Zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellen met self-service voor wachtwoordherstel voor Azure Active Directory

Self-service voor wachtwoordherstel (SSPR) voor Azure Active Directory (Azure AD) biedt gebruikers de mogelijkheid hun wachtwoord te wijzigen of opnieuw in te stellen zonder tussenkomst van een beheerder of helpdesk. Als Azure AD het account van een gebruiker vergrendelt of het wachtwoord vergeet, kunnen ze aanwijzingen volgen om zichzelf te deblokkeren en weer aan het werk te gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. We raden deze video aan over het inschakelen en configureren van SSPR in Azure AD. We hebben ook een video voor IT-beheerders over het oplossen van de zes meest voorkomende foutberichten van eindgebruikers met SSPR.

Belangrijk

Aan de hand van deze zelfstudie leert een beheerder hoe self-service voor wachtwoordherstel moet worden ingeschakeld. Als u een eindgebruiker bent die al is geregistreerd voor selfservice voor het opnieuw instellen van wachtwoorden en u weer toegang moet krijgen tot uw account, gaat u naar de microsoft Online-pagina voor het opnieuw instellen van wachtwoorden .

Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.

In deze zelfstudie leert u het volgende:

  • Self-service voor wachtwoordherstel inschakelen voor een groep Azure AD-gebruikers
  • Verificatiemethoden en registratieopties instellen
  • Het SSPR-proces testen als een gebruiker

Zelfstudievideo

U kunt ook volgen in een gerelateerde video: SSPR inschakelen en configureren in Azure AD.

Vereisten

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

  • Een werkende Azure AD-tenant waarvoor ten minste een gratis azure AD- of proeflicentie is ingeschakeld. In de gratis laag werkt SSPR alleen voor cloudgebruikers in Azure AD. Wachtwoordwijziging wordt ondersteund in de gratis laag, maar het opnieuw instellen van wachtwoorden is niet mogelijk.
    • Voor latere zelfstudies in deze reeks hebt u een Azure AD Premium P1- of proeflicentie nodig voor het terugschrijven van on-premises wachtwoorden.
    • Maak indien nodig gratis een Azure-account.
  • Een account met de bevoegdheden van een globale beheerder.
  • Een niet-beheerder met een wachtwoord dat u kent, zoals testuser. In deze zelfstudie test u de SSPR-ervaring van eindgebruikers met behulp van dit account.
  • Een groep waarvan de gebruiker geen beheerder is, is lid van SSPR-Test-Group. In deze zelfstudie schakelt u SSPR in voor deze groep.

Selfservice voor wachtwoordherstel inschakelen

In Azure AD kunt u SSPR inschakelen voor Geen, Geselecteerde of Alle gebruikers. Dankzij deze opsplitsing kunt u een subset van gebruikers kiezen om het registratieproces en de werkstroom van SSPR te testen. Wanneer u vertrouwd bent met het proces en het tijd is om de vereisten te communiceren met een bredere set gebruikers, kunt u een groep gebruikers selecteren om SSPR in te schakelen. U kunt ook SSPR inschakelen voor iedereen in de Azure AD-tenant.

Notitie

Op dit moment kunt u slechts één Azure AD-groep inschakelen voor SSPR met behulp van Azure Portal. Als onderdeel van een bredere implementatie van SSPR ondersteunt Azure AD geneste groepen.

In deze zelfstudie stelt u SSPR in voor een set gebruikers in een testgroep. Gebruik de SSPR-Test-Group en geef indien nodig uw eigen Azure AD-groep op:

  1. Meld u aan bij Azure Portal met een account met machtigingen op het niveau van globale beheerder.

  2. Zoek en selecteer Azure Active Directory en selecteer vervolgens Wachtwoord opnieuw instellen in het menu aan de linkerkant.

  3. Kies Geselecteerd op de pagina Eigenschappen onder de optie Selfservice voor wachtwoordherstel ingeschakeld.

  4. Als uw groep niet zichtbaar is, kiest u Geen groepen geselecteerd, bladert en selecteert u uw Azure AD-groep, zoals SSPR-Test-Group, en kiest u Selecteren.

    Select a group in the Azure portal to enable for self-service password reset

  5. Als u SSPR wilt inschakelen voor de geselecteerde gebruikers, selecteert u Opslaan.

Verificatiemethoden en registratieopties selecteren

Wanneer gebruikers hun account moeten ontgrendelen of hun wachtwoord opnieuw moeten instellen, wordt ze gevraagd om een andere bevestigingsmethode. Deze extra verificatiefactor zorgt ervoor dat Azure AD alleen goedgekeurde SSPR-gebeurtenissen heeft voltooid. U kunt kiezen welke verificatiemethoden u wilt toestaan, op basis van de registratiegegevens die door de gebruiker worden verstrekt.

  1. Stel in het menu aan de linkerkant van de pagina Verificatiemethoden het aantal methoden in dat is vereist om opnieuw in te stellen op 2.

    Voor het verbeteren van de beveiliging kunt u het aantal verificatiemethoden verhogen dat nodig is voor SSPR.

  2. Kies uit Methoden voor gebruikers die uw organisatie wil toestaan. In deze zelfstudie selecteert u de selectievakjes voor de methoden die u wilt inschakelen:

    • Meldingen via mobiele app
    • Code via mobiele app
    • E-mail
    • Mobiele telefoon

    U kunt indien nodig andere verificatiemethoden, zoals office-telefoon of beveiligingsvragen, inschakelen om aan uw zakelijke vereisten te voldoen.

  3. Als u de verificatiemethoden wilt toepassen, selecteert u Opslaan.

Voordat gebruikers hun account kunnen ontgrendelen of een wachtwoord opnieuw kunnen instellen, moeten ze hun contactgegevens registreren. Azure AD gebruikt deze contactgegevens voor de verschillende verificatiemethoden die in de vorige stappen zijn ingesteld.

Een beheerder kan deze contactgegevens handmatig opgeven. Gebruikers kunnen naar een registratieportal gaan om de gegevens zelf te verstrekken. In deze zelfstudie stelt u Azure AD in om de gebruikers te vragen zich de volgende keer aan te melden voor registratie.

  1. Selecteer In het menu aan de linkerkant van de registratiepagina Ja voor Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden.

  2. Stel Aantal dagen waarna gebruikers wordt gevraagd om de verificatiegegevens opnieuw te bevestigen in op 180.

    Het is belangrijk om de contactgegevens up-to-date te houden. Als verouderde contactgegevens bestaan wanneer een SSPR-gebeurtenis wordt gestart, kan de gebruiker zijn of haar account mogelijk niet ontgrendelen of het wachtwoord opnieuw instellen.

  3. Als u de registratie-instellingen wilt toepassen, selecteert u Opslaan.

Meldingen en aanpassingen instellen

Als u gebruikers op de hoogte wilt houden van accountactiviteit, kunt u Azure AD instellen om e-mailmeldingen te verzenden wanneer er een SSPR-gebeurtenis plaatsvindt. Deze meldingen betreffen normale gebruikersaccounts en beheerdersaccounts. Voor beheerdersaccounts biedt deze melding een andere beveiligingslaag wanneer het wachtwoord voor een bevoegde beheerdersaccount opnieuw wordt ingesteld met behulp van SSPR. Azure AD informeert alle globale beheerders wanneer iemand SSPR gebruikt voor een beheerdersaccount.

  1. Stel in het menu aan de linkerkant van de pagina Meldingen de volgende opties in:

    • Stel Gebruikers op de hoogte stellen van het opnieuw instellen van wachtwoorden? optie op Ja.
    • Stel Alle beheerders op de hoogte wanneer andere beheerders hun wachtwoord opnieuw instellen? op Ja.
  2. Als u de meldingsvoorkeuren wilt toepassen, selecteert u Opslaan.

Als gebruikers meer hulp nodig hebben bij het SSPR-proces, kunt u de koppeling Contact opnemen met uw beheerder aanpassen. De gebruiker kan deze koppeling selecteren in het SSPR-registratieproces en wanneer ze hun account ontgrendelen of hun wachtwoord opnieuw instellen. Om ervoor te zorgen dat uw gebruikers de benodigde ondersteuning krijgen, raden we u aan een aangepaste e-mail of URL van de helpdesk op te geven.

  1. Stel in het menu aan de linkerkant van de pagina Aanpassing de koppeling Helpdesk aanpassen in opJa.
  2. Geef in het veld Aangepaste helpdesk-e-mail of URL een e-mailadres of webpagina-URL op waar uw gebruikers meer hulp kunnen krijgen van uw organisatie, zoals https://support.contoso.com/
  3. Als u de aangepaste koppeling wilt toepassen, selecteert u Opslaan.

Selfservice voor wachtwoord opnieuw instellen testen

Als SSPR is ingeschakeld en ingesteld, test u het SSPR-proces met een gebruiker die deel uitmaakt van de groep die u in de vorige sectie hebt geselecteerd, zoals Test-SSPR-Group. In het volgende voorbeeld wordt het testuser-account gebruikt. Geef uw eigen gebruikersaccount op. Het maakt deel uit van de groep die u hebt ingeschakeld voor SSPR in de eerste sectie van deze zelfstudie.

Notitie

Gebruik een niet-beheerdersaccount als u de self-service voor wachtwoordherstel test. Standaard schakelt Azure AD selfservice voor wachtwoordherstel in voor beheerders. Ze moeten twee verificatiemethoden gebruiken om hun wachtwoord opnieuw in te stellen. Zie Verschillen in beleid voor het opnieuw instellen van beheerders voor meer informatie.

  1. Als u het handmatige registratieproces wilt zien, opent u een nieuw browservenster in de InPrivate- of incognitomodus en bladert u naar https://aka.ms/ssprsetup. Azure AD stuurt gebruikers naar deze registratieportal wanneer ze zich de volgende keer aanmelden.

  2. Meld u aan met een niet-beheerder testgebruiker, zoals testuser, en registreer de contactgegevens van uw verificatiemethoden.

  3. Als u klaar bent, selecteert u de knop met de markering Ziet er goed uit en sluit u het browservenster.

  4. Open een nieuw browservenster in de InPrivate- of incognitomodus en blader naar https://aka.ms/sspr.

  5. Voer de accountgegevens van uw niet-beheerderstestgebruikers in, zoals testuser, de tekens uit de CAPTCHA en selecteer vervolgens Volgende.

    Enter user account information to reset the password

  6. Volg de verificatiestappen om uw wachtwoord opnieuw in te stellen. Wanneer u klaar bent, ontvangt u een e-mailmelding dat uw wachtwoord opnieuw is ingesteld.

Resources opschonen

In een latere zelfstudie in deze reeks gaat u wachtwoord terugschrijven instellen. Met deze functie worden wachtwoordwijzigingen vanuit Azure AD SSPR teruggeschreven naar een on-premises AD-omgeving. Als u wilt doorgaan met deze reeks zelfstudies om wachtwoord terugschrijven in te stellen, schakelt u SSPR nu niet uit.

Als u de SSPR-functionaliteit die u hebt ingesteld als onderdeel van deze zelfstudie niet meer wilt gebruiken, stelt u de SSPR-status in op Geen met behulp van de volgende stappen:

  1. Meld u aan bij de Azure-portal.
  2. Zoek en selecteer Azure Active Directory en selecteer vervolgens Wachtwoord opnieuw instellen in het menu aan de linkerkant.
  3. Selecteer Geen op de pagina Eigenschappen onder de optie Selfservice voor wachtwoordherstel ingeschakeld.
  4. Als u de wijziging van de SSPR wilt toepassen, selecteert u Opslaan.

Veelgestelde vragen

In deze sectie worden veelgestelde vragen uitgelegd van beheerders en eindgebruikers die SSPR proberen:

  • Waarom wachten federatieve gebruikers maximaal 2 minuten nadat ze zien dat uw wachtwoord opnieuw is ingesteld voordat ze wachtwoorden kunnen gebruiken die vanuit on-premises worden gesynchroniseerd?

    Voor federatieve gebruikers waarvan de wachtwoorden worden gesynchroniseerd, is de bron van autoriteit voor de wachtwoorden on-premises. Als gevolg hiervan werkt SSPR alleen de on-premises wachtwoorden bij. Wachtwoord-hashsynchronisatie naar Azure AD wordt elke 2 minuten gepland.

  • Wanneer een zojuist gemaakte gebruiker die vooraf is gevuld met SSPR-gegevens, zoals telefoon en e-mail, de SSPR-registratiepagina bezoekt, verliest u geen toegang tot uw account! wordt weergegeven als de titel van de pagina. Waarom zien andere gebruikers met vooraf ingevulde SSPR-gegevens het bericht niet?

    Een gebruiker die de toegang tot uw account ziet, verliest geen toegang! is lid van SSPR-/gecombineerde registratiegroepen die zijn geconfigureerd voor de tenant. Gebruikers die de toegang tot uw account niet verliezen, maken geen deel uit van de SSPR-/gecombineerde registratiegroepen.

  • Wanneer sommige gebruikers het SSPR-proces doorlopen en hun wachtwoord opnieuw instellen, zien ze de indicator voor wachtwoordsterkte niet?

    Gebruikers die geen zwakke/sterke wachtwoordsterkte zien, hebben gesynchroniseerde wachtwoord terugschrijven ingeschakeld. Omdat SSPR het wachtwoordbeleid van de on-premises omgeving van de klant niet kan bepalen, kan de wachtwoordsterkte of zwakheid niet worden gevalideerd.

Volgende stappen

In deze zelfstudie hebt u self-service voor wachtwoordherstel van Azure AD voor een bepaalde groep gebruikers ingeschakeld. U hebt geleerd hoe u:

  • Self-service voor wachtwoordherstel inschakelen voor een groep Azure AD-gebruikers
  • Verificatiemethoden en registratieopties instellen
  • Het SSPR-proces testen als een gebruiker