Samouczek: Umożliwianie użytkownikom odblokowywania swoich kont lub resetowania haseł przy użyciu funkcji samoobsługowego resetowania hasła usługi Microsoft Entra

Microsoft Entra umożliwia samoobsługowe resetowanie hasła (SSPR), dzięki czemu użytkownicy mogą zmieniać lub resetować swoje hasło bez udziału administratora ani pomocy technicznej. Jeśli identyfikator Entra firmy Microsoft blokuje konto użytkownika lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła (SSPR) w Microsoft Entra ID. Mamy również wideo dla administratorów IT dotyczące rozwiązywania sześciu najbardziej typowych komunikatów o błędach użytkowników końcowych za pomocą SSPR.

Ważne

Ten samouczek pokazuje administratorowi, jak włączyć resetowanie hasła przez samoobsługę. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do swojego konta, przejdź do strony resetowania hasła w usłudze Microsoft Online.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

• Włączanie samoobsługowego resetowania hasła dla grupy użytkowników firmy Microsoft Entra
• Konfigurowanie metod uwierzytelniania i opcji rejestracji
• Testuj proces SSPR jako użytkownik

Ważne

W marcu 2023 r. ogłosiliśmy wycofanie metod zarządzania metodami uwierzytelniania w starszych zasadach uwierzytelniania wieloskładnikowego i samoobsługowego resetowania haseł(SSPR). Od 30 września 2025 r. nie będzie można zarządzać metodami uwierzytelniania w tych starszych politykach MFA i SSPR. Zalecamy klientom użycie ręcznego sterowania migracją w celu przeprowadzenia migracji do zasad metod uwierzytelniania przed datą wycofania.

Poradnik wideo

Możesz również wykonać czynności opisane w powiązanym filmie wideo: Jak włączyć i skonfigurować samoobsługowe resetowanie hasła w usłudze Microsoft Entra ID.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Działająca dzierżawa firmy Microsoft Entra z co najmniej licencją Entra ID P1 firmy Microsoft jest wymagana do resetowania hasła. Aby uzyskać więcej informacji na temat wymagań licencyjnych dotyczących zmiany hasła i resetowania hasła w usłudze Microsoft Entra ID, zobacz Wymagania licencyjne dotyczące samoobsługowego resetowania hasła firmy Microsoft.
• Konto z co najmniej rolą administratora zasad uwierzytelniania.
• Użytkownik niebędący administratorem z hasłem, które znasz, na przykład testuser. W tym samouczku przetestujesz procedurę samoobsługowego resetowania hasła dla użytkownika końcowego przy użyciu tego konta.
  • Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do którego należy użytkownik niebędący administratorem, lubi SSPR-Test-Group. W tym samouczku włączysz samoobsługowe resetowanie hasła dla tej grupy.
  • Jeśli musisz utworzyć grupę, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.

Włączanie samoobsługowego resetowania hasła

Microsoft Entra ID umożliwia włączenie samoobsługowego resetowania hasła dla żadnych, wybranych lub wszystkich użytkowników. Ta szczegółowa funkcja pozwala wybrać podzbiór użytkowników do testowania procesu rejestracji SSPR (samoobsługowego resetowania hasła) i przepływu pracy. Kiedy czujesz się swobodnie z procesem i nadchodzi właściwy moment na przekazanie wymagań szerszej grupie użytkowników, możesz wybrać grupę, którą chcesz objąć samoobsługowym resetowaniem hasła (SSPR). Możesz też włączyć samoobsługowe resetowanie hasła dla wszystkich użytkowników w dzierżawie Microsoft Entra.

Uwaga

Obecnie można włączyć tylko jedną grupę Microsoft Entra dla samoobsługowego resetowania hasła za pomocą Centrum Administracyjnego Microsoft Entra. W ramach szerszego wdrożenia samodzielnego resetowania hasła (SSPR) Microsoft Entra ID obsługuje grupy zagnieżdżone.

W tym samouczku skonfigurujesz samoobsługowe resetowanie hasła dla grupy użytkowników w ramach testowej grupy. Użyj SSPR-Test-Group i w razie potrzeby podaj własną grupę Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.

2. Przejdź do Ochrona>Resetowanie hasła z menu po lewej stronie.

3. Na stronie Właściwości w obszarze opcja Samoobsługowe resetowanie hasła jest włączona wybierz pozycję Wybrane.

4. Jeśli grupa nie jest widoczna, wybierz pozycję Nie wybrano grup, wyszukaj i wybierz grupę Entra firmy Microsoft, na przykład SSPR-Test-Group, a następnie wybierz pozycję Wybierz.

   

5. Aby włączyć samoobsługowe resetowanie hasła dla wybranych użytkowników, wybierz pozycję Zapisz.

Wybieranie metod uwierzytelniania i opcji rejestracji

Gdy użytkownicy muszą odblokować swoje konto lub zresetować hasło, zostanie wyświetlony monit o inną metodę potwierdzenia. Ten dodatkowy czynnik uwierzytelniania zapewnia, że Microsoft Entra ID zakończył tylko zatwierdzone zdarzenia Samodzielnego Resetowania Hasła (SSPR). Możesz wybrać metody uwierzytelniania, które mają być dozwolone, na podstawie informacji o rejestracji zapewnianych przez użytkownika.

1. W menu po lewej stronie metody uwierzytelniania ustaw liczbę metod wymaganych do zresetowania do 2.

   Aby zwiększyć bezpieczeństwo, można zwiększyć liczbę metod uwierzytelniania wymaganych.

2. Wybierz metody dostępne dla użytkowników, na które organizacja chce zezwolić. Na potrzeby tego samouczka zaznacz pola, aby włączyć następujące metody:

   • Powiadomienie aplikacji mobilnej
   • Kod aplikacji mobilnej
   • E-mail
   • Telefon komórkowy

   Możesz włączyć inne metody uwierzytelniania, takie jak telefon pakietu Office lub pytania zabezpieczające, zgodnie z wymaganiami biznesowymi.

3. Aby zastosować metody uwierzytelniania, wybierz pozycję Zapisz.

Aby użytkownicy mogli odblokować swoje konto lub zresetować hasło, muszą zarejestrować swoje informacje kontaktowe. Microsoft Entra ID używa tych informacji kontaktowych dla różnych metod uwierzytelniania skonfigurowanych w poprzednich krokach.

Administrator może ręcznie podać te informacje kontaktowe lub użytkownicy mogą przejść do portalu rejestracji, aby podać same informacje. W tym samouczku skonfiguruj Microsoft Entra ID, aby poprosić użytkowników o rejestrację podczas kolejnego logowania.

1. W menu po lewej stronie strony Rejestracja wybierz pozycję Tak , aby wymagać od użytkowników zarejestrowania się podczas logowania.

2. Ustaw opcję Liczba dni, po których użytkownicy będą proszeni o ponowne potwierdzenie informacji uwierzytelnianiana 180.

   Ważne jest, aby zapewnić aktualność informacji kontaktowych. Jeśli istnieją nieaktualne informacje kontaktowe, gdy rozpoczyna się zdarzenie SSPR, użytkownik może nie być w stanie odblokować swojego konta lub zresetować hasło.

3. Aby zastosować ustawienia rejestracji, wybierz pozycję Zapisz.

Uwaga

Przerwa w rejestrowaniu informacji kontaktowych podczas logowania występuje tylko wtedy, gdy spełnione są warunki skonfigurowane w ustawieniach. Dotyczy to tylko użytkowników i kont administratorów, które są włączone do resetowania haseł przy użyciu samoobsługowego resetowania hasła firmy Microsoft Entra.

Konfigurowanie powiadomień i dostosowań

Aby zapewnić użytkownikom informacje o aktywności konta, możesz skonfigurować identyfikator Entra firmy Microsoft w celu wysyłania powiadomień e-mail po wystąpieniu zdarzenia samoobsługowego resetowania hasła. Te powiadomienia mogą obejmować zarówno zwykłe konta użytkowników, jak i konta administratora. W przypadku kont administratorów to powiadomienie zapewnia kolejną warstwę świadomości, gdy hasło uprzywilejowanego konta administratora jest resetowane przy użyciu samoobsługowego resetowania hasła. Microsoft Entra ID może powiadomić wszystkich administratorów, kiedy ktoś używa samoobsługowego resetowania hasła (SSPR) na koncie administratora.

1. W menu po lewej stronie strony Powiadomienia skonfiguruj następujące opcje:

   • Ustaw opcję Powiadamianie użytkowników na temat resetowania haseł? na Wartość Tak.
   • Ustaw opcję Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło? na wartość Tak.

2. Aby zastosować preferencje powiadomień, wybierz pozycję Zapisz.

Jeśli użytkownicy potrzebują więcej pomocy dotyczącej procesu samoobsługowego resetowania hasła, możesz dostosować link "Skontaktuj się z administratorem". Użytkownik może wybrać ten link podczas procesu rejestracji w ramach samoobsługowego resetowania hasła oraz gdy odblokowują swoje konto lub resetują swoje hasło. Aby upewnić się, że użytkownicy otrzymają wymaganą pomoc techniczną, zalecamy podanie niestandardowej poczty e-mail lub adresu URL pomocy technicznej.

1. Z menu po lewej stronie strony Dostosowywanie ustaw Dostosowanie linku do pomocy technicznej na Tak.
2. W polu Niestandardowy adres e-mail lub adres URL pomocy technicznej podaj adres e-mail lub adres URL strony internetowej, pod którym użytkownicy mogą uzyskać dodatkową pomoc od organizacji, na przykład https://support.contoso.com/
3. Aby zastosować link niestandardowy, wybierz pozycję Zapisz.

Testowanie funkcji samoobsługowego resetowania haseł

Po włączeniu i skonfigurowaniu samoobsługowego resetowania hasła przetestuj proces samoobsługowego resetowania hasła przy użyciu użytkownika, który jest częścią grupy wybranej w poprzedniej sekcji, na przykład Test-SSPR-Group. W poniższym przykładzie użyto konta testuser . Podaj własne konto użytkownika. Jest częścią grupy, którą włączyłeś do samoobsługowego resetowania hasła w pierwszej sekcji tego samouczka.

Uwaga

Podczas testowania samoobsługowego resetowania hasła użyj konta innego niż administrator. Domyślnie identyfikator Entra firmy Microsoft umożliwia samoobsługowe resetowanie haseł dla administratorów. Są one wymagane do użycia dwóch metod uwierzytelniania w celu zresetowania hasła. Aby uzyskać więcej informacji, zobacz Różnice zasad resetowania administratora.

1. Aby wyświetlić proces rejestracji ręcznej, otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://aka.ms/ssprsetup. Identyfikator Entra firmy Microsoft kieruje użytkowników do tego portalu rejestracji po następnym zalogowaniu.

2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser, i zarejestruj informacje kontaktowe metod uwierzytelniania.

3. Po zakończeniu wybierz przycisk z oznaczeniem Wygląda dobrze i zamknij okno przeglądarki.

4. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do adresu https://aka.ms/sspr.

5. Wprowadź informacje o koncie użytkowników testowych innych niż administrator, takie jak testuser, znaki z CAPTCHA, a następnie wybierz przycisk Dalej.

   

6. Wykonaj kroki weryfikacji, aby zresetować hasło. Po zakończeniu otrzymasz powiadomienie e-mail o zresetowaniu hasła.

Czyszczenie zasobów

W późniejszym samouczku z tej serii skonfigurujesz zapisywanie zwrotne haseł. Ta funkcja zapisuje zmiany haseł z usługi Microsoft Entra SSPR z powrotem do lokalnego środowiska usługi AD. Jeśli chcesz kontynuować korzystanie z tej serii samouczków, aby skonfigurować pisanie zwrotne haseł, nie wyłączaj teraz samoobsługowego resetowania hasła.

Jeśli nie chcesz już używać funkcji samoobsługowego resetowania hasła skonfigurowanej w ramach tego samouczka, ustaw stan samoobsługowego resetowania hasła na Wartość Brak , wykonując następujące czynności:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
2. Przejdź do Entra ID>Resetowanie hasła.
3. Na stronie Właściwości, pod opcją Włączono samoobsługowe resetowanie hasła, wybierz Brak.
4. Aby zastosować zmianę samoobsługowego resetu hasła, wybierz opcję Zapisz.

Często zadawane pytania

W tej sekcji wyjaśniono typowe pytania od administratorów i użytkowników końcowych próbujących SSPR (samoobsługowego resetowania hasła):

• Dlaczego lokalne zasady dotyczące haseł nie są wyświetlane podczas samoobsługowego resetowania hasła?

  Obecnie program Microsoft Entra Connect i synchronizacja w chmurze nie obsługują udostępniania szczegółów zasad haseł w chmurze. Samoobsługowe resetowanie hasła pokazuje tylko szczegóły zasad haseł w chmurze i nie może pokazać zasad lokalnych.

• Dlaczego użytkownicy federacyjni czekają do 2 minut po wyświetleniu komunikatu Hasło zostało zresetowane , zanim będą mogli używać haseł synchronizowanych ze środowiska lokalnego?

  W przypadku użytkowników federacyjnych, których hasła są synchronizowane, źródłem autoryzacji dla haseł jest system lokalny. W związku z tym SSPR (samoobsługowe resetowanie hasła) aktualizuje tylko hasła lokalne. Synchronizacja skrótów haseł z powrotem do identyfikatora Entra firmy Microsoft jest zaplanowana co 2 minuty.

• Gdy nowo utworzony użytkownik, którego dane do samoobsługowego resetowania hasła, takie jak telefon i e-mail, są wstępnie wypełnione, odwiedza stronę rejestracji samoobsługowego resetowania hasła, tytuł strony wyświetla się jako Nie trać dostępu do swojego konta!. Dlaczego inni użytkownicy, którzy mają wstępnie wypełnione dane do samoobsługowego resetu hasła, nie widzą komunikatu?

  Użytkownik, który zobaczy komunikat Nie trać dostępu do swojego konta!, jest członkiem grup SSPR i połączonej rejestracji skonfigurowanych dla dzierżawy. Użytkownicy, którzy nie widzą pozycji Nie tracisz dostępu do swojego konta!, nie byli częścią grup rejestracji samoobsługowego resetowania hasła ani połączonych grup rejestracyjnych.

• Kiedy niektórzy użytkownicy przechodzą przez proces samoobsługowego resetowania hasła i resetują swoje hasło, dlaczego nie widzą wskaźnika siły hasła?

  Użytkownicy, którzy nie widzą słabej/silnej siły hasła, mają włączoną synchronizację zapisywania zwrotnego haseł. Ponieważ SSPR nie może określić zasad haseł środowiska lokalnego klienta, nie może ocenić siły bądź słabości hasła.

Następne kroki

W tym samouczku włączono funkcję Microsoft Entra do samoobsługowego resetowania haseł dla wybranej grupy użytkowników. Nauczyłeś się, jak:

• Włączanie samoobsługowego resetowania hasła dla grupy użytkowników firmy Microsoft Entra
• Konfigurowanie metod uwierzytelniania i opcji rejestracji
• Testuj proces SSPR jako użytkownik

Włącz uwierzytelnianie wieloskładnikowe Microsoft Entra