How it works: Azure AD self-service password reset Hoe het werkt: selfservice voor wachtwoordherstel in Microsoft Entra

Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Als het account van een gebruiker is vergrendeld of als deze zijn of haar wachtwoord is vergeten, kan de gebruiker de vergrendeling aan de hand van instructies zelf ongedaan maken en weer aan het werk gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID.

Belangrijk

In dit conceptuele artikel wordt uitgelegd hoe selfservice voor wachtwoordherstel werkt. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.

Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.

Hoe werkt het proces voor wachtwoordherstel?

Een gebruiker kan het wachtwoord opnieuw instellen of wijzigen met behulp van de SSPR-portal. Ze moeten eerst hun gewenste verificatiemethoden hebben geregistreerd. Wanneer een gebruiker toegang heeft tot de SSPR-portal, houdt het Microsoft Entra ID-platform rekening met de volgende factoren:

  • Hoe moet de pagina worden gelokaliseerd?
  • Is het gebruikersaccount geldig?
  • Tot welke organisatie behoort de gebruiker?
  • Waar wordt het wachtwoord van de gebruiker beheerd?

Wanneer een gebruiker de koppeling Kan geen toegang tot uw account vanuit een toepassing of pagina selecteert of rechtstreeks naartoe https://aka.ms/ssprgaat, is de taal die in de SSPR-portal wordt gebruikt, gebaseerd op de volgende opties:

  • Standaard wordt de landinstelling van de browser gebruikt om de SSPR in de juiste taal weer te geven. De ervaring voor het opnieuw instellen van wachtwoorden is gelokaliseerd in dezelfde talen die door Microsoft 365 worden ondersteund.
  • Als u een koppeling wilt maken naar de SSPR in een specifieke gelokaliseerde taal, voegt u dit toe ?mkt= aan het einde van de URL voor wachtwoordherstel, samen met de vereiste landinstelling.

Nadat de SSPR-portal in de vereiste taal is weergegeven, wordt de gebruiker gevraagd een gebruikers-id in te voeren en een captcha door te geven. Microsoft Entra ID controleert nu of de gebruiker SSPR kan gebruiken door de volgende controles uit te voeren:

  • Controleert of SSPR is ingeschakeld voor de gebruiker.
    • Als de gebruiker niet is ingeschakeld voor SSPR, wordt de gebruiker gevraagd contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
  • Controleert of de gebruiker de juiste verificatiemethoden heeft gedefinieerd voor het account in overeenstemming met het beheerdersbeleid.
    • Als voor het beleid slechts één methode is vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste één van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
      • Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
    • Als voor het beleid twee methoden zijn vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste twee van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
      • Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
    • Als een Azure-beheerdersrol is toegewezen aan de gebruiker, wordt het sterke wachtwoordbeleid met twee poorten afgedwongen. Zie Verschillen in beleid voor het opnieuw instellen van beheerders voor meer informatie.
  • Controleert of het wachtwoord van de gebruiker on-premises wordt beheerd, bijvoorbeeld als de Microsoft Entra-tenant federatieve, passthrough-verificatie of wachtwoord-hashsynchronisatie gebruikt:
    • Als write-back van SSPR is geconfigureerd en het wachtwoord van de gebruiker on-premises wordt beheerd, mag de gebruiker doorgaan met het verifiëren en opnieuw instellen van het wachtwoord.
    • Als SSPR-writeback niet is geïmplementeerd en het wachtwoord van de gebruiker on-premises wordt beheerd, wordt de gebruiker gevraagd contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.

Als alle vorige controles zijn voltooid, wordt de gebruiker door het proces geleid om het wachtwoord opnieuw in te stellen of te wijzigen.

Notitie

SSPR kan e-mailmeldingen verzenden naar gebruikers als onderdeel van het proces voor wachtwoordherstel. Deze e-mailberichten worden verzonden met behulp van de SMTP-relayservice, die in een actief-actiefmodus in verschillende regio's werkt.

SMTP-relayservices ontvangen en verwerken de hoofdtekst van de e-mail, maar slaan deze niet op. De hoofdtekst van de SSPR-e-mail die mogelijk door de klant verstrekte informatie bevat, wordt niet opgeslagen in de SMTP-relayservicelogboeken. De logboeken bevatten alleen protocolmetagegevens.

Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR:

Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden

U kunt de optie inschakelen om een gebruiker verplicht te stellen de SSPR-registratie te voltooien als ze moderne verificatie of webbrowser gebruiken om zich aan te melden bij toepassingen met behulp van Microsoft Entra ID. Deze werkstroom bevat de volgende toepassingen:

  • Microsoft 365
  • Microsoft Entra-beheercentrum
  • Toegangsvenster
  • Federatieve toepassingen
  • Aangepaste toepassingen met Microsoft Entra-id

Wanneer u geen registratie nodig hebt, worden gebruikers niet gevraagd tijdens het aanmelden, maar kunnen ze zich handmatig registreren. Gebruikers kunnen de koppeling Registreren voor wachtwoordherstel bezoeken https://aka.ms/ssprsetup of selecteren op het tabblad Profiel in de Toegangsvenster.

! [Registratieopties voor SSPR in het Microsoft Entra-beheercentrum] [Registratie]

Notitie

Gebruikers kunnen de SSPR-registratieportal sluiten door annuleren te selecteren of door het venster te sluiten. Ze worden echter steeds gevraagd zich te registreren wanneer ze zich aanmelden totdat ze hun registratie hebben voltooid.

Door deze onderbreking om te registreren voor SSPR, wordt de verbinding van de gebruiker niet verbroken als deze al is aangemeld.

Verificatiegegevens opnieuw bevestigen

Om ervoor te zorgen dat verificatiemethoden correct zijn wanneer ze hun wachtwoord opnieuw moeten instellen of wijzigen, kunt u vereisen dat gebruikers hun geregistreerde gegevens na een bepaalde periode bevestigen. Deze optie is alleen beschikbaar als u de optie Vereisen dat gebruikers zich registreren bij het aanmelden inschakelt.

Geldige waarden om een gebruiker te vragen om te bevestigen dat de geregistreerde methoden tussen 0 en 730 dagen liggen. Als u deze waarde instelt op 0 , wordt gebruikers nooit gevraagd hun verificatiegegevens te bevestigen. Wanneer gebruikers de gecombineerde registratie-ervaring gebruiken, moeten ze hun identiteit bevestigen voordat ze hun gegevens opnieuw bevestigen.

Verificatiemethoden

Wanneer een gebruiker is ingeschakeld voor SSPR, moet deze ten minste één verificatiemethode registreren. We raden u ten zeerste aan om twee of meer verificatiemethoden te kiezen, zodat uw gebruikers meer flexibiliteit hebben als ze geen toegang hebben tot één methode wanneer ze deze nodig hebben. Zie Wat zijn verificatiemethoden? voor meer informatie.

De volgende verificatiemethoden zijn beschikbaar voor SSPR:

  • Meldingen via mobiele app
  • Code via mobiele app
  • E-mailen
  • Telefoon (mobiel)
  • Office-telefoon (alleen beschikbaar voor tenants met betaalde abonnementen)
  • Beveiligingsvragen

Gebruikers kunnen hun wachtwoord alleen opnieuw instellen als ze een verificatiemethode hebben geregistreerd die de beheerder heeft ingeschakeld.

Waarschuwing

Accounts die aan Azure-beheerdersrollen zijn toegewezen, zijn vereist voor het gebruik van methoden zoals gedefinieerd in de sectie Beheer beleidsverschillen opnieuw instellen.

! [Verificatiemethoden selecteren in het Microsoft Entra-beheercentrum] [Verificatie]

Aantal vereiste verificatiemethoden

U kunt het aantal beschikbare verificatiemethoden configureren dat een gebruiker moet opgeven om het wachtwoord opnieuw in te stellen of te ontgrendelen. Deze waarde kan worden ingesteld op een of twee.

Gebruikers kunnen en moeten meerdere verificatiemethoden registreren. Nogmaals, het wordt ten zeerste aanbevolen dat gebruikers twee of meer verificatiemethoden registreren, zodat ze meer flexibiliteit hebben als ze geen toegang hebben tot één methode wanneer ze deze nodig hebben.

Als een gebruiker niet beschikt over het minimale aantal vereiste methoden dat is geregistreerd wanneer ze SSPR proberen te gebruiken, zien ze een foutpagina waarmee ze worden gevraagd of een beheerder het wachtwoord opnieuw instelt. Zorg ervoor dat u het aantal vereiste methoden verhoogt van één tot twee als u bestaande gebruikers hebt geregistreerd voor SSPR en ze de functie vervolgens niet kunnen gebruiken. Zie de volgende sectie voor het wijzigen van verificatiemethoden voor meer informatie.

Mobiele app en SSPR

Wanneer u een mobiele app gebruikt als methode voor wachtwoordherstel, zoals de Microsoft Authenticator-app, zijn de volgende overwegingen van toepassing als een organisatie niet is gemigreerd naar het beleid voor gecentraliseerde verificatiemethoden:

  • Wanneer beheerders één methode nodig hebben om een wachtwoord opnieuw in te stellen, is verificatiecode de enige optie die beschikbaar is.
  • Wanneer beheerders twee methoden nodig hebben om een wachtwoord opnieuw in te stellen, kunnen gebruikers naast andere ingeschakelde methoden ook meldings - of verificatiecode gebruiken.
Het aantal methoden dat is vereist om het wachtwoord opnieuw in te stellen Eén Twee
Beschikbare functies voor mobiele apps Code Code of melding

Gebruikers kunnen hun mobiele app registreren bij https://aka.ms/mfasetupof in de gecombineerde registratie van beveiligingsgegevens op https://aka.ms/setupsecurityinfo.

Belangrijk

Als de Authenticator-app niet kan worden geselecteerd als de enige verificatiemethode wanneer er slechts één methode is vereist. Op dezelfde manier kunnen de Authenticator-app en slechts één extra methode worden geselecteerd wanneer er twee methoden nodig zijn.

Wanneer u SSPR-beleidsregels configureert die de Authenticator-app als methode bevatten, moet er ten minste één extra methode worden geselecteerd wanneer één methode vereist is en moeten er ten minste twee extra methoden worden geselecteerd wanneer u twee methoden configureert.

Verificatiemethoden wijzigen

Wat gebeurt er als u begint met een beleid met slechts één vereiste verificatiemethode voor opnieuw instellen of ontgrendelen en u dit wijzigt in twee methoden?

Aantal geregistreerde methoden Aantal vereiste methoden Resultaat
1 of meer 1 Kan opnieuw instellen of ontgrendelen
1 2 Kan niet opnieuw instellen of ontgrendelen
2 of meer 2 Kan opnieuw instellen of ontgrendelen

Het wijzigen van de beschikbare verificatiemethoden kan ook problemen veroorzaken voor gebruikers. Als u de typen verificatiemethoden wijzigt die een gebruiker kan gebruiken, kunt u per ongeluk voorkomen dat gebruikers SSPR kunnen gebruiken als ze niet de minimale hoeveelheid gegevens beschikbaar hebben.

Overweeg het volgende voorbeeldscenario:

  1. Het oorspronkelijke beleid is geconfigureerd met twee verificatiemethoden vereist. Het gebruikt alleen het telefoonnummer van het kantoor en de beveiligingsvragen.
  2. De beheerder wijzigt het beleid om de beveiligingsvragen niet meer te gebruiken, maar staat het gebruik van een mobiele telefoon en een alternatief e-mailadres toe.
  3. Gebruikers zonder mobiele telefoon of alternatieve e-mailvelden die nu zijn ingevuld, kunnen hun wachtwoorden niet opnieuw instellen.

Meldingen

Om de bekendheid van wachtwoordgebeurtenissen te verbeteren, kunt u met SSPR meldingen configureren voor zowel de gebruikers als identiteitsbeheerders.

Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord

Als deze optie is ingesteld op Ja, ontvangen gebruikers die hun wachtwoord opnieuw instellen een e-mail met de melding dat hun wachtwoord is gewijzigd. Het e-mailbericht wordt verzonden via de SSPR-portal naar hun primaire en alternatieve e-mailadressen die zijn opgeslagen in Microsoft Entra-id. Als er geen primair of alternatief e-mailadres is gedefinieerd, probeert SSPR een e-mailmelding uit te voeren via de USER Principal Name (UPN). Niemand anders wordt op de hoogte gesteld van de reset-gebeurtenis.

Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoorden opnieuw instellen

Als deze optie is ingesteld op Ja, ontvangen globale Beheer istrators een e-mail naar hun primaire e-mailadres dat is opgeslagen in Microsoft Entra-id. In het e-mailbericht wordt aangegeven dat een andere beheerder zijn wachtwoord heeft gewijzigd met behulp van SSPR.

Notitie

E-mailmeldingen van de SSPR-service worden verzonden vanaf de volgende adressen op basis van de Azure-cloud waarmee u werkt:

  • Openbaar: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure voor de Amerikaanse overheid: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Als u problemen ondervindt bij het ontvangen van meldingen, controleert u uw spaminstellingen.

Als u wilt dat aangepaste beheerders de e-mailberichten over meldingen ontvangen, gebruikt u SSPR-aanpassingen en stelt u een aangepaste helpdeskkoppeling of e-mail in.

On-premises integratie

Als u een hybride omgeving hebt, kunt u Microsoft Entra Verbinding maken configureren om gebeurtenissen voor wachtwoordwijziging van Microsoft Entra-id terug te schrijven naar een on-premises directory.

! [Wachtwoord terugschrijven valideren is ingeschakeld voor Microsoft Entra-id voor een on-premises integratie] [Terugschrijven]

Microsoft Entra ID controleert uw huidige hybride connectiviteit en biedt een van de volgende berichten in het Microsoft Entra-beheercentrum:

  • Uw on-premises writeback-client is actief en actief.
  • Microsoft Entra ID is online en is verbonden met uw on-premises writeback-client. Het lijkt er echter op dat de geïnstalleerde versie van Microsoft Entra Verbinding maken verouderd is. Overweeg microsoft Entra-Verbinding maken te upgraden om ervoor te zorgen dat u over de nieuwste connectiviteitsfuncties en belangrijke foutoplossingen beschikt.
  • Helaas kunnen we de status van uw on-premises writeback-client niet controleren omdat de geïnstalleerde versie van Microsoft Entra Verbinding maken verouderd is. Voer een upgrade uit van Microsoft Entra Verbinding maken om de verbindingsstatus te kunnen controleren.
  • Helaas lijkt het erop dat we momenteel geen verbinding kunnen maken met uw on-premises writeback-client. Problemen met Microsoft Entra Verbinding maken oplossen om de verbinding te herstellen.
  • Helaas kunnen we geen verbinding maken met uw on-premises writeback-client omdat wachtwoord terugschrijven niet juist is geconfigureerd. Configureer wachtwoord terugschrijven om de verbinding te herstellen.
  • Helaas lijkt het erop dat we momenteel geen verbinding kunnen maken met uw on-premises writeback-client. Dit kan te wijten zijn aan tijdelijke problemen aan ons einde. Als het probleem zich blijft voordoen, kunt u microsoft Entra-Verbinding maken oplossen om de verbinding te herstellen.

Voltooi de volgende zelfstudie om aan de slag te gaan met het terugschrijven van SSPR:

Wachtwoorden terugschrijven naar uw on-premises map

U kunt wachtwoord terugschrijven inschakelen via het Microsoft Entra-beheercentrum. U kunt wachtwoord terugschrijven ook tijdelijk uitschakelen zonder Dat u Microsoft Entra opnieuw hoeft te configureren Verbinding maken.

  • Als de optie is ingesteld op Ja, is terugschrijven ingeschakeld. Federatieve, passthrough-verificatie of gesynchroniseerde wachtwoordhashgebruikers kunnen hun wachtwoorden opnieuw instellen.
  • Als de optie is ingesteld op Nee, wordt terugschrijven uitgeschakeld. Federatieve, passthrough-verificatie of gesynchroniseerde wachtwoordhashgebruikers kunnen hun wachtwoorden niet opnieuw instellen.

Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen

Standaard ontgrendelt Microsoft Entra ID accounts wanneer het wachtwoord opnieuw wordt ingesteld. Om flexibiliteit te bieden, kunt u ervoor kiezen om gebruikers toe te staan hun on-premises accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen. Gebruik deze instelling om deze twee bewerkingen te scheiden.

  • Als deze optie is ingesteld op Ja, krijgen gebruikers de mogelijkheid om hun wachtwoord opnieuw in te stellen en het account te ontgrendelen of om hun account te ontgrendelen zonder het wachtwoord opnieuw in te stellen.
  • Als deze optie is ingesteld op Nee, kunnen gebruikers alleen een gecombineerde bewerking voor wachtwoordherstel en account ontgrendelen uitvoeren.

Wachtwoordfilters voor on-premises Active Directory

SSPR voert het equivalent uit van een door de beheerder geïnitieerde wachtwoordherstel in Active Directory. Als u een wachtwoordfilter van derden gebruikt om aangepaste wachtwoordregels af te dwingen en u wilt dat dit wachtwoordfilter wordt gecontroleerd tijdens selfservice voor wachtwoordherstel van Microsoft Entra, moet u ervoor zorgen dat de oplossing voor wachtwoordfilters van derden is geconfigureerd om toe te passen in het scenario voor het opnieuw instellen van beheerderswachtwoorden. Microsoft Entra-wachtwoordbeveiliging voor Active Directory-domein Services wordt standaard ondersteund.

Wachtwoord opnieuw instellen voor B2B-gebruikers

Wachtwoordherstel en -wijziging worden volledig ondersteund voor alle B2B-configuraties (business-to-business). B2B-gebruikerswachtwoordherstel wordt ondersteund in de volgende drie gevallen:

  • Gebruikers van een partnerorganisatie met een bestaande Microsoft Entra-tenant: als de organisatie waarmee u partner bent een bestaande Microsoft Entra-tenant heeft, respecteren we het beleid voor wachtwoordherstel op die tenant. Wachtwoordherstel werkt alleen als de partnerorganisatie ervoor zorgt dat Microsoft Entra SSPR is ingeschakeld. Er worden geen extra kosten in rekening gebracht voor Microsoft 365-klanten.
  • Gebruikers die zich registreren via selfserviceregistratie: als de organisatie waarmee u werkt, de selfserviceregistratiefunctie heeft gebruikt om bij een tenant te komen, laten we hen het wachtwoord opnieuw instellen met het e-mailadres dat ze hebben geregistreerd.
  • B2B-gebruikers: alle nieuwe B2B-gebruikers die zijn gemaakt met behulp van de nieuwe Microsoft Entra B2B-mogelijkheden kunnen hun wachtwoorden ook opnieuw instellen met de e-mail die ze hebben geregistreerd tijdens het uitnodigingsproces.

Als u dit scenario wilt testen, gaat u naar https://passwordreset.microsoftonline.com een van deze partnergebruikers. Als er een alternatieve e-mail of verificatie-e-mail is gedefinieerd, werkt het opnieuw instellen van wachtwoorden zoals verwacht.

Notitie

Microsoft-accounts waaraan gasttoegang is verleend tot uw Microsoft Entra-tenant, zoals accounts van Hotmail.com, Outlook.com of andere persoonlijke e-mailadressen, kunnen microsoft Entra SSPR niet gebruiken. Ze moeten hun wachtwoord opnieuw instellen met behulp van de informatie in het artikel Wanneer u zich niet kunt aanmelden bij uw Microsoft-accountartikel .

Volgende stappen

Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR: