Jak to działa: Samoobsługowe resetowania hasła usługi Azure AD

Samoobsługowe resetowanie haseł (SSPR) w usłudze Azure Active Directory (Azure AD) umożliwia użytkownikom zmianę lub resetowanie hasła bez udziału administratora ani pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń do działu pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w Azure AD.

Ważne

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe resetowanie haseł. Jeśli jesteś użytkownikiem końcowym, który jest już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do swojego konta, przejdź do strony https://aka.ms/sspr.

Jeśli Twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Jak działa proces resetowania hasła?

Użytkownik może zresetować lub zmienić swoje hasło przy użyciu portalu samoobsługowego resetowania hasła. Muszą najpierw zarejestrować żądane metody uwierzytelniania. Gdy użytkownik uzyskuje dostęp do portalu samoobsługowego resetowania hasła, platforma Azure uwzględnia następujące czynniki:

  • Jak powinna być zlokalizowana strona?
  • Czy konto użytkownika jest prawidłowe?
  • Do jakiej organizacji należy użytkownik?
  • Gdzie jest zarządzane hasło użytkownika?

Gdy użytkownik wybierze link Nie można uzyskać dostępu do konta z aplikacji lub strony lub przechodzi bezpośrednio do https://aka.ms/ssprwitryny , język używany w portalu samoobsługowego resetowania hasła jest oparty na następujących opcjach:

  • Domyślnie ustawienia regionalne przeglądarki są używane do wyświetlania samoobsługowego resetowania hasła w odpowiednim języku. Środowisko resetowania hasła jest zlokalizowane w tych samych językach, które Microsoft 365 obsługuje.
  • Jeśli chcesz połączyć się z samoobsługowym resetowaniem hasła w określonym zlokalizowanym języku, dołącz ?mkt= adres URL resetowania hasła wraz z wymaganymi ustawieniami regionalnymi.

Po wyświetleniu portalu samoobsługowego resetowania hasła w wymaganym języku użytkownik jest monitowany o wprowadzenie identyfikatora użytkownika i przekazanie captcha. Azure AD sprawdza teraz, czy użytkownik może używać samoobsługowego resetowania hasła, wykonując następujące kontrole:

  • Sprawdza, czy użytkownik ma włączone samoobsługowe resetowanie hasła.
    • Jeśli użytkownik nie jest włączony dla samoobsługowego resetowania hasła, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.
  • Sprawdza, czy użytkownik ma odpowiednie metody uwierzytelniania zdefiniowane na swoim koncie zgodnie z zasadami administratora.
    • Jeśli zasady wymagają tylko jednej metody, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej jednej metody uwierzytelniania włączonej przez zasady administratora.
      • Jeśli metody uwierzytelniania nie są skonfigurowane, zaleca się skontaktowanie się z administratorem w celu zresetowania hasła.
    • Jeśli zasady wymagają dwóch metod, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej dwóch metod uwierzytelniania włączonych przez zasady administratora.
      • Jeśli metody uwierzytelniania nie są skonfigurowane, zaleca się skontaktowanie się z administratorem w celu zresetowania hasła.
    • Jeśli do użytkownika przypisano rolę administratora platformy Azure, wymuszane są silne zasady haseł z dwiema bramami. Aby uzyskać więcej informacji, zobacz Różnice zasad resetowania administratora.
  • Sprawdza, czy hasło użytkownika jest zarządzane lokalnie, na przykład jeśli dzierżawa Azure AD korzysta z federacyjnego, przekazywanego uwierzytelniania lub synchronizacji skrótów haseł:
    • Jeśli funkcja zapisywania zwrotnego samoobsługowego resetowania hasła jest skonfigurowana i hasło użytkownika jest zarządzane lokalnie, użytkownik może kontynuować uwierzytelnianie i resetowanie hasła.
    • Jeśli zapisywanie zwrotne samoobsługowego resetowania hasła nie zostało wdrożone, a hasło użytkownika jest zarządzane lokalnie, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.

Jeśli wszystkie poprzednie testy zostały ukończone pomyślnie, użytkownik przejdzie przez proces resetowania lub zmieniania hasła.

Uwaga

Samoobsługowe resetowanie hasła może wysyłać powiadomienia e-mail do użytkowników w ramach procesu resetowania hasła. Te wiadomości e-mail są wysyłane przy użyciu usługi przekazywania SMTP, która działa w trybie aktywny-aktywny w kilku regionach.

Usługi przekazywania SMTP odbierają i przetwarzają treść wiadomości e-mail, ale nie przechowują jej. Treść wiadomości e-mail samoobsługowego resetowania hasła, która może potencjalnie zawierać informacje podane przez klienta, nie jest przechowywana w dziennikach usługi przekazywania SMTP. Dzienniki zawierają tylko metadane protokołu.

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku:

Wymagaj od użytkowników zarejestrowania się podczas logowania

Możesz włączyć opcję, aby wymagać od użytkownika ukończenia rejestracji samoobsługowego resetowania hasła, jeśli używa nowoczesnego uwierzytelniania lub przeglądarki internetowej do logowania się do dowolnych aplikacji przy użyciu Azure AD. Ten przepływ pracy obejmuje następujące aplikacje:

  • Microsoft 365
  • Azure Portal
  • Panel dostępu
  • Aplikacje federacyjne
  • Aplikacje niestandardowe korzystające z Azure AD

Jeśli rejestracja nie jest wymagana, użytkownicy nie są monitowani podczas logowania, ale mogą zarejestrować się ręcznie. Użytkownicy mogą odwiedzić https://aka.ms/ssprsetup lub wybrać link Zarejestruj się do resetowania hasła na karcie Profil w Panel dostępu.

Opcje rejestracji samoobsługowego resetowania hasła w Azure Portal

Uwaga

Użytkownicy mogą odrzucać portal rejestracji samoobsługowego resetowania hasła, wybierając pozycję Anuluj lub zamykając okno. Jednak użytkownik jest monitowany o zarejestrowanie się za każdym razem, gdy zaloguje się do momentu ukończenia rejestracji.

To przerwanie rejestrowania na potrzeby samoobsługowego resetowania hasła nie powoduje przerwania połączenia użytkownika, jeśli już się zalogował.

Ponownie potwierdź informacje o uwierzytelnianiu

Aby upewnić się, że metody uwierzytelniania są poprawne, gdy są potrzebne do zresetowania lub zmiany hasła, możesz wymagać od użytkowników potwierdzenia zarejestrowanych informacji po określonym czasie. Ta opcja jest dostępna tylko w przypadku włączenia opcji Wymagaj od użytkowników rejestracji podczas logowania .

Prawidłowe wartości monitu użytkownika o potwierdzenie zarejestrowanych metod to od 0 do 730 dni. Ustawienie tej wartości na 0 oznacza, że użytkownicy nigdy nie są proszeni o potwierdzenie informacji uwierzytelniania. W przypadku korzystania z połączonego środowiska rejestracji użytkownicy będą musieli potwierdzić swoją tożsamość przed ponownym potwierdzeniem swoich informacji.

Metody uwierzytelniania

Gdy użytkownik jest włączony dla samoobsługowego resetowania hasła, musi zarejestrować co najmniej jedną metodę uwierzytelniania. Zdecydowanie zalecamy wybranie co najmniej dwóch metod uwierzytelniania, aby użytkownicy mieli większą elastyczność w przypadku, gdy nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują. Aby uzyskać więcej informacji, zobacz Co to są metody uwierzytelniania?.

Dla samoobsługowego resetowania hasła są dostępne następujące metody uwierzytelniania:

  • Powiadomienie aplikacji mobilnej
  • Kod aplikacji mobilnej
  • E-mail
  • Telefon komórkowy
  • Telefon pakietu Office (dostępny tylko dla dzierżaw z płatnymi subskrypcjami)
  • Pytania zabezpieczające

Użytkownicy mogą resetować swoje hasło tylko wtedy, gdy zarejestrowali metodę uwierzytelniania włączoną przez administratora.

Ostrzeżenie

Konta przypisane do ról administratora platformy Azure są wymagane do używania metod zgodnie z definicją w sekcji Różnice zasad resetowania administratora.

Metody uwierzytelniania wybrane w Azure Portal

Wymagana liczba metod uwierzytelniania

Można skonfigurować liczbę dostępnych metod uwierzytelniania, które użytkownik musi podać, aby zresetować lub odblokować swoje hasło. Tę wartość można ustawić na jedną lub dwie.

Użytkownicy mogą i powinni rejestrować wiele metod uwierzytelniania. Ponownie zdecydowanie zaleca się, aby użytkownicy rejestrowali co najmniej dwie metody uwierzytelniania, dzięki czemu mają większą elastyczność w przypadku, gdy nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują.

Jeśli użytkownik nie ma minimalnej liczby wymaganych metod zarejestrowanych podczas próby użycia samoobsługowego resetowania hasła, zostanie wyświetlona strona błędu kierująca ich do żądania zresetowania hasła przez administratora. Upewnij się, że zwiększasz liczbę metod wymaganych od jednej do dwóch, jeśli masz istniejących użytkowników zarejestrowanych w funkcji samoobsługowego resetowania hasła, a następnie nie możesz użyć tej funkcji. Aby uzyskać więcej informacji, zobacz następującą sekcję , aby zmienić metody uwierzytelniania.

Aplikacja mobilna i samoobsługowe resetowanie hasła

W przypadku korzystania z aplikacji mobilnej jako metody resetowania hasła, takiej jak aplikacja Microsoft Authenticator, mają zastosowanie następujące kwestie:

  • Jeśli administratorzy wymagają użycia jednej metody do zresetowania hasła, kod weryfikacyjny jest jedyną dostępną opcją.
  • Gdy administratorzy wymagają użycia dwóch metod resetowania hasła, użytkownicy mogą używać powiadomień LUB kodu weryfikacyjnego oprócz innych metod włączonych.
Liczba metod wymaganych do zresetowania Jeden Dwa
Dostępne funkcje aplikacji mobilnej Kod Kod lub powiadomienie

Użytkownicy nie mają możliwości zarejestrowania aplikacji mobilnej podczas rejestrowania w celu samoobsługowego resetowania hasła z usługi https://aka.ms/ssprsetup. Użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetuplub w połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.

Ważne

Nie można wybrać aplikacji Authenticator jako jedynej metody uwierzytelniania, gdy wymagana jest tylko jedna metoda. Podobnie nie można wybrać aplikacji Authenticator i tylko jednej dodatkowej metody w przypadku wymagania dwóch metod.

Podczas konfigurowania zasad samoobsługowego resetowania hasła, które obejmują aplikację Authenticator jako metodę, należy wybrać co najmniej jedną dodatkową metodę, gdy wymagana jest jedna metoda, a co najmniej dwie dodatkowe metody należy wybrać podczas konfigurowania dwóch metod.

Jest to wymagane, ponieważ bieżące środowisko rejestracji samoobsługowego resetowania hasła nie obejmuje opcji rejestrowania aplikacji authenticator. Opcja rejestrowania aplikacji authenticator jest dołączona do nowego połączonego środowiska rejestracji.

Zezwalanie na zasady korzystające tylko z aplikacji Authenticator (gdy wymagana jest jedna metoda) lub aplikacji Authenticator i tylko jednej dodatkowej metody (gdy wymagane są dwie metody), może prowadzić do zablokowania rejestrowania użytkowników na potrzeby samoobsługowego resetowania hasła, dopóki nie zostaną skonfigurowane do korzystania z nowego połączonego środowiska rejestracji.

Zmienianie metod uwierzytelniania

Jeśli zaczniesz od zasad, które mają tylko jedną wymaganą metodę uwierzytelniania do zresetowania lub odblokowania zarejestrowane i zmienisz je na dwie metody, co się stanie?

Liczba zarejestrowanych metod Wymagana liczba metod Wynik
Co najmniej 1 1 Możliwość resetowania lub odblokowywania
1 2 Nie można zresetować lub odblokować
Co najmniej 2 2 Możliwość resetowania lub odblokowywania

Zmiana dostępnych metod uwierzytelniania może również powodować problemy dla użytkowników. Jeśli zmienisz typy metod uwierzytelniania, których użytkownik może użyć, możesz przypadkowo uniemożliwić użytkownikom korzystanie z samoobsługowego resetowania hasła, jeśli nie ma minimalnej dostępnej ilości danych.

Rozważmy następujący przykładowy scenariusz:

  1. Oryginalne zasady są konfigurowane z dwiema wymaganymi metodami uwierzytelniania. Używa tylko numeru telefonu biurowego i pytań zabezpieczających.
  2. Administrator zmienia zasady tak, aby nie używał już pytań zabezpieczających, ale zezwala na korzystanie z telefonu komórkowego i alternatywnej poczty e-mail.
  3. Użytkownicy bez wypełnionych pól telefonu komórkowego lub alternatywnej poczty e-mail nie mogą teraz resetować swoich haseł.

Powiadomienia

Aby zwiększyć świadomość zdarzeń haseł, samoobsługowe resetowanie hasła umożliwia konfigurowanie powiadomień zarówno dla użytkowników, jak i administratorów tożsamości.

Czy powiadamiać użytkowników o resetowaniu hasła?

Jeśli ta opcja ma wartość Tak, użytkownicy resetujący hasło otrzymają wiadomość e-mail z powiadomieniem o zmianie hasła. Wiadomość e-mail jest wysyłana za pośrednictwem portalu samoobsługowego resetowania hasła do ich podstawowych i alternatywnych adresów e-mail przechowywanych w Azure AD. Nikt inny nie jest powiadamiany o zdarzeniu resetowania.

Powiadamianie wszystkich administratorów o zresetowaniu haseł przez innych administratorów

Jeśli ta opcja ma wartość Tak, wszyscy inni administratorzy platformy Azure otrzymają wiadomość e-mail na podstawowy adres e-mail przechowywany w Azure AD. Wiadomość e-mail powiadamia o tym, że inny administrator zmienił hasło przy użyciu samoobsługowego resetowania hasła.

Rozważmy następujący przykładowy scenariusz:

  • W środowisku istnieją czterech administratorów.
  • Administrator A resetuje swoje hasło przy użyciu samoobsługowego resetowania hasła.
  • Administratorzy B, C i D otrzymują wiadomość e-mail z alertami o zresetowaniu hasła.

Uwaga

Email powiadomienia z usługi samoobsługowego resetowania hasła będą wysyłane z następujących adresów na podstawie chmury platformy Azure, z którą pracujesz:

  • Publiczny: msonlineservicesteam@microsoft.com
  • Chiny: msonlineservicesteam@oe.21vianet.com
  • Rząd: msonlineservicesteam@azureadnotifications.us

Jeśli zaobserwujesz problemy podczas odbierania powiadomień, sprawdź ustawienia spamu.

Integracja lokalna

Jeśli masz środowisko hybrydowe, możesz skonfigurować program Azure AD Connect w celu zapisywania zdarzeń zmiany hasła z Azure AD do katalogu lokalnego.

Weryfikowanie zapisywania zwrotnego haseł jest włączone i działa

Azure AD sprawdza bieżącą łączność hybrydową i udostępnia jeden z następujących komunikatów w Azure Portal:

  • Lokalny klient zapisywania zwrotnego jest uruchomiony.
  • Azure AD jest w trybie online i jest połączony z lokalnym klientem zapisywania zwrotnego. Wygląda jednak na to, że zainstalowana wersja programu Azure AD Connect jest nieaktualna. Rozważ uaktualnienie Azure AD Connect, aby upewnić się, że masz najnowsze funkcje łączności i ważne poprawki błędów.
  • Niestety, nie można sprawdzić stanu lokalnego klienta zapisywania zwrotnego, ponieważ zainstalowana wersja programu Azure AD Connect jest nieaktualna. Uaktualnij Azure AD Połącz, aby sprawdzić stan połączenia.
  • Niestety wygląda na to, że nie możemy teraz nawiązać połączenia z lokalnym klientem zapisywania zwrotnego. Rozwiązywanie problemów Azure AD Connect w celu przywrócenia połączenia.
  • Niestety, nie można nawiązać połączenia z lokalnym klientem zapisywania zwrotnego, ponieważ zapisywanie zwrotne haseł nie zostało prawidłowo skonfigurowane. Skonfiguruj zapisywanie zwrotne haseł w celu przywrócenia połączenia.
  • Niestety wygląda na to, że nie możemy teraz nawiązać połączenia z lokalnym klientem zapisywania zwrotnego. Może to być spowodowane tymczasowymi problemami po naszej stronie. Jeśli problem będzie się powtarzać, rozwiąż problemy Azure AD Connect, aby przywrócić połączenie.

Aby rozpocząć pracę z zapisywaniem zwrotnym samoobsługowego resetowania hasła, ukończ następujący samouczek:

Zapisywanie haseł w katalogu lokalnym

Zapisywanie zwrotne haseł można włączyć przy użyciu Azure Portal. Możesz również tymczasowo wyłączyć funkcję zapisywania zwrotnego haseł bez konieczności ponownego konfigurowania Azure AD Connect.

  • Jeśli opcja jest ustawiona na Tak, zapis zwrotny jest włączony. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł mogą resetować swoje hasła.
  • Jeśli opcja jest ustawiona na Nie, zapisywanie zwrotne jest wyłączone. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł nie mogą resetować swoich haseł.

Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła

Domyślnie Azure AD odblokowuje konta podczas resetowania hasła. Aby zapewnić elastyczność, możesz zezwolić użytkownikom na odblokowywanie kont lokalnych bez konieczności resetowania hasła. Użyj tego ustawienia, aby oddzielić te dwie operacje.

  • W przypadku ustawienia wartości Tak użytkownicy otrzymają opcję zresetowania hasła i odblokowania konta lub odblokowania konta bez konieczności resetowania hasła.
  • Jeśli jest ustawiona wartość Nie, użytkownicy będą mogli wykonać tylko połączoną operację resetowania hasła i odblokowywania konta.

Filtry haseł lokalnej usługi Active Directory

Samoobsługowe resetowanie hasła wykonuje odpowiednik resetowania hasła zainicjowanego przez administratora w usłudze Active Directory. Jeśli używasz filtru haseł innej firmy do wymuszania niestandardowych reguł haseł, a ten filtr haseł jest sprawdzany podczas Azure AD samoobsługowego resetowania hasła, upewnij się, że rozwiązanie filtru haseł innej firmy jest skonfigurowane do zastosowania w scenariuszu resetowania hasła administratora. Azure AD ochrona hasłem dla Active Directory Domain Services jest domyślnie obsługiwana.

Resetowanie hasła dla użytkowników B2B

Resetowanie i zmiana hasła są w pełni obsługiwane we wszystkich konfiguracjach biznesowych (B2B). Resetowanie hasła użytkownika B2B jest obsługiwane w następujących trzech przypadkach:

  • Użytkownicy z organizacji partnerskiej z istniejącą dzierżawą Azure AD: jeśli organizacja, z którą współpracujesz, ma istniejącą dzierżawę Azure AD, szanujemy wszystkie zasady resetowania haseł włączone w tej dzierżawie. Aby resetowanie hasła działało, organizacja partnerska musi upewnić się, że funkcja samoobsługowego resetowania hasła jest włączona Azure AD. Za Microsoft 365 klientów nie są naliczane dodatkowe opłaty.
  • Użytkownicy, którzy rejestrują się za pomocą rejestracji samoobsługowej: jeśli organizacja, z którą współpracujesz, korzystała z funkcji rejestracji samoobsługowej w celu uzyskania dostępu do dzierżawy, pozwolimy im zresetować hasło za pomocą zarejestrowanej przez siebie wiadomości e-mail .
  • Użytkownicy B2B: każdy nowy użytkownik B2B utworzony przy użyciu nowych funkcji Azure AD B2B może również zresetować swoje hasła za pomocą poczty e-mail zarejestrowanej podczas procesu zapraszania.

Aby przetestować ten scenariusz, przejdź do https://passwordreset.microsoftonline.com strony z jednym z tych użytkowników partnerskich. Jeśli zdefiniowano alternatywny adres e-mail lub wiadomość e-mail z uwierzytelnianiem, resetowanie hasła działa zgodnie z oczekiwaniami.

Uwaga

Microsoft konta, którym udzielono dostępu gościa do dzierżawy Azure AD, na przykład z Hotmail.com, Outlook.com lub innych osobistych adresów e-mail, nie mogą używać Azure AD samoobsługowego resetowania hasła. Muszą zresetować swoje hasło, korzystając z informacji znajdujących się w artykule Kiedy nie możesz zalogować się do konta Microsoft.

Następne kroki

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku:

Poniższe artykuły zawierają dodatkowe informacje dotyczące resetowania haseł za pomocą usługi Azure AD: