Delen via


Implementatieopties voor selfservice voor wachtwoordherstel

Belangrijk

In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen MFA-aanvragen (MultiFactor Authentication) meer gebruikt. Klanten van de Azure Multi-Factor Authentication-server moeten overstappen op aangepaste MFA-providers met MIM SSPR of Microsoft Entra SSPR in plaats van MIM SSPR.

Voor nieuwe klanten die een licentie hebben voor Microsoft Entra ID P1 of P2, raden we u aan om selfservice voor wachtwoordherstel van Microsoft Entra te gebruiken om de eindgebruikerservaring te bieden. Microsoft Entra selfservice voor wachtwoordherstel biedt zowel een webgebaseerde als windows-geïntegreerde ervaring voor een gebruiker om zijn eigen wachtwoord opnieuw in te stellen en ondersteunt veel van dezelfde mogelijkheden als MIM, waaronder alternatieve e-mail en Q&A-poorten. Wanneer u Microsoft Entra selfservice voor wachtwoordherstel implementeert, kunt u Microsoft Entra Connect configureren om de nieuwe wachtwoorden terug te schrijven naar AD DS. MiM-meldingsservice voor wachtwoordwijzigingen kan worden gebruikt om de wachtwoorden door te sturen naar andere systemen, zoals de adreslijstserver van een andere leverancier. Voor het implementeren van MIM voor wachtwoordbeheer is niet vereist dat de MIM-service of de selfserviceportal voor wachtwoordherstel of registratieportals van MIM worden geïmplementeerd. In plaats daarvan kunt u deze stappen volgen:

Voor Forefront Identity Manager -klanten (FIM) of MIM-klanten met een licentie voor Microsoft Entra ID P1 of P2 raden we u aan om over te stappen op selfservice voor wachtwoordherstel van Microsoft Entra. U kunt eindgebruikers overzetten naar selfservice voor wachtwoordherstel van Microsoft Entra zonder dat ze zich opnieuw hoeven te registreren door powerShell het alternatieve e-mailadres of mobiele telefoonnummer van een gebruiker te synchroniseren of in te stellen. Nadat gebruikers zijn geregistreerd voor selfservice voor wachtwoordherstel van Microsoft Entra, kan de FIM-portal voor wachtwoordherstel buiten gebruik worden gesteld.

MIM 2016-implementaties die Microsoft Entra MFA gebruikten, moeten overstappen op het gebruik van MIM SSPR met een aangepaste MFA-provider of de selfservice voor wachtwoordherstel van Microsoft Entra. Nieuwe implementaties moeten een aangepaste MFA-provider of selfservice voor wachtwoordherstel van Microsoft Entra gebruiken.

MiM Selfservice portal voor wachtwoordherstel implementeren met behulp van een aangepaste provider voor meervoudige verificatie

In de volgende sectie wordt beschreven hoe u de selfserviceportal voor wachtwoordherstel van MIM implementeert met behulp van een provider voor meervoudige verificatie. Deze stappen zijn alleen nodig voor klanten die geen selfservice voor wachtwoordherstel van Microsoft Entra gebruiken voor hun gebruikers.

Met MFA verifiëren gebruikers via de externe provider om hun identiteit te verifiëren terwijl ze opnieuw toegang proberen te krijgen tot hun account en resources. Verificatie kan plaatsvinden via sms of een telefoonoproep. Hoe strenger de verificatie, hoe groter het vertrouwen dat de persoon die toegang probeert te krijgen inderdaad de werkelijke gebruiker is die houder is van de identiteit. Wanneer de gebruiker eenmaal is geverifieerd, kan deze een nieuw wachtwoord kiezen ter vervanging van het oude.

Vereisten voor het instellen van de selfservicefuncties voor het ontgrendelen van het account en het opnieuw instellen van het wachtwoord met MFA

In deze sectie wordt ervan uitgegaan dat u de implementatie van de microsoft Identity Manager 2016 MIM Sync-, MIM-service- en MIM-portalonderdelen hebt gedownload en voltooid, met inbegrip van de volgende onderdelen en services:

  • Een Active Directory-domein Controller met een aangewezen domein (een 'zakelijk' domein)

  • Er is een groepsbeleid gedefinieerd voor de accountvergrendeling

  • De MIM 2016-synchronisatieservice (Sync) is geïnstalleerd en actief op een server die deel uitmaakt van het AD-domein

  • MIM 2016 Service & Portal, inclusief de SSPR-registratieportal en de SSPR Reset-portal, worden geïnstalleerd en uitgevoerd op een server (kan worden gekoppeld aan Synchronisatie)

  • MIM Sync is geconfigureerd voor AD MIM- identiteitssynchronisatie, met inbegrip van:

    • Configureer de Active Directory Management Agent (ADMA) voor connectiviteit met AD DS en voer profielen uit om identiteitsgegevens te importeren uit en te exporteren naar Active Directory.

    • Configureer de MIM Management Agent (MIM MA) voor connectiviteit met de FIM-servicedatabase en voer profielen uit om identiteitsgegevens te importeren uit en te exporteren naar de FIM-database.

    • De configuratie van synchronisatieregels in de MIM-portal om de synchronisatie van gebruikersgegevens toe te staan en synchronisatieactiviteiten in de MIM-service mogelijk te maken.

  • MiM 2016-invoegtoepassingen en -extensies, waaronder de geïntegreerde SSPR Windows-aanmeldingsclient, wordt geïmplementeerd op de server of op een afzonderlijke clientcomputer.

MIM voorbereiden voor gebruik met MFA

Configureer MIM Sync voor de ondersteuning van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account. Zie De FIM-invoegtoepassingen en -extensies installeren, FIM SSPR, SSPR-verificatiepoorten en de testlabhandleiding voor SSPR installeren voor meer informatie.

De poort voor verificatie met een eenmalig wachtwoord via sms of de nieuwe telefoonpoort configureren

  1. Start Internet Explorer en navigeer naar de MIM-portal, verifieer uzelf als de MIM-beheerder en klik vervolgens op de navigatiebalk aan de linkerkant op Werkstromen.

    Afbeelding van de navigatie in de MIM-portal

  2. Controleer de verificatiewerkstroom voor wachtwoordherstel.

    Afbeelding van de werkstromen in MIM-portal

  3. Klik op het tabblad Activiteiten en schuif omlaag naar Activiteit toevoegen.

  4. Selecteer Telefoonpoort of eenmalige wachtwoord sms-poort , klik op Selecteren en klik vervolgens op OK.

    Notitie

    Als u een andere provider gebruikt die het eenmalige wachtwoord zelf genereert, moet u ervoor zorgen dat het geconfigureerde lengteveld dezelfde lengte heeft als die is gegenereerd door de MFA-provider.

Gebruikers in uw organisatie kunnen zich nu registreren voor het opnieuw instellen van het wachtwoord. Bij de registratie voeren de gebruikers hun zakelijke telefoonnummer of mobiele telefoonnummer in zodat ze kunnen worden gebeld (of naar hen sms-berichten kunnen worden verzonden).

Gebruikers registreren voor het opnieuw instellen van het wachtwoord

  1. Een gebruiker start een webbrowser en navigeert naar de MIM-portal voor het opnieuw instellen van wachtwoorden. (Deze portal is meestal geconfigureerd met Windows-verificatie). In de portal geven ze nogmaals hun gebruikersnaam en wachtwoord op om hun identiteit te bevestigen.

    Ze moeten naar de portal voor wachtwoordregistratie gaan en zich verifiëren met hun gebruikersnaam en wachtwoord.

  2. In het veld Telefoonnummer of Mobiele telefoon moeten ze een landnummer, een spatie en het telefoonnummer invoeren en op Volgende klikken.

    Afbeelding voor de verificatie via de telefoon in MIM

    Afbeelding voor de verificatie via de mobiele telefoon in MIM

Hoe werkt dit voor de gebruikers?

Nu alles is geconfigureerd en actief is, wilt u misschien wel weten wat de gebruikers te wachten staat wanneer ze hun wachtwoord vlak voor een vakantie opnieuw hebben ingesteld en na de vakantie tot de ontdekking komen dat ze dit compleet zijn vergeten.

De gebruiker kan op twee manieren gebruikmaken van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account: in het Windows-aanmeldingsscherm of in de Selfservice portal.

Wanneer de MIM-invoegtoepassingen en -uitbreidingen worden geïnstalleerd op een computer in het domein die via het netwerk van uw organisatie is verbonden met de MIM-service, kunnen gebruikers een vergeten wachtwoord herstellen bij het aanmelden op de computer. Met de volgende stappen doorloopt u het proces.

Geïntegreerde functie voor het opnieuw instellen van het wachtwoord bij de aanmelding bij het Windows-bureaublad

  1. Als uw gebruiker meerdere keren het verkeerde wachtwoord invoert, heeft deze in het aanmeldingsscherm de mogelijkheid om op Problemen bij het aanmelden te klikken?

    Afbeelding van het aanmeldingsscherm

    Wanneer gebruikers op deze koppeling klikken, worden ze doorgeleid naar het scherm voor het opnieuw instellen van het wachtwoord in MIM. Hier kunnen ze hun wachtwoord wijzigen of hun account ontgrendelen.

    Afbeelding voor het wachtwoord opnieuw instellen in MIM

  2. De gebruiker wordt gevraagd om zich te verifiëren. Als MFA is geconfigureerd, wordt de gebruiker gebeld.

  3. Wat er op de achtergrond gebeurt, is dat de MFA-provider vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen die gebruiker zich registreerde voor de service.

  4. Wanneer een gebruiker de telefoon beantwoordt, wordt hij of zij mogelijk gevraagd om te communiceren, bijvoorbeeld om op de hekjetoets # op de telefoon te drukken. De gebruiker klikt vervolgens in de portal op Volgende.

    Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.

    Notitie

    Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.

  5. Wanneer de gebruiker is geverifieerd, heeft deze twee opties: het account ontgrendelen en het huidige wachtwoord behouden of een nieuw wachtwoord instellen.

  6. De gebruiker moet vervolgens twee keer een nieuw wachtwoord invoeren, waarna het wachtwoord opnieuw is ingesteld.

Toegang via de selfservice portal

  1. Gebruikers kunnen een webbrowser openen, naar de portal voor wachtwoordherstel navigeren en hun gebruikersnaam invoeren en op Volgende klikken.

    Als MFA is geconfigureerd, wordt de gebruiker gebeld. Wat er op de achtergrond gebeurt, is dat Microsoft Entra-meervoudige verificatie vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen hij zich registreerde voor de service.

    Wanneer de gebruiker de telefoonoproep beantwoordt, wordt deze gevraagd om de hekjestoets (#) op de telefoon in te toetsen. De gebruiker klikt vervolgens in de portal op Volgende.

  2. Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.

    Notitie

    Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.

  3. De gebruiker moet kiezen of ze hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen. Als ze ervoor kiezen om hun account te ontgrendelen, wordt het account ontgrendeld.

    Afbeelding voor het ontgrendelen van het account in de MIM-aanmeldassistent

  4. Na een geslaagde verificatie krijgt de gebruiker twee opties om het huidige wachtwoord te behouden of om een nieuw wachtwoord in te stellen.

  5. Afbeelding van geslaagde geslaagde geslaagde MIM-account

  6. Als de gebruiker ervoor kiest om het wachtwoord opnieuw in te stellen, moet deze twee keer een nieuw wachtwoord invoeren en op Volgende klikken om het wachtwoord te wijzigen.