Udostępnij za pośrednictwem

Włącz samoobsługowe resetowanie hasła Microsoft Entra na ekranie logowania systemu Windows

Korzystając z samoobsługowego resetowania haseł (SSPR) w identyfikatorze Microsoft Entra, użytkownicy mogą zmieniać lub resetować hasło bez udziału administratora lub pomocy technicznej. Zazwyczaj użytkownicy otwierają przeglądarkę internetową na innym urządzeniu, aby uzyskać dostęp do portalu SSPR . Aby zwiększyć wygodę działania na komputerach z systemem Windows 7, 8, 8.1, 10 i 11, możesz umożliwić użytkownikom resetowanie hasła na ekranie logowania systemu Windows.

Zrzut ekranu przedstawiający przykłady ekranów logowania systemu Windows z linkiem samoobsługowego resetowania hasła.

W tym artykule przedstawiono administratorom, jak włączyć samoobsługowe resetowanie hasła dla urządzeń z systemem Windows w przedsiębiorstwie.

Jeśli Twój zespół IT nie włączył możliwości korzystania z samoobsługowego resetowania hasła z urządzenia z systemem Windows lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dalszą pomoc.

Ograniczenia ogólne

Następujące ograniczenia dotyczą korzystania z SSPR na ekranie logowania systemu Windows:

  • Resetowanie hasła nie jest obecnie obsługiwane z pulpitu zdalnego ani z rozszerzonych sesji Hyper-V.

  • Wiadomo, że niektórzy dostawcy poświadczeń firm innych niż Microsoft powodują problemy z tą funkcją.

  • Wiadomo, że wyłączenie kontroli konta użytkownika poprzez modyfikację klucza rejestru EnableLUA powoduje problemy.

  • Ta funkcja nie działa w sieciach z wdrożonym uwierzytelnianiem sieciowym 802.1x i opcją Wykonaj bezpośrednio przed zalogowaniem użytkownika. W przypadku sieci z wdrożonym uwierzytelnianiem sieci 802.1x zaleca się korzystanie z uwierzytelniania komputera w celu włączenia tej funkcji.

  • Maszyny przyłączone hybrydowo Microsoft Entra muszą mieć linię wglądu w łączność sieciową z kontrolerem domeny, aby można było używać nowego hasła i aktualizować buforowane poświadczenia. Urządzenia muszą znajdować się w sieci wewnętrznej organizacji lub w wirtualnej sieci prywatnej z dostępem sieciowym do lokalnego kontrolera domeny. Jeśli samoobsługowe resetowanie hasła jest jedynym wymaganiem, linia połączenia sieciowego z kontrolerem domeny nie jest wymagana.

  • Jeśli używasz obrazu, przed uruchomieniem sysprep upewnij się, że pamięć podręczna sieci Web została wyczyszczona dla wbudowanego administratora przed wykonaniem tego CopyProfile kroku. Aby uzyskać więcej informacji, zobacz Niska wydajność podczas korzystania z niestandardowego domyślnego profilu użytkownika.

  • Wiadomo, że następujące ustawienia zakłócają możliwość używania i resetowania haseł na urządzeniach z systemem Windows 10:

    • Jeśli powiadomienia ekranu blokady są wyłączone, Resetowanie hasła nie zadziała.
    • HideFastUserSwitching jest ustawiona na Włączone lub 1.
    • DontDisplayLastUserName jest ustawiona na Włączone lub 1.
    • NoLockScreen jest ustawiona na Włączone lub 1.
    • BlockNonAdminUserInstall jest ustawiona na Włączone lub 1.
    • EnableLostMode jest ustawiony na urządzeniu.
    • Explorer.exe zostaje zastąpiony niestandardową powłoką.
    • Logowanie interakcyjne: opcja Wymagaj karty inteligentnej jest ustawiona na wartość Włączone lub 1.

  • Kombinacja następujących trzech ustawień może spowodować, że ta funkcja nie będzie działać.

    • Logowanie interakcyjne: Nie wymagaj, aby CTRL+ALT+DEL były wyłączone (tylko dla systemu Windows 10 w wersji 1710 lub starszej).
    • DisableLockScreenAppNotifications jest ustawiona na Włączone lub 1.
    • Wersja dla systemu Windows to wersja Home.

Notatka

Te ograniczenia dotyczą również resetowania numeru PIN usługi Windows Hello dla firm z ekranu blokady urządzenia.

Resetowanie hasła w systemach Windows 11 i Windows 10

Aby skonfigurować urządzenie z systemem Windows 11 lub Windows 10 pod kątem samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z poniższymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemów Windows 11 i Windows 10

  • Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i włącz samoobsługowe resetowanie hasła firmy Microsoft Entra.
  • Użytkownicy muszą zarejestrować się w celu samoobsługowego resetowania hasła przed użyciem tej funkcji na ekranie logowania systemu Windows.
    • Wszyscy użytkownicy muszą podać informacje kontaktowe uwierzytelniania, zanim będą mogli zresetować hasło, które nie jest unikatowe w przypadku korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com i ajax.aspnetcdn.com.
    • Urządzenia z systemem Windows 10 wymagają konfiguracji serwera proxy na poziomie maszyny lub konfiguracji serwera proxy o określonym zakresie dla konta tymczasowego defaultuser1 , które jest używane do wykonywania samoobsługowego resetowania hasła. Aby uzyskać więcej informacji, zobacz sekcję Rozwiązywanie problemów .
  • Uruchom co najmniej system Windows 10 w wersji z kwietnia 2018 r. Update (wersja 1803), a urządzenia muszą być:
    • Firma Microsoft Entra dołączyła do nas.
    • Dołączyła hybrydowa firma Microsoft Entra.

Włączanie dla systemów Windows 11 i Windows 10 przy użyciu Intune

Wdrażanie zmiany konfiguracji w celu włączenia samoobsługowego resetowania hasła z poziomu ekranu logowania systemu Windows przy użyciu Intune jest najbardziej elastyczną metodą. Za pomocą Intune można wdrożyć zmianę konfiguracji w określonej grupie zdefiniowanych maszyn. Ta metoda wymaga rejestracji urządzenia w usłudze Intune.

Tworzenie zasad konfiguracji urządzenia w usłudze IntuneCreate a device configuration policy in Intune

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune .

  2. Utwórz nowy profil konfiguracji urządzenia, przechodząc do pozycji Profile konfiguracji> urządzenia, a następnie wybierając pozycję + Utwórz profil:

    • W obszarze Platforma wybierz pozycję Windows 10 i nowsze.
    • W polu Typ profilu wybierz pozycję Szablony , a następnie wybierz szablon niestandardowy .

  3. Wybierz pozycję Utwórz, a następnie podaj zrozumiałą nazwę profilu, taką jak samoobsługowe resetowanie hasła na ekranie logowania systemu Windows 11.

    Opcjonalnie podaj zrozumiały opis profilu, a następnie wybierz przycisk Dalej.

  4. W obszarze Ustawienia konfiguracjiwybierz pozycję Dodaj i podaj następujące ustawienie OMA-URI, aby włączyć link resetowania hasła:

    • Wprowadź zrozumiałą nazwę, aby wyjaśnić, co robi ustawienie, na przykład Dodaj link samoobsługowego resetowania hasła.
    • Opcjonalnie wprowadź zrozumiały opis ustawienia.
    • Ustaw OMA-URI na ../Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Ustaw Typ danych na Liczba całkowita.
    • Ustaw wartość na1.

    Wybierz Dodaj, a następnie opcję Dalej.

  5. Zasadę można przypisać do określonych użytkowników, urządzeń lub grup. Przypisz profil, który ma być używany w danym środowisku. Najlepszym rozwiązaniem jest najpierw przypisanie go do grupy testowej urządzeń, a następnie wybranie przycisku Dalej.

    Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune.

  6. Skonfiguruj reguły stosowania, które mają być stosowane w danym środowisku, takie jak Przypisz profil, jeśli wersja systemu operacyjnego to Windows 10 Enterprise, a następnie wybierz przycisk Dalej.

  7. Przejrzyj swój profil, a następnie wybierz pozycję Utwórz.

Włącz dla Windows 11 i Windows 10 przy użyciu rejestru

Aby włączyć samoobsługowe resetowanie hasła na ekranie logowania systemu Windows przy użyciu klucza rejestru, wykonaj następujące kroki:

  1. Zaloguj się do komputera z systemem Windows przy użyciu poświadczeń administracyjnych.

  2. Wybierz pozycję Windows + R , aby otworzyć okno dialogowe Uruchom , a następnie uruchom regedit jako administrator.

  3. Ustaw następujący klucz rejestru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Rozwiązywanie problemów z resetowaniem hasła systemu Windows 11 i Windows 10

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, dziennik inspekcji Microsoft Entra zawiera informacje o adresie IP i ClientType, gdzie nastąpiło zresetowanie hasła, jak pokazano w poniższych przykładowych danych wyjściowych.

Zrzut ekranu przedstawiający przykładowe resetowanie hasła systemu Windows 7 w dzienniku inspekcji Microsoft Entra.

Gdy użytkownicy zresetują swoje hasło z ekranu logowania urządzenia z systemem Windows 11 lub 10, zostanie utworzone konto tymczasowe o niskim poziomie uprawnień o nazwie defaultuser1. To konto służy do zabezpieczania procesu resetowania hasła.

Samo konto ma losowo wygenerowane hasło, które jest weryfikowane pod kątem zasad haseł organizacji. Hasło nie jest wyświetlane podczas logowania na urządzeniu i jest automatycznie usuwane po zresetowaniu hasła przez użytkownika. Może istnieć wiele defaultuser profili, ale można je bezpiecznie zignorować.

Konfiguracje serwera proxy na potrzeby resetowania hasła systemu Windows

Podczas resetowania hasła, SSPR tworzy tymczasowe konto użytkownika lokalnego w celu nawiązania połączenia z https://passwordreset.microsoftonline.com/n/passwordreset. Gdy serwer proxy jest skonfigurowany do uwierzytelniania użytkownika, może zakończyć się niepowodzeniem z powodu błędu "Coś poszło nie tak. Proszę, spróbuj ponownie później." Ten błąd występuje, ponieważ lokalne konto użytkownika nie jest autoryzowane do korzystania z uwierzytelnionego serwera proxy.

W takim przypadku należy użyć jednego z następujących obejść:

  • Skonfiguruj ustawienie serwera proxy dla całego komputera, które nie zależy od typu użytkownika zalogowanego na maszynie. Na przykład, można włączyć zasadę grupy "Make proxy settings per-machine (rather than per-user)" dla stacji roboczych.

  • Możesz również użyć konfiguracji serwera proxy dla użytkownika dla samoobsługowego resetowania hasła, jeśli zmodyfikujesz szablon rejestru dla konta domyślnego. Są to następujące polecenia:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Błąd "Coś poszło nie tak" może również wystąpić, gdy coś przerywa łączność z adresem URL https://passwordreset.microsoftonline.com/n/passwordreset. Na przykład ten błąd może wystąpić, gdy oprogramowanie antywirusowe działa na stacji roboczej bez wykluczeń dla adresów URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, i ocsp.digicert.com. Wyłącz to oprogramowanie tymczasowo, aby sprawdzić, czy problem został rozwiązany, czy nie.

Resetowanie hasła systemu Windows 7, 8 i 8.1

Aby skonfigurować urządzenie z systemem Windows 7, 8 lub 8.1 pod kątem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, zapoznaj się z następującymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemu Windows 7, 8 i 8.1

Ostrzeżenie

Protokół TLS 1.2 musi być włączony, a nie tylko ustawiony na autonegocjację.

Instalowanie składnika samoobsługowego resetowania hasła

W przypadku systemów Windows 7, 8 i 8.1 na maszynie należy zainstalować mały składnik, aby włączyć samoobsługowe resetowanie hasła na ekranie logowania systemu Windows. Aby zainstalować ten składnik samoobsługowego resetowania hasła, wykonaj następujące kroki:

  1. Pobierz odpowiedni instalator dla wersji systemu Windows, którą chcesz włączyć.

    Instalator oprogramowania jest dostępny w Centrum pobierania Microsoft.

  2. Zaloguj się do komputera, na którym chcesz zainstalować, i uruchom instalatora.

  3. Po instalacji zalecamy ponowne uruchomienie.

  4. Po ponownym uruchomieniu na ekranie logowania systemu Windows wybierz użytkownika, a następnie wybierz pozycję Nie pamiętasz hasła?, aby zainicjować przepływ pracy resetowania hasła.

  5. Postępuj zgodnie z instrukcjami, aby zresetować hasło.

    Zrzut ekranu przedstawiający przykład systemu Windows 7 z komunikatem Nie pamiętasz hasła? Przepływ samoobsługowego resetowania hasła.

Instalacja dyskretna

Aby zainstalować lub odinstalować składnik samoobsługowego resetowania hasła bez monitów, użyj następujących poleceń:

  • Instalacja dyskretna: Użyj msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Odinstalowywanie w trybie cichym: Użyj msiexec /x SsprWindowsLogon.PROD.msi /qn.

Rozwiązywanie problemów z resetowaniem hasła w systemach Windows 7, 8 i 8.1

Jeśli masz problemy podczas korzystania z samoobsługowego resetowania hasła z ekranu logowania systemu Windows, zdarzenia są rejestrowane na maszynie i w identyfikatorze Microsoft Entra. Zdarzenia Microsoft Entra zawierają informacje o adresie IP i parametrze, w ClientType którym nastąpiło zresetowanie hasła.

Zrzut ekranu przedstawiający przykładowe resetowanie hasła systemu Windows 7 w dzienniku inspekcji Microsoft Entra.

Jeśli wymagane jest więcej rejestrowania, zmień klucz rejestru na maszynie, aby włączyć pełne rejestrowanie. Włącz pełne rejestrowanie w celu rozwiązywania problemów tylko przy użyciu następującej wartości klucza rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Aby włączyć pełne rejestrowanie, utwórz REG_DWORD: "EnableLogging" i ustaw wartość 1.
  • Aby wyłączyć pełne rejestrowanie, zmień REG_DWORD: "EnableLogging" wartość na 0.
  • Przejrzyj rejestrowanie debugowania w dzienniku zdarzeń aplikacji w źródle AADPasswordResetCredentialProvider.

Co widzą użytkownicy?

Po skonfigurowaniu samoobsługowego resetowania hasła dla urządzeń z systemem Windows, jakie są zmiany dla użytkownika? Skąd wiedzą, że mogą zresetować hasło na ekranie logowania? Poniższe przykładowe zrzuty ekranu przedstawiają inne opcje resetowania hasła przez użytkownika przy użyciu samoobsługowego resetowania hasła.

Zrzut ekranu przedstawiający ekrany logowania systemu Windows 7 i 10 z wyświetlonym linkiem samoobsługowego resetowania hasła.

Gdy użytkownicy próbują się zalogować, widzą link Resetuj hasło lub Nie pamiętam hasła , który otwiera środowisko samoobsługowego resetowania hasła na ekranie logowania. Teraz użytkownicy mogą zresetować swoje hasło bez konieczności korzystania z innego urządzenia w celu uzyskania dostępu do przeglądarki internetowej.

Aby uzyskać więcej informacji na temat korzystania z tej funkcji, zobacz Resetowanie hasła służbowego.

Treści powiązane

Aby uprościć środowisko rejestracji użytkownika, możesz wstępnie wypełnić informacje kontaktowe uwierzytelniania użytkownika dla samoobsługowego resetowania hasła.