Udostępnij za pośrednictwem


Jak to działa: Samoobsługowe resetowania hasła usługi Microsoft Entra

Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła bez udziału administratora lub pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft.

Ważne

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe resetowanie haseł. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Jak działa proces resetowania hasła?

Użytkownik może zresetować lub zmienić swoje hasło przy użyciu portalu samoobsługowego resetowania hasła. Muszą najpierw zarejestrować żądane metody uwierzytelniania. Gdy użytkownik uzyskuje dostęp do portalu samoobsługowego resetowania hasła, platforma Microsoft Entra uwzględnia następujące czynniki:

  • Jak powinna być zlokalizowana strona?
  • Czy konto użytkownika jest prawidłowe?
  • Do jakiej organizacji należy użytkownik?
  • Gdzie jest zarządzane hasło użytkownika?

Gdy użytkownik wybierze link Nie można uzyskać dostępu do konta z aplikacji lub strony lub przechodzi bezpośrednio do https://aka.ms/ssprwitryny , język używany w portalu samoobsługowego resetowania hasła jest oparty na następujących opcjach:

  • Domyślnie ustawienia regionalne przeglądarki są używane do wyświetlania samoobsługowego resetowania hasła w odpowiednim języku. Środowisko resetowania hasła jest zlokalizowane w tych samych językach, które obsługuje platforma Microsoft 365.
  • Jeśli chcesz połączyć się z samoobsługowym resetowaniem hasła w określonym zlokalizowanym języku, dołącz ?mkt= adres URL resetowania hasła wraz z wymaganymi ustawieniami regionalnymi.

Po wyświetleniu portalu samoobsługowego resetowania hasła w wymaganym języku użytkownik zostanie poproszony o wprowadzenie identyfikatora użytkownika i przekazanie captcha. Identyfikator Entra firmy Microsoft sprawdza teraz, czy użytkownik może używać samoobsługowego resetowania hasła, wykonując następujące testy:

  • Sprawdza, czy użytkownik ma włączone samoobsługowe resetowanie hasła.
    • Jeśli użytkownik nie jest włączony dla samoobsługowego resetowania hasła, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.
  • Sprawdza, czy użytkownik ma odpowiednie metody uwierzytelniania zdefiniowane na swoim koncie zgodnie z zasadami administratora.
    • Jeśli zasady wymagają tylko jednej metody, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej jednej metody uwierzytelniania włączonej przez zasady administratora.
      • Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
    • Jeśli zasady wymagają dwóch metod, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej dwóch metod uwierzytelniania włączonych przez zasady administratora.
      • Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
    • Jeśli do użytkownika przypisano rolę administratora platformy Azure, wymuszane są silne zasady haseł z dwiema bramami. Aby uzyskać więcej informacji, zobacz Różnice zasad resetowania administratora.
  • Sprawdza, czy hasło użytkownika jest zarządzane lokalnie, na przykład jeśli dzierżawa firmy Microsoft Entra korzysta z federacyjnego, uwierzytelniania przekazywanego lub synchronizacji skrótów haseł:
    • Jeśli funkcja zapisywania zwrotnego samoobsługowego resetowania hasła jest skonfigurowana i hasło użytkownika jest zarządzane lokalnie, użytkownik może kontynuować uwierzytelnianie i resetowanie hasła.
    • Jeśli zapisywanie zwrotne samoobsługowego resetowania hasła nie zostało wdrożone, a hasło użytkownika jest zarządzane lokalnie, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.

Jeśli wszystkie poprzednie testy zostały ukończone pomyślnie, użytkownik przeprowadzi się przez proces resetowania lub zmieniania hasła.

Uwaga

Samoobsługowe resetowanie hasła może wysyłać powiadomienia e-mail do użytkowników w ramach procesu resetowania hasła. Te wiadomości e-mail są wysyłane przy użyciu usługi przekazywania SMTP, która działa w trybie aktywny-aktywny w kilku regionach.

Usługi przekazywania SMTP odbierają i przetwarzają treść wiadomości e-mail, ale nie przechowują jej. Treść wiadomości e-mail samoobsługowego resetowania hasła, która może potencjalnie zawierać informacje podane przez klienta, nie jest przechowywana w dziennikach usługi przekazywania SMTP. Dzienniki zawierają tylko metadane protokołu.

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku:

Wymagaj od użytkowników zarejestrowania się podczas logowania

Możesz włączyć opcję, aby wymagać od użytkownika ukończenia rejestracji samoobsługowego resetowania hasła, jeśli używa nowoczesnego uwierzytelniania lub przeglądarki internetowej do logowania się do dowolnych aplikacji przy użyciu identyfikatora Entra firmy Microsoft. Ten przepływ pracy obejmuje następujące aplikacje:

  • Microsoft 365
  • Centrum administracyjne Microsoft Entra
  • Panel dostępu
  • Aplikacje federacyjne
  • Aplikacje niestandardowe korzystające z identyfikatora Entra firmy Microsoft

Jeśli rejestracja nie jest wymagana, użytkownicy nie są monitowani podczas logowania, ale mogą ręcznie się zarejestrować. Użytkownicy mogą odwiedzić https://aka.ms/ssprsetup lub wybrać link Zarejestruj się do resetowania hasła na karcie Profil w Panel dostępu.

Zrzut ekranu przedstawiający rejestrację resetowania hasła dla identyfikatora entra firmy Microsoft.

Uwaga

Użytkownicy mogą odrzucić portal rejestracji samoobsługowego resetowania hasła, wybierając pozycję Anuluj lub zamykając okno. Jednak użytkownik jest monitowany o zarejestrowanie się za każdym razem, gdy zaloguje się do momentu ukończenia rejestracji.

To przerwanie rejestrowania na potrzeby samoobsługowego resetowania hasła nie powoduje przerwania połączenia użytkownika, jeśli już się zalogował.

Ponowne potwierdzanie informacji o uwierzytelnianiu

Aby upewnić się, że metody uwierzytelniania są poprawne, gdy są potrzebne do zresetowania lub zmiany hasła, możesz wymagać od użytkowników potwierdzenia zarejestrowanych informacji po upływie określonego czasu. Ta opcja jest dostępna tylko w przypadku włączenia opcji Wymagaj od użytkowników rejestracji podczas logowania .

Prawidłowe wartości monitowania użytkownika o potwierdzenie zarejestrowanych metod to od 0 do 730 dni. Ustawienie tej wartości na 0 oznacza, że użytkownicy nigdy nie są proszeni o potwierdzenie informacji uwierzytelniania. W przypadku korzystania z połączonego środowiska rejestracji użytkownicy będą musieli potwierdzić swoją tożsamość przed ponownym potwierdzeniem swoich informacji.

Metody uwierzytelniania

Gdy użytkownik jest włączony dla samoobsługowego resetowania hasła, musi zarejestrować co najmniej jedną metodę uwierzytelniania. Zdecydowanie zalecamy wybranie co najmniej dwóch metod uwierzytelniania, aby użytkownicy mieli większą elastyczność, jeśli nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują. Aby uzyskać więcej informacji, zobacz Co to są metody uwierzytelniania?.

Dla samoobsługowego resetowania hasła są dostępne następujące metody uwierzytelniania:

  • Powiadomienie aplikacji mobilnej
  • Kod aplikacji mobilnej
  • Poczta e-mail
  • Telefon komórkowy
  • Telefon pakietu Office (dostępny tylko dla dzierżaw z subskrypcjami płatnymi)
  • Pytania zabezpieczające

Użytkownicy mogą zresetować swoje hasło tylko wtedy, gdy zarejestrują metodę uwierzytelniania włączoną przez administratora.

Ostrzeżenie

Do używania metod zdefiniowanych w sekcji Różnice zasad resetowania administratorów są wymagane konta przypisane przez administratora.

Zrzut ekranu przedstawiający zasady metod uwierzytelniania dla identyfikatora Entra firmy Microsoft.

Wymagana liczba metod uwierzytelniania

Możesz skonfigurować liczbę dostępnych metod uwierzytelniania, które użytkownik musi podać, aby zresetować lub odblokować hasło. Tę wartość można ustawić na jedną lub dwie.

Użytkownicy powinni zarejestrować wiele metod uwierzytelniania, aby mogli zalogować się w inny sposób, jeśli nie mogą uzyskać dostępu do jednej metody.

Jeśli użytkownik nie zarejestruje minimalnej liczby wymaganych metod, podczas próby użycia samoobsługowego resetowania hasła zostanie wyświetlona strona błędu. Muszą poprosić administratora o zresetowanie hasła. Aby uzyskać więcej informacji, zobacz Zmienianie metod uwierzytelniania.

Aplikacja mobilna i samoobsługowe resetowanie hasła

W przypadku korzystania z aplikacji mobilnej jako metody resetowania hasła, takiej jak Microsoft Authenticator, należy wziąć pod uwagę następujące kwestie, jeśli organizacja nie przeprowadziła migracji do scentralizowanych zasad metod uwierzytelniania:

  • Jeśli administratorzy wymagają użycia jednej metody do zresetowania hasła, kod weryfikacyjny jest jedyną dostępną opcją.
  • Jeśli administratorzy wymagają użycia dwóch metod do zresetowania hasła, użytkownicy mogą używać powiadomień LUB kodu weryfikacyjnego oprócz innych metod, które są włączone.
Liczba metod wymaganych do zresetowania Jeden Dwa
Dostępne funkcje aplikacji mobilnej Kod Kod lub powiadomienie

Użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetuplub w połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.

Ważne

Nie można wybrać wystawcy Authenticator jako jedynej metody uwierzytelniania, gdy wymagana jest tylko jedna metoda. Podobnie nie można wybrać metody Authenticator i tylko jednej dodatkowej metody, jeśli potrzebujesz dwóch metod.

Podczas konfigurowania zasad samoobsługowego resetowania hasła, które obejmują aplikację Authenticator jako metodę, należy wybrać co najmniej jedną dodatkową metodę, gdy jest wymagana jedna metoda, a co najmniej dwie dodatkowe metody należy wybrać podczas konfigurowania dwóch metod.

Zmienianie metod uwierzytelniania

Jeśli zaczniesz od zasad, które mają tylko jedną wymaganą metodę uwierzytelniania do zresetowania lub odblokowania zarejestrowane i zmienisz je na dwie metody, co się stanie?

Liczba zarejestrowanych metod Wymagana liczba metod Result
Co najmniej 1 1 Możliwość resetowania lub odblokowywania
1 2 Nie można zresetować lub odblokować
2 lub więcej 2 Możliwość resetowania lub odblokowywania

Zmiana dostępnych metod uwierzytelniania może również powodować problemy dla użytkowników. Jeśli zmienisz dostępne metody uwierzytelniania, użytkownicy bez minimalnej dostępnej ilości danych nie będą mogli korzystać z samoobsługowego resetowania hasła.

Rozważmy następujący scenariusz przykładowy:

  1. Oryginalne zasady są konfigurowane przy użyciu dwóch wymaganych metod uwierzytelniania. Używa tylko numeru telefonu biurowego i pytań zabezpieczających.
  2. Administrator zmienia zasady tak, aby nie używał już pytań zabezpieczających, ale zezwala na korzystanie z telefonu komórkowego i alternatywnej poczty e-mail.
  3. Użytkownicy bez wypełnionych pól telefonu komórkowego lub alternatywnej poczty e-mail nie mogą teraz resetować swoich haseł.

Notifications

Aby zwiększyć świadomość zdarzeń haseł, samoobsługowe resetowanie hasła umożliwia konfigurowanie powiadomień zarówno dla użytkowników, jak i administratorów tożsamości.

Czy powiadamiać użytkowników o resetowaniu hasła?

Jeśli ta opcja ma wartość Tak, użytkownicy resetują swoje hasło, otrzymają wiadomość e-mail z powiadomieniem o zmianie hasła. Wiadomość e-mail jest wysyłana za pośrednictwem portalu samoobsługowego resetowania hasła do ich podstawowych i alternatywnych adresów e-mail przechowywanych w identyfikatorze Entra firmy Microsoft. Jeśli nie zdefiniowano żadnego podstawowego lub alternatywnego adresu e-mail samoobsługowego resetowania hasła, spróbuje wysłać powiadomienie e-mail za pośrednictwem głównej nazwy użytkownika (UPN). Nikt inny nie jest powiadamiany o zdarzeniu resetowania.

Powiadamianie wszystkich administratorów o zresetowaniu haseł przez innych administratorów

Jeśli ta opcja ma wartość Tak, administratorzy globalni otrzymają wiadomość e-mail na podstawowy adres e-mail przechowywany w identyfikatorze Entra firmy Microsoft. Wiadomość e-mail powiadamia o tym, że inny administrator zmienił hasło przy użyciu samoobsługowego resetowania hasła.

Uwaga

Powiadomienia e-mail z usługi samoobsługowego resetowania hasła będą wysyłane z następujących adresów na podstawie chmury platformy Azure, z którą pracujesz:

  • Publiczne: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Platforma Microsoft Azure obsługiwana przez firmę 21Vianet (Azure w Chinach): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Platforma Azure dla instytucji rządowych USA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Jeśli zaobserwujesz problemy podczas odbierania powiadomień, sprawdź ustawienia spamu.

Jeśli chcesz, aby administratorzy niestandardowi otrzymywali wiadomości e-mail z powiadomieniami, użyj dostosowań samoobsługowego resetowania hasła i skonfiguruj niestandardowy link do pomocy technicznej lub wiadomość e-mail.

Integracja lokalna

W środowisku hybrydowym można skonfigurować synchronizację z chmurą microsoft Entra Connect, aby zapisywać zdarzenia zmiany hasła z powrotem z identyfikatora Entra firmy Microsoft do katalogu lokalnego.

Zrzut ekranu przedstawiający funkcję zapisywania zwrotnego haseł włączoną dla identyfikatora Entra firmy Microsoft do integracji lokalnej.

Identyfikator entra firmy Microsoft sprawdza bieżącą łączność hybrydową i udostępnia komunikaty w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać pomoc dotyczącą rozwiązywania możliwych błędów, zobacz Rozwiązywanie problemów z programem Microsoft Entra Connect.

Aby rozpocząć pracę z zapisywaniem zwrotnym samoobsługowego resetowania hasła, wykonaj czynności opisane w następującym samouczku:

Zapisywanie haseł w katalogu lokalnym

Funkcję zapisywania zwrotnego haseł można włączyć przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również tymczasowo wyłączyć funkcję zapisywania zwrotnego haseł bez konieczności ponownego konfigurowania programu Microsoft Entra Connect.

  • Jeśli opcja jest ustawiona na Tak, funkcja zapisywania zwrotnego jest włączona. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł mogą resetować swoje hasła.
  • Jeśli opcja jest ustawiona na Nie, funkcja zapisywania zwrotnego jest wyłączona. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł nie mogą resetować swoich haseł.

Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła

Domyślnie identyfikator Entra firmy Microsoft odblokowuje konta podczas wykonywania resetowania hasła. Aby zapewnić elastyczność, możesz zezwolić użytkownikom na odblokowanie kont lokalnych bez konieczności resetowania hasła. Użyj tego ustawienia, aby oddzielić te dwie operacje.

  • Jeśli jest ustawiona wartość Tak, użytkownicy mają możliwość zresetowania hasła i odblokowania konta lub odblokowania konta bez konieczności resetowania hasła.
  • Jeśli jest ustawiona wartość Nie, użytkownicy będą mogli wykonać tylko połączoną operację resetowania hasła i odblokowywania konta.

Filtry haseł lokalnej usługi Active Directory

Samoobsługowe resetowanie hasła wykonuje odpowiednik resetowania hasła zainicjowanego przez administratora w usłudze Active Directory. Jeśli używasz filtru haseł innej firmy do wymuszania niestandardowych reguł haseł i wymagasz, aby ten filtr haseł był sprawdzany podczas samoobsługowego resetowania haseł przez firmę Microsoft Entra, upewnij się, że rozwiązanie filtru haseł innej firmy jest skonfigurowane do zastosowania w scenariuszu resetowania hasła administratora. Ochrona haseł firmy Microsoft dla usług domena usługi Active Directory jest domyślnie obsługiwana.

Resetowanie hasła dla użytkowników B2B

Resetowanie i zmiana hasła są w pełni obsługiwane we wszystkich konfiguracjach biznesowych (B2B). Resetowanie hasła użytkownika B2B jest obsługiwane w następujących trzech przypadkach:

  • Użytkownicy z organizacji partnerskiej z istniejącą dzierżawą firmy Microsoft Entra: jeśli partner ma dzierżawę firmy Microsoft Entra, przestrzegamy zasad resetowania haseł w tej dzierżawie. Aby resetowanie hasła działało, organizacja partnerska musi upewnić się, że włączono funkcję samoobsługowego resetowania hasła firmy Microsoft. Dla klientów platformy Microsoft 365 nie są naliczane żadne inne opłaty.
  • Użytkownicy, którzy rejestrują się za pomocą rejestracji samoobsługowej: jeśli partner użył funkcji rejestracji samoobsługowej, aby przejść do dzierżawy, pozwolimy im zresetować hasło przy użyciu zarejestrowanej wiadomości e-mail.
  • Użytkownicy B2B: każdy nowy użytkownik B2B utworzony przy użyciu nowych funkcji firmy Microsoft Entra B2B może również zresetować swoje hasła za pomocą poczty e-mail zarejestrowanej podczas procesu zapraszania.

Aby przetestować ten scenariusz, przejdź do https://passwordreset.microsoftonline.com jednego z tych użytkowników partnerskich. Jeśli użytkownik zdefiniował alternatywną wiadomość e-mail lub wiadomość e-mail z uwierzytelnianiem, resetowanie hasła działa zgodnie z oczekiwaniami.

Uwaga

Konta Microsoft, którym udzielono dostępu gościa do dzierżawy usługi Microsoft Entra, na przykład z Hotmail.com, Outlook.com lub innych osobistych adresów e-mail, nie mogą używać samoobsługowego resetowania hasła firmy Microsoft. Aby uzyskać więcej informacji, zobacz Kiedy nie możesz zalogować się do konta Microsoft.

Następne kroki

Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku: