Cara kerjanya: Mengatur ulang kata sandi layanan mandiri Microsoft Entra
Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memberi pengguna kemampuan untuk mengubah atau mengatur ulang kata sandi mereka, tanpa keterlibatan administrator atau staf dukungan. Jika akun pengguna terkunci atau lupa kata sandinya, mereka dapat mengikuti petunjuk untuk membukanya sendiri dan kembali bekerja. Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. Kami merekomendasikan video ini tentang cara mengaktifkan dan mengonfigurasi SSPR di ID Microsoft Entra.
Penting
Artikel konseptual ini menjelaskan kepada administrator cara kerja reset kata sandi mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.
Jika tim IT Anda belum mengaktifkan kemampuan untuk mereset kata sandi Anda sendiri, hubungi pusat bantuan Anda untuk mendapatkan bantuan tambahan.
Bagaimana cara kerja proses reset kata sandi?
Pengguna dapat mereset atau mengubah kata sandi mereka menggunakan portal SSPR. Mereka harus terlebih dahulu mendaftarkan metode autentikasi yang diinginkan. Saat pengguna mengakses portal SSPR, platform Microsoft Entra mempertimbangkan faktor-faktor berikut:
- Bagaimana halaman harus dilokalkan?
- Apakah akun pengguna valid?
- Di organisasi apa pengguna tersebut berada?
- Di mana kata sandi pengguna dikelola?
Saat pengguna memilih tautan Tidak dapat mengakses akun Anda dari aplikasi atau halaman, atau langsung membuka https://aka.ms/sspr, bahasa yang digunakan di portal SSPR didasarkan pada opsi berikut:
- Secara default, lokal browser digunakan untuk menampilkan SSPR dalam bahasa yang sesuai. Pengalaman reset kata sandi dilokalkan ke dalam bahasa yang sama dengan yang didukung Microsoft 365.
- Jika Anda ingin menautkan ke SSPR dalam bahasa tertentu yang dilokalkan, tambahkan
?mkt=ke akhir URL reset kata sandi bersama dengan lokal yang diperlukan.- Misalnya, untuk menentukan lokal es-us Spanyol, gunakan
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Misalnya, untuk menentukan lokal es-us Spanyol, gunakan
Setelah portal SSPR ditampilkan dalam bahasa yang diperlukan, pengguna diminta untuk memasukkan ID pengguna dan lulus captcha. MICROSOFT Entra ID sekarang memverifikasi bahwa pengguna dapat menggunakan SSPR dengan melakukan pemeriksaan berikut:
- Memeriksa apakah pengguna mengaktifkan SSPR.
- Jika pengguna tidak diaktifkan untuk SSPR, pengguna diminta untuk menghubungi administrator guna mereset kata sandi mereka.
- Memeriksa bahwa pengguna memiliki metode autentikasi yang tepat yang ditentukan pada akun mereka sesuai dengan kebijakan administrator.
- Jika kebijakan hanya memerlukan satu metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya salah satu metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
- Jika kebijakan memerlukan dua metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya dua metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Jika metode autentikasi tidak dikonfigurasi, pengguna disarankan untuk menghubungi administrator untuk mereset kata sandi mereka.
- Jika peran administrator Azure ditetapkan untuk pengguna, kebijakan kata sandi dua gerbang yang kuat diberlakukan. Untuk mengetahui informasi selengkapnya, lihat Perbedaan kebijakan reset administrator.
- Jika kebijakan hanya memerlukan satu metode, periksa apakah pengguna memiliki data yang sesuai yang ditentukan untuk setidaknya salah satu metode autentikasi yang diaktifkan oleh kebijakan administrator.
- Memeriksa untuk melihat apakah kata sandi pengguna dikelola secara lokal, seperti jika penyewa Microsoft Entra menggunakan federasi, autentikasi pass-through, atau sinkronisasi hash kata sandi:
- Jika penulisan balik SSPR dikonfigurasi dan kata sandi pengguna dikelola secara lokal, pengguna diizinkan untuk melanjutkan untuk mengautentikasi dan mereset kata sandi mereka.
- Jika penulisan balik SSPR tidak digunakan dan kata sandi pengguna dikelola secara lokal, pengguna diminta untuk menghubungi administrator mereka untuk mereset kata sandi mereka.
Jika semua pemeriksaan sebelumnya berhasil diselesaikan, pengguna dipandu melalui proses untuk mereset atau mengubah kata sandi mereka.
Catatan
SSPR dapat mengirim pemberitahuan email kepada pengguna sebagai bagian dari proses reset kata sandi. Email ini dikirim menggunakan layanan relai SMTP, yang beroperasi dalam mode aktif-aktif di beberapa wilayah.
Layanan relai SMTP menerima dan memproses isi email, tetapi tidak menyimpannya. Isi email SSPR yang mungkin berpotensi berisi info yang disediakan pelanggan tidak disimpan dalam log layanan relai SMTP. Log hanya berisi metadata protokol.
Untuk mulai menggunakan SSPR, selesaikan tutorial berikut:
Mengharuskan pengguna untuk mendaftar saat mereka masuk
Anda dapat mengaktifkan opsi untuk mengharuskan pengguna menyelesaikan pendaftaran SSPR jika mereka menggunakan autentikasi modern atau browser web untuk masuk ke aplikasi apa pun menggunakan ID Microsoft Entra. Alur kerja ini mencakup aplikasi berikut:
- Microsoft 365
- Pusat admin Microsoft Entra
- Panel Akses
- Aplikasi federasi
- Aplikasi kustom menggunakan ID Microsoft Entra
Saat Anda tidak memerlukan pendaftaran, pengguna tidak diminta saat masuk, tetapi mereka dapat mendaftar secara manual. Pengguna dapat mengunjungi https://aka.ms/ssprsetup atau memilih tautan Daftar untuk pengaturan ulang kata sandi di tab Profil di Panel Akses.
Catatan
Pengguna dapat menutup portal pendaftaran SSPR dengan memilih batalkan atau dengan menutup jendela. Namun, mereka diminta untuk mendaftar setiap kali masuk sampai mereka menyelesaikan pendaftaran mereka.
Interupsi untuk mendaftar SSPR ini tidak memutuskan koneksi pengguna jika mereka sudah masuk.
Mengonfirmasi ulang informasi autentikasi
Untuk memastikan bahwa metode autentikasi sudah benar saat diperlukan untuk mereset atau mengubah kata sandi mereka, Anda dapat mengharuskan pengguna mengonfirmasi informasi terdaftar info mereka setelah periode waktu tertentu. Opsi ini hanya tersedia jika Anda mengaktifkan opsi Wajibkan pengguna untuk mendaftar saat masuk.
Nilai yang valid untuk meminta pengguna mengonfirmasi metode terdaftar mereka adalah dari 0 hingga 730 hari. Menetapkan nilai ini ke 0 berarti bahwa pengguna tidak pernah diminta untuk mengonfirmasi informasi autentikasi mereka. Saat menggunakan pengalaman pendaftaran gabungan, pengguna akan diminta untuk mengonfirmasi identitas mereka sebelum mengonfirmasi ulang informasi mereka.
Metode autentikasi
Saat pengguna diaktifkan untuk SSPR, mereka harus mendaftarkan setidaknya satu metode autentikasi. Kami sangat menyarankan Anda memilih dua atau lebih metode autentikasi sehingga pengguna memiliki lebih banyak fleksibilitas jika mereka tidak dapat mengakses satu metode saat membutuhkannya. Untuk mengetahui informasi selengkapnya, lihat Apa itu metode autentikasi?.
Metode autentikasi berikut tersedia untuk SSPR:
- Pemberitahuan aplikasi seluler
- Kode aplikasi seluler
- Ponsel
- Telepon kantor (hanya tersedia untuk penyewa dengan langganan berbayar)
- Pertanyaan keamanan
Pengguna hanya dapat mengatur ulang kata sandi mereka jika mereka mendaftarkan metode autentikasi yang telah diaktifkan administrator.
Peringatan
Akuan yang diberi peran administrator Azure diperlukan untuk menggunakan metode seperti yang ditentukan dalam bagian Perbedaan kebijakan reset administrator.
Jumlah metode autentikasi yang diperlukan
Anda dapat mengonfigurasi jumlah metode autentikasi yang tersedia yang harus disediakan oleh pengguna untuk mereset atau membuka kunci kata sandi mereka. Nilai ini dapat diatur ke satu atau dua.
Pengguna harus mendaftarkan beberapa metode autentikasi sehingga mereka dapat masuk dengan cara lain jika mereka tidak dapat mengakses satu metode.
Jika pengguna tidak mendaftarkan jumlah minimum metode yang diperlukan, mereka akan melihat halaman kesalahan saat mencoba menggunakan SSPR. Mereka perlu meminta agar administrator mengatur ulang kata sandi mereka. Untuk informasi selengkapnya, lihat Mengubah metode autentikasi.
Aplikasi seluler dan SSPR
Saat menggunakan aplikasi seluler sebagai metode untuk reset kata sandi, seperti Microsoft Authenticator, pertimbangan berikut berlaku jika organisasi belum bermigrasi ke kebijakan metode Autentikasi terpusat:
- Saat administrator memerlukan satu metode yang digunakan untuk mereset kata sandi, kode verifikasi adalah satu-satunya opsi yang tersedia.
- Saat administrator memerlukan dua metode yang digunakan untuk mereset kata sandi, pengguna dapat menggunakan kode verifikasi ATAU pemberitahuan selain metode lain yang diaktifkan.
| Jumlah metode yang diperlukan untuk mereset | Satu | Dua |
|---|---|---|
| Fitur aplikasi seluler tersedia | Kode | Kode atau Pemberitahuan |
Pengguna dapat mendaftarkan aplikasi seluler mereka di https://aka.ms/mfasetup, atau dalam gabungan pendaftaran info keamanan di https://aka.ms/setupsecurityinfo.
Penting
Authenticator tidak dapat dipilih sebagai satu-satunya metode autentikasi ketika hanya satu metode yang diperlukan. Demikian pula, Authenticator dan hanya satu metode tambahan yang tidak dapat dipilih jika Anda memerlukan dua metode.
Saat mengonfigurasi kebijakan SSPR yang menyertakan aplikasi Authenticator sebagai metode, setidaknya satu metode tambahan harus dipilih saat satu metode diperlukan, dan setidaknya dua metode tambahan harus dipilih saat mengonfigurasi dua metode diperlukan.
Mengubah metode autentikasi
Jika Anda memulai dengan kebijakan yang hanya memiliki satu metode autentikasi yang diperlukan untuk mereset atau membuka kunci terdaftar dan Anda mengubahnya menjadi dua metode, apa yang terjadi?
| Jumlah metode yang terdaftar | Jumlah metode yang diperlukan | Hasil |
|---|---|---|
| 1 atau lebih | 1 | Dapat mereset atau membuka kunci |
| 1 | 2 | Tidak dapat mereset atau membuka kunci |
| 2 atau lebih | 2 | Dapat mereset atau membuka kunci |
Mengubah metode autentikasi yang tersedia juga dapat menyebabkan masalah bagi pengguna. Jika Anda mengubah metode autentikasi mana yang tersedia, pengguna tanpa jumlah minimum data yang tersedia tidak dapat menggunakan SSPR.
Pertimbangkan skenario contoh berikut:
- Kebijakan asli dikonfigurasi dengan dua metode autentikasi yang diperlukan. Ini hanya menggunakan nomor telepon kantor dan pertanyaan keamanan.
- Administrator mengubah kebijakan untuk tidak lagi menggunakan pertanyaan keamanan, tetapi memungkinkan penggunaan ponsel dan email alternatif.
- Pengguna tanpa ponsel atau bidang email alternatif yang diisi sekarang tidak dapat mereset kata sandi mereka.
Notifications
Untuk meningkatkan kesadaran akan peristiwa kata sandi, SSPR memungkinkan Anda mengonfigurasi pemberitahuan untuk pengguna dan administrator identitas.
Memberi tahu pengguna tentang pengaturan ulang sandi
Jika opsi ini diatur ke Ya, pengguna yang mereset kata sandi mereka menerima email yang memberi tahu bahwa kata sandi telah diubah. Email dikirim melalui portal SSPR ke alamat email utama dan alternatif yang disimpan di ID Microsoft Entra. Jika tidak ada alamat email utama atau alternatif yang ditentukan SSPR akan mencoba pemberitahuan email melalui pengguna Nama Prinsipal Pengguna (UPN). Tidak ada orang lain yang diberi tahu tentang peristiwa reset.
Memberi tahu semua admin saat admin lain mereset kata sandi mereka
Jika opsi ini diatur ke Ya, maka Administrator Global menerima email ke alamat email utama mereka yang disimpan di ID Microsoft Entra. Email memberi tahu mereka bahwa administrator lain telah mengubah kata sandi mereka dengan menggunakan SSPR.
Catatan
Pemberitahuan email dari layanan SSPR akan dikirim dari alamat berikut berdasarkan cloud Azure yang Anda gunakan:
- Publik: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure dioperasikan oleh 21Vianet (Azure di Tiongkok): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure untuk Pemerintah AS: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Jika Anda menemukan masalah dalam menerima pemberitahuan, harap periksa pengaturan spam Anda.
Jika Anda ingin administrator kustom menerima email pemberitahuan, gunakan kustomisasi SSPR dan siapkan tautan atau email helpdesk kustom.
Integrasi lokal
Di lingkungan hibrid, Anda dapat mengonfigurasi sinkronisasi cloud Microsoft Entra Connect untuk menulis peristiwa perubahan kata sandi kembali dari ID Microsoft Entra ke direktori lokal.
MICROSOFT Entra ID memeriksa konektivitas hibrid Anda saat ini dan menyediakan pesan di pusat admin Microsoft Entra. Untuk bantuan dalam mengatasi kemungkinan kesalahan, lihat Memecahkan masalah Microsoft Entra Connect.
Untuk memulai tulis balik SSPR, selesaikan tutorial berikut:
Menulis balik kata sandi ke direktori lokal Anda
Anda dapat mengaktifkan tulis balik kata sandi menggunakan pusat admin Microsoft Entra. Anda juga dapat menonaktifkan tulis balik kata sandi untuk sementara tanpa harus mengonfigurasi ulang Microsoft Entra Connect.
- Jika opsi diatur ke Ya, penulisan balik diaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi dapat mereset kata sandi mereka.
- Jika opsi diatur ke Tidak, penulisan balik dinonaktifkan. Pengguna federasi, autentikasi pass-through, atau yang disinkronkan hash kata sandi tidak dapat mereset kata sandi mereka.
Mengizinkan pengguna untuk membuka akun tanpa mereset kata sandi mereka
Secara default, ID Microsoft Entra membuka kunci akun saat melakukan reset kata sandi. Untuk memberikan fleksibilitas, Anda dapat memilih untuk mengizinkan pengguna membuka kunci akun lokal mereka tanpa harus mengatur ulang kata sandi. Gunakan pengaturan ini untuk memisahkan dua operasi tersebut.
- Jika diatur ke Ya, pengguna diberi opsi untuk mereset kata sandi mereka dan membuka kunci akun, atau untuk membuka kunci akun tanpa harus mereset kata sandi.
- Jika diatur ke Tidak, pengguna hanya dapat melakukan reset kata sandi gabungan dan operasi membuka kunci akun.
Filter kata sandi Direktori Aktif lokal
SSPR melakukan hal yang setara dengan reset kata sandi yang dimulai oleh di dalam Direktori Aktif. Jika Anda menggunakan filter kata sandi pihak ketiga untuk menerapkan aturan kata sandi kustom, dan Anda mengharuskan filter kata sandi ini diperiksa selama pengaturan ulang kata sandi mandiri Microsoft Entra, pastikan bahwa solusi filter kata sandi pihak ketiga dikonfigurasi untuk diterapkan dalam skenario pengaturan ulang kata sandi admin. Perlindungan kata sandi Microsoft Entra untuk Active Directory Domain Services didukung secara default.
Reset kata sandi untuk pengguna B2B
Reset dan perubahan kata sandi didukung penuh pada semua konfigurasi bisnis ke bisnis (B2B). Reset kata sandi pengguna B2B didukung dalam tiga kasus berikut:
- Pengguna dari organisasi mitra dengan penyewa Microsoft Entra yang sudah ada: Jika mitra Anda memiliki penyewa Microsoft Entra, kami menghormati kebijakan pengaturan ulang kata sandi apa pun yang diaktifkan pada penyewa tersebut. Agar pengaturan ulang kata sandi berfungsi, organisasi mitra hanya perlu memastikan bahwa Microsoft Entra SSPR diaktifkan. Tidak ada biaya lain untuk pelanggan Microsoft 365.
- Pengguna yang mendaftar melalui pendaftaran layanan mandiri: Jika mitra Anda menggunakan fitur pendaftaran layanan mandiri untuk masuk ke penyewa, kami mengizinkan mereka mengatur ulang kata sandi dengan email yang mereka daftarkan.
- Pengguna B2B: Setiap pengguna B2B baru yang dibuat dengan menggunakan kemampuan Microsoft Entra B2B baru juga dapat mengatur ulang kata sandi mereka dengan email yang mereka daftarkan selama proses undangan.
Untuk menguji skenario ini, buka https://passwordreset.microsoftonline.com dengan salah satu pengguna mitra ini. Jika pengguna menentukan email alternatif atau email autentikasi, pengaturan ulang kata sandi berfungsi seperti yang diharapkan.
Catatan
Akun Microsoft yang diberikan akses tamu ke penyewa Microsoft Entra Anda, seperti dari Hotmail.com, Outlook.com, atau alamat email pribadi lainnya, tidak dapat menggunakan Microsoft Entra SSPR. Untuk informasi selengkapnya, lihat Saat Anda tidak dapat masuk ke akun Microsoft Anda.
Langkah berikutnya
Untuk mulai menggunakan SSPR, selesaikan tutorial berikut:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk