How it works: Azure AD self-service password reset (Hoe het werkt: selfservice voor wachtwoordherstel in Azure AD)
Self-service voor wachtwoordherstel (SSPR) voor Azure Active Directory (Azure AD) biedt gebruikers de mogelijkheid hun wachtwoord te wijzigen of opnieuw in te stellen zonder tussenkomst van een beheerder of helpdesk. Als het account van een gebruiker is vergrendeld of als deze zijn of haar wachtwoord is vergeten, kan de gebruiker de vergrendeling aan de hand van instructies zelf ongedaan maken en weer aan het werk gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. We raden deze video aan over het inschakelen en configureren van SSPR in Azure AD.
Belangrijk
In dit conceptuele artikel wordt aan een beheerder uitgelegd hoe selfservice voor wachtwoordherstel werkt. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.
Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.
Hoe werkt het proces voor het opnieuw instellen van het wachtwoord?
Een gebruiker kan het wachtwoord opnieuw instellen of wijzigen met behulp van de SSPR-portal. Ze moeten eerst hun gewenste verificatiemethoden hebben geregistreerd. Wanneer een gebruiker de SSPR-portal opent, houdt het Azure-platform rekening met de volgende factoren:
- Hoe moet de pagina worden gelokaliseerd?
- Is het gebruikersaccount geldig?
- Tot welke organisatie behoort de gebruiker?
- Waar wordt het wachtwoord van de gebruiker beheerd?
Wanneer een gebruiker de koppeling Heeft geen toegang tot uw account vanuit een toepassing of pagina selecteert of rechtstreeks naar https://aka.ms/ssprgaat, is de taal die in de SSPR-portal wordt gebruikt, gebaseerd op de volgende opties:
- Standaard wordt de landinstelling van de browser gebruikt om de SSPR weer te geven in de juiste taal. De ervaring voor het opnieuw instellen van het wachtwoord is gelokaliseerd in dezelfde talen die door Microsoft 365 worden ondersteund.
- Als u een koppeling wilt maken naar de SSPR in een specifieke gelokaliseerde taal, voegt u toe
?mkt=aan het einde van de URL voor het opnieuw instellen van het wachtwoord, samen met de vereiste landinstelling.- Als u bijvoorbeeld de Spaanse landinstelling es-us wilt opgeven, gebruikt
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-usu .
- Als u bijvoorbeeld de Spaanse landinstelling es-us wilt opgeven, gebruikt
Nadat de SSPR-portal wordt weergegeven in de vereiste taal, wordt de gebruiker gevraagd een gebruikers-id in te voeren en een captcha door te geven. Azure AD controleert nu of de gebruiker SSPR kan gebruiken door de volgende controles uit te voeren:
- Controleert of de gebruiker SSPR heeft ingeschakeld.
- Als de gebruiker niet is ingeschakeld voor SSPR, wordt de gebruiker gevraagd contact op te vragen met de beheerder om het wachtwoord opnieuw in te stellen.
- Controleert of de gebruiker de juiste verificatiemethoden heeft gedefinieerd voor het account in overeenstemming met het beheerdersbeleid.
- Als voor het beleid slechts één methode is vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste één van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te vragen met de beheerder om het wachtwoord opnieuw in te stellen.
- Als voor het beleid twee methoden zijn vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste twee van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te vragen met de beheerder om het wachtwoord opnieuw in te stellen.
- Als een Azure-beheerdersrol is toegewezen aan de gebruiker, wordt het beleid voor een sterk wachtwoord met twee poorten afgedwongen. Zie Verschillen in beleid voor het opnieuw instellen van beheerders voor meer informatie.
- Als voor het beleid slechts één methode is vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste één van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Controleert of het wachtwoord van de gebruiker on-premises wordt beheerd, bijvoorbeeld of de Azure AD tenant federatieve, passthrough-verificatie of wachtwoord-hashsynchronisatie gebruikt:
- Als SSPR-write-back is geconfigureerd en het wachtwoord van de gebruiker on-premises wordt beheerd, mag de gebruiker doorgaan met verifiëren en het wachtwoord opnieuw instellen.
- Als SSPR-write-back niet is geïmplementeerd en het wachtwoord van de gebruiker on-premises wordt beheerd, wordt de gebruiker gevraagd contact op te vragen met de beheerder om het wachtwoord opnieuw in te stellen.
Als alle vorige controles zijn voltooid, wordt de gebruiker door het proces geleid om het wachtwoord opnieuw in te stellen of te wijzigen.
Notitie
SSPR kan e-mailmeldingen verzenden naar gebruikers als onderdeel van het proces voor het opnieuw instellen van het wachtwoord. Deze e-mailberichten worden verzonden met behulp van de SMTP-relayservice, die in een actief-actief-modus in verschillende regio's werkt.
SMTP-relayservices ontvangen en verwerken de hoofdtekst van de e-mail, maar slaan deze niet op. De hoofdtekst van de SSPR-e-mail die mogelijk door de klant verstrekte informatie bevat, wordt niet opgeslagen in de logboeken van de SMTP-relayservice. De logboeken bevatten alleen protocolmetagegevens.
Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR:
Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden
U kunt de optie inschakelen om te vereisen dat een gebruiker de SSPR-registratie voltooit als deze moderne verificatie of webbrowser gebruikt om zich aan te melden bij toepassingen met behulp van Azure AD. Deze werkstroom bevat de volgende toepassingen:
- Microsoft 365
- Azure Portal
- Toegangsvenster
- Federatieve toepassingen
- Aangepaste toepassingen met Azure AD
Wanneer u geen registratie vereist, wordt gebruikers niet gevraagd tijdens het aanmelden, maar kunnen ze zich handmatig registreren. Gebruikers kunnen de koppeling Registreren voor wachtwoordherstel bezoeken https://aka.ms/ssprsetup of selecteren op het tabblad Profiel in de Toegangsvenster.
Notitie
Gebruikers kunnen de SSPR-registratieportal sluiten door Annuleren te selecteren of door het venster te sluiten. Ze worden echter elke keer dat ze zich aanmelden gevraagd zich te registreren totdat ze hun registratie hebben voltooid.
Deze interrupt om te registreren voor SSPR, wordt de verbinding van de gebruiker niet verbroken als deze al is aangemeld.
Verificatiegegevens opnieuw bevestigen
Om ervoor te zorgen dat de verificatiemethoden juist zijn wanneer ze nodig zijn om hun wachtwoord opnieuw in te stellen of te wijzigen, kunt u vereisen dat gebruikers hun geregistreerde gegevens na een bepaalde periode bevestigen. Deze optie is alleen beschikbaar als u de optie Vereisen dat gebruikers zich registreren bij het aanmelden inschakelt.
Geldige waarden om een gebruiker te vragen om te bevestigen dat de geregistreerde methoden 0 tot 730 dagen zijn. Als u deze waarde instelt op 0 , betekent dit dat gebruikers nooit wordt gevraagd om hun verificatiegegevens te bevestigen. Wanneer u de gecombineerde registratie-ervaring gebruikt, moeten gebruikers hun identiteit bevestigen voordat ze hun gegevens opnieuw bevestigen.
Verificatiemethoden
Wanneer een gebruiker is ingeschakeld voor SSPR, moet deze ten minste één verificatiemethode registreren. We raden u ten zeerste aan om twee of meer verificatiemethoden te kiezen, zodat uw gebruikers meer flexibiliteit hebben voor het geval ze geen toegang hebben tot één methode wanneer ze deze nodig hebben. Zie Wat zijn verificatiemethoden? voor meer informatie.
De volgende verificatiemethoden zijn beschikbaar voor SSPR:
- Meldingen via mobiele app
- Code van mobiele app
- Mobiele telefoon
- Office-telefoon (alleen beschikbaar voor tenants met betaalde abonnementen)
- Beveiligingsvragen
Gebruikers kunnen hun wachtwoord alleen opnieuw instellen als ze een verificatiemethode hebben geregistreerd die de beheerder heeft ingeschakeld.
Waarschuwing
Accounts waaraan Azure-beheerdersrollen zijn toegewezen, zijn vereist voor het gebruik van methoden zoals gedefinieerd in de sectie Verschillen in beleid voor het opnieuw instellen van beheerders.
Het vereiste aantal verificatiemethoden
U kunt het aantal beschikbare verificatiemethoden configureren dat een gebruiker moet opgeven om het wachtwoord opnieuw in te stellen of te ontgrendelen. Deze waarde kan worden ingesteld op een of twee.
