Implementatieopties voor selfservice voor wachtwoordherstel
Belangrijk
In september 2022 kondigde Microsoft de afschaffing van de Azure Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden implementaties van De Azure Multi-Factor Authentication-server geen MFA-aanvragen (MultiFactor Authentication) meer gebruikt. Klanten van de Azure Multi-Factor Authentication-server moeten overstappen op aangepaste MFA-providers met MIM SSPR of Microsoft Entra SSPR in plaats van MIM SSPR.
Voor nieuwe klanten die een licentie hebben voor Microsoft Entra ID P1 of P2, raden we u aan om selfservice voor wachtwoordherstel van Microsoft Entra te gebruiken om de eindgebruikerservaring te bieden. Microsoft Entra selfservice voor wachtwoordherstel biedt zowel een webgebaseerde als windows-geïntegreerde ervaring voor een gebruiker om zijn eigen wachtwoord opnieuw in te stellen en ondersteunt veel van dezelfde mogelijkheden als MIM, waaronder alternatieve e-mail en Q&A-poorten. Wanneer u Microsoft Entra selfservice voor wachtwoordherstel implementeert, kunt u Microsoft Entra Connect configureren om de nieuwe wachtwoorden terug te schrijven naar AD DS. MiM-meldingsservice voor wachtwoordwijzigingen kan worden gebruikt om de wachtwoorden door te sturen naar andere systemen, zoals de adreslijstserver van een andere leverancier. Voor het implementeren van MIM voor wachtwoordbeheer is niet vereist dat de MIM-service of de selfserviceportal voor wachtwoordherstel of registratieportals van MIM worden geïmplementeerd. In plaats daarvan kunt u deze stappen volgen:
- Als u eerst wachtwoorden moet verzenden naar andere mappen dan Microsoft Entra ID en AD DS, implementeert u MIM-synchronisatie met connectors naar Active Directory-domein Services en eventuele aanvullende doelsystemen, configureert u MIM voor wachtwoordbeheer en implementeert u de meldingsservice voor wachtwoordwijzigingen.
- Als u vervolgens wachtwoorden naar andere mappen dan Microsoft Entra ID wilt verzenden, configureert u Microsoft Entra Connect voor het terugschrijven van de nieuwe wachtwoorden naar AD DS.
- U kunt gebruikers eventueel vooraf registreren.
- Ten slotte kunt u selfservice voor wachtwoordherstel van Microsoft Entra implementeren voor uw eindgebruikers.
Voor Forefront Identity Manager -klanten (FIM) of MIM-klanten met een licentie voor Microsoft Entra ID P1 of P2 raden we u aan om over te stappen op selfservice voor wachtwoordherstel van Microsoft Entra. U kunt eindgebruikers overzetten naar selfservice voor wachtwoordherstel van Microsoft Entra zonder dat ze zich opnieuw hoeven te registreren door powerShell het alternatieve e-mailadres of mobiele telefoonnummer van een gebruiker te synchroniseren of in te stellen. Nadat gebruikers zijn geregistreerd voor selfservice voor wachtwoordherstel van Microsoft Entra, kan de FIM-portal voor wachtwoordherstel buiten gebruik worden gesteld.
MIM 2016-implementaties die Microsoft Entra MFA gebruikten, moeten overstappen op het gebruik van MIM SSPR met een aangepaste MFA-provider of de selfservice voor wachtwoordherstel van Microsoft Entra. Nieuwe implementaties moeten een aangepaste MFA-provider of selfservice voor wachtwoordherstel van Microsoft Entra gebruiken.
MiM Selfservice portal voor wachtwoordherstel implementeren met behulp van een aangepaste provider voor meervoudige verificatie
In de volgende sectie wordt beschreven hoe u de selfserviceportal voor wachtwoordherstel van MIM implementeert met behulp van een provider voor meervoudige verificatie. Deze stappen zijn alleen nodig voor klanten die geen selfservice voor wachtwoordherstel van Microsoft Entra gebruiken voor hun gebruikers.
Met MFA verifiëren gebruikers via de externe provider om hun identiteit te verifiëren terwijl ze opnieuw toegang proberen te krijgen tot hun account en resources. Verificatie kan plaatsvinden via sms of een telefoonoproep. Hoe strenger de verificatie, hoe groter het vertrouwen dat de persoon die toegang probeert te krijgen inderdaad de werkelijke gebruiker is die houder is van de identiteit. Wanneer de gebruiker eenmaal is geverifieerd, kan deze een nieuw wachtwoord kiezen ter vervanging van het oude.
Vereisten voor het instellen van de selfservicefuncties voor het ontgrendelen van het account en het opnieuw instellen van het wachtwoord met MFA
In deze sectie wordt ervan uitgegaan dat u de implementatie van de microsoft Identity Manager 2016 MIM Sync-, MIM-service- en MIM-portalonderdelen hebt gedownload en voltooid, met inbegrip van de volgende onderdelen en services:
Een Active Directory-domein Controller met een aangewezen domein (een 'zakelijk' domein)
Er is een groepsbeleid gedefinieerd voor de accountvergrendeling
De MIM 2016-synchronisatieservice (Sync) is geïnstalleerd en actief op een server die deel uitmaakt van het AD-domein
MIM 2016 Service & Portal, inclusief de SSPR-registratieportal en de SSPR Reset-portal, worden geïnstalleerd en uitgevoerd op een server (kan worden gekoppeld aan Synchronisatie)
MIM Sync is geconfigureerd voor AD MIM- identiteitssynchronisatie, met inbegrip van:
Configureer de Active Directory Management Agent (ADMA) voor connectiviteit met AD DS en voer profielen uit om identiteitsgegevens te importeren uit en te exporteren naar Active Directory.
Configureer de MIM Management Agent (MIM MA) voor connectiviteit met de FIM-servicedatabase en voer profielen uit om identiteitsgegevens te importeren uit en te exporteren naar de FIM-database.
De configuratie van synchronisatieregels in de MIM-portal om de synchronisatie van gebruikersgegevens toe te staan en synchronisatieactiviteiten in de MIM-service mogelijk te maken.
MiM 2016-invoegtoepassingen en -extensies, waaronder de geïntegreerde SSPR Windows-aanmeldingsclient, wordt geïmplementeerd op de server of op een afzonderlijke clientcomputer.
MIM voorbereiden voor gebruik met MFA
Configureer MIM Sync voor de ondersteuning van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account. Zie De FIM-invoegtoepassingen en -extensies installeren, FIM SSPR, SSPR-verificatiepoorten en de testlabhandleiding voor SSPR installeren voor meer informatie.
De poort voor verificatie met een eenmalig wachtwoord via sms of de nieuwe telefoonpoort configureren
Start Internet Explorer en navigeer naar de MIM-portal, verifieer uzelf als de MIM-beheerder en klik vervolgens op de navigatiebalk aan de linkerkant op Werkstromen.
Controleer de verificatiewerkstroom voor wachtwoordherstel.
Klik op het tabblad Activiteiten en schuif omlaag naar Activiteit toevoegen.
Selecteer Telefoonpoort of eenmalige wachtwoord sms-poort , klik op Selecteren en klik vervolgens op OK.
Notitie
Als u een andere provider gebruikt die het eenmalige wachtwoord zelf genereert, moet u ervoor zorgen dat het geconfigureerde lengteveld dezelfde lengte heeft als die is gegenereerd door de MFA-provider.
Gebruikers in uw organisatie kunnen zich nu registreren voor het opnieuw instellen van het wachtwoord. Bij de registratie voeren de gebruikers hun zakelijke telefoonnummer of mobiele telefoonnummer in zodat ze kunnen worden gebeld (of naar hen sms-berichten kunnen worden verzonden).
Gebruikers registreren voor het opnieuw instellen van het wachtwoord
Een gebruiker start een webbrowser en navigeert naar de MIM-portal voor het opnieuw instellen van wachtwoorden. (Deze portal is meestal geconfigureerd met Windows-verificatie). In de portal geven ze nogmaals hun gebruikersnaam en wachtwoord op om hun identiteit te bevestigen.
Ze moeten naar de portal voor wachtwoordregistratie gaan en zich verifiëren met hun gebruikersnaam en wachtwoord.
In het veld Telefoonnummer of Mobiele telefoon moeten ze een landnummer, een spatie en het telefoonnummer invoeren en op Volgende klikken.
Hoe werkt dit voor de gebruikers?
Nu alles is geconfigureerd en actief is, wilt u misschien wel weten wat de gebruikers te wachten staat wanneer ze hun wachtwoord vlak voor een vakantie opnieuw hebben ingesteld en na de vakantie tot de ontdekking komen dat ze dit compleet zijn vergeten.
De gebruiker kan op twee manieren gebruikmaken van de functies voor het opnieuw instellen van het wachtwoord en het ontgrendelen van het account: in het Windows-aanmeldingsscherm of in de Selfservice portal.
Wanneer de MIM-invoegtoepassingen en -uitbreidingen worden geïnstalleerd op een computer in het domein die via het netwerk van uw organisatie is verbonden met de MIM-service, kunnen gebruikers een vergeten wachtwoord herstellen bij het aanmelden op de computer. Met de volgende stappen doorloopt u het proces.
Geïntegreerde functie voor het opnieuw instellen van het wachtwoord bij de aanmelding bij het Windows-bureaublad
Als uw gebruiker meerdere keren het verkeerde wachtwoord invoert, heeft deze in het aanmeldingsscherm de mogelijkheid om op Problemen bij het aanmelden te klikken?
Wanneer gebruikers op deze koppeling klikken, worden ze doorgeleid naar het scherm voor het opnieuw instellen van het wachtwoord in MIM. Hier kunnen ze hun wachtwoord wijzigen of hun account ontgrendelen.
De gebruiker wordt gevraagd om zich te verifiëren. Als MFA is geconfigureerd, wordt de gebruiker gebeld.
Wat er op de achtergrond gebeurt, is dat de MFA-provider vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen die gebruiker zich registreerde voor de service.
Wanneer een gebruiker de telefoon beantwoordt, wordt hij of zij mogelijk gevraagd om te communiceren, bijvoorbeeld om op de hekjetoets # op de telefoon te drukken. De gebruiker klikt vervolgens in de portal op Volgende.
Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.
Notitie
Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.
Wanneer de gebruiker is geverifieerd, heeft deze twee opties: het account ontgrendelen en het huidige wachtwoord behouden of een nieuw wachtwoord instellen.
De gebruiker moet vervolgens twee keer een nieuw wachtwoord invoeren, waarna het wachtwoord opnieuw is ingesteld.
Toegang via de selfservice portal
Gebruikers kunnen een webbrowser openen, naar de portal voor wachtwoordherstel navigeren en hun gebruikersnaam invoeren en op Volgende klikken.
Als MFA is geconfigureerd, wordt de gebruiker gebeld. Wat er op de achtergrond gebeurt, is dat Microsoft Entra-meervoudige verificatie vervolgens een telefoongesprek plaatst naar het nummer dat de gebruiker heeft opgegeven toen hij zich registreerde voor de service.
Wanneer de gebruiker de telefoonoproep beantwoordt, wordt deze gevraagd om de hekjestoets (#) op de telefoon in te toetsen. De gebruiker klikt vervolgens in de portal op Volgende.
Als u ook andere poorten instelt, wordt de gebruiker gevraagd om in opeenvolgende schermen meer gegevens te verstrekken.
Notitie
Als de gebruiker ongeduldig is en op Volgende klikt voordat deze de hekjestoets (#) intoetst, mislukt de verificatie.
De gebruiker moet kiezen of ze hun wachtwoord opnieuw willen instellen of hun account willen ontgrendelen. Als ze ervoor kiezen om hun account te ontgrendelen, wordt het account ontgrendeld.
Na een geslaagde verificatie krijgt de gebruiker twee opties om het huidige wachtwoord te behouden of om een nieuw wachtwoord in te stellen.
Als de gebruiker ervoor kiest om het wachtwoord opnieuw in te stellen, moet deze twee keer een nieuw wachtwoord invoeren en op Volgende klikken om het wachtwoord te wijzigen.