Jak to działa: Samoobsługowe resetowanie haseł Microsoft Entra

Microsoft Entra umożliwia samoobsługowe resetowanie hasła (SSPR), dzięki czemu użytkownicy mogą zmieniać lub resetować swoje hasło bez udziału administratora ani pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Polecamy to wideo dotyczące włączania i konfigurowania SSPR w Microsoft Entra ID.

Ważne

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe resetowanie haseł. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Jak działa proces resetowania hasła?

Użytkownik może zresetować lub zmienić swoje hasło przy użyciu portalu samoobsługowego resetowania hasła. Muszą najpierw zarejestrować żądane metody uwierzytelniania. Gdy użytkownik uzyskuje dostęp do portalu SSPR, platforma Microsoft Entra uwzględnia następujące czynniki:

• Jak powinna być zlokalizowana strona?
• Czy konto użytkownika jest prawidłowe?
• Do jakiej organizacji należy użytkownik?
• Gdzie jest zarządzane hasło użytkownika?

Gdy użytkownik wybierze link Nie można uzyskać dostępu do konta z aplikacji lub strony lub przejdzie bezpośrednio do https://aka.ms/sspr witryny, język używany w portalu SSPR jest określany przez następujące opcje:

• Domyślnie ustawienia regionalne przeglądarki są używane do wyświetlania procesu samoobsługowego resetowania hasła (SSPR) w odpowiednim języku. Środowisko resetowania hasła jest zlokalizowane w tych samych językach, które obsługuje platforma Microsoft 365.
• Jeśli chcesz połączyć się z samoobsługowym resetowaniem hasła w określonym języku, dołącz końcówkę ?mkt= do adresu URL resetowania hasła wraz z wymaganymi ustawieniami językowymi.
  • Aby na przykład określić ustawienia regionalne es-us hiszpańskiego, użyj polecenia ?mkt=es-us - https://passwordreset.microsoftonline.com/?mkt=es-us.

Po wyświetleniu portalu SSPR w wymaganym języku użytkownik zostanie poproszony o wprowadzenie identyfikatora użytkownika i wypełnienie captcha. Identyfikator Entra firmy Microsoft sprawdza teraz, czy użytkownik może używać samoobsługowego resetowania hasła (SSPR), wykonując następujące kontrole:

• Sprawdza, czy użytkownik ma włączone samoobsługowe resetowanie hasła.
  • Jeśli użytkownik nie ma włączonej opcji samoobsługowego resetowania hasła (SSPR), jest proszony o kontakt z administratorem w celu resetowania hasła.
• Sprawdza, czy użytkownik ma odpowiednie metody uwierzytelniania zdefiniowane na swoim koncie zgodnie z zasadami administratora.
  • Jeśli zasady wymagają tylko jednej metody, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej jednej metody uwierzytelniania włączonej przez zasady administratora.
    • Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
  • Jeśli zasady wymagają dwóch metod, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej dwóch metod uwierzytelniania włączonych przez zasady administratora.
    • Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
  • Jeśli do użytkownika przypisano rolę administratora platformy Azure, wymuszane są silne zasady haseł z dwiema bramami. Aby uzyskać więcej informacji, zobacz Różnice zasad resetowania administratora.
• Sprawdza, czy hasło użytkownika jest zarządzane lokalnie, na przykład jeśli dzierżawa usługi Microsoft Entra korzysta z uwierzytelniania federacyjnego, uwierzytelniania przekazywania lub synchronizacji skrótów haseł.
  • Jeśli skonfigurowano funkcję zapisu zwrotnego dla samoobsługowego resetowania hasła i hasło użytkownika jest zarządzane na miejscu, użytkownikowi jest umożliwione uwierzytelnienie i resetowanie hasła.
  • Jeśli nie zostało wdrożone zapisywanie zwrotne samoobsługowego resetowania hasła, a użytkownik zarządza swoim hasłem lokalnie, zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.

Jeśli wszystkie poprzednie testy zostały ukończone pomyślnie, użytkownik przeprowadzi się przez proces resetowania lub zmieniania hasła.

Uwaga

Samoobsługowe resetowanie hasła może wysyłać powiadomienia e-mail użytkownikom w ramach procesu resetowania hasła. Te wiadomości e-mail są wysyłane przy użyciu usługi przekazywania SMTP, która działa w trybie aktywny-aktywny w kilku regionach.

Usługi przekazywania SMTP odbierają i przetwarzają treść wiadomości e-mail, ale nie przechowują jej. Treść e-maila resetowania hasła, który może zawierać informacje podane przez klienta, nie jest przechowywana w dziennikach usługi przekazywania SMTP. Dzienniki zawierają tylko metadane protokołu.

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła (SSPR), wykonaj czynności opisane w następującym samouczku:

Samouczek : Włączanie samoobsługowego resetowania hasła (SSPR)

Wymagaj od użytkowników zarejestrowania się podczas logowania

Możesz włączyć opcję wymuszającą od użytkownika ukończenie rejestracji samoobsługowego resetowania hasła, jeśli używa nowoczesnego uwierzytelniania lub przeglądarki internetowej do logowania się do dowolnych aplikacji przy użyciu Microsoft Entra ID. Ten przepływ pracy obejmuje następujące aplikacje:

• Microsoft 365
• Centrum administracyjne firmy Microsoft Entra
• Panel dostępu
• Aplikacje federacyjne
• Aplikacje niestandardowe korzystające z identyfikatora Entra firmy Microsoft

Jeśli rejestracja nie jest wymagana, użytkownicy nie są monitowani podczas logowania, ale mogą ręcznie się zarejestrować. Użytkownicy mogą odwiedzić https://aka.ms/ssprsetup lub wybrać link Zarejestruj się do resetowania hasła na karcie Profil w panelu dostępu.

Uwaga

Użytkownicy mogą odrzucić portal rejestracji SSPR, wybierając Anuluj lub zamykając okno. Jednak użytkownik jest monitowany o zarejestrowanie się za każdym razem, gdy zaloguje się do momentu ukończenia rejestracji.

To przerwanie procesu rejestracji do SSPR nie przerywa połączenia użytkownika, jeśli jest już zalogowany.

Ponowne potwierdzanie informacji o uwierzytelnianiu

Możesz wymagać od użytkowników potwierdzenia swoich informacji uwierzytelniania po upływie określonego czasu. Ta opcja jest dostępna tylko w przypadku włączenia opcji Wymagaj od użytkowników rejestracji podczas logowania .

Prawidłowe wartości, aby monitować użytkownika o potwierdzenie, że ich informacje uwierzytelniania pochodzą z zakresu od 0 do 730 dni. Ustawienie tej wartości na 0 oznacza, że użytkownicy nigdy nie są proszeni o potwierdzenie informacji uwierzytelniania. Użytkownicy muszą się zalogować, zanim będą mogli ponownie potwierdzić swoje informacje.

Uwaga

Jeśli samoobsługowe resetowanie hasła wymaga więcej niż jednej metody uwierzytelniania, użytkownik, który usunie metodę, nie jest wymagany do potwierdzenia informacji uwierzytelniania do momentu osiągnięcia liczby dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania.

Metody uwierzytelniania

Gdy użytkownik jest uprawniony do samodzielnego resetowania hasła, musi zarejestrować co najmniej jedną metodę uwierzytelniania. Zdecydowanie zalecamy wybranie co najmniej dwóch metod uwierzytelniania, aby użytkownicy mieli większą elastyczność, jeśli nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują. Aby uzyskać więcej informacji, zobacz Co to są metody uwierzytelniania?.

Dla samoobsługowego resetowania hasła (SSPR) są dostępne następujące metody uwierzytelniania:

• Powiadomienie aplikacji mobilnej
• Kod aplikacji mobilnej
• Sprzętowy token OATH
• Token OATH oprogramowania
• Poczta e-mail
• Telefon komórkowy
• Telefon biurowy (dostępny tylko dla najemców z płatnymi subskrypcjami)
• Pytania zabezpieczające

Użytkownicy mogą zresetować swoje hasło tylko wtedy, gdy zarejestrują metodę uwierzytelniania włączoną przez administratora.

Ostrzeżenie

Konta przypisane do ról administratora Azure są zobowiązane do używania metod zdefiniowanych w sekcji Różnice zasad resetowania administratorów.

Wymagana liczba metod uwierzytelniania

Możesz skonfigurować liczbę dostępnych metod uwierzytelniania, które użytkownik musi podać, aby zresetować lub odblokować hasło. Tę wartość można ustawić na jedną lub dwie.

Użytkownicy powinni zarejestrować wiele metod uwierzytelniania, aby mogli zalogować się w inny sposób, jeśli nie mogą uzyskać dostępu do jednej metody.

Jeśli użytkownik nie zarejestruje minimalnej liczby wymaganych metod, zostanie wyświetlona strona błędu podczas próby użycia samoobsługowego resetowania hasła (SSPR). Muszą poprosić administratora o zresetowanie hasła. Aby uzyskać więcej informacji, zobacz Zmienianie metod uwierzytelniania.

Aplikacja mobilna i samoobsługowe resetowanie hasła

W przypadku korzystania z aplikacji mobilnej jako metody resetowania hasła, takiej jak Microsoft Authenticator, należy wziąć pod uwagę następujące kwestie, jeśli organizacja nie przeprowadziła migracji do scentralizowanych zasad metod uwierzytelniania:

• Jeśli administratorzy wymagają użycia jednej metody do zresetowania hasła, kod weryfikacyjny jest jedyną dostępną opcją.
• Jeśli administratorzy wymagają użycia dwóch metod do zresetowania hasła, użytkownicy mogą skorzystać z powiadomienia LUB kodu weryfikacyjnego oprócz wszelkich innych włączonych metod.

Liczba metod wymaganych do zresetowania	Jeden	Dwa
Dostępne funkcje aplikacji mobilnej	Kod	Kod lub powiadomienie

Użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetuplub w połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.

Ważne

Nie można wybrać Authenticatora jako jedynej metody uwierzytelniania, gdy wymagana jest tylko jedna metoda. Podobnie nie można wybrać metody Authenticator i tylko jednej dodatkowej metody, jeśli potrzebujesz dwóch metod.

Podczas konfigurowania zasad samoobsługowego resetowania hasła, które obejmują aplikację Authenticator jako metodę, należy wybrać co najmniej jedną dodatkową metodę, gdy jest wymagana jedna metoda, a co najmniej dwie dodatkowe metody należy wybrać podczas konfigurowania dwóch metod.

Zmienianie metod uwierzytelniania

Jeśli zaczynasz od polityki, która ma tylko jedną wymaganą zarejestrowaną metodę uwierzytelniania do zresetowania lub odblokowania i zmienisz to na dwie metody, co się stanie?

Liczba zarejestrowanych metod	Wymagana liczba metod	Wynik
Co najmniej 1	1	Możliwość resetowania lub odblokowywania
1	2	Nie można zresetować lub odblokować
2 lub więcej	2	Możliwość resetowania lub odblokowywania

Zmiana dostępnych metod uwierzytelniania może również powodować problemy dla użytkowników. Jeśli zmienisz dostępne metody uwierzytelniania, użytkownicy, którzy nie posiadają minimalnej ilości wymaganych danych, nie będą mogli korzystać z samoobsługowego resetowania haseł.

Rozważmy następujący scenariusz przykładowy:

1. Oryginalne zasady są konfigurowane przy użyciu dwóch wymaganych metod uwierzytelniania. Używa tylko numeru telefonu biurowego i pytań zabezpieczających.
2. Administrator zmienia zasady tak, aby nie używał już pytań zabezpieczających, ale zezwala na korzystanie z telefonu komórkowego i alternatywnej poczty e-mail.
3. Użytkownicy bez wypełnionych pól telefonu komórkowego lub alternatywnej poczty e-mail nie mogą teraz resetować swoich haseł.

Powiadomienia

Aby zwiększyć świadomość wydarzeń związanych z hasłami, SSPR umożliwia konfigurowanie powiadomień zarówno dla użytkowników, jak i administratorów tożsamości.

Czy powiadamiać użytkowników o resetowaniu hasła?

Jeśli ta opcja ma wartość Tak, użytkownicy resetują swoje hasło, otrzymają wiadomość e-mail z powiadomieniem o zmianie hasła. Wiadomość e-mail jest wysyłana za pośrednictwem portalu samoobsługowego resetowania hasła do ich podstawowych i alternatywnych adresów e-mail przechowywanych w identyfikatorze Entra firmy Microsoft. Jeśli nie zdefiniowano żadnego podstawowego ani alternatywnego adresu e-mail, SSPR spróbuje wysłać powiadomienie e-mail za pośrednictwem UPN użytkownika. Nikt inny nie jest powiadamiany o zdarzeniu resetowania.

Powiadamianie wszystkich administratorów o zresetowaniu haseł przez innych administratorów

Jeśli ta opcja ma wartość Tak, administratorzy globalni otrzymają wiadomość e-mail na podstawowy adres e-mail przechowywany w identyfikatorze Entra firmy Microsoft. Wiadomość e-mail powiadamia, że inny administrator zmienił ich hasło przy użyciu SSPR (samoobsługowe resetowanie hasła).

Uwaga

Powiadomienia e-mail z usługi samoobsługowego resetowania hasła będą wysyłane z następujących adresów na podstawie chmury platformy Azure, z którą pracujesz:

• Publiczne: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
• Platforma Microsoft Azure obsługiwana przez firmę 21Vianet (Azure w Chinach): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
• Platforma Azure dla instytucji rządowych USA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Jeśli zaobserwujesz problemy podczas odbierania powiadomień, sprawdź ustawienia spamu.

Jeśli chcesz, aby administratorzy niestandardowi otrzymywali wiadomości e-mail z powiadomieniami, użyj dostosowań samoobsługowego resetowania hasła i skonfiguruj niestandardowy link do pomocy technicznej lub wiadomość e-mail.

Integracja lokalna

W środowisku hybrydowym można skonfigurować synchronizację z chmurą microsoft Entra Connect, aby zapisywać zdarzenia zmiany hasła z powrotem z identyfikatora Entra firmy Microsoft do katalogu lokalnego.

Identyfikator entra firmy Microsoft sprawdza bieżącą łączność hybrydową i udostępnia komunikaty w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać pomoc dotyczącą rozwiązywania możliwych błędów, zobacz Rozwiązywanie problemów z programem Microsoft Entra Connect.

Aby rozpocząć pracę z powrotem resetowania hasła, wykonaj czynności opisane w następującym samouczku:

Samouczek: Włączanie funkcji samoobsługowego resetowania hasła (SSPR) z zapisem zwrotnym

Przepisywanie haseł do lokalnego katalogu

Funkcję zapisywania zwrotnego haseł można włączyć przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również tymczasowo wyłączyć funkcję zapisywania zwrotnego haseł bez konieczności ponownego konfigurowania programu Microsoft Entra Connect.

• Jeśli opcja jest ustawiona na Tak, funkcja zapisywania zwrotnego jest włączona. Użytkownicy federacyjni, z uwierzytelnianiem przekazywanym lub zsynchronizowanym hasłem skrótem mogą resetować swoje hasła.
• Jeśli opcja jest ustawiona na Nie, funkcja zapisywania zwrotnego jest wyłączona. Federacyjni użytkownicy, użytkownicy z uwierzytelnianiem przekazywanym lub synchronizacją skrótu haseł nie mogą resetować swoich haseł.

Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła

Domyślnie identyfikator Entra firmy Microsoft odblokowuje konta podczas wykonywania resetowania hasła. Aby zapewnić elastyczność, możesz zezwolić użytkownikom na odblokowanie kont lokalnych bez konieczności resetowania hasła. Użyj tego ustawienia, aby oddzielić te dwie operacje.

• Jeśli jest ustawiona wartość Tak, użytkownicy mają możliwość zresetowania hasła i odblokowania konta lub odblokowania konta bez konieczności resetowania hasła.
• Jeśli jest ustawiona wartość Nie, użytkownicy będą mogli wykonać tylko połączoną operację resetowania hasła i odblokowywania konta.

Filtry haseł lokalnej usługi Active Directory

Samoobsługowe resetowanie hasła (SSPR) wykonuje odpowiednik resetowania hasła zainicjowanego przez administratora w usłudze Active Directory. Jeśli używasz filtru haseł innej firmy do wymuszania niestandardowych reguł haseł i wymagasz, aby ten filtr haseł był sprawdzany podczas samoobsługowego resetowania haseł przez firmę Microsoft Entra, upewnij się, że rozwiązanie filtru haseł innej firmy jest skonfigurowane do zastosowania w scenariuszu resetowania hasła administratora. Ochrona hasłem firmy Microsoft dla usług Active Directory Domain Services jest domyślnie obsługiwana.

Resetowanie hasła dla użytkowników B2B

Resetowanie i zmiana hasła są w pełni obsługiwane we wszystkich konfiguracjach biznesowych (B2B). Resetowanie hasła użytkownika B2B jest obsługiwane w następujących trzech przypadkach:

• Użytkownicy z organizacji partnerskiej z istniejącym dzierżawcą Microsoft Entra: Jeśli partner ma dzierżawcę Microsoft Entra, przestrzegamy zasad dotyczących resetowania haseł na tym dzierżawcy. Aby resetowanie hasła działało, organizacja partnerska musi upewnić się, że włączono Microsoft Entra SSPR. Dla klientów platformy Microsoft 365 nie są naliczane żadne inne opłaty.
• Użytkownicy, którzy rejestrują się za pomocą rejestracji samoobsługowej: jeśli partner skorzystał z funkcji rejestracji samoobsługowej, aby uzyskać dostęp do najemcy, umożliwiamy im resetowanie hasła za pomocą zarejestrowanego adresu e-mail.
• Użytkownicy B2B: każdy nowy użytkownik B2B utworzony przy użyciu nowych funkcji firmy Microsoft Entra B2B może również zresetować swoje hasła za pomocą poczty e-mail zarejestrowanej podczas procesu zapraszania.

Aby przetestować ten scenariusz, przejdź do https://passwordreset.microsoftonline.com z jednym z tych użytkowników partnerskich. Jeśli użytkownik zdefiniował alternatywną wiadomość e-mail lub wiadomość e-mail z uwierzytelnianiem, resetowanie hasła działa zgodnie z oczekiwaniami.

Uwaga

Konta Microsoft, którym udzielono dostępu gościa do dzierżawy usługi Microsoft Entra, na przykład te z Hotmail.com, Outlook.com lub innych osobistych adresów e-mail, nie mogą używać samoobsługowego resetowania hasła Microsoft Entra. Aby uzyskać więcej informacji, zobacz Kiedy nie możesz zalogować się do konta Microsoft.

Następne kroki

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła (SSPR), wykonaj czynności opisane w następującym samouczku:

Samouczek : Włączanie samoobsługowego resetowania hasła (SSPR)