Włączanie samoobsługowego resetowania hasła w usłudze Azure Active Directory na ekranie logowania systemu Windows

Samoobsługowe resetowanie hasła (SSPR) umożliwia użytkownikom w usłudze Azure Active Directory (Azure AD) możliwość zmiany lub zresetowania hasła bez udziału administratora ani pomocy technicznej. Zazwyczaj użytkownicy otwierają przeglądarkę internetową na innym urządzeniu, aby uzyskać dostęp do portalu samoobsługowego resetowania hasła. Aby ulepszyć środowisko na komputerach z systemem Windows 7, 8, 8.1, 10 i 11, można umożliwić użytkownikom resetowanie hasła na ekranie logowania systemu Windows.

Przykładowe ekrany logowania systemu Windows z wyświetlonym linkiem samoobsługowego resetowania hasła

Ważne

W tym samouczku przedstawiono administratorowi sposób włączania samoobsługowego resetowania hasła dla urządzeń z systemem Windows w przedsiębiorstwie.

Jeśli twój zespół IT nie włączył możliwości korzystania z samoobsługowego resetowania hasła z urządzenia z systemem Windows lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ogólne ograniczenia

Następujące ograniczenia dotyczą korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows:

  • Resetowanie hasła nie jest obecnie obsługiwane z pulpitu zdalnego ani sesji rozszerzonych funkcji Hyper-V.
  • Niektórzy dostawcy poświadczeń innych firm są znani, aby powodować problemy z tą funkcją.
  • Wyłączenie kontroli dostępu użytkownika za pośrednictwem modyfikacji klucza rejestru EnableLUA jest znane z przyczyn problemów.
  • Ta funkcja nie działa w przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x i opcją "Wykonaj bezpośrednio przed zalogowaniem użytkownika". W przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x zaleca się użycie uwierzytelniania maszynowego w celu włączenia tej funkcji.
  • Hybrydowe maszyny przyłączone do usługi Azure AD muszą mieć widok łączności sieciowej z kontrolerem domeny, aby używać nowego hasła i aktualizować buforowane poświadczenia. Oznacza to, że urządzenia muszą znajdować się w sieci wewnętrznej organizacji lub w sieci VPN z dostępem sieciowym do lokalnego kontrolera domeny.
  • Jeśli używasz obrazu, przed uruchomieniem narzędzia sysprep upewnij się, że pamięć podręczna internetowa została wyczyszczone dla wbudowanego administratora przed wykonaniem kroku CopyProfile. Więcej informacji na temat tego kroku można znaleźć w artykule Pomocy technicznej Wydajność słaba podczas korzystania z niestandardowego domyślnego profilu użytkownika.
  • Znane są następujące ustawienia zakłócające możliwość używania i resetowania haseł na urządzeniach z systemem Windows 10:
    • Jeśli powiadomienia ekranu blokady są wyłączone, resetowanie hasła nie będzie działać.
    • Ustawienie HideFastUserSwitching jest włączone lub 1
    • DontDisplayLastUserName jest ustawiona na włączoną lub 1
    • Ustawienie NoLockScreen jest włączone lub 1
    • Właściwość BlockNonAdminUserInstall jest ustawiona na włączoną lub 1
    • Pozycja EnableLostMode jest ustawiona na urządzeniu
    • Plik Explorer.exe został zastąpiony niestandardową powłoką
    • Logowanie interakcyjne: pozycja Wymagaj, aby karta inteligentna została włączona lub 1
  • Połączenie następujących trzech ustawień może spowodować, że ta funkcja nie będzie działać.
    • Logowanie interakcyjne: nie wymagaj kombinacji klawiszy CTRL+ALT+DEL = Wyłączone (tylko dla systemu Windows 10 w wersji 1710 i starszych)
    • DisableLockScreenAppNotifications = 1 lub Włączone
    • Jednostka SKU systemu Windows jest wersją główną

Uwaga

Te ograniczenia dotyczą również resetowania numeru PIN usługi Windows Hello dla firm z ekranu blokady urządzenia.

Resetowanie hasła w systemie Windows 11 i 10

Aby skonfigurować urządzenie z systemem Windows 11 lub 10 dla samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z następującymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemu Windows 11 i 10

  • Administrator musi włączyć samoobsługowe resetowanie hasła usługi Azure AD z poziomu witryny Azure Portal.
  • Użytkownicy muszą zarejestrować się w celu samoobsługowego resetowania hasła przed użyciem tej funkcji pod adresem https://aka.ms/ssprsetup
    • Nie unikatowe w przypadku korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows wszyscy użytkownicy muszą podać informacje kontaktowe uwierzytelniania, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com i ajax.aspnetcdn.com
    • Urządzenia z systemem Windows 10 wymagają konfiguracji serwera proxy na poziomie maszyny lub konfiguracji serwera proxy o określonym zakresie dla tymczasowego domyślnego konta użytkownika1 używanego do wykonywania samoobsługowego resetowania hasła (zobacz sekcję Rozwiązywanie problemów , aby uzyskać więcej szczegółów).
  • Uruchom co najmniej system Windows 10 w wersji z kwietnia 2018 r. Update (wersja 1803), a urządzenia muszą być następujące:
    • Dołączone do usługi Azure AD
    • Dołączone hybrydowa usługa Azure AD

Włączanie dla systemów Windows 11 i 10 przy użyciu programu Microsoft Endpoint Manager

Wdrożenie zmiany konfiguracji w celu włączenia samoobsługowego resetowania hasła z ekranu logowania przy użyciu programu Microsoft Endpoint Manager jest najbardziej elastyczną metodą. Program Microsoft Endpoint Manager umożliwia wdrożenie zmiany konfiguracji w określonej grupie zdefiniowanych maszyn. Ta metoda wymaga rejestracji urządzenia w programie Microsoft Endpoint Manager.

Tworzenie zasad konfiguracji urządzenia w programie Microsoft Endpoint Manager

  1. Zaloguj się do witryny Azure Portal i wybierz pozycję Endpoint Manager.

  2. Utwórz nowy profil konfiguracji urządzenia, przechodząc do pozycjiProfilekonfiguracji> urządzeń, a następnie wybierz pozycję + Utwórz profil

    • W polu Platforma wybierz system Windows 11 lub nowszy
    • W polu Typ profilu wybierz pozycję Niestandardowe
  3. Wybierz pozycję Utwórz, a następnie podaj zrozumiałą nazwę profilu, taką jak ekran logowania systemu Windows 11 SSPR

    Opcjonalnie podaj zrozumiały opis profilu, a następnie wybierz pozycję Dalej.

  4. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj i podaj następujące ustawienie OMA-URI, aby włączyć link resetowania hasła:

    • Podaj zrozumiałą nazwę, aby wyjaśnić, co robi ustawienie, na przykład Dodaj link samoobsługowego resetowania hasła.
    • Opcjonalnie podaj zrozumiały opis ustawienia.
    • Ustaw pozycję OMA-URI na wartość ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Ustaw pozycję Typ danych na Liczba całkowita
    • Ustaw pozycję Wartość na 1

    Wybierz pozycję Dodaj, a następnie pozycję Dalej.

  5. Zasady można przypisać do określonych użytkowników, urządzeń lub grup. Przypisz profil zgodnie z potrzebami dla danego środowiska, najlepiej najpierw do grupy testowej urządzeń, a następnie wybierz pozycję Dalej.

    Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń w programie Microsoft Endpoint Manager.

  6. Skonfiguruj reguły stosowania zgodnie z potrzebami środowiska, takie jak Przypisywanie profilu, jeśli wersja systemu operacyjnego to Windows 10 Enterprise, a następnie wybierz przycisk Dalej.

  7. Przejrzyj swój profil, a następnie wybierz pozycję Utwórz.

Włączanie dla systemu Windows 11 i 10 przy użyciu rejestru

Aby włączyć samoobsługowe resetowanie hasła na ekranie logowania przy użyciu klucza rejestru, wykonaj następujące kroki:

  1. Zaloguj się na komputerze z systemem Windows przy użyciu poświadczeń administracyjnych.

  2. Naciśnij klawisze Windows + R , aby otworzyć okno dialogowe Uruchamianie , a następnie uruchom polecenie regedit jako administrator

  3. Ustaw poniższy klucz rejestru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Rozwiązywanie problemów z resetowaniem hasła w systemie Windows 11 i 10

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, dziennik inspekcji usługi Azure AD zawiera informacje o adresie IP i typie klienta , w którym wystąpiło resetowanie hasła, jak pokazano w poniższych przykładowych danych wyjściowych:

Przykład resetowania hasła systemu Windows 7 w dzienniku inspekcji usługi Azure AD

Gdy użytkownicy zresetują swoje hasło na ekranie logowania urządzenia z systemem Windows 11 lub 10, tworzone jest konto tymczasowe o niskich defaultuser1 uprawnieniach. To konto jest używane, aby zapewnić bezpieczeństwo procesu resetowania hasła.

Samo konto ma losowo wygenerowane hasło, które jest weryfikowane względem zasad haseł organizacji, nie jest wyświetlane na potrzeby logowania urządzenia i jest automatycznie usuwane po zresetowaniu hasła przez użytkownika. Może istnieć wiele defaultuser profilów, ale można je bezpiecznie zignorować.

Konfiguracje serwera proxy na potrzeby resetowania hasła systemu Windows

Podczas resetowania hasła samoobsługowe resetowanie hasła tworzy tymczasowe konto użytkownika lokalnego w celu nawiązania połączenia z usługą https://passwordreset.microsoftonline.com/n/passwordreset. Jeśli serwer proxy jest skonfigurowany do uwierzytelniania użytkownika, może zakończyć się niepowodzeniem z powodu błędu "Wystąpił problem. Spróbuj ponownie później. Dzieje się tak, ponieważ konto użytkownika lokalnego nie jest autoryzowane do korzystania z uwierzytelnioowanego serwera proxy.

W takim przypadku można użyć jednego z następujących obejść:

  • Skonfiguruj ustawienie serwera proxy dla całej maszyny, które nie zależy od typu zalogowanego użytkownika na maszynie. Można na przykład włączyć ustawienia serwera proxy zasad grupy dla poszczególnych maszyn (zamiast dla poszczególnych użytkowników) dla stacji roboczych.

  • Możesz również użyć konfiguracji serwera proxy Per-User dla samoobsługowego resetowania hasła, jeśli zmodyfikujesz szablon rejestru dla konta domyślnego. Polecenia są następujące:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • Błąd "Wystąpił problem" może również wystąpić, gdy wszystko przerywa łączność z adresem URL https://passwordreset.microsoftonline.com/n/passwordreset. Na przykład ten błąd może wystąpić, gdy oprogramowanie antywirusowe działa na stacji roboczej bez wykluczeń adresów URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comi ocsp.digicert.com. Tymczasowo wyłącz to oprogramowanie, aby sprawdzić, czy problem został rozwiązany, czy nie.

Resetowanie haseł systemu Windows 7, 8 i 8.1

Aby skonfigurować urządzenie z systemem Windows 7, 8 lub 8.1 dla samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z następującymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemu Windows 7, 8 i 8.1

  • Administrator musi włączyć samoobsługowe resetowanie hasła usługi Azure AD z poziomu witryny Azure Portal.
  • Użytkownicy muszą zarejestrować się w celu samoobsługowego resetowania hasła przed użyciem tej funkcji pod adresem https://aka.ms/ssprsetup
    • Nie unikatowe w przypadku korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows wszyscy użytkownicy muszą podać informacje kontaktowe uwierzytelniania, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com
  • Poprawiono system operacyjny Windows 7 lub Windows 8.1.
  • Protokół TLS 1.2 włączony przy użyciu wskazówek zawartych w ustawieniach rejestru protokołu Transport Layer Security (TLS).
  • Jeśli na maszynie jest włączony więcej niż jeden dostawca poświadczeń innej firmy, użytkownicy zobaczą więcej niż jeden profil użytkownika na ekranie logowania.

Ostrzeżenie

Protokół TLS 1.2 musi być włączony, a nie tylko ustawiony na automatyczne negocjowanie.

Instalowanie

W przypadku systemu Windows 7, 8 i 8.1 na maszynie musi być zainstalowany mały składnik, aby włączyć samoobsługowe resetowanie hasła na ekranie logowania. Aby zainstalować ten składnik samoobsługowego resetowania hasła, wykonaj następujące kroki:

  1. Pobierz odpowiedni instalator dla wersji systemu Windows, którą chcesz włączyć.

    Instalator oprogramowania jest dostępny w Centrum pobierania Microsoft pod adresem https://aka.ms/sspraddin

  2. Zaloguj się do maszyny, na której chcesz zainstalować program , i uruchom instalatora.

  3. Po zakończeniu instalacji zdecydowanie zaleca się ponowne uruchomienie.

  4. Po ponownym uruchomieniu na ekranie logowania wybierz użytkownika i wybierz pozycję "Nie pamiętam hasła", aby zainicjować przepływ pracy resetowania hasła.

  5. Wykonaj przepływ pracy zgodnie z instrukcjami wyświetlanymi na ekranie, aby zresetować hasło.

Przykładowy system Windows 7 kliknął pozycję

Instalacja w trybie dyskretnym

Składnik samoobsługowego resetowania hasła można zainstalować lub odinstalować bez monitów przy użyciu następujących poleceń:

  • W przypadku instalacji dyskretnej użyj polecenia "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • W przypadku odinstalowywania dyskretnego użyj polecenia "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Rozwiązywanie problemów z resetowaniem haseł w systemie Windows 7, 8 i 8.1

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, zdarzenia są rejestrowane zarówno na maszynie, jak i w usłudze Azure AD. Zdarzenia usługi Azure AD obejmują informacje o adresie IP i typie klienta, w którym wystąpiło resetowanie hasła, jak pokazano w następujących przykładowych danych wyjściowych:

Przykład resetowania hasła systemu Windows 7 w dzienniku inspekcji usługi Azure AD

Jeśli wymagane jest dodatkowe rejestrowanie, można zmienić klucz rejestru na maszynie w celu włączenia pełnego rejestrowania. Włącz pełne rejestrowanie na potrzeby rozwiązywania problemów tylko przy użyciu następującej wartości klucza rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Aby włączyć pełne rejestrowanie, utwórz element REG_DWORD: "EnableLogging"i ustaw dla niego wartość 1.
  • Aby wyłączyć pełne rejestrowanie, zmień wartość REG_DWORD: "EnableLogging" na 0.

Co widzą użytkownicy

W przypadku skonfigurowania samoobsługowego resetowania hasła dla urządzeń z systemem Windows jakie zmiany dla użytkownika? Skąd użytkownicy będą wiedzieć, że mogą zresetować swoje hasło na ekranie logowania? Na poniższych przykładowych zrzutach ekranu przedstawiono dodatkowe opcje resetowania hasła przez użytkownika przy użyciu samoobsługowego resetowania hasła:

Przykładowe ekrany logowania systemu Windows 7 i 10 z wyświetlonym linkiem samoobsługowego resetowania hasła

Gdy użytkownicy próbują się zalogować, zobaczą link Resetuj hasło lub Nie pamiętam hasła , który otwiera środowisko samoobsługowego resetowania hasła na ekranie logowania. Ta funkcja umożliwia użytkownikom zresetowanie hasła bez konieczności uzyskiwania dostępu do przeglądarki internetowej przy użyciu innego urządzenia.

Więcej informacji na temat korzystania z tej funkcji można znaleźć w temacie Resetowanie hasła służbowego

Następne kroki

Aby uprościć środowisko rejestracji użytkownika, możesz wstępnie wypełnić informacje kontaktowe uwierzytelniania użytkownika dla samoobsługowego resetowania hasła.