implementatieopties voor wachtwoordherstel Self-Service

Belangrijk

In september 2022 heeft Microsoft aangekondigd dat Azure Multi-Factor Authentication-server wordt afgeschaft. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server niet langer uitgevoerd op aanvragen voor meervoudige verificatie (MFA). Klanten van de Azure Multi-Factor Authentication-server moeten plannen om over te stappen op in plaats daarvan aangepaste MFA-providers met MIM SSPR of Microsoft Entra SSPR gebruiken in plaats van MIM-SSPR.

Voor nieuwe klanten met een licentie voor Microsoft Entra id P1 of P2 raden we aan Microsoft Entra selfservice voor wachtwoordherstel te gebruiken om de eindgebruikerservaring te bieden. Microsoft Entra selfservice voor wachtwoordherstel biedt een gebruiker zowel een webgebaseerde als een geïntegreerde Windows-ervaring om hun eigen wachtwoord opnieuw in te stellen en ondersteunt veel van dezelfde mogelijkheden als MIM, waaronder alternatieve e-mail en Q&A-poorten. Wanneer u Microsoft Entra selfservice voor wachtwoordherstel implementeert, kunt u Microsoft Entra Connect configureren om de nieuwe wachtwoorden terug te schrijven naar AD DS. MiM Password Change Notification Service kan worden gebruikt om de wachtwoorden door te sturen naar andere systemen, zoals de adreslijstserver van een andere leverancier. Voor het implementeren van MIM voor wachtwoordbeheer hoeft de MIM-service of de MIM-selfservice voor wachtwoordherstel of registratieportals niet te worden geïmplementeerd. In plaats daarvan kunt u deze stappen volgen:

• Als u wachtwoorden wilt verzenden naar andere mappen dan Microsoft Entra-id en AD DS, implementeert u eerst MIM-synchronisatie met connectors naar Active Directory Domain Services en eventuele aanvullende doelsystemen, configureert u MIM voor wachtwoordbeheer en implementeert u de meldingsservice voor wachtwoordwijzigingen.
• Als u vervolgens wachtwoorden wilt verzenden naar andere mappen dan Microsoft Entra-id, configureert u Microsoft Entra Connect voor het terugschrijven van de nieuwe wachtwoorden naar AD DS.
• U kunt gebruikers desgewenst vooraf registreren.
• Ten slotte kunt u Microsoft Entra selfservice voor wachtwoordherstel implementeren voor uw eindgebruikers.

Voor bestaande klanten die eerder Forefront Identity Manager (FIM) hadden geïmplementeerd voor selfservice voor wachtwoordherstel en een licentie hebben voor Microsoft Entra id P1 of P2, raden we u aan om over te stappen op Microsoft Entra selfservice voor wachtwoordherstel. U kunt eindgebruikers overzetten naar Microsoft Entra selfservice voor wachtwoordherstel zonder dat ze zich opnieuw hoeven te registreren, door het alternatieve e-mailadres of mobiele telefoonnummer van een gebruiker te synchroniseren of in te stellen via PowerShell. Nadat gebruikers zijn geregistreerd voor Microsoft Entra selfservice voor wachtwoordherstel, kan de FIM-portal voor wachtwoordherstel buiten gebruik worden gesteld.

Voor klanten die nog geen Microsoft Entra selfservice voor wachtwoordherstel hebben geïmplementeerd voor hun gebruikers, biedt MIM ook selfserviceportals voor wachtwoordherstel. Vergeleken met FIM bevat MIM 2016 de volgende wijzigingen:

• Met de MIM-Self-Service portal voor wachtwoordherstel en het Windows-aanmeldingsscherm kunnen gebruikers hun accounts ontgrendelen zonder hun wachtwoord te wijzigen.

• Er is een nieuwe verificatiepoort, Phone Gate, toegevoegd aan MIM. Dit maakt gebruikersverificatie via telefoongesprek mogelijk via de Microsoft Entra service voor meervoudige verificatie.

MIM 2016-releaseversies tot versie 4.5.26.0 waren afhankelijk van de klant om een SDK te downloaden die is afgeschaft. Bestaande implementaties moeten worden verplaatst naar MIM SSPR met een aangepaste MFA-provider of Microsoft Entra selfservice voor wachtwoordherstel. Nieuwe implementaties moeten een aangepaste MFA-provider of Microsoft Entra selfservice voor wachtwoordherstel gebruiken.

MIM implementeren Self-Service Portal voor wachtwoordherstel met behulp van een aangepaste provider voor meervoudige verificatie

In de volgende sectie wordt beschreven hoe u de selfserviceportal voor wachtwoordherstel van MIM implementeert met behulp van een provider voor meervoudige verificatie. Deze stappen zijn alleen nodig voor klanten die geen gebruik maken van Microsoft Entra selfservice voor wachtwoordherstel voor hun gebruikers.

Met MFA verifiëren gebruikers zich via de externe provider om hun identiteit te verifiëren terwijl ze opnieuw toegang proberen te krijgen tot hun account en resources. Verificatie kan plaatsvinden via sms of een telefoonoproep. Hoe strenger de verificatie, hoe groter het vertrouwen dat de persoon die toegang probeert te krijgen inderdaad de werkelijke gebruiker is die houder is van de identiteit. Wanneer de gebruiker eenmaal is geverifieerd, kan deze een nieuw wachtwoord kiezen ter vervanging van het oude.

Vereisten voor het instellen van de selfservicefuncties voor het ontgrendelen van het account en het opnieuw instellen van het wachtwoord met MFA

In deze sectie wordt ervan uitgegaan dat u de Microsoft Identity Manager 2016 MIM Sync-, MIM-service- en MIM-portalonderdelen hebt gedownload en voltooid, waaronder de volgende onderdelen en services:

• Een Windows Server 2008 R2-server of hoger is ingesteld als een Active Directory-server, met inbegrip van AD Domain Services en de domeincontroller met een aangewezen domein (een 'bedrijfsdomein')

• Er is een groepsbeleid gedefinieerd voor de accountvergrendeling

• De MIM 2016-synchronisatieservice (Sync) is geïnstalleerd en actief op een server die deel uitmaakt van het AD-domein

• MIM 2016 Service & Portal met inbegrip van de SSPR-registratieportal en de portal voor het opnieuw instellen van SSPR, worden geïnstalleerd en uitgevoerd op een server (kan zich samen met Sync bevinden)

• MIM Sync is geconfigureerd voor AD MIM- identiteitssynchronisatie, met inbegrip van:

  • De configuratie van ADMA (Active Directory Management Agent) voor de verbinding met AD DS en voor het importeren en exporteren van identiteitsgegevens vanuit en naar Active Directory.

  • De configuratie van MIM MA (MIM Management Agent) voor de verbinding met de FIM-servicedatabase en voor het importeren en exporteren van identiteitsgegevens vanuit en naar de FIM-database.

  • De configuratie van synchronisatieregels in de MIM-portal om de synchronisatie van gebruikersgegevens toe te staan en synchronisatieactiviteiten in de MIM-service mogelijk te maken.

• MIM 2016-invoegtoepassingen & Extensies, waaronder de geïntegreerde SSPR Windows-aanmeldingsclient, worden geïmplementeerd op de server of op een afzonderlijke clientcomputer.

Als u Microsoft Entra meervoudige verificatie gebruikt, moet u voor dit scenario MIM-CAL's voor uw gebruikers hebben, evenals een abonnement voor Microsoft Entra meervoudige verificatie.

MIM voorbereiden op het werken met MFA

Configureer MIM Sync voor de ondersteuning van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account. Zie De FIM-invoegtoepassingen en -uitbreidingen installeren, FIM SSPR installeren, SSPR-verificatiepoorten en de handleiding voor de SSPR-testomgeving

De poort voor verificatie met een eenmalig wachtwoord via sms of de nieuwe telefoonpoort configureren

1. Start Internet Explorer en navigeer naar de MIM-portal, waarbij u zich aanmeldt als de MIM-beheerder. Klik vervolgens op Werkstromen in de linkernavigatiebalk.

   

2. Schakel het selectievakje Verificatiewerkstroom voor het opnieuw instellen van het wachtwoord in.

   

3. Klik op het tabblad Activiteiten en schuif vervolgens omlaag naar Activiteit toevoegen.

4. Selecteer Telefoonpoort of Sms-poort voor eenmalig wachtwoord , klik op Selecteren en vervolgens op OK.

   Notitie

   Als u een andere provider gebruikt die het eenmalige wachtwoord zelf genereert, moet u ervoor zorgen dat het hierboven geconfigureerde lengteveld dezelfde lengte heeft als die die is gegenereerd door de MFA-provider. Deze lengte moet 6 zijn voor Azure Multi-Factor Authentication-server. De Azure Multi-Factor Authentication-server genereert ook een eigen berichttekst, zodat het sms-bericht wordt genegeerd.

Gebruikers in uw organisatie kunnen zich nu registreren voor het opnieuw instellen van het wachtwoord. Bij de registratie voeren de gebruikers hun zakelijke telefoonnummer of mobiele telefoonnummer in zodat ze kunnen worden gebeld (of naar hen sms-berichten kunnen worden verzonden).

Gebruikers registreren voor het opnieuw instellen van het wachtwoord

1. Een gebruiker start een webbrowser en navigeert naar de MIM-registratieportal voor wachtwoordherstel. (Deze portal is meestal geconfigureerd met Windows-verificatie). In de portal geven ze nogmaals hun gebruikersnaam en wachtwoord op om hun identiteit te bevestigen.

   Ze moeten naar de portal voor wachtwoordregistratie gaan en zich verifiëren met hun gebruikersnaam en wachtwoord.

2. In het veld Telefoonnummer of Mobiele telefoon moeten ze een landcode, een spatie en het telefoonnummer invoeren en op Volgende klikken.

   

   

Hoe werkt dit voor de gebruikers?

Nu alles is geconfigureerd en actief is, wilt u misschien wel weten wat de gebruikers te wachten staat wanneer ze hun wachtwoord vlak voor een vakantie opnieuw hebben ingesteld en na de vakantie tot de ontdekking komen dat ze dit compleet zijn vergeten.

De gebruiker kan op twee manieren gebruikmaken van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account: in het Windows-aanmeldingsscherm of in de Selfservice portal.

Wanneer de MIM-invoegtoepassingen en -uitbreidingen worden geïnstalleerd op een computer in het domein die via het netwerk van uw organisatie is verbonden met de MIM-service, kunnen gebruikers een vergeten wachtwoord herstellen bij het aanmelden op de computer. U moet hiervoor de onderstaande stappen uitvoeren.

Geïntegreerde functie voor het opnieuw instellen van het wachtwoord bij de aanmelding bij het Windows-bureaublad

1. Als uw gebruiker meerdere keren het verkeerde wachtwoord invoert, heeft deze in het aanmeldingsscherm de optie om te klikken op Problemen met aanmelden? .

   

   Wanneer gebruikers op deze koppeling klikken, worden ze doorgeleid naar het scherm voor het opnieuw instellen van het wachtwoord in MIM. Hier kunnen ze hun wachtwoord wijzigen of hun account ontgrendelen.

   

2. De gebruiker wordt gevraagd om zich te verifiëren. Als MFA is geconfigureerd, wordt de gebruiker gebeld.

3. Op de achtergrond gebeurt er dat de MFA-provider vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen die gebruiker zich registreerde voor de service.

4. Wanneer een gebruiker de telefoon beantwoordt, kan deze worden gevraagd om te communiceren, bijvoorbeeld om op de hekjetoets # op de telefoon te drukken. De gebruiker klikt vervolgens in de portal op Volgende.

   Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.

   Notitie

   Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.

5. Wanneer de gebruiker is geverifieerd, heeft deze twee opties: het account ontgrendelen en het huidige wachtwoord behouden of een nieuw wachtwoord instellen.

6. De gebruiker moet vervolgens twee keer een nieuw wachtwoord invoeren, waarna het wachtwoord opnieuw is ingesteld.

Toegang via de selfservice portal

1. Gebruikers kunnen een webbrowser openen, naar de portal voor het opnieuw instellen van het wachtwoord navigeren, hun gebruikersnaam invoeren en op Volgende klikken.

   Als MFA is geconfigureerd, wordt de gebruiker gebeld. Op de achtergrond gebeurt er dat Microsoft Entra meervoudige verificatie vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen deze zich registreerde voor de service.

   Wanneer de gebruiker de telefoonoproep beantwoordt, wordt deze gevraagd om de hekjestoets (#) op de telefoon in te toetsen. De gebruiker klikt vervolgens in de portal op Volgende.

2. Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.

   Notitie

   Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.

3. Gebruikers moeten kiezen of ze hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen. Als ze ervoor kiezen om hun account te ontgrendelen, wordt het account ontgrendeld.

   

4. Nadat de verificatie is geslaagd, krijgt de gebruiker twee opties: het huidige wachtwoord behouden of een nieuw wachtwoord instellen.

5. 

6. Als de gebruiker ervoor kiest om het wachtwoord opnieuw in te stellen, moet deze twee keer een nieuw wachtwoord invoeren en op Volgende klikken om het wachtwoord te wijzigen.