Opcje wdrażania samoobsługowego resetowania hasła

Ważne

We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie obsługują już żądań uwierzytelniania wieloskładnikowego (MFA). Klienci serwera usługi Azure Multi-Factor Authentication muszą przejść do zamiast tego użyć niestandardowych dostawców uwierzytelniania wieloskładnikowego z samoobsługowym resetowaniem hasła programu MIM lub samoobsługowego resetowania hasła firmy Microsoft Entra zamiast samoobsługowego resetowania hasła programu MIM.

W przypadku nowych klientów, którzy mają licencję na usługę Microsoft Entra ID P1 lub P2, zalecamy użycie samoobsługowego resetowania hasła firmy Microsoft Entra w celu zapewnienia środowiska użytkownika końcowego. Firma Microsoft Entra samoobsługowego resetowania haseł zapewnia zarówno zintegrowane z internetem, jak i windows środowisko użytkownika w celu zresetowania własnego hasła oraz obsługuje wiele takich samych funkcji jak program MIM, w tym alternatywne bramy poczty e-mail i pytań i odpowiedzi. Podczas wdrażania samoobsługowego resetowania haseł firmy Microsoft można skonfigurować program Microsoft Entra Connect, aby zapisywać nowe hasła w usługach AD DS, a usługa powiadamiania o zmianie hasła programu MIM może służyć do przekazywania haseł do innych systemów, takich jak serwer katalogowy innego dostawcy. Wdrożenie programu MIM na potrzeby zarządzania hasłami nie wymaga wdrożenia usługi MIM ani samoobsługowego resetowania haseł ani portali rejestracji programu MIM. Zamiast tego możesz wykonać następujące kroki:

• Najpierw, jeśli musisz wysłać hasła do katalogów innych niż Microsoft Entra ID i AD DS, wdróż synchronizację programu MIM z łącznikami w usługach domena usługi Active Directory i wszelkich dodatkowych systemach docelowych, skonfiguruj program MIM do zarządzania hasłami i wdróż usługę powiadamiania o zmianie hasła.
• Następnie, jeśli musisz wysłać hasła do katalogów innych niż Microsoft Entra ID, skonfiguruj program Microsoft Entra Connect do zapisywania nowych haseł w usługach AD DS.
• Opcjonalnie wstępnie zarejestruj użytkowników.
• Na koniec wdrożysz samoobsługowe resetowanie haseł firmy Microsoft dla użytkowników końcowych.

W przypadku klientów programu Forefront Identity Manager (FIM) lub MIM licencjonowanych na usługę Microsoft Entra ID P1 lub P2 zalecamy zaplanowanie przejścia na samoobsługowe resetowanie haseł firmy Microsoft Entra. Możesz przenieść użytkowników końcowych do samoobsługowego resetowania hasła firmy Microsoft bez konieczności ponownego rejestrowania, synchronizowania lub ustawiania za pomocą programu PowerShell alternatywnego adresu e-mail użytkownika lub numeru telefonu komórkowego. Po zarejestrowaniu użytkowników w ramach samoobsługowego resetowania hasła firmy Microsoft można zlikwidować portal resetowania haseł programu FIM.

Wdrożenia programu MIM 2016, które korzystały z usługi Microsoft Entra MFA, powinny przejść do korzystania z samoobsługowego resetowania hasła programu MIM z niestandardowym dostawcą uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania haseł przez firmę Microsoft Entra. Nowe wdrożenia powinny używać niestandardowego dostawcy uwierzytelniania wieloskładnikowego lub samoobsługowego resetowania hasła przez firmę Microsoft Entra.

Wdrażanie portalu samoobsługowego resetowania haseł programu MIM przy użyciu niestandardowego dostawcy na potrzeby uwierzytelniania wieloskładnikowego

W poniższej sekcji opisano sposób wdrażania portalu samoobsługowego resetowania haseł programu MIM przy użyciu dostawcy na potrzeby uwierzytelniania wieloskładnikowego. Te kroki są niezbędne tylko dla klientów, którzy nie korzystają z samoobsługowego resetowania haseł firmy Microsoft dla swoich użytkowników.

W przypadku uwierzytelniania wieloskładnikowego użytkownicy uwierzytelniają się za pośrednictwem zewnętrznego dostawcy, aby zweryfikować swoją tożsamość podczas próby odzyskania dostępu do konta i zasobów. Uwierzytelnianie jest dokonywane przy użyciu usługi SMS lub połączeń telefonicznych. Im silniejsze uwierzytelnianie, tym większa pewność, że osoba usiłująca odzyskać dostęp jest rzeczywistym użytkownikiem będącym właścicielem danej tożsamości. Po uwierzytelnieniu użytkownik może wybrać nