Aktifkan pengaturan ulang kata sandi swalayan Microsoft Entra di layar masuk Windows

Dengan menggunakan pengaturan ulang kata sandi layanan mandiri (SSPR) di Microsoft Entra ID, pengguna dapat mengubah atau mengatur ulang kata sandi mereka tanpa keterlibatan administrator atau helpdesk. Biasanya, pengguna membuka browser web di perangkat lain untuk mengakses portal SSPR . Untuk meningkatkan pengalaman di komputer yang menjalankan Windows 7, 8, 8.1, 10, dan 11, Anda dapat memungkinkan pengguna mengatur ulang kata sandi mereka di layar masuk Windows.

Artikel ini menunjukkan kepada administrator cara mengaktifkan SSPR untuk perangkat Windows di perusahaan.

Jika tim TI Anda belum mengaktifkan kemampuan untuk menggunakan SSPR dari perangkat Windows Anda atau Anda mengalami masalah saat masuk, hubungi meja bantuan Anda untuk mendapatkan bantuan lebih lanjut.

Batasan umum

Batasan berikut berlaku untuk menggunakan SSPR dari layar masuk Windows:

• Reset kata sandi saat ini tidak didukung dari Desktop Jarak Jauh atau dari sesi Hyper-V yang ditingkatkan.

• Beberapa penyedia kredensial non-Microsoft diketahui menyebabkan masalah dengan fitur ini.

• Menonaktifkan kontrol akun pengguna melalui modifikasi kunci registri EnableLUA diketahui menyebabkan masalah.

• Fitur ini tidak berfungsi untuk jaringan dengan autentikasi jaringan 802.1x yang diterapkan dan opsi Lakukan segera sebelum pengguna masuk. Untuk jaringan dengan autentikasi jaringan 802.1x yang disebarkan, sebaiknya gunakan autentikasi mesin untuk mengaktifkan fitur ini.

• Mesin yang bergabung dengan hibrida Microsoft Entra harus memiliki jalur pandang konektivitas jaringan ke pengontrol domain untuk menggunakan kata sandi baru dan memperbarui kredensial yang di-cache. Perangkat harus berada di jaringan internal organisasi atau di jaringan privat virtual dengan akses jaringan ke pengontrol domain lokal. Jika SSPR adalah satu-satunya persyaratan, jalur koneksi jaringan ke pengontrol domain tidak diperlukan.

• Jika Anda menggunakan gambar, sebelum menjalankan sysprep , pastikan cache web dihapus untuk administrator bawaan sebelum Anda melakukan CopyProfile langkah. Untuk informasi selengkapnya, lihat Performa buruk saat menggunakan profil pengguna default kustom.

• Pengaturan berikut diketahui mengganggu kemampuan untuk menggunakan dan mengatur ulang kata sandi pada perangkat Windows 10:

  • Jika pemberitahuan layar kunci dinonaktifkan, Atur ulang kata sandi tidak akan berfungsi.
  • HideFastUserSwitching diatur ke Diaktifkan atau 1.
  • DontDisplayLastUserName diatur ke Diaktifkan atau 1.
  • NoLockScreen diatur ke Diaktifkan atau 1.
  • BlockNonAdminUserInstall diatur ke Diaktifkan atau 1.
  • EnableLostMode diatur pada perangkat.
  • Explorer.exe diganti dengan cangkang khusus.
  • Masuk interaktif: Memerlukan kartu pintar diatur ke Diaktifkan atau 1.

• Kombinasi tiga pengaturan tertentu berikut dapat menyebabkan fitur ini tidak berfungsi.

  • Masuk interaktif: Tidak memerlukan CTRL+ALT+DEL diatur ke Dinonaktifkan (hanya untuk Windows 10 versi 1710 dan sebelumnya).
  • DisableLockScreenAppNotifications diatur ke Diaktifkan atau 1.
  • Versi Windows adalah edisi Home.

Nota

Batasan ini juga berlaku untuk reset PIN Windows Hello for Business dari layar kunci perangkat.

Reset kata sandi Windows 11 dan Windows 10

Untuk mengonfigurasi perangkat Windows 11 atau Windows 10 untuk SSPR di layar masuk, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 11 dan Windows 10

• Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan aktifkan Microsoft Entra SSPR.
• Pengguna harus mendaftar ke SSPR sebelum mereka menggunakan fitur ini di layar masuk Windows.
  • Semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mengatur ulang kata sandi mereka, yang tidak unik untuk menggunakan SSPR dari layar masuk Windows.
• Persyaratan proksi jaringan:
  • Port 443 ke passwordreset.microsoftonline.com dan ajax.aspnetcdn.com.
  • Perangkat Windows 10 memerlukan konfigurasi proksi tingkat mesin atau konfigurasi proksi tercakup untuk akun sementara defaultuser1 yang digunakan untuk melakukan SSPR. Untuk informasi selengkapnya, lihat bagian Pemecahan Masalah .
• Jalankan setidaknya Windows 10, versi Pembaruan April 2018 (v1803), dan perangkat harus:
  • Microsoft Entra bergabung.
  • Microsoft Entra hybrid bergabung.

Aktifkan untuk Windows 11 dan Windows 10 dengan menggunakan Intune

Menyebarkan perubahan konfigurasi untuk mengaktifkan SSPR dari layar masuk Windows dengan menggunakan Intune adalah metode yang paling fleksibel. Dengan Intune, Anda dapat menyebarkan perubahan konfigurasi ke grup komputer tertentu yang Anda tentukan. Metode ini memerlukan pendaftaran perangkat Intune.

Membuat kebijakan konfigurasi perangkat di Intune

1. Masuk ke pusat admin Microsoft Intune .

2. Buat profil konfigurasi perangkat baru dengan membukaProfil konfigurasi >perangkat, lalu memilih + Buat Profil:

   • Untuk Platform, pilih Windows 10 dan yang lebih baru.
   • Untuk Jenis profil, pilih Templat, lalu pilih Templatkustom .

3. Pilih Buat, lalu berikan nama yang bermakna untuk profil, seperti SSPR layar masuk Windows 11.

   Secara opsional, berikan deskripsi profil yang bermakna, lalu pilih Berikutnya.

4. Di bawah pengaturan Konfigurasi , pilih Tambahkan dan berikan pengaturan OMA-URI berikut untuk mengaktifkan tautan atur ulang kata sandi:

   • Masukkan nama yang bermakna untuk menjelaskan apa yang dilakukan pengaturan, seperti Tambahkan tautan SSPR.
   • Secara opsional, masukkan deskripsi pengaturan yang bermakna.
   • Atur OMA-URI ke ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Atur Tipe Data ke Bilangan bulat.
   • Atur Nilai ke 1.

   Pilih Tambahkan, lalu pilih Berikutnya.

5. Anda dapat menetapkan kebijakan ke pengguna, perangkat, atau grup tertentu. Tetapkan profil yang Anda inginkan untuk lingkungan Anda. Praktik terbaik adalah menetapkannya ke grup perangkat pengujian terlebih dahulu, lalu pilih Berikutnya.

   Untuk informasi selengkapnya, lihat Menetapkan profil pengguna dan perangkat di Microsoft Intune.

6. Konfigurasikan aturan penerapan yang Anda inginkan untuk lingkungan Anda, seperti Tetapkan profil jika edisi OS adalah Windows 10 Enterprise, lalu pilih Berikutnya.

7. Tinjau profil Anda, lalu pilih Buat.

Aktifkan untuk Windows 11 dan Windows 10 dengan menggunakan registri

Untuk mengaktifkan SSPR di layar masuk Windows dengan menggunakan kunci registri, ikuti langkah-langkah berikut:

1. Masuk ke PC Windows dengan menggunakan kredensial administratif.

2. Pilih Windows + R untuk membuka dialog Jalankan , lalu jalankan regedit sebagai administrator.

3. Atur kunci registri berikut:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Memecahkan masalah pengaturan ulang kata sandi Windows 11 dan Windows 10

Jika Anda mengalami masalah saat menggunakan SSPR dari layar masuk Windows, log audit Microsoft Entra menyertakan informasi tentang alamat IP dan ClientType, tempat pengaturan ulang kata sandi terjadi, seperti yang ditunjukkan dalam contoh output berikut.

Saat pengguna mengatur ulang kata sandi mereka dari layar masuk perangkat Windows 11 atau 10, akun sementara dengan hak istimewa rendah yang disebut defaultuser1 dibuat. Akun ini digunakan untuk menjaga keamanan proses reset kata sandi.

Akun itu sendiri memiliki kata sandi yang dibuat secara acak, yang divalidasi terhadap kebijakan kata sandi organisasi. Sandi tidak muncul untuk login perangkat dan secara otomatis dihapus setelah pengguna menyetel ulang sandi. Beberapa defaultuser profil mungkin ada, tetapi Anda dapat mengabaikannya dengan aman.

Konfigurasi proksi untuk reset kata sandi Windows

Selama reset kata sandi, SSPR membuat akun pengguna lokal sementara untuk terhubung ke https://passwordreset.microsoftonline.com/n/passwordreset. Saat proxy dikonfigurasi untuk autentikasi pengguna, proxy mungkin gagal dengan kesalahan "Terjadi kesalahan. Tolong, coba lagi nanti." Kesalahan ini terjadi karena akun pengguna lokal tidak berwenang untuk menggunakan proksi yang diautentikasi.

Dalam hal ini, gunakan salah satu solusi berikut:

• Konfigurasikan pengaturan proksi di seluruh komputer yang tidak bergantung pada jenis pengguna yang masuk ke komputer. Misalnya, Anda dapat mengaktifkan Kebijakan Grup Membuat pengaturan proksi per komputer (bukan per pengguna) untuk stasiun kerja.

• Anda juga dapat menggunakan konfigurasi proksi per pengguna untuk SSPR jika Anda memodifikasi templat registri untuk akun default. Perintahnya adalah:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Kesalahan "Terjadi kesalahan" juga dapat terjadi ketika ada yang mengganggu konektivitas ke URL https://passwordreset.microsoftonline.com/n/passwordreset. Misalnya, kesalahan ini dapat terjadi saat perangkat lunak antivirus berjalan di workstation tanpa pengecualian untuk URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, dan ocsp.digicert.com. Nonaktifkan perangkat lunak ini untuk sementara untuk menguji apakah masalah diselesaikan atau tidak.

Reset kata sandi Windows 7, 8, dan 8.1

Untuk mengonfigurasi perangkat Windows 7, 8, atau 8.1 untuk SSPR di layar masuk Windows, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 7, 8, dan 8.1

• Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi dan aktifkan Microsoft Entra SSPR.
• Pengguna harus mendaftar SSPR di layar masuk Windows sebelum menggunakan fitur ini.
  • Semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mengatur ulang kata sandi mereka, yang tidak unik untuk menggunakan SSPR dari layar masuk Windows.
• Persyaratan proksi jaringan:
  • Port 443 hingga passwordreset.microsoftonline.com.
• Sistem operasi Windows 7 atau Windows 8.1 yang ditambal.
• TLS 1.2 diaktifkan dengan mengikuti panduan dalam pengaturan registri Transport Layer Security (TLS).
• Jika lebih dari satu penyedia kredensial non-Microsoft diaktifkan di komputer Anda, pengguna akan melihat lebih dari satu profil pengguna di layar masuk Windows.

Peringatan

TLS 1.2 harus diaktifkan, bukan hanya diatur ke negosiasi otomatis.

Menginstal komponen SSPR

Untuk Windows 7, 8, dan 8.1, komponen kecil harus diinstal pada komputer untuk mengaktifkan SSPR di layar masuk Windows. Untuk menginstal komponen SSPR ini, ikuti langkah-langkah berikut:

1. Unduh penginstal yang sesuai untuk versi Windows yang ingin Anda aktifkan.

   Penginstal perangkat lunak tersedia di Pusat Unduhan Microsoft.

2. Masuk ke komputer tempat Anda ingin menginstal, dan jalankan penginstal.

3. Setelah instalasi, kami menyarankan Anda melakukan reboot.

4. Setelah reboot, pada layar masuk Windows, pilih pengguna dan pilih Lupa kata sandi? untuk memulai alur kerja pengaturan ulang kata sandi.

5. Ikuti langkah-langkah untuk mengatur ulang kata sandi Anda.

   

Penginstalan senyap

Untuk menginstal atau menghapus komponen SSPR tanpa perintah, gunakan perintah berikut:

• Instalasi senyap: Gunakan msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Silent uninstall: Gunakan msiexec /x SsprWindowsLogon.PROD.msi /qn.

Memecahkan masalah pengaturan ulang kata sandi Windows 7, 8, dan 8.1

Jika Anda mengalami masalah saat menggunakan SSPR dari layar masuk Windows, peristiwa dicatat di komputer dan di ID Microsoft Entra. Peristiwa Microsoft Entra mencakup informasi tentang alamat IP dan ClientType parameter tempat pengaturan ulang kata sandi terjadi.

Jika diperlukan lebih banyak pengelogan, ubah kunci registri pada komputer untuk mengaktifkan pengelogan verbose. Aktifkan pengelogan verbose untuk tujuan pemecahan masalah hanya dengan menggunakan nilai kunci registri berikut:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Untuk mengaktifkan pencatatan bertele-tele, buat REG_DWORD: "EnableLogging" dan atur ke 1.
• Untuk menonaktifkan pencatatan verbose, ubah REG_DWORD: "EnableLogging" menjadi 0.
• Tinjau pengelogan debug di log peristiwa Aplikasi di bawah sumber AADPasswordResetCredentialProvider.

Apa yang dilihat pengguna?

Dengan SSPR yang dikonfigurasi untuk perangkat Windows Anda, apa perubahan bagi pengguna? Bagaimana mereka tahu bahwa mereka dapat mengatur ulang kata sandi mereka di layar masuk? Contoh cuplikan layar berikut menunjukkan opsi lain bagi pengguna untuk mengatur ulang kata sandi mereka dengan menggunakan SSPR.

Saat pengguna mencoba masuk, mereka akan melihat tautan Atur ulang sandi atau Lupa sandi yang membuka pengalaman SSPR di layar login. Sekarang pengguna dapat mengatur ulang kata sandi mereka tanpa harus menggunakan perangkat lain untuk mengakses browser web.

Untuk informasi selengkapnya tentang cara menggunakan fitur ini, lihat Mengatur ulang kata sandi kantor atau sekolah Anda.

Konten terkait

Untuk menyederhanakan pengalaman pendaftaran pengguna, Anda dapat mengisi informasi kontak autentikasi pengguna untuk SSPR.