapat menyebabkan fitur ini tidak berfungsi.
    • Masuk interaktif: Tidak memerlukan CTRL+ALT+DEL = Dinonaktifkan (hanya untuk Windows 10 versi 1710 dan yang lebih lama)
    • DisableLockScreenAppNotifications = 1 atau Diaktifkan
    • Windows SKU adalah edisi Home

Catatan

Batasan ini juga berlaku untuk reset PIN Windows Hello untuk Bisnis dari layar kunci perangkat.

Reset kata sandi Windows 11 dan Windows 10

Untuk mengonfigurasi perangkat Windows 11 atau Windows 10 untuk SSPR di layar masuk, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 11 dan Windows 10

  • Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan aktifkan pengaturan ulang kata sandi mandiri Microsoft Entra.
  • Pengguna harus mendaftar SSPR sebelum menggunakan fitur ini di https://aka.ms/ssprsetup
    • Tidak khusus untuk penggunaan SSPR dari layar masuk Windows, semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mereset kata sandi.
  • Persyaratan proksi jaringan:
    • Port 443 ke passwordreset.microsoftonline.com dan ajax.aspnetcdn.com
    • Perangkat Windows 10 memerlukan konfigurasi proksi tingkat mesin atau konfigurasi proksi tercakup untuk akun defaultuser1 sementara yang digunakan untuk melakukan SSPR (lihat bagian Pemecahan masalah untuk detail selengkapnya).
  • Jalankan setidaknya Windows 10, versi Pembaruan April 2018 (v1803), dan perangkat harus:
    • Gabungan Microsoft Entra
    • Gabungan hibrida Microsoft Entra

Aktifkan untuk Windows 11 dan Windows 10 menggunakan Microsoft Intune

Menyebarkan perubahan konfigurasi untuk mengaktifkan SSPR dari layar masuk menggunakan Microsoft Intune adalah metode yang paling fleksibel. Microsoft Intune memungkinkan Anda menyebarkan perubahan konfigurasi ke grup komputer tertentu yang Anda tentukan. Metode ini memerlukan pendaftaran Microsoft Intune perangkat.

Membuat kebijakan konfigurasi perangkat di Microsoft Intune

  1. Masuk ke pusat admin Microsoft Intune.

  2. Buat profil konfigurasi perangkat baru dengan masuk ke Konfigurasi perangkat>Profil, lalu pilih + Buat Profil

    • Untuk Platform, pilih Windows 10 dan yang lebih baru
    • Untuk Jenis profil, pilih Templat lalu pilih templat Kustom di bawah ini
  3. Pilih Buat, lalu berikan nama yang bermakna untuk profil, seperti SSPR layar masuk Windows 11

    Secara opsional, berikan deskripsi profil yang bermakna, lalu pilih Berikutnya.

  4. Pada Pengaturan konfigurasi, pilih Tambahkan dan cantumkan pengaturan OMA-URI berikut ini untuk mengaktifkan tautan reset kata sandi:

    • Berikan nama yang bermakna untuk menjelaskan fungsi pengaturan, seperti Tambahkan tautan SSPR.
    • Secara opsional berikan deskripsi pengaturan yang bermakna.
    • OMA-URI diatur ke ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Jenis data diatur ke Bilangan Bulat
    • Nilai diatur ke 1

    Pilih Tambahkan, lalu Berikutnya.

  5. Kebijakan tersebut dapat ditetapkan ke pengguna, perangkat, atau grup tertentu. Tetapkan profil sesuai keinginan untuk lingkungan Anda, idealnya ke grup perangkat uji terlebih dahulu, lalu pilih Berikutnya.

    Untuk informasi selengkapnya, lihat Tetapkan profil pengguna dan perangkat di Microsoft Intune.

  6. Konfigurasikan aturan penerapan seperti yang diinginkan untuk lingkungan Anda, seperti Tetapkan profil jika edisi OS adalah Windows 10 Enterprise, lalu pilih Berikutnya.

  7. Tinjau profil Anda, lalu pilih Buat.

Aktifkan untuk Windows 11 dan Windows 10 menggunakan Registri

Untuk mengaktifkan SSPR di layar masuk menggunakan kunci registri, selesaikan langkah-langkah berikut:

  1. Masuk ke PC Windows menggunakan kredensial administratif.

  2. Tekan Windows + R untuk membuka dialog Run, lalu jalankan regedit sebagai administrator

  3. Tetapkan kunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Pemecahan masalah reset kata sandi Windows 11 dan Windows 10

Jika Anda mengalami masalah saat menggunakan SSPR dari layar masuk Windows, log audit Microsoft Entra menyertakan informasi tentang alamat IP dan ClientType tempat reset kata sandi terjadi, seperti yang ditunjukkan dalam contoh output berikut:

Example Windows 7 password reset in the Microsoft Entra audit log

Saat pengguna mengatur ulang kata sandi mereka dari layar masuk perangkat Windows 11 atau 10, akun sementara dengan hak istimewa rendah yang disebut defaultuser1 dibuat. Akun ini digunakan untuk menjaga agar proses reset kata sandi tetap aman.

Akun itu sendiri memiliki kata sandi yang dibuat secara acak, yang divalidasi berdasarkan kebijakan kata sandi organisasi, tidak muncul untuk masuk ke perangkat, dan secara otomatis dihapus setelah pengguna mengatur ulang kata sandinya. Beberapa profil defaultuser mungkin ada, tetapi dapat diabaikan dengan aman.

Konfigurasi proksi untuk pengaturan ulang kata sandi Windows

Selama pengaturan ulang kata sandi, SSPR membuat akun pengguna lokal sementara untuk tersambung ke https://passwordreset.microsoftonline.com/n/passwordreset. Ketika proksi dikonfigurasi untuk autentikasi pengguna, autentikasi dapat gagal dengan kesalahan "Terjadi kesalahan. Harap coba lagi nanti." Ini karena akun pengguna lokal tidak berwenang untuk menggunakan proksi yang diautentikasi.

Dalam kasus ini, Anda dapat menggunakan salah satu solusi berikut:

  • Konfigurasikan pengaturan proksi di seluruh mesin yang tidak bergantung pada jenis pengguna yang masuk ke mesin. Misalnya, Anda dapat mengaktifkan Kebijakan Grup Buat pengaturan proksi per-mesin (alih-alih per-pengguna) untuk stasiun kerja.

  • Anda juga dapat menggunakan konfigurasi proksi Per-Pengguna untuk SSPR jika Anda memodifikasi templat registri untuk Akun Default. Perintahnya adalah sebagai berikut:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • Kesalahan "Terjadi kesalahan" juga dapat terjadi ketika ada yang mengganggu konektivitas ke URL https://passwordreset.microsoftonline.com/n/passwordreset. Misalnya, kesalahan ini dapat terjadi ketika perangkat lunak antivirus berjalan pada stasiun kerja tanpa pengecualian untuk URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, dan ocsp.digicert.com. Nonaktifkan perangkat lunak ini untuk sementara waktu guna menguji apakah masalah teratasi atau tidak.

Reset kata sandi Windows 7, 8, dan 8.1

Untuk mengonfigurasi perangkat Windows 7, 8, dan 8.1 untuk SSPR di layar masuk, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 7, 8, dan 8.1

  • Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan aktifkan pengaturan ulang kata sandi mandiri Microsoft Entra.
  • Pengguna harus mendaftar SSPR sebelum menggunakan fitur ini di https://aka.ms/ssprsetup
    • Tidak khusus untuk penggunaan SSPR dari layar masuk Windows, semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mereset kata sandi.
  • Persyaratan proksi jaringan:
    • Port 443 ke passwordreset.microsoftonline.com
  • Sistem Operasi Windows 7 dengan Patch atau Windows 8.1.
  • TLS 1.2 diaktifkan menggunakan panduan yang ditemukan dalam Pengaturan registri Transport Layer Security (TLS).
  • Jika lebih dari satu penyedia kredensial pihak ketiga diaktifkan di komputer Anda, pengguna akan melihat lebih dari satu profil pengguna di layar masuk.

Peringatan

TLS 1.2 harus diaktifkan, tidak hanya diatur ke negosiasi otomatis.

Instal

Untuk Windows 7, 8, dan 8.1, sebuah komponen kecil harus diinstal pada komputer untuk mengaktifkan SSPR di layar masuk. Untuk menginstal komponen SSPR ini, selesaikan langkah-langkah berikut:

  1. Unduh alat penginstal yang sesuai untuk versi Windows yang ingin Anda aktifkan.

    Alat penginstal perangkat lunak tersedia di pusat unduhan Microsoft di https://aka.ms/sspraddin

  2. Masuk ke komputer tempat Anda ingin menginstalnya, dan jalankan alat penginstal.

  3. Setelah penginstalan, reboot sangat disarankan.

  4. Setelah reboot, di layar masuk pilih pengguna dan pilih "Lupa kata sandi?" untuk memulai alur kerja reset kata sandi.

  5. Selesaikan alur dengan mengikuti langkah-langkah pada layar untuk mereset kata sandi Anda.

Example Windows 7 clicked

Instalasi senyap

Komponen SSPR dapat diinstal atau dihapus instalannya tanpa perintah menggunakan perintah berikut:

  • Untuk instalasi senyap, gunakan perintah "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • Untuk penghapusan instalasi senyap, gunakan perintah "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Pemecahan masalah reset kata sandi Windows 7, 8, dan 8.1

Jika Anda memiliki masalah saat menggunakan SSPR dari layar masuk Windows, peristiwa dicatat baik di komputer maupun di ID Microsoft Entra. Peristiwa Microsoft Entra menyertakan informasi tentang alamat IP dan ClientType tempat reset kata sandi terjadi, seperti yang ditunjukkan dalam contoh output berikut:

Example Windows 7 password reset in the Microsoft Entra audit log

Jika pembuatan log tambahan diperlukan, kunci registri pada komputer dapat diubah untuk mengaktifkan pembuatan log verbose. Aktifkan pembuatan log verbose untuk tujuan pemecahan masalah saja menggunakan nilai kunci registri berikut:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Untuk mengaktifkan pembuatan log verbose, buat REG_DWORD: "EnableLogging" , dan atur ke 1.
  • Untuk menonaktifkan pembuatan log verbose, ubah REG_DWORD: "EnableLogging" ke 0.
  • Tinjau pengelogan debug di log peristiwa Aplikasi di bawah sumber AADPasswordResetCredentialProvider.

Apa yang dilihat pengguna

Dengan SSPR dikonfigurasi untuk perangkat Windows Anda, apa yang berubah untuk pengguna? Bagaimana mereka tahu bahwa mereka dapat mereset kata sandi di layar login? Contoh tangkapan layar berikut menunjukkan opsi tambahan bagi pengguna untuk mereset kata sandi menggunakan SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

Ketika pengguna mencoba masuk, mereka melihat tautan Reset kata sandi atau Lupa kata sandi yang membuka pengalaman pengaturan ulang kata sandi mandiri di layar masuk. Fungsi ini memungkinkan pengguna mereset kata sandi tanpa harus menggunakan perangkat lain untuk mengakses browser web.

Informasi selengkapnya untuk pengguna tentang cara menggunakan fitur ini dapat ditemukan di Reset kata sandi kantor atau sekolah Anda

Langkah berikutnya

Untuk menyederhanakan pengalaman pendaftaran pengguna, Anda dapat mengisi informasi kontak autentikasi pengguna untuk SSPR.