Ниже приведены некоторые часто задаваемые вопросы (часто задаваемые вопросы) для всех вещей, связанных с самостоятельным сбросом пароля.
Если у вас есть общий вопрос об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля (SSPR), который не ответил здесь, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. Члены сообщества включают инженеров, менеджеров по продуктам, MVP и коллег ИТ-специалистов.
Этот вопрос и ответы разделены на следующие разделы:
- Вопросы о регистрации сброса пароля
- Вопросы об сбросе пароля
- Вопросы об изменении пароля
- Вопросы об отчетах по управлению паролями
- Вопросы о обратной записи паролей
Регистрация сброса пароля
Могут ли мои пользователи зарегистрировать собственные данные сброса пароля?
Да. Если сброс пароля включен и лицензирован, пользователи могут перейти на портал регистрации сброса пароля (https://aka.ms/ssprsetup), чтобы зарегистрировать сведения о проверке подлинности. Пользователи также могут регистрироваться через Панель доступа (https://myapps.microsoft.com). Чтобы зарегистрировать Панель доступа, необходимо выбрать рисунок профиля, выбрать профиль, а затем зарегистрировать для сброса пароля.
Если включить объединенную регистрацию, пользователи могут одновременно регистрироваться как для SSPR, так и для многофакторной проверки подлинности Microsoft Entra.
Если включить сброс пароля для группы, а затем решить включить ее для всех пользователей, требуется повторно зарегистрировать?
Нет. Пользователям, заполненным данными проверки подлинности, не требуется повторно зарегистрировать.
Можно ли определить данные сброса пароля от имени моих пользователей?
Да, это можно сделать с помощью Microsoft Entra Connect, PowerShell, Центра администрирования Microsoft Entra или Центр администрирования Microsoft 365. Дополнительные сведения см. в разделе "Данные" для самостоятельного сброса пароля Microsoft Entra.
Можно ли синхронизировать данные для вопросов безопасности из локальной среды?
Нет, сегодня это невозможно.
Могут ли мои пользователи регистрировать данные таким образом, чтобы другие пользователи не могли видеть эти данные?
Да. Когда пользователи регистрируют данные с помощью портала регистрации сброса пароля, данные сохраняются в полях частной проверки подлинности, которые видны только администраторам привилегированной проверки подлинности и пользователю.
Необходимо ли зарегистрировать моих пользователей, прежде чем использовать сброс пароля?
Нет. Если вы определяете достаточно сведений о проверке подлинности от их имени, пользователям не нужно регистрироваться. Сброс пароля работает до тех пор, пока вы правильно отформатировали данные, хранящиеся в соответствующих полях в каталоге.
Можно ли синхронизировать или задать телефон проверки подлинности, электронную почту проверки подлинности или альтернативные поля телефона проверки подлинности от имени моих пользователей?
Поля, которые могут быть заданы администратором привилегированной проверки подлинности, определены в статье SSPR Data requirements.
Как портал регистрации определяет, какие параметры будут отображаться пользователями?
На портале регистрации сброса пароля отображаются только параметры, которые вы включили для пользователей. Эти параметры находятся в разделе "Политика сброса пароля пользователя" на вкладке "Настройка каталога". Например, если вы не включите вопросы безопасности, пользователи не смогут зарегистрировать этот параметр.
Когда пользователь считается зарегистрированным?
Пользователь считается зарегистрированным для SSPR, если он зарегистрировал по крайней мере количество методов, необходимых для сброса пароля, заданного в Центре администрирования Microsoft Entra.
Сброс пароля
Запретить пользователям несколько попыток сброса пароля в течение короткого периода времени?
Да, существуют функции безопасности, встроенные в сброс пароля, чтобы защитить его от неправильного использования.
Пользователи могут попытаться проверить свою информацию (например, номер телефона), но если они не могут доказать свою личность пять раз в течение 24-часового периода, они заблокированы в течение 24 часов.
Пользователи могут попытаться проверить номер телефона, приложение проверки подлинности, отправить текстовое сообщение или проверить вопросы безопасности и ответы только пять раз в течение часа, прежде чем они заблокированы в течение 24 часов.
Пользователи могут отправлять сообщение электронной почты не более 10 раз в течение 10 минут, прежде чем они заблокированы в течение 24 часов.
Счетчики сбрасываются после сброса пароля пользователем.
Сколько времени я должен ждать, чтобы получить сообщение электронной почты, текстовое сообщение или телефонный звонок от сброса пароля?
Сообщения электронной почты, текстовые сообщения и телефонные звонки должны поступать в минуту. Обычное дело составляет от 5 до 20 секунд. Если вы не получаете уведомление в этом интервале времени:
- Проверьте папку нежелательной почты.
- Убедитесь, что номер или адрес электронной почты, который вы ожидаете.
- Проверьте правильность форматирования данных проверки подлинности в каталоге, например +1 4255551234 или user@contoso.com.
Какие языки поддерживаются сбросом пароля?
Пользовательский интерфейс сброса пароля, текстовые сообщения и голосовые звонки локализованы на одних и том же языках, которые поддерживаются в Microsoft 365.
Какие части интерфейса сброса пароля получают фирменной символике при настройке элементов фирменной символики организации на вкладке настройки каталога?
На портале сброса пароля отображается логотип вашей организации и вы можете настроить ссылку "Связаться с администратором", чтобы указать пользовательский адрес электронной почты или URL-адрес. Любая электронная почта, отправляемая сбросом пароля, включает логотип, цвета и имя вашей организации в тексте сообщения электронной почты и настраивается в параметрах для этого конкретного имени.
Как обучить пользователей, где перейти к сбросу паролей?
Ознакомьтесь с некоторыми предложениями в нашей статье по развертыванию SSPR.
Можно ли использовать эту страницу с мобильного устройства?
Да, эта страница работает на мобильных устройствах.
Поддерживается ли разблокировка локальных учетных записей Active Directory при сбросе паролей пользователей?
Да. Если пользователь сбрасывает пароль, при развертывании обратной записи паролей через Microsoft Entra Connect учетная запись пользователя автоматически разблокируется при сбросе пароля.
Как интегрировать сброс пароля непосредственно в рабочий стол пользователя?
Если вы являетесь клиентом Microsoft Entra ID P1 или P2, вы можете установить Microsoft Identity Manager без дополнительных затрат и развернуть локальное решение для сброса пароля.
Можно ли задать различные вопросы безопасности для разных языковых стандартов?
Нет, сегодня это невозможно.
Сколько вопросов можно настроить для параметра проверки подлинности на вопросы безопасности?
Вы можете настроить до 20 пользовательских вопросов безопасности в Центре администрирования Microsoft Entra.
Сколько времени могут быть вопросы безопасности?
Вопросы безопасности могут содержать от 3 до 200 символов.
Сколько времени ответы на вопросы безопасности могут быть?
Ответы могут содержать от 3 до 40 символов.
Отклоняются ли повторяющиеся ответы на вопросы безопасности?
Да, мы отклоняем повторяющиеся ответы на вопросы безопасности.
Может ли пользователь зарегистрировать один и тот же вопрос безопасности более одного раза?
Нет. После регистрации конкретного вопроса пользователь не может зарегистрировать этот вопрос во второй раз.
Можно ли задать минимальный предел вопросов безопасности для регистрации и сброса?
Да, одно ограничение можно задать для регистрации и другого для сброса. Для регистрации могут потребоваться три-пять вопросов безопасности, а для сброса может потребоваться три-пять вопросов.
Я настроила политику, чтобы пользователи использовали вопросы безопасности для сброса, но администраторы Azure, кажется, настроены по-другому.**
Это ожидаемое поведение. Корпорация Майкрософт применяет строгой политику сброса пароля по умолчанию для любой роли администратора Azure. Это запрещает администраторам использовать вопросы безопасности. Дополнительные сведения об этой политике можно найти в политиках паролей и ограничениях в статье идентификатора Microsoft Entra.
Если пользователь зарегистрировал больше максимального количества вопросов, необходимых для сброса, как были выбраны вопросы безопасности во время сброса?
Количество вопросов безопасности выбирается случайным образом из общего количества вопросов, зарегистрированных пользователем, где N — это сумма, заданная для параметра сброса количества вопросов, необходимых для сброса . Например, если пользователь зарегистрировал пять вопросов безопасности, но для сброса пароля требуется только три, три из пяти вопросов будут выбраны случайным образом и отображаются при сбросе. Чтобы предотвратить забивание вопросов, если пользователь получает ответы на вопросы, неправильный процесс выбора начинается.
Сколько времени допустимы одноразовые секретные коды электронной почты и текстового сообщения?
Время существования сеанса для сброса пароля составляет 15 минут. С начала операции сброса пароля пользователь имеет 15 минут для сброса пароля. Одноразовые секретные коды действительны в течение 5 минут во время сеанса сброса пароля.
Можно ли заблокировать сброс пароля пользователями?
Да, если вы используете группу для включения SSPR, вы можете удалить отдельного пользователя из группы, которая позволяет пользователям сбрасывать пароль. Если пользователь является администратором привилегированной проверки подлинности, он может сбросить пароль, и это не может быть отключено.
Изменение пароля
Куда должны перейти мои пользователи, чтобы изменить пароли?
Пользователи могут изменять свои пароли в любом месте, где они видят изображение профиля или значок, например в правом верхнем углу портала Office 365 или Панель доступа взаимодействия. Пользователи могут изменять пароли на странице профиля Панель доступа. Пользователям также может быть предложено автоматически изменить пароли на странице входа в Microsoft Entra, если срок действия паролей истек. Наконец, пользователи могут перейти на портал изменений паролей Microsoft Entra непосредственно, если они хотят изменить свои пароли.
Могут ли мои пользователи получать уведомления на портале Office при истечении срока действия локального пароля?
Да, это возможно сегодня, если вы используете службы федерации Active Directory (AD FS) (AD FS). Если вы используете AD FS, следуйте инструкциям в статье "Отправка утверждений политики паролей" с помощью AD FS . Если вы используете синхронизацию хэша паролей, это невозможно сегодня. Мы не синхронизируем политики паролей из локальных каталогов, поэтому нам не удается отправить уведомления об истечении срока действия в облако. В любом случае также можно уведомить пользователей, пароли которых истекают через PowerShell.
Можно ли заблокировать изменение пароля пользователями?
Для пользователей, доступных только для облака, изменения паролей не могут быть заблокированы. Для локальных пользователей можно задать параметр "Пользователь не может изменить пароль " на выбранный. Выбранные пользователи не могут изменить свой пароль.
Отчеты об управлении паролями
Сколько времени требуется для отображения данных в отчетах об управлении паролями?
Данные должны отображаться в отчетах по управлению паролями в течение 5–10 минут. В некоторых случаях может потребоваться до часа.
Как отфильтровать отчеты об управлении паролями?
Чтобы отфильтровать отчеты по управлению паролями, выберите небольшое увеличение стекла в крайнем правом углу меток столбцов в верхней части отчета. Если вы хотите выполнить более широкий фильтр, вы можете скачать отчет в Excel и создать сводную таблицу.
Какое максимальное количество событий, хранящихся в отчетах об управлении паролями?
До 75 000 событий регистрации пароля или сброса пароля хранятся в отчетах по управлению паролями, охватывая до 30 дней. Мы работаем над расширением этого числа для включения дополнительных событий.
Насколько далеко идут отчеты об управлении паролями?
В отчетах по управлению паролями отображаются операции, которые произошли за последние 30 дней. Теперь, если вам нужно архивировать эти данные, можно периодически скачивать отчеты и сохранять их в отдельном расположении.
Существует ли максимальное количество строк, которые могут отображаться в отчетах об управлении паролями?
Да. В отчетах по управлению паролями может отображаться не более 75 000 строк, независимо от того, отображаются ли они в пользовательском интерфейсе или скачиваются.
Существует ли API для доступа к данным об сбросе пароля или регистрации?
Да, эти сведения можно получить из отчета о действиях методов проверки подлинности или API, чтобы получить действие сброса пароля. Вы также можете использовать API журналов аудита и фильтровать по событиям SSPR.
Обратная запись паролей
Как работает обратная запись паролей за кулисами?
См. статью о том, как работает обратная запись паролей, чтобы объяснить, что происходит при включении обратной записи паролей и способах передачи данных через систему обратно в локальную среду.
Сколько времени выполняется обратная запись паролей? Существует ли задержка синхронизации, как при синхронизации хэша паролей?
Обратная запись паролей является мгновенной. Это синхронный конвейер, который работает принципиально не так, как синхронизация хэша паролей. Обратная запись паролей позволяет пользователям получать отзывы в режиме реального времени об успешном сбросе или изменении пароля. Среднее время успешной записи пароля составляет менее 500 мс.
Если локальная учетная запись отключена, как влияет моя облачная учетная запись и доступ?
Если локальный идентификатор отключен, ваш облачный идентификатор и доступ также будут отключены в следующем интервале синхронизации через Microsoft Entra Connect. По умолчанию эта синхронизация составляет каждые 30 минут.
Если локальная учетная запись ограничена политикой паролей локальная служба Active Directory, то SSPR подчиняется этой политике при изменении пароля?
Да, SSPR используется и соблюдается политикой локальная служба Active Directory паролей. Эта политика включает типичную политику паролей домена Active Directory, а также все определенные, детализированные политики паролей, предназначенные для пользователя.
Для каких типов учетных записей работает обратная запись паролей?
Обратная запись паролей работает для учетных записей пользователей, синхронизированных с локальная служба Active Directory с идентификатором Microsoft Entra, включая федеративный, хэш паролей, синхронизированный и сквозной аутентификации пользователей.
Применяет ли обратная запись паролей политики паролей домена?
Да. Обратная запись паролей применяет возраст пароля, историю, сложность, фильтры и другие ограничения, которые могут быть применены к паролям в локальном домене.
Безопасна ли обратная запись паролей? Как я могу быть уверен, что я не буду взломать?
Да, обратная запись паролей безопасна. Дополнительные сведения о нескольких уровнях безопасности, реализованных службой обратной записи паролей, см . в разделе " Безопасность обратной записи паролей" статьи обзора обратной записи паролей.
Дальнейшие действия
- Разделы справки завершить успешное развертывание SSPR?
- Сброс или изменение пароля
- Регистрация для самостоятельного сброса пароля
- У вас есть вопрос о лицензировании?
- Какие данные используют SSPR и какие данные следует заполнить для пользователей?
- Какие методы проверки подлинности доступны пользователям?
- Каковы параметры политики с помощью SSPR?
- Что такое обратная запись паролей и почему я заботюсь об этом?
- Разделы справки отчет о действиях в SSPR?
- Что такое все варианты в SSPR и что они означают?
- Я думаю, что что-то сломано. Разделы справки устранение неполадок SSPR?