Een azure Active Directory-implementatie voor selfservice voor wachtwoordherstel plannen

Belangrijk

Dit implementatieplan biedt richtlijnen en aanbevolen procedures voor het implementeren van Azure AD selfservice voor wachtwoordherstel (SSPR).

Als u een eindgebruiker bent en weer in uw account moet komen, gaat u naar https://aka.ms/sspr.

Selfservice voor wachtwoordherstel (SSPR) is een Functie van Azure Active Directory (AD) waarmee gebruikers hun wachtwoorden opnieuw kunnen instellen zonder contact op te vragen met IT-medewerkers voor hulp. De gebruikers kunnen zichzelf snel deblokkeren en blijven werken, ongeacht waar ze zijn of op het tijdstip van de dag. Door de werknemers in staat te stellen zichzelf te deblokkeren, kan uw organisatie de niet-productieve tijd en hoge ondersteuningskosten verminderen voor de meest voorkomende problemen met betrekking tot wachtwoorden.

SSPR heeft de volgende belangrijke mogelijkheden:

  • Met selfservice kunnen eindgebruikers hun verlopen of niet-verlopen wachtwoorden opnieuw instellen zonder contact op te leggen met een beheerder of helpdesk voor ondersteuning.
  • Wachtwoord terugschrijven maakt het beheer van on-premises wachtwoorden en het oplossen van accountvergrendeling via de cloud mogelijk.
  • Rapporten over wachtwoordbeheeractiviteiten geven beheerders inzicht in het opnieuw instellen van wachtwoorden en registratieactiviteiten die in hun organisatie plaatsvinden.

Deze implementatiehandleiding laat zien hoe u een SSPR-implementatie plant en test.

Als u SSPR snel in actie wilt zien en vervolgens meer wilt weten over aanvullende implementatieoverwegingen:

Meer informatie over SSPR

Meer informatie over SSPR. Zie Hoe het werkt: Azure AD selfservice voor wachtwoordherstel.

Belangrijkste voordelen

De belangrijkste voordelen van het inschakelen van SSPR zijn:

  • Kosten beheren. SSPR vermindert de IT-ondersteuningskosten door gebruikers in staat te stellen wachtwoorden zelf opnieuw in te stellen. Het vermindert ook de kosten van verloren tijd vanwege verloren wachtwoorden en vergrendelingen.

  • Intuïtieve gebruikerservaring. Het biedt een intuïtief eenmalige gebruikersregistratieproces waarmee gebruikers wachtwoorden opnieuw kunnen instellen en accounts op aanvraag kunnen deblokkeren vanaf elk apparaat of elke locatie. Met SSPR kunnen gebruikers sneller aan het werk en productiever zijn.

  • Flexibiliteit en beveiliging. Met SSPR kunnen ondernemingen toegang krijgen tot de beveiliging en flexibiliteit die een cloudplatform biedt. Beheerders kunnen instellingen wijzigen om tegemoet te komen aan nieuwe beveiligingsvereisten en deze wijzigingen implementeren voor gebruikers zonder hun aanmelding te verstoren.

  • Robuuste controle en gebruikstracking. Een organisatie kan ervoor zorgen dat de bedrijfssystemen veilig blijven terwijl de gebruikers hun eigen wachtwoorden opnieuw instellen. Robuuste auditlogboeken bevatten informatie over elke stap van het proces voor wachtwoordherstel. Deze logboeken zijn beschikbaar via een API en stellen de gebruiker in staat om de gegevens te importeren in een SIEM-systeem (Security Incident and Event Monitoring) van keuze.

Licentieverlening

Azure Active Directory heeft een licentie per gebruiker. Elke gebruiker vereist een juiste licentie voor de functies die ze gebruiken. We raden groepslicenties aan voor SSPR.

Als u edities en functies wilt vergelijken en groeps- of gebruikerslicenties wilt inschakelen, raadpleegt u licentievereisten voor Azure AD selfservice voor wachtwoordherstel.

Zie Prijzen van Azure Active Directory voor meer informatie over prijzen.

Vereisten

  • Een werkende Azure AD-tenant waarop minimaal een proeflicentie is ingeschakeld. Maak er gratis een indien nodig.

  • Een account met de bevoegdheden van een globale beheerder.

Trainingsbronnen

Resources Koppeling en beschrijving
Video's Uw gebruikers in staat stellen betere IT-schaalbaarheid te bieden
Wat is self-service voor wachtwoordherstel?
Selfservice voor wachtwoordherstel implementeren
SSPR inschakelen en configureren in Azure AD
Selfservice voor wachtwoordherstel configureren voor gebruikers in Azure AD?
[Gebruikers voorbereiden op] registreren [hun] beveiligingsgegevens voor Azure Active Directory
Online cursussen Identiteiten beheren in Microsoft Azure Active Directory SSPR gebruiken om uw gebruikers een moderne, beveiligde ervaring te bieden. Zie met name de module 'Azure Active Directory-gebruikers en -groepen beheren'.
Pluralsight Betaalde cursussen De problemen met identiteits- en toegangsbeheer Meer informatie over IAM en beveiligingsproblemen waar u rekening mee moet houden in uw organisatie. Bekijk vooral de module 'Andere verificatiemethoden'.
Aan de slag met microsoft Enterprise Mobility Suite leert u de aanbevolen procedures voor het uitbreiden van on-premises assets naar de cloud op een manier die verificatie, autorisatie, versleuteling en een beveiligde mobiele ervaring mogelijk maakt. Zie vooral de module Geavanceerde functies van Microsoft Azure Active Directory Premium configureren.
Zelfstudies Een pilot van een Azure AD-selfservice voor wachtwoordherstel uitrollen
Wachtwoord terugschrijven inschakelen
Azure AD wachtwoord opnieuw instellen vanuit het aanmeldingsscherm voor Windows 10
Veelgestelde vragen Veelgestelde vragen over wachtwoordbeheer

Architectuur voor de oplossing

In het volgende voorbeeld wordt de oplossingsarchitectuur voor wachtwoordherstel beschreven voor algemene hybride omgevingen.

diagram van oplossingsarchitectuur

Beschrijving van werkstroom

Als u het wachtwoord opnieuw wilt instellen, gaan gebruikers naar de portal voor wachtwoordherstel. Ze moeten de eerder geregistreerde verificatiemethode of methoden controleren om hun identiteit te bewijzen. Als ze het wachtwoord opnieuw instellen, beginnen ze met het opnieuw instellen van het wachtwoord.

  • Voor cloudgebruikers slaat SSPR het nieuwe wachtwoord op in Azure AD.

  • Voor hybride gebruikers schrijft SSPR het wachtwoord terug naar de on-premises Active Directory via de Azure AD Connect-service.

Opmerking: Voor gebruikers die wachtwoordhashsynchronisatie (PHS) hebben uitgeschakeld, worden de wachtwoorden alleen opgeslagen in de on-premises Active Directory.

Aanbevolen procedures

U kunt gebruikers helpen zich snel te registreren door SSPR te implementeren naast een andere populaire toepassing of service in de organisatie. Met deze actie wordt een groot aantal aanmeldingen gegenereerd en wordt de registratie aangestuurd.

Voordat u SSPR implementeert, kunt u ervoor kiezen om het nummer en de gemiddelde kosten van elke aanroep voor wachtwoordherstel te bepalen. U kunt deze gegevenspostimplementatie gebruiken om de waarde weer te geven die SSPR naar de organisatie brengt.

Gecombineerde registratie voor SSPR en Azure AD Multi-Factor Authentication

Notitie

Vanaf 15 augustus 2020 worden alle nieuwe Azure AD tenants automatisch ingeschakeld voor gecombineerde registratie. Tenants die na deze datum zijn gemaakt, kunnen de verouderde registratiewerkstromen niet gebruiken. Na 30 september 2022 worden alle bestaande Azure AD tenants automatisch ingeschakeld voor gecombineerde registratie.

We raden organisaties aan de gecombineerde registratie-ervaring te gebruiken voor Azure AD Multi-Factor Authentication en selfservice voor wachtwoordherstel (SSPR). Met SSPR kunnen gebruikers hun wachtwoord op een veilige manier opnieuw instellen met dezelfde methoden die ze gebruiken voor Azure AD Multi-Factor Authentication. Gecombineerde registratie is één stap voor eindgebruikers. Zie de concepten voor registratie van gecombineerde beveiligingsinformatie om de functionaliteit en ervaring van eindgebruikers te begrijpen.

Het is essentieel om gebruikers te informeren over toekomstige wijzigingen, registratievereisten en eventuele benodigde gebruikersacties. We bieden communicatiesjablonen en gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en helpen bij het garanderen van een succesvolle implementatie. Gebruikers verzenden om zich te https://myprofile.microsoft.com registreren door de koppeling Beveiligingsgegevens op die pagina te selecteren.

Het implementatieproject plannen

Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.

De juiste belanghebbenden betrekken

Wanneer technologieprojecten mislukken, doen ze dit meestal vanwege niet-overeenkomende verwachtingen over impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden in contact houdt en dat belanghebbendenrollen in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en accountabiliteit te documenteren.

Vereiste beheerdersrollen

Bedrijfsrol/persona Azure AD rol (indien nodig)
Helpdesk op niveau 1 Wachtwoordbeheerder
Helpdesk op niveau 2 Gebruikersbeheerder
SSPR-beheerder Globale beheerder

Een testfase plannen

Het is raadzaam om de eerste configuratie van SSPR in een testomgeving te configureren. Begin met een testgroep door SSPR in te schakelen voor een subset gebruikers in uw organisatie. Zie Best practices voor een testfase.

Als u een groep wilt maken, raadpleegt u hoe u een groep maakt en leden toevoegt in Azure Active Directory.

Planconfiguratie

De volgende instellingen zijn vereist om SSPR samen met aanbevolen waarden in te schakelen.

Gebied Instelling Waarde
SSPR-eigenschappen Selfservice voor wachtwoordherstel ingeschakeld Geselecteerde groep voor testfase / Alles voor productie
Verificatiemethoden Verificatiemethoden die vereist zijn om te registreren Altijd 1 meer dan vereist voor opnieuw instellen
Verificatiemethoden die nodig zijn om opnieuw in te stellen Een of twee
Registratie Vereisen dat gebruiker zich bij aanmelding registreren Yes
Het aantal dagen waarna gebruikers wordt gevraagd om de verificatiegegevens opnieuw te bevestigen 90 – 180 dagen
Meldingen Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord Yes
Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen Yes
Aanpassing Helpdeskkoppeling aanpassen Yes
Aangepaste e-mail of URL van de helpdesk Ondersteuningssite of e-mailadres
On-premises integratie Wachtwoorden terugschrijven naar on-premises AD Yes
Gebruikers toestaan een account te ontgrendelen zonder het wachtwoord opnieuw in te stellen Yes

SSPR-eigenschappen

Wanneer u SSPR inschakelt, kiest u een geschikte beveiligingsgroep in de testomgeving.

  • Als u SSPR-registratie voor iedereen wilt afdwingen, raden we u aan de optie Alles te gebruiken.
  • Selecteer anders de juiste Azure AD of AD-beveiligingsgroep.

Verificatiemethoden

Wanneer SSPR is ingeschakeld, kunnen gebruikers hun wachtwoord alleen opnieuw instellen als ze gegevens hebben die aanwezig zijn in de verificatiemethoden die de beheerder heeft ingeschakeld. Methoden omvatten telefoon-, Authenticator-app-meldingen, beveiligingsvragen, enzovoort. Zie Wat zijn verificatiemethoden? voor meer informatie.

We raden de volgende verificatiemethode-instellingen aan:

  • Stel de verificatiemethoden in die nodig zijn om zich te registreren op ten minste één meer dan het vereiste aantal om opnieuw in te stellen. Het toestaan van meerdere verificaties biedt gebruikers flexibiliteit wanneer ze opnieuw moeten worden ingesteld.

  • Stel het aantal methoden in dat is vereist om opnieuw in te stellen op een niveau dat geschikt is voor uw organisatie. Eén vereist de minste wrijving, terwijl twee uw beveiligingspostuur kunnen verhogen.

Opmerking: de gebruiker moet de verificatiemethoden hebben geconfigureerd in het wachtwoordbeleid en de beperkingen in Azure Active Directory.

Registratie-instellingen

Stel Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden bijJa. Voor deze instelling moeten gebruikers zich registreren wanneer ze zich aanmelden, zodat alle gebruikers worden beveiligd.

Stel het aantal dagen in voordat gebruikers wordt gevraagd hun verificatiegegevens tussen 90 en 180 dagen opnieuw te bevestigen, tenzij uw organisatie een kortere periode nodig heeft.

Instellingen voor meldingen

Configureer zowel de notify users on password resets and the Notify all admins when other admins reset their password to Yes. Als u Ja selecteert, wordt de beveiliging verhoogd door ervoor te zorgen dat gebruikers zich ervan bewust zijn wanneer hun wachtwoord opnieuw wordt ingesteld. Het zorgt er ook voor dat alle beheerders op de hoogte zijn wanneer een beheerder een wachtwoord wijzigt. Als gebruikers of beheerders een melding ontvangen en ze de wijziging niet hebben gestart, kunnen ze onmiddellijk een mogelijk beveiligingsprobleem melden.

Notitie

Email meldingen van de SSPR-service worden verzonden vanaf de volgende adressen op basis van de Azure-cloud waarmee u werkt:

  • Openbaar: msonlineservicesteam@microsoft.com
  • China: msonlineservicesteam@oe.21vianet.com
  • Overheid: msonlineservicesteam@azureadnotifications.us Als u problemen ondervindt bij het ontvangen van meldingen, controleert u uw spaminstellingen.

Aanpassingsinstellingen

Het is essentieel om de e-mail of URL van de helpdesk aan te passen om ervoor te zorgen dat gebruikers die problemen ondervinden, direct hulp kunnen krijgen. Stel deze optie in op een gemeenschappelijk e-mailadres of webpagina van de helpdesk waarmee uw gebruikers bekend zijn.

Zie De Azure AD-functionaliteit aanpassen voor selfservice voor wachtwoordherstel voor meer informatie.

Wachtwoord terugschrijven

Wachtwoord terugschrijven is ingeschakeld met Azure AD Verbinding maken en wachtwoordherstel in de cloud terugschrijven naar een bestaande on-premises map in realtime. Zie Wat is Wachtwoord terugschrijven voor meer informatie?

We raden de volgende instellingen aan:

  • Zorg ervoor dat wachtwoorden terugschrijven naar on-premises AD is ingesteld op Ja.
  • Stel toestaan dat gebruikers een account ontgrendelen zonder het wachtwoord opnieuw in te stellen op Ja.

Standaard ontgrendelt Azure AD accounts wanneer het wachtwoord opnieuw wordt ingesteld.

Beheerderswachtwoordinstelling

Beheerdersaccounts hebben verhoogde machtigingen. De on-premises ondernemings- of domeinbeheerders kunnen hun wachtwoorden niet opnieuw instellen via SSPR. On-premises beheerdersaccounts hebben de volgende beperkingen:

  • kan hun wachtwoord alleen wijzigen in hun on-premises omgeving.
  • kan de geheime vragen en antwoorden nooit gebruiken als methode om hun wachtwoord opnieuw in te stellen.

U wordt aangeraden uw on-premises Active Directory-beheerdersaccounts niet te synchroniseren met Azure AD.

Omgevingen met meerdere systemen voor identiteitsbeheer

Sommige omgevingen hebben meerdere systemen voor identiteitsbeheer. On-premises identiteitsbeheerders zoals Oracle AM en SiteMinder vereisen synchronisatie met AD voor wachtwoorden. U kunt dit doen met behulp van een hulpprogramma zoals pcns (Password Change Notification Service) met Microsoft Identity Manager (MIM). Zie het artikel MiM Password Change Notification Service implementeren op een domeincontroller voor meer informatie over dit complexe scenario.

Testen en ondersteuning plannen

Zorg er in elke fase van uw implementatie vanuit de eerste testgroepen in de hele organisatie voor dat de resultaten naar verwachting zijn.

Testen plannen

Om ervoor te zorgen dat uw implementatie werkt zoals verwacht, plant u een set testcases om de implementatie te valideren. Als u de testcases wilt beoordelen, hebt u een niet-beheerder-testgebruiker met een wachtwoord nodig. Zie Nieuwe gebruikers toevoegen aan Azure Active Directory als u een gebruiker moet maken.

De volgende tabel bevat nuttige testscenario's die u kunt gebruiken om de verwachte resultaten van uw organisatie te documenteren op basis van uw beleid.

Business case Verwachte resultaten
SSPR-portal is toegankelijk vanuit het bedrijfsnetwerk Bepaald door uw organisatie
SSPR-portal is toegankelijk van buiten het bedrijfsnetwerk Bepaald door uw organisatie
Gebruikerswachtwoord opnieuw instellen vanuit de browser wanneer de gebruiker niet is ingeschakeld voor het opnieuw instellen van het wachtwoord Gebruiker heeft geen toegang tot de stroom voor wachtwoordherstel
Gebruikerswachtwoord opnieuw instellen vanuit de browser wanneer de gebruiker zich niet heeft geregistreerd voor het opnieuw instellen van het wachtwoord Gebruiker heeft geen toegang tot de stroom voor wachtwoordherstel
Gebruiker meldt zich aan wanneer deze wordt afgedwongen om registratie voor wachtwoordherstel uit te voeren Vraagt de gebruiker om beveiligingsgegevens te registreren
Gebruiker meldt zich aan wanneer de registratie voor wachtwoordherstel is voltooid Vraagt de gebruiker om beveiligingsgegevens te registreren
SSPR-portal is toegankelijk wanneer de gebruiker geen licentie heeft Is toegankelijk
Gebruikerswachtwoord opnieuw instellen vanaf Windows 10 Azure AD gekoppelde of hybride Azure AD vergrendelingsscherm van het apparaat Gebruiker kan het wachtwoord opnieuw instellen
SSPR-registratie en gebruiksgegevens zijn vrijwel in realtime beschikbaar voor beheerders Is beschikbaar via auditlogboeken

U kunt ook verwijzen naar Een testrol voor selfservice voor wachtwoordherstel voltooien Azure AD. In deze zelfstudie gaat u een pilot-implementatie van SSPR in uw organisatie inschakelen en testen met behulp van een niet-beheerdersaccount.

Ondersteuning plannen

Hoewel SSPR doorgaans geen gebruikersproblemen veroorzaakt, is het belangrijk om ondersteuningsmedewerkers voor te bereiden om problemen op te lossen die zich kunnen voordoen. Hoewel een beheerder het wachtwoord voor eindgebruikers opnieuw kan instellen via de Azure AD-portal, is het beter om het probleem op te lossen via een selfserviceondersteuningsproces.

Om het succes van uw ondersteuningsteam mogelijk te maken, kunt u een veelgestelde vragen maken op basis van vragen die u van uw gebruikers ontvangt. Enkele voorbeelden:

Scenario's Beschrijving
Gebruiker heeft geen geregistreerde verificatiemethoden beschikbaar Een gebruiker probeert het wachtwoord opnieuw in te stellen, maar heeft geen van de verificatiemethoden die ze hebben geregistreerd (bijvoorbeeld: ze hebben hun mobiele telefoon thuis verlaten en hebben geen toegang tot e-mail)
De gebruiker ontvangt geen sms of oproep op zijn of haar kantoor of mobiele telefoon Een gebruiker probeert zijn identiteit te verifiëren via tekst of gesprek, maar ontvangt geen tekst/oproep.
Gebruiker heeft geen toegang tot de portal voor wachtwoordherstel Een gebruiker wil het wachtwoord opnieuw instellen, maar is niet ingeschakeld voor wachtwoordherstel en heeft geen toegang tot de pagina om wachtwoorden bij te werken.
Gebruiker kan geen nieuw wachtwoord instellen Een gebruiker voltooit de verificatie tijdens de stroom voor het opnieuw instellen van het wachtwoord, maar kan geen nieuw wachtwoord instellen.
Gebruiker ziet geen koppeling Wachtwoord opnieuw instellen op een Windows 10 apparaat Een gebruiker probeert het wachtwoord opnieuw in te stellen vanuit het Windows 10 vergrendelingsscherm, maar het apparaat is niet gekoppeld aan Azure AD of het Microsoft Endpoint Manager-apparaatbeleid is niet ingeschakeld

Terugdraaien plannen

De implementatie terugdraaien:

  • voor één gebruiker verwijdert u de gebruiker uit de beveiligingsgroep

  • voor een groep verwijdert u de groep uit de SSPR-configuratie

  • Voor iedereen schakelt u SSPR uit voor de Azure AD-tenant

SSPR implementeren

Voordat u implementeert, moet u ervoor zorgen dat u het volgende hebt gedaan:

  1. De juiste configuratie-instellingen zijn bepaald.

  2. De gebruikers en groepen voor de test- en productieomgevingen geïdentificeerd.

  3. Configuratie-instellingen voor registratie en selfservice bepaald.

  4. Wachtwoord terugschrijven geconfigureerd als u een hybride omgeving hebt.

U bent nu klaar om SSPR te implementeren.

Zie Selfservice voor wachtwoordherstel inschakelen voor volledige stapsgewijze instructies voor het configureren van de volgende gebieden.

  1. Verificatiemethoden

  2. Registratie-instellingen

  3. Instellingen voor meldingen

  4. Aanpassingsinstellingen

  5. On-premises integratie

SSPR inschakelen in Windows

Voor computers met Windows 7, 8, 8.1 en 10 kunt u gebruikers in staat stellen hun wachtwoord opnieuw in te stellen op het windows-aanmeldingsscherm

SSPR beheren

Azure AD kunt aanvullende informatie geven over uw SSPR-prestaties via controles en rapporten.

Activiteitenrapporten voor wachtwoordbeheer

U kunt vooraf gemaakte rapporten op Azure Portal gebruiken om de SSPR-prestaties te meten. Als u de juiste licentie hebt, kunt u ook aangepaste query's maken. Zie Rapportageopties voor Azure AD wachtwoordbeheer voor meer informatie

Notitie

U moet een globale beheerder zijn en u moet zich aanmelden voor deze gegevens die moeten worden verzameld voor uw organisatie. Als u zich wilt aanmelden, gaat u ten minste één keer naar het tabblad Rapportage of de auditlogboeken in Azure Portal. Tot die tijd worden de gegevens niet verzameld voor uw organisatie.

Auditlogboeken voor registratie en wachtwoordherstel zijn 30 dagen beschikbaar. Als voor beveiligingscontrole in uw bedrijf langere retentie is vereist, moeten de logboeken worden geëxporteerd en gebruikt in een SIEM-hulpprogramma, zoals Microsoft Sentinel, Splunk of ArcSight.

Schermopname van SSPR-rapportage

Verificatiemethoden: gebruik en inzichten

Met gebruik en inzichten kunt u begrijpen hoe verificatiemethoden voor functies zoals Azure AD MFA en SSPR in uw organisatie werken. Deze rapportagemogelijkheid biedt uw organisatie de middelen om te begrijpen welke methoden worden geregistreerd en hoe u deze kunt gebruiken.

Problemen oplossen

Nuttige documentatie

Volgende stappen