How it works: Azure AD self-service password reset Hoe het werkt: selfservice voor wachtwoordherstel in Microsoft Entra
Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Als het account van een gebruiker is vergrendeld of als deze zijn of haar wachtwoord is vergeten, kan de gebruiker de vergrendeling aan de hand van instructies zelf ongedaan maken en weer aan het werk gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID.
Belangrijk
In dit conceptuele artikel wordt uitgelegd hoe selfservice voor wachtwoordherstel werkt. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.
Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.
Hoe werkt het proces voor wachtwoordherstel?
Een gebruiker kan het wachtwoord opnieuw instellen of wijzigen met behulp van de SSPR-portal. Ze moeten eerst hun gewenste verificatiemethoden registreren. Wanneer een gebruiker toegang heeft tot de SSPR-portal, houdt het Microsoft Entra-platform rekening met de volgende factoren:
- Hoe moet de pagina worden gelokaliseerd?
- Is het gebruikersaccount geldig?
- Tot welke organisatie behoort de gebruiker?
- Waar wordt het wachtwoord van de gebruiker beheerd?
Wanneer een gebruiker de koppeling Kan geen toegang tot uw account vanuit een toepassing of pagina selecteert of rechtstreeks naartoe https://aka.ms/ssprgaat, is de taal die in de SSPR-portal wordt gebruikt, gebaseerd op de volgende opties:
- Standaard wordt de landinstelling van de browser gebruikt om de SSPR in de juiste taal weer te geven. De ervaring voor het opnieuw instellen van wachtwoorden is gelokaliseerd in dezelfde talen die door Microsoft 365 worden ondersteund.
- Als u een koppeling wilt maken naar de SSPR in een specifieke gelokaliseerde taal, voegt u dit toe
?mkt=
aan het einde van de URL voor wachtwoordherstel, samen met de vereiste landinstelling.- Als u bijvoorbeeld de spaanse landinstelling es-us wilt opgeven, gebruikt u
?mkt=es-us
https://passwordreset.microsoftonline.com/?mkt=es-us - .
- Als u bijvoorbeeld de spaanse landinstelling es-us wilt opgeven, gebruikt u
Nadat de SSPR-portal in de vereiste taal is weergegeven, wordt de gebruiker gevraagd een gebruikers-id in te voeren en een captcha door te geven. Microsoft Entra ID controleert nu of de gebruiker SSPR kan gebruiken door de volgende controles uit te voeren:
- Controleert of SSPR is ingeschakeld voor de gebruiker.
- Als de gebruiker niet is ingeschakeld voor SSPR, wordt de gebruiker gevraagd contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
- Controleert of de gebruiker de juiste verificatiemethoden heeft gedefinieerd voor het account in overeenstemming met het beheerdersbeleid.
- Als voor het beleid slechts één methode is vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste één van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
- Als voor het beleid twee methoden zijn vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste twee van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Als de verificatiemethoden niet zijn geconfigureerd, wordt de gebruiker aangeraden contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
- Als een Azure-beheerdersrol is toegewezen aan de gebruiker, wordt het sterke wachtwoordbeleid met twee poorten afgedwongen. Zie Verschillen in beleid voor het opnieuw instellen van beheerders voor meer informatie.
- Als voor het beleid slechts één methode is vereist, controleert u of de gebruiker de juiste gegevens heeft gedefinieerd voor ten minste één van de verificatiemethoden die zijn ingeschakeld door het beheerdersbeleid.
- Controleert of het wachtwoord van de gebruiker on-premises wordt beheerd, bijvoorbeeld als de Microsoft Entra-tenant federatieve, passthrough-verificatie of wachtwoord-hashsynchronisatie gebruikt:
- Als write-back van SSPR is geconfigureerd en het wachtwoord van de gebruiker on-premises wordt beheerd, mag de gebruiker doorgaan met het verifiëren en opnieuw instellen van het wachtwoord.
- Als SSPR-writeback niet is geïmplementeerd en het wachtwoord van de gebruiker on-premises wordt beheerd, wordt de gebruiker gevraagd contact op te leggen met de beheerder om het wachtwoord opnieuw in te stellen.
Als alle vorige controles zijn voltooid, wordt de gebruiker door het proces geleid om het wachtwoord opnieuw in te stellen of te wijzigen.
Notitie
SSPR kan e-mailmeldingen verzenden naar gebruikers als onderdeel van het proces voor wachtwoordherstel. Deze e-mailberichten worden verzonden met behulp van de SMTP-relayservice, die in een actief-actiefmodus in verschillende regio's werkt.
SMTP-relayservices ontvangen en verwerken de hoofdtekst van de e-mail, maar slaan deze niet op. De hoofdtekst van de SSPR-e-mail die mogelijk door de klant verstrekte informatie bevat, wordt niet opgeslagen in de SMTP-relayservicelogboeken. De logboeken bevatten alleen protocolmetagegevens.
Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR:
Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden
U kunt de optie inschakelen om een gebruiker verplicht te stellen de SSPR-registratie te voltooien als ze moderne verificatie of webbrowser gebruiken om zich aan te melden bij toepassingen met behulp van Microsoft Entra ID. Deze werkstroom bevat de volgende toepassingen:
- Microsoft 365
- Microsoft Entra-beheercentrum
- Toegangsvenster
- Federatieve toepassingen
- Aangepaste toepassingen met Microsoft Entra-id
Wanneer u geen registratie nodig hebt, worden gebruikers niet gevraagd tijdens het aanmelden, maar kunnen ze zich handmatig registreren. Gebruikers kunnen de koppeling Registreren voor wachtwoordherstel bezoeken https://aka.ms/ssprsetup of selecteren op het tabblad Profiel in de Toegangsvenster.
Notitie
Gebruikers kunnen de SSPR-registratieportal sluiten door annuleren te selecteren of door het venster te sluiten. Ze worden echter steeds gevraagd zich te registreren wanneer ze zich aanmelden totdat ze hun registratie hebben voltooid.
Door deze onderbreking om te registreren voor SSPR, wordt de verbinding van de gebruiker niet verbroken als deze al is aangemeld.
Verificatiegegevens opnieuw bevestigen
Om ervoor te zorgen dat verificatiemethoden correct zijn wanneer ze hun wachtwoord opnieuw moeten instellen of wijzigen, kunt u vereisen dat gebruikers hun geregistreerde gegevens na een bepaalde periode bevestigen. Deze optie is alleen beschikbaar als u de optie Vereisen dat gebruikers zich registreren bij het aanmelden inschakelt.
Geldige waarden om een gebruiker te vragen om te bevestigen dat de geregistreerde methoden tussen 0 en 730 dagen liggen. Als u deze waarde instelt op 0 , wordt gebruikers nooit gevraagd hun verificatiegegevens te bevestigen. Wanneer gebruikers de gecombineerde registratie-ervaring gebruiken, moeten ze hun identiteit bevestigen voordat ze hun gegevens opnieuw bevestigen.
Verificatiemethoden
Wanneer een gebruiker is ingeschakeld voor SSPR, moet deze ten minste één verificatiemethode registreren. We raden u ten zeerste aan om twee of meer verificatiemethoden te kiezen, zodat uw gebruikers meer flexibiliteit hebben als ze geen toegang hebben tot één methode wanneer ze deze nodig hebben. Zie Wat zijn verificatiemethoden? voor meer informatie.
De volgende verificatiemethoden zijn beschikbaar voor SSPR:
- Meldingen via mobiele app
- Code via mobiele app
- E-mailen
- Telefoon (mobiel)
- Office-telefoon (alleen beschikbaar voor tenants met betaalde abonnementen)
- Beveiligingsvragen
Gebruikers kunnen hun wachtwoord alleen opnieuw instellen als ze een verificatiemethode registreren die de beheerder heeft ingeschakeld.
Waarschuwing
Accounts waaraan Azure-beheerdersrollen zijn toegewezen, zijn vereist voor het gebruik van methoden zoals gedefinieerd in de sectie Beleidsverschillen voor het opnieuw instellen van beheerders.
Aantal vereiste verificatiemethoden
U kunt het aantal beschikbare verificatiemethoden configureren dat een gebruiker moet opgeven om het wachtwoord opnieuw in te stellen of te ontgrendelen. Deze waarde kan worden ingesteld op een of twee.
Gebruikers moeten meerdere verificatiemethoden registreren, zodat ze zich op een andere manier kunnen aanmelden als ze geen toegang hebben tot één methode.
Als een gebruiker het minimale aantal vereiste methoden niet registreert, wordt er een foutpagina weergegeven wanneer hij of zij SSPR probeert te gebruiken. Ze moeten aanvragen dat een beheerder het wachtwoord opnieuw instelt. Zie Verificatiemethoden wijzigen voor meer informatie.
Mobiele app en SSPR
Wanneer u een mobiele app gebruikt als methode voor wachtwoordherstel, zoals Microsoft Authenticator, zijn de volgende overwegingen van toepassing als een organisatie niet is gemigreerd naar het beleid voor gecentraliseerde verificatiemethoden:
- Wanneer beheerders één methode nodig hebben om een wachtwoord opnieuw in te stellen, is verificatiecode de enige optie die beschikbaar is.
- Wanneer beheerders twee methoden nodig hebben om een wachtwoord opnieuw in te stellen, kunnen gebruikers naast andere ingeschakelde methoden ook meldings - of verificatiecode gebruiken.
Het aantal methoden dat is vereist om het wachtwoord opnieuw in te stellen | Eén | Twee |
---|---|---|
Beschikbare functies voor mobiele apps | Code | Code of melding |
Gebruikers kunnen hun mobiele app registreren bij https://aka.ms/mfasetupof in de gecombineerde registratie van beveiligingsgegevens op https://aka.ms/setupsecurityinfo.
Belangrijk
Verificator kan niet worden geselecteerd als de enige verificatiemethode wanneer slechts één methode is vereist. Op dezelfde manier kunnen Verificator en slechts één extra methode niet worden geselecteerd als u twee methoden nodig hebt.
Wanneer u SSPR-beleidsregels configureert die de Authenticator-app als methode bevatten, moet er ten minste één extra methode worden geselecteerd wanneer één methode vereist is en moeten er ten minste twee extra methoden worden geselecteerd wanneer u twee methoden configureert.
Verificatiemethoden wijzigen
Wat gebeurt er als u begint met een beleid met slechts één vereiste verificatiemethode voor opnieuw instellen of ontgrendelen en u dit wijzigt in twee methoden?
Aantal geregistreerde methoden | Aantal vereiste methoden | Resultaat |
---|---|---|
1 of meer | 1 | Kan opnieuw instellen of ontgrendelen |
1 | 2 | Kan niet opnieuw instellen of ontgrendelen |
2 of meer | 2 | Kan opnieuw instellen of ontgrendelen |
Het wijzigen van de beschikbare verificatiemethoden kan ook problemen veroorzaken voor gebruikers. Als u wijzigt welke verificatiemethoden beschikbaar zijn, kunnen gebruikers zonder de minimale hoeveelheid beschikbare gegevens geen SSPR gebruiken.
Overweeg het volgende voorbeeldscenario:
- Het oorspronkelijke beleid is geconfigureerd met twee verificatiemethoden vereist. Het gebruikt alleen het telefoonnummer van het kantoor en de beveiligingsvragen.
- De beheerder wijzigt het beleid om de beveiligingsvragen niet meer te gebruiken, maar staat het gebruik van een mobiele telefoon en een alternatief e-mailadres toe.
- Gebruikers zonder mobiele telefoon of alternatieve e-mailvelden die nu zijn ingevuld, kunnen hun wachtwoorden niet opnieuw instellen.
Meldingen
Om de bekendheid van wachtwoordgebeurtenissen te verbeteren, kunt u met SSPR meldingen configureren voor zowel de gebruikers als identiteitsbeheerders.
Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord
Als deze optie is ingesteld op Ja, ontvangen gebruikers die hun wachtwoord opnieuw instellen een e-mail met de melding dat hun wachtwoord is gewijzigd. Het e-mailbericht wordt verzonden via de SSPR-portal naar hun primaire en alternatieve e-mailadressen die zijn opgeslagen in Microsoft Entra-id. Als er geen primair of alternatief e-mailadres is gedefinieerd, probeert SSPR een e-mailmelding uit te voeren via de USER Principal Name (UPN). Niemand anders wordt op de hoogte gesteld van de reset-gebeurtenis.
Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoorden opnieuw instellen
Als deze optie is ingesteld op Ja, ontvangen globale beheerders een e-mail naar hun primaire e-mailadres dat is opgeslagen in Microsoft Entra-id. In het e-mailbericht wordt aangegeven dat een andere beheerder zijn wachtwoord heeft gewijzigd met behulp van SSPR.
Notitie
E-mailmeldingen van de SSPR-service worden verzonden vanaf de volgende adressen op basis van de Azure-cloud waarmee u werkt:
- Openbaar: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Microsoft Azure beheerd door 21Vianet (Azure in China): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure voor de Amerikaanse overheid: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Als u problemen ondervindt bij het ontvangen van meldingen, controleert u uw spaminstellingen.
Als u wilt dat aangepaste beheerders de e-mailberichten over meldingen ontvangen, gebruikt u SSPR-aanpassingen en stelt u een aangepaste helpdeskkoppeling of e-mail in.
On-premises integratie
In een hybride omgeving kunt u Microsoft Entra Connect-cloudsynchronisatie configureren om gebeurtenissen voor wachtwoordwijziging terug te schrijven van Microsoft Entra-id naar een on-premises directory.
Microsoft Entra ID controleert uw huidige hybride connectiviteit en biedt berichten in het Microsoft Entra-beheercentrum. Zie Microsoft Entra Connect oplossen voor hulp bij het oplossen van mogelijke fouten.
Voltooi de volgende zelfstudie om aan de slag te gaan met het terugschrijven van SSPR:
Wachtwoorden terugschrijven naar uw on-premises map
U kunt wachtwoord terugschrijven inschakelen via het Microsoft Entra-beheercentrum. U kunt wachtwoord terugschrijven ook tijdelijk uitschakelen zonder Dat u Microsoft Entra Connect opnieuw hoeft te configureren.
- Als de optie is ingesteld op Ja, is terugschrijven ingeschakeld. Federatieve, passthrough-verificatie of gesynchroniseerde wachtwoordhashgebruikers kunnen hun wachtwoorden opnieuw instellen.
- Als de optie is ingesteld op Nee, wordt terugschrijven uitgeschakeld. Federatieve, passthrough-verificatie of gesynchroniseerde wachtwoordhashgebruikers kunnen hun wachtwoorden niet opnieuw instellen.
Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen
Standaard ontgrendelt Microsoft Entra ID accounts wanneer het wachtwoord opnieuw wordt ingesteld. Om flexibiliteit te bieden, kunt u ervoor kiezen om gebruikers toe te staan hun on-premises accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen. Gebruik deze instelling om deze twee bewerkingen te scheiden.
- Als deze optie is ingesteld op Ja, krijgen gebruikers de mogelijkheid om hun wachtwoord opnieuw in te stellen en het account te ontgrendelen of om hun account te ontgrendelen zonder het wachtwoord opnieuw in te stellen.
- Als deze optie is ingesteld op Nee, kunnen gebruikers alleen een gecombineerde bewerking voor wachtwoordherstel en account ontgrendelen uitvoeren.
Wachtwoordfilters voor on-premises Active Directory
SSPR voert het equivalent uit van een door de beheerder geïnitieerde wachtwoordherstel in Active Directory. Als u een wachtwoordfilter van derden gebruikt om aangepaste wachtwoordregels af te dwingen en u wilt dat dit wachtwoordfilter wordt gecontroleerd tijdens selfservice voor wachtwoordherstel van Microsoft Entra, moet u ervoor zorgen dat de oplossing voor wachtwoordfilters van derden is geconfigureerd om toe te passen in het scenario voor het opnieuw instellen van beheerderswachtwoorden. Microsoft Entra-wachtwoordbeveiliging voor Active Directory-domein Services wordt standaard ondersteund.
Wachtwoord opnieuw instellen voor B2B-gebruikers
Wachtwoordherstel en -wijziging worden volledig ondersteund voor alle B2B-configuraties (business-to-business). B2B-gebruikerswachtwoordherstel wordt ondersteund in de volgende drie gevallen:
- Gebruikers van een partnerorganisatie met een bestaande Microsoft Entra-tenant: als uw partner een Microsoft Entra-tenant heeft, respecteren we het beleid voor het opnieuw instellen van wachtwoorden voor die tenant. Wachtwoordherstel werkt alleen als de partnerorganisatie ervoor zorgt dat Microsoft Entra SSPR is ingeschakeld. Er worden geen andere kosten in rekening gebracht voor Microsoft 365-klanten.
- Gebruikers die zich registreren via selfserviceregistratie: als uw partner de selfserviceregistratiefunctie heeft gebruikt om bij een tenant te komen, kunnen we het wachtwoord opnieuw instellen met het e-mailadres dat ze hebben geregistreerd.
- B2B-gebruikers: alle nieuwe B2B-gebruikers die zijn gemaakt met behulp van de nieuwe Microsoft Entra B2B-mogelijkheden kunnen hun wachtwoorden ook opnieuw instellen met de e-mail die ze hebben geregistreerd tijdens het uitnodigingsproces.
Als u dit scenario wilt testen, gaat u naar https://passwordreset.microsoftonline.com
een van deze partnergebruikers. Als de gebruiker een alternatieve e-mail of verificatie-e-mail heeft gedefinieerd, werkt het opnieuw instellen van het wachtwoord zoals verwacht.
Notitie
Microsoft-accounts waaraan gasttoegang wordt verleend tot uw Microsoft Entra-tenant, zoals accounts van Hotmail.com, Outlook.com of andere persoonlijke e-mailadressen, kunnen microsoft Entra SSPR niet gebruiken. Zie Wanneer u zich niet kunt aanmelden bij uw Microsoft-account voor meer informatie.
Volgende stappen
Voltooi de volgende zelfstudie om aan de slag te gaan met SSPR: