Udostępnij za pośrednictwem

Dostosowywanie środowiska użytkownika na potrzeby samoobsługowego resetowania haseł firmy Microsoft

Samoobsługowe resetowanie haseł (SSPR) daje użytkownikom identyfikatora Microsoft Entra możliwość zmiany lub zresetowania hasła bez udziału administratora lub pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta funkcja zmniejsza liczbę zgłoszeń do działu pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji.

Aby ulepszyć środowisko samoobsługowego resetowania hasła dla użytkowników, możesz dostosować wygląd i działanie strony resetowania hasła, powiadomień e-mail lub stron logowania. Opcje dostosowywania pomagają użytkownikom jasno powiedzieć, że znajdują się we właściwym miejscu, i dają im pewność, że uzyskują dostęp do zasobów firmy.

W tym artykule pokazano, jak dostosować łącze e-mail samoobsługowego resetowania hasła dla użytkowników, znakowania firmowego i linku do strony logowania programu Active Directory Federation Services (AD FS). Każdy, kto ma przypisaną rolę administratora zasad uwierzytelniania , może dostosować większość tych opcji.

Aby ułatwić użytkownikom uzyskanie pomocy dotyczącej samoobsługowego resetowania hasła, w portalu resetowania haseł zostanie wyświetlony link Skontaktuj się z administratorem . Jeśli użytkownik wybierze ten link, wykonuje jedną z dwóch czynności:

  • Jeśli ten link kontaktowy zostanie pozostawiony w stanie domyślnym, do administratorów zostanie wysłana wiadomość e-mail z prośbą o pomoc w zmianie hasła użytkownika. Poniższa przykładowa wiadomość e-mail pokazuje tę domyślną wiadomość e-mail:

    Zrzut ekranu przedstawiający przykładową prośbę o zresetowanie wiadomości e-mail wysłaną do administratora.

  • Jeśli to łącze kontaktowe jest dostosowane, przekierowuje użytkownika na stronę internetową lub wysyła wiadomość e-mail na adres określony przez administratora w celu uzyskania pomocy.

    • Jeśli dostosujesz ten link, zalecamy ustawienie go na coś, co użytkownicy są już zaznajomieni z pomocą techniczną.

    Ostrzeżenie

    Jeśli dostosujesz to ustawienie przy użyciu adresu e-mail i konta, które wymagają zresetowania hasła, użytkownik może nie być w stanie poprosić o pomoc.

Domyślne zachowanie poczty e-mail

Domyślna wiadomość e-mail kontaktowa jest wysyłana do adresatów w następującej kolejności:

  1. Jeśli zostanie przypisana rola Administrator pomocy technicznej lub Administrator haseł, administratorzy z tymi rolami zostaną powiadomieni.
  2. Jeśli nie przypisano administratora pomocy technicznej ani administratora haseł, administratorzy z rolą Administrator użytkowników zostaną powiadomieni.
  3. Jeśli żadna z poprzednich ról nie zostanie przypisana, zostanie powiadomiony administrator globalny.

We wszystkich przypadkach zostanie powiadomionych maksymalnie 100 adresatów.

Aby dowiedzieć się więcej o różnych rolach administratora i sposobie ich przypisywania, zobacz Przypisywanie ról administratora w identyfikatorze Microsoft Entra.

Wyłącz opcję Skontaktuj się z administratorem za pomocą adresów e-mail

Jeśli Twoja organizacja nie chce powiadamiać administratorów o żądaniach resetowania haseł, możesz użyć następujących opcji konfiguracji:

  • Dostosuj link pomocy technicznej, aby podać adres URL sieci Web, którego użytkownicy mogą używać do uzyskiwania pomocy. Ta opcja znajduje się w obszarze Resetowania hasła>Dostosowywanie>Niestandardowy adres e-mail pomocy technicznej lub adres URL.
  • Włącz samoobsługowe resetowanie hasła dla wszystkich użytkowników. Ta opcja znajduje się w sekcji resetu hasła>Właściwości. Jeśli nie chcesz, aby użytkownicy resetowali własne hasła, możesz ograniczyć dostęp do pustej grupy. Nie zalecamy tej opcji.

Dostosowywanie strony logowania i panelu dostępu

Możesz dostosować stronę logowania, na przykład dodając logo, które pojawia się wraz z obrazem pasującym do marki Twojej firmy. Aby uzyskać więcej informacji na temat konfigurowania znakowania firmowego, zobacz Dodawanie znakowania firmowego do strony logowania w witrynie Microsoft Entra ID.

Wybrana grafika pojawia się w następujących okolicznościach:

  • Po wprowadzeniu przez użytkownika jego nazwy użytkownika.
  • Jeśli użytkownik uzyskuje dostęp do dostosowanego adresu URL:
    • Przekazując whr parametr do strony resetowania hasła, na przykład https://login.microsoftonline.com/?whr=contoso.com.
    • Przekazując username parametr do strony resetowania hasła, na przykład https://login.microsoftonline.com/?username=admin@contoso.com.

Samoobsługowe resetowanie hasła uwzględnia ustawienia języka przeglądarki. W przypadku dostosowania języka przeglądarki strona jest wyświetlana w dostosowywaniu języka przeglądarki. W przeciwnym razie do domyślnego dostosowania ustawień regionalnych.

Nazwa katalogu

Aby wszystko wyglądało bardziej personalistycznie, możesz zmienić nazwę organizacji w portalu i w automatycznej komunikacji.

Aby zmienić atrybut nazwy katalogu w centrum administracyjnym firmy Microsoft Entra:

Ważne

Firma Microsoft rekomenduje używanie ról z najmniejszą liczbą uprawnień. Ta praktyka pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to wysoce uprzywilejowana rola, która powinna być ograniczona do scenariuszy awaryjnych lub gdy nie można użyć istniejącej roli.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
  2. Przejdź do Entra ID>Omówienie>Właściwości.
  3. Zaktualizuj nazwę.
  4. Wybierz pozycję Zapisz.

Ta opcja nazwy organizacji jest najbardziej widoczna w automatycznych wiadomościach e-mail, jak w poniższych przykładach:

  • Nazwa wyświetlana adresu e-mail: na przykład Microsoft w imieniu pokazu firmy CONTOSO
  • Temat wiadomości e-mail: na przykład kod weryfikacyjny adresu e-mail konta demonstracyjnego firmy CONTOSO

Dostosowywanie strony logowania usług AD FS

Jeśli używasz usług AD FS do zdarzeń logowania użytkownika, możesz dodać link do strony logowania, korzystając ze wskazówek zawartych w artykule Dodawanie opisu strony logowania.

Podaj użytkownikom link do strony, aby wprowadzić przepływ pracy samoobsługowego resetowania hasła, na przykład https://passwordreset.microsoftonline.com. Aby dodać link do strony logowania usług AD FS, użyj następującego polecenia na serwerze usług AD FS:

Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><a href='https://passwordreset.microsoftonline.com' target='_blank'>Can't access your account?</a></p>"

Treści powiązane