Selfservice voor wachtwoordherstel van Microsoft Entra inschakelen op het aanmeldingsscherm van Windows

Selfservice voor wachtwoordherstel (SSPR) biedt gebruikers in Microsoft Entra ID de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Normaal gesproken openen gebruikers een webbrowser op een ander apparaat om toegang te krijgen tot de SSPR-portal. Als u de ervaring wilt verbeteren op computers met Windows 7, 8, 8.1, 10 en 11, kunt u inschakelen dat gebruikers hun wachtwoord opnieuw instellen op het aanmeldingsscherm van Windows.

Example Windows login screens with SSPR link shown

Belangrijk

Deze zelfstudie laat een beheerder zien hoe u SSPR voor Windows-apparaten in een onderneming inschakelt.

Als uw IT-team de mogelijkheid om SSPR vanaf uw Windows-apparaat te gebruiken niet heeft ingeschakeld of als u problemen ondervindt tijdens het aanmelden, neemt u contact op met uw helpdesk voor aanvullende hulp.

Algemene beperkingen

De volgende beperkingen gelden voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm:

  • Wachtwoordherstel wordt momenteel niet ondersteund vanuit een extern bureaublad of via verbeterde Hyper-V-sessies.
  • Sommige referentieproviders van derden zijn bekend om problemen met deze functie te veroorzaken.
  • Het uitschakelen van UAC via het wijzigen van de registersleutel EnableLUA is bekend dat dit problemen veroorzaakt.
  • Deze functie werkt niet voor netwerken met 802.1x-netwerkverificatie geïmplementeerd en de optie 'Direct vóór aanmelding van gebruiker uitvoeren'. Voor netwerken waarop 802.1x-netwerkverificatie is geïmplementeerd, is het raadzaam om computerverificatie te gebruiken om deze functie in te schakelen.
  • Hybride machines van Microsoft Entra moeten netwerkconnectiviteitslijn voor een domeincontroller hebben om het nieuwe wachtwoord te kunnen gebruiken en referenties in de cache bij te werken. Dit betekent dat apparaten zich in het interne netwerk van de organisatie of op een VPN met netwerktoegang tot een on-premises domeincontroller moeten bevinden.
  • Als u een installatiekopie gebruikt, controleert u voordat u sysprep uitvoert of de webcache is gewist voor de ingebouwde Beheer istrator voordat u de copyProfile-stap uitvoert. Meer informatie over deze stap vindt u in het ondersteuningsartikel Prestatieproblemen bij het gebruik van een aangepast standaardgebruikersprofiel.
  • De volgende instellingen zijn bekend om de mogelijkheid om wachtwoorden te gebruiken en opnieuw in te stellen op Windows 10-apparaten:
    • Als meldingen op het vergrendelingsscherm zijn uitgeschakeld, werkt het wachtwoord opnieuw instellen niet.
    • HideFastUserSwitching is ingesteld op ingeschakeld of 1
    • DontDisplayLastUserName is ingesteld op ingeschakeld of 1
    • NoLockScreen is ingesteld op ingeschakeld of 1
    • BlockNon Beheer UserInstall is ingesteld op ingeschakeld of 1
    • EnableLostMode is ingesteld op het apparaat
    • Explorer.exe is vervangen door een aangepaste shell
    • Interactieve aanmelding: Smartcard vereisen is ingesteld op ingeschakeld of 1
  • De combinatie van de volgende specifieke drie instellingen kan ertoe leiden dat deze functie niet werkt.
    • Interactieve aanmelding: Ctrl+Alt+DEL = Uitgeschakeld (alleen voor Windows 10 versie 1710 en eerder)
    • DisableLockScreenAppNotifications = 1 of Ingeschakeld
    • Windows SKU is Home-editie

Notitie

Deze beperkingen gelden ook voor Windows Hello voor Bedrijven pincode opnieuw instellen vanaf het vergrendelingsscherm van het apparaat.

Wachtwoord opnieuw instellen in Windows 11 en Windows 10

Als u een Windows 11- of Windows 10-apparaat voor SSPR wilt configureren op het aanmeldingsscherm, raadpleegt u de volgende vereisten en configuratiestappen.

Vereisten voor Windows 11 en Windows 10

  • Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator en schakel selfservice voor wachtwoordherstel van Microsoft Entra in.
  • Gebruikers moeten zich registreren voor SSPR voordat ze deze functie gebruiken op https://aka.ms/ssprsetup
    • Niet uniek voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, moeten alle gebruikers de contactgegevens voor verificatie opgeven voordat ze hun wachtwoord opnieuw kunnen instellen.
  • Vereisten voor netwerkproxy:
    • Poort 443 naar passwordreset.microsoftonline.com en ajax.aspnetcdn.com
    • Voor Windows 10-apparaten is een proxyconfiguratie op computerniveau of een proxyconfiguratie met een bereik vereist voor het tijdelijke defaultuser1-account dat wordt gebruikt voor het uitvoeren van SSPR (zie de sectie Probleemoplossing voor meer informatie).
  • Voer ten minste Windows 10, versie 2018 Update (v1803) uit en de apparaten moeten:
    • Aan Microsoft Entra gekoppeld
    • Hybride aan Microsoft Entra gekoppeld

Inschakelen voor Windows 11 en Windows 10 met Microsoft Intune

Het implementeren van de configuratiewijziging om SSPR in te schakelen vanuit het aanmeldingsscherm met behulp van Microsoft Intune is de meest flexibele methode. Met Microsoft Intune kunt u de configuratiewijziging implementeren naar een specifieke groep machines die u definieert. Voor deze methode is Microsoft Intune-inschrijving van het apparaat vereist.

Een apparaatconfiguratiebeleid maken in Microsoft Intune

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Maak een nieuw apparaatconfiguratieprofiel door naar Apparaatconfiguratieprofielen> te gaan en selecteer vervolgens + Profiel maken

    • Voor Platform kiest u Windows 10 en hoger
    • Voor profieltype kiest u Sjablonen en selecteert u vervolgens de onderstaande aangepaste sjabloon
  3. Selecteer Maken en geef vervolgens een betekenisvolle naam op voor het profiel, zoals Het aanmeldingsscherm van Windows 11, SSPR

    Geef desgewenst een zinvolle beschrijving van het profiel op en selecteer vervolgens Volgende.

  4. Selecteer onder Configuratie-instellingen de optie Toevoegen en geef de volgende OMA-URI-instelling op om de koppeling wachtwoord opnieuw instellen in te schakelen:

    • Geef een betekenisvolle naam op om uit te leggen wat de instelling doet, zoals een SSPR-koppeling toevoegen.
    • Geef desgewenst een zinvolle beschrijving van de instelling op.
    • OMA-URI ingesteld op ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Gegevenstype ingesteld op Geheel getal
    • Waarde ingesteld op 1

    Selecteer Toevoegen en vervolgens Volgende.

  5. Het beleid kan worden toegewezen aan specifieke gebruikers, apparaten of groepen. Wijs het profiel naar wens toe aan uw omgeving, idealiter aan een testgroep apparaten en selecteer vervolgens Volgende.

    Zie Gebruikers- en apparaatprofielen toewijzen in Microsoft Intune voor meer informatie.

  6. Configureer toepasselijkheidsregels zoals gewenst voor uw omgeving, zoals het toewijzen van een profiel als de editie van het besturingssysteem Windows 10 Enterprise is en selecteer vervolgens Volgende.

  7. Controleer uw profiel en selecteer Vervolgens Maken.

Inschakelen voor Windows 11 en Windows 10 met behulp van het register

Voer de volgende stappen uit om SSPR in te schakelen op het aanmeldingsscherm met behulp van een registersleutel:

  1. Meld u aan bij de Windows-pc met beheerdersreferenties.

  2. Druk op Windows + R om het dialoogvenster Uitvoeren te openen en voer regedit uit als beheerder

  3. Stel de volgende registersleutel in:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Problemen met het opnieuw instellen van wachtwoorden in Windows 11 en Windows 10 oplossen

Als u problemen ondervindt met het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, bevat het Auditlogboek van Microsoft Entra informatie over het IP-adres en ClientType waar het opnieuw instellen van het wachtwoord is opgetreden, zoals wordt weergegeven in de volgende voorbeelduitvoer:

Example Windows 7 password reset in the Microsoft Entra audit log

Wanneer gebruikers hun wachtwoord opnieuw instellen vanaf het aanmeldingsscherm van een Windows 11- of 10-apparaat, wordt er een tijdelijk account defaultuser1 met lage bevoegdheden gemaakt. Dit account wordt gebruikt om het proces voor het opnieuw instellen van het wachtwoord te beveiligen.

Het account zelf heeft een willekeurig gegenereerd wachtwoord, dat wordt gevalideerd op basis van het wachtwoordbeleid van een organisatie, wordt niet weergegeven voor apparaataanmelding en wordt automatisch verwijderd nadat de gebruiker het wachtwoord opnieuw heeft ingesteld. Er kunnen meerdere defaultuser profielen bestaan, maar kunnen veilig worden genegeerd.

Proxyconfiguraties voor het opnieuw instellen van windows-wachtwoorden

Tijdens het opnieuw instellen van het wachtwoord maakt SSPR een tijdelijk lokaal gebruikersaccount waarmee verbinding kan worden gemaakt https://passwordreset.microsoftonline.com/n/passwordreset. Wanneer een proxy is geconfigureerd voor gebruikersverificatie, kan dit mislukken met de fout 'Er is iets misgegaan. Probeer het later opnieuw. Dit komt doordat het lokale gebruikersaccount niet is gemachtigd om de geverifieerde proxy te gebruiken.

In dit geval kunt u een van de volgende tijdelijke oplossingen gebruiken:

  • Configureer een proxy-instelling voor de hele machine die niet afhankelijk is van het type gebruiker dat is aangemeld bij de computer. U kunt bijvoorbeeld proxy-instellingen per computer (in plaats van per gebruiker) voor de werkstations inschakelen voor groepsbeleid.

  • U kunt ook proxyconfiguratie per gebruiker voor SSPR gebruiken als u de registersjabloon voor het standaardaccount wijzigt. De opdrachten zijn als volgt:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • De fout 'Er is iets misgegaan' kan ook optreden wanneer de verbinding met de URL https://passwordreset.microsoftonline.com/n/passwordresetwordt onderbroken. Deze fout kan bijvoorbeeld optreden wanneer antivirussoftware wordt uitgevoerd op het werkstation zonder uitsluitingen voor URL's passwordreset.microsoftonline.com, ajax.aspnetcdn.comen ocsp.digicert.com. Schakel deze software tijdelijk uit om te testen of het probleem is opgelost of niet.

Wachtwoordherstel in Windows 7, 8 en 8.1

Als u een Windows 7-, 8- of 8.1-apparaat voor SSPR wilt configureren op het aanmeldingsscherm, raadpleegt u de volgende vereisten en configuratiestappen.

Vereisten voor Windows 7, 8 en 8.1

  • Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator en schakel selfservice voor wachtwoordherstel van Microsoft Entra in.
  • Gebruikers moeten zich registreren voor SSPR voordat ze deze functie gebruiken op https://aka.ms/ssprsetup
    • Niet uniek voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, moeten alle gebruikers de contactgegevens voor verificatie opgeven voordat ze hun wachtwoord opnieuw kunnen instellen.
  • Vereisten voor netwerkproxy:
    • Poort 443 naar passwordreset.microsoftonline.com
  • Besturingssysteem met patch voor Windows 7 of Windows 8.1.
  • TLS 1.2 ingeschakeld met behulp van de richtlijnen in registerinstellingen voor Transport Layer Security (TLS).
  • Als meer dan één externe referentieprovider is ingeschakeld op uw computer, zien gebruikers meer dan één gebruikersprofiel op het aanmeldingsscherm.

Waarschuwing

TLS 1.2 moet zijn ingeschakeld, niet alleen ingesteld op automatisch onderhandelen.

Installatie

Voor Windows 7, 8 en 8.1 moet een klein onderdeel op de computer worden geïnstalleerd om SSPR in te schakelen op het aanmeldingsscherm. Voer de volgende stappen uit om dit SSPR-onderdeel te installeren:

  1. Download het juiste installatieprogramma voor de versie van Windows die u wilt inschakelen.

    Het software-installatieprogramma is beschikbaar in het Microsoft Downloadcentrum op https://aka.ms/sspraddin

  2. Meld u aan bij de computer waarop u het installatieprogramma wilt installeren en voer het uit.

  3. Na de installatie wordt een herstart ten zeerste aanbevolen.

  4. Nadat het opnieuw is opgestart, kiest u op het aanmeldingsscherm een gebruiker en selecteert u 'Wachtwoord vergeten?' om de werkstroom voor het opnieuw instellen van het wachtwoord te starten.

  5. Voltooi de werkstroom volgens de stappen op het scherm om uw wachtwoord opnieuw in te stellen.

Example Windows 7 clicked

Installatie op de achtergrond

Het SSPR-onderdeel kan zonder prompts worden geïnstalleerd of verwijderd met behulp van de volgende opdrachten:

  • Gebruik voor installatie op de achtergrond de opdracht msiexec /i SsprWindowsLogon.PROD.msi /qn
  • Gebruik voor stille verwijdering de opdracht msiexec /x SsprWindowsLogon.PROD.msi /qn

Problemen met het opnieuw instellen van wachtwoorden in Windows 7, 8 en 8.1 oplossen

Als u problemen ondervindt met het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, worden gebeurtenissen geregistreerd op de computer en in Microsoft Entra-id. Microsoft Entra-gebeurtenissen bevatten informatie over het IP-adres en ClientType waar het opnieuw instellen van het wachtwoord is opgetreden, zoals wordt weergegeven in de volgende voorbeelduitvoer:

Example Windows 7 password reset in the Microsoft Entra audit log

Als extra logboekregistratie vereist is, kan een registersleutel op de computer worden gewijzigd om uitgebreide logboekregistratie in te schakelen. Uitgebreide logboekregistratie inschakelen voor probleemoplossingsdoeleinden, alleen met behulp van de volgende registersleutelwaarde:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Als u uitgebreide logboekregistratie wilt inschakelen, maakt u een REG_DWORD: "EnableLogging"en stelt u deze in op 1.
  • Als u uitgebreide logboekregistratie wilt uitschakelen, wijzigt u de REG_DWORD: "EnableLogging" in 0.
  • Controleer de logboekregistratie voor foutopsporing in het gebeurtenislogboek van de toepassing onder de bron AADPasswordResetCredentialProvider.

Wat gebruikers zien

Met SSPR geconfigureerd voor uw Windows-apparaten, welke wijzigingen voor de gebruiker? Hoe weten ze dat ze hun wachtwoord opnieuw kunnen instellen via het aanmeldingsscherm? In de volgende voorbeeldschermafbeeldingen ziet u de extra opties voor een gebruiker om het wachtwoord opnieuw in te stellen met behulp van SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

Wanneer gebruikers zich proberen aan te melden, zien ze een wachtwoord opnieuw instellen of de koppeling Wachtwoord vergeten waarmee de selfservice voor wachtwoordherstel wordt geopend op het aanmeldingsscherm. Deze functionaliteit maakt het mogelijk dat gebruikers hun wachtwoord opnieuw instellen zonder dat ze een ander apparaat moeten gebruiken om toegang te krijgen tot een webbrowser.

Meer informatie voor gebruikers over het gebruik van deze functie vindt u in Uw werk- of schoolwachtwoord opnieuw instellen

Volgende stappen

Om de gebruikersregistratie-ervaring te vereenvoudigen, kunt u de contactgegevens voor gebruikersverificatie vooraf invullen voor SSPR.