Gebruikers kunnen en moeten meerdere verificatiemethoden registreren. Nogmaals, het wordt ten zeerste aanbevolen dat gebruikers twee of meer verificatiemethoden registreren, zodat ze meer flexibiliteit hebben voor het geval ze geen toegang hebben tot één methode wanneer ze deze nodig hebben.
Als een gebruiker niet beschikt over het minimale aantal vereiste methoden dat is geregistreerd wanneer ze SSPR proberen te gebruiken, ziet deze een foutpagina waarin de beheerder wordt gevraagd om het wachtwoord opnieuw in te stellen. Wees voorzichtig als u het aantal vereiste methoden verhoogt van één naar twee als u bestaande gebruikers hebt die zijn geregistreerd voor SSPR en ze de functie vervolgens niet kunnen gebruiken. Zie de volgende sectie over Verificatiemethoden wijzigen voor meer informatie.
Mobiele app en SSPR
Wanneer u een mobiele app gebruikt als methode voor wachtwoordherstel, zoals de Microsoft Authenticator-app, zijn de volgende overwegingen van toepassing:
- Wanneer beheerders één methode nodig hebben om een wachtwoord opnieuw in te stellen, is verificatiecode de enige beschikbare optie.
- Wanneer beheerders twee methoden nodig hebben om een wachtwoord opnieuw in te stellen, kunnen gebruikers naast andere ingeschakelde methoden ook meldings- OF verificatiecode gebruiken.
| Aantal methoden dat is vereist om opnieuw in te stellen | Eén | Twee |
|---|---|---|
| Beschikbare functies voor mobiele apps | Code | Code of melding |
Gebruikers hebben niet de mogelijkheid om hun mobiele app te registreren wanneer ze zich registreren voor selfservice voor wachtwoordherstel vanaf https://aka.ms/ssprsetup. Gebruikers kunnen hun mobiele app registreren op https://aka.ms/mfasetup, of in de gecombineerde registratie van beveiligingsgegevens op https://aka.ms/setupsecurityinfo.
Belangrijk
De Authenticator-app kan niet worden geselecteerd als de enige verificatiemethode wanneer slechts één methode is vereist. Op dezelfde manier kunnen de Authenticator-app en slechts één extra methode niet worden geselecteerd wanneer er twee methoden zijn vereist.
Bij het configureren van SSPR-beleid dat de Authenticator-app als methode bevat, moet ten minste één extra methode worden geselecteerd wanneer één methode is vereist en moeten ten minste twee extra methoden worden geselecteerd wanneer u twee methoden configureert.
Deze vereiste is omdat de huidige SSPR-registratie-ervaring niet de optie bevat om de authenticator-app te registreren. De optie voor het registreren van de authenticator-app is opgenomen in de nieuwe gecombineerde registratie-ervaring.
Als u beleidsregels toestaat die alleen gebruikmaken van de Authenticator-app (wanneer één methode is vereist), of de Authenticator-app en slechts één extra methode (wanneer twee methoden vereist zijn), kan dit ertoe leiden dat gebruikers zich niet kunnen registreren voor SSPR totdat ze zijn geconfigureerd voor het gebruik van de nieuwe gecombineerde registratie-ervaring.
Verificatiemethoden wijzigen
Wat gebeurt er als u begint met een beleid met slechts één vereiste verificatiemethode voor het opnieuw instellen of ontgrendelen van geregistreerde apparaten en u dit wijzigt in twee methoden?
| Aantal geregistreerde methoden | Het vereiste aantal methoden | Resultaat |
|---|---|---|
| 1 of meer | 1 | Kan opnieuw instellen of ontgrendelen |
| 1 | 2 | Kan niet opnieuw instellen of ontgrendelen |
| 2 of meer | 2 | Kan opnieuw instellen of ontgrendelen |
Het wijzigen van de beschikbare verificatiemethoden kan ook problemen veroorzaken voor gebruikers. Als u de typen verificatiemethoden wijzigt die een gebruiker kan gebruiken, kunt u per ongeluk voorkomen dat gebruikers SSPR kunnen gebruiken als ze niet over de minimale hoeveelheid beschikbare gegevens beschikken.
Bekijk het volgende voorbeeldscenario:
- Het oorspronkelijke beleid is geconfigureerd met twee vereiste verificatiemethoden. Het gebruikt alleen het telefoonnummer van het kantoor en de beveiligingsvragen.
- De beheerder wijzigt het beleid om geen gebruik meer te maken van de beveiligingsvragen, maar staat het gebruik van een mobiele telefoon en een alternatief e-mailadres toe.
- Gebruikers zonder de ingevulde velden voor mobiele telefoon of alternatieve e-mail kunnen hun wachtwoord nu niet opnieuw instellen.
Meldingen
Om het bewustzijn van wachtwoordgebeurtenissen te verbeteren, kunt u met SSPR meldingen configureren voor zowel de gebruikers als de identiteitsbeheerders.
Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord
Als deze optie is ingesteld op Ja, ontvangen gebruikers die hun wachtwoord opnieuw instellen een e-mail met de melding dat hun wachtwoord is gewijzigd. De e-mail wordt via de SSPR-portal verzonden naar hun primaire en alternatieve e-mailadressen die zijn opgeslagen in Azure AD. Als er geen primair of alternatief e-mailadres is gedefinieerd, probeert SSPR een e-mailmelding via de upn (User Principal Name) van de gebruiker. Niemand anders wordt op de hoogte gesteld van de reset-gebeurtenis.
Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen
Als deze optie is ingesteld op Ja, ontvangen alle andere Azure-beheerders een e-mail naar hun primaire e-mailadres dat is opgeslagen in Azure AD. De e-mail meldt dat een andere beheerder het wachtwoord heeft gewijzigd met behulp van SSPR.
Bekijk het volgende voorbeeldscenario:
- Er zijn vier beheerders in een omgeving.
- Beheerder A stelt het wachtwoord opnieuw in met behulp van SSPR.
- Beheerders B, C en D ontvangen een e-mail met een waarschuwing over het opnieuw instellen van het wachtwoord.
Notitie
Email meldingen van de SSPR-service worden verzonden vanaf de volgende adressen op basis van de Azure-cloud waarmee u werkt:
- Openbaar: msonlineservicesteam@microsoft.com
- China: msonlineservicesteam@oe.21vianet.com
- Regering: msonlineservicesteam@azureadnotifications.us
Als u problemen ondervindt bij het ontvangen van meldingen, controleert u uw spaminstellingen.
On-premises integratie
Als u een hybride omgeving hebt, kunt u Azure AD Connect configureren om gebeurtenissen voor wachtwoordwijziging terug te schrijven van Azure AD naar een on-premises directory.
Azure AD controleert uw huidige hybride connectiviteit en geeft een van de volgende berichten op in de Azure Portal:
- Uw on-premises write-backclient is actief.
- Azure AD is online en is verbonden met uw on-premises write-backclient. Het lijkt er echter op dat de geïnstalleerde versie van Azure AD Connect verouderd is. Overweeg een upgrade uit te voeren Azure AD Connect om ervoor te zorgen dat u beschikt over de nieuwste connectiviteitsfuncties en belangrijke oplossingen voor fouten.
- Helaas kunnen we de status van uw on-premises write-backclient niet controleren omdat de geïnstalleerde versie van Azure AD Connect verouderd is. Voer een upgrade uit Azure AD Connect om de verbindingsstatus te kunnen controleren.
- Helaas lijkt het erop dat we momenteel geen verbinding kunnen maken met uw on-premises write-backclient. Problemen oplossen Azure AD Verbinding maken om de verbinding te herstellen.
- Helaas kunnen we geen verbinding maken met uw on-premises write-backclient omdat wachtwoord terugschrijven niet correct is geconfigureerd. Wachtwoord terugschrijven configureren om de verbinding te herstellen.
- Helaas lijkt het erop dat we momenteel geen verbinding kunnen maken met uw on-premises write-backclient. Dit kan worden veroorzaakt door tijdelijke problemen aan onze kant. Als het probleem zich blijft voordoen, kunt u Problemen oplossen Azure AD Verbinding maken om de verbinding te herstellen.
Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR-write-back:
Wachtwoorden terugschrijven naar uw on-premises directory
U kunt wachtwoord terugschrijven inschakelen met behulp van de Azure Portal. U kunt wachtwoord terugschrijven ook tijdelijk uitschakelen zonder dat u Azure AD Connect opnieuw hoeft te configureren.
- Als de optie is ingesteld op Ja, is write-back ingeschakeld. Federatieve, passthrough-verificatie of wachtwoord-hash-gesynchroniseerde gebruikers kunnen hun wachtwoorden opnieuw instellen.
- Als de optie is ingesteld op Nee, is write-back uitgeschakeld. Federatieve, passthrough-verificatie of met wachtwoordhash gesynchroniseerde gebruikers kunnen hun wachtwoorden niet opnieuw instellen.
Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen
Standaard ontgrendelt Azure AD accounts wanneer een wachtwoord opnieuw wordt ingesteld. Om flexibiliteit te bieden, kunt u ervoor kiezen om gebruikers toe te staan hun on-premises accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen. Gebruik deze instelling om deze twee bewerkingen van elkaar te scheiden.
- Als deze optie is ingesteld op Ja, krijgen gebruikers de optie om hun wachtwoord opnieuw in te stellen en het account te ontgrendelen, of om hun account te ontgrendelen zonder het wachtwoord opnieuw in te stellen.
- Als deze optie is ingesteld op Nee, kunnen gebruikers alleen een gecombineerde bewerking voor wachtwoordherstel en account ontgrendelen uitvoeren.
On-premises Active Directory-wachtwoordfilters
SSPR voert het equivalent uit van een door de beheerder geïnitieerde wachtwoordherstel in Active Directory. Als u een wachtwoordfilter van derden gebruikt om aangepaste wachtwoordregels af te dwingen en u dit wachtwoordfilter wilt controleren tijdens Azure AD selfservice voor wachtwoordherstel, moet u ervoor zorgen dat de oplossing voor wachtwoordfilters van derden is geconfigureerd om toe te passen in het scenario voor het opnieuw instellen van het beheerderswachtwoord. Azure AD wachtwoordbeveiliging voor Active Directory Domain Services wordt standaard ondersteund.
Wachtwoord opnieuw instellen voor B2B-gebruikers
Wachtwoord opnieuw instellen en wijzigen worden volledig ondersteund voor alle B2B-configuraties (business-to-business). B2B-gebruikerswachtwoord opnieuw instellen wordt ondersteund in de volgende drie gevallen:
- Gebruikers van een partnerorganisatie met een bestaande Azure AD tenant: als de organisatie waarmee u samenwerkt een bestaande Azure AD tenant heeft, respecteren we het beleid voor wachtwoordherstel dat is ingeschakeld voor die tenant. Wachtwoordherstel werkt alleen als de partnerorganisatie ervoor zorgt dat Azure AD SSPR is ingeschakeld. Er worden geen extra kosten in rekening gebracht voor Microsoft 365-klanten.
- Gebruikers die zich registreren via selfservice-registratie: als de organisatie waarmee u samenwerkt de selfservicefunctie voor registratie heeft gebruikt om toegang te krijgen tot een tenant, laten we hen het wachtwoord opnieuw instellen met het e-mailadres dat ze hebben geregistreerd.
- B2B-gebruikers: nieuwe B2B-gebruikers die zijn gemaakt met behulp van de nieuwe Azure AD B2B-mogelijkheden, kunnen ook hun wachtwoord opnieuw instellen met het e-mailadres dat ze tijdens het uitnodigingsproces hebben geregistreerd.
Als u dit scenario wilt testen, gaat u naar https://passwordreset.microsoftonline.com met een van deze partnergebruikers. Als er een alternatief e-mailadres of verificatie-e-mailadres is gedefinieerd, werkt het opnieuw instellen van het wachtwoord zoals verwacht.
Notitie
Microsoft-accounts waaraan gasttoegang tot uw Azure AD-tenant is verleend, zoals accounts van Hotmail.com, Outlook.com of andere persoonlijke e-mailadressen, kunnen Azure AD SSPR niet gebruiken. Ze moeten hun wachtwoord opnieuw instellen met behulp van de informatie in het artikel Wanneer u zich niet kunt aanmelden bij uw Microsoft-account .
Volgende stappen
Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR:
De volgende koppelingen bieden aanvullende informatie over wachtwoordherstel met behulp van Azure AD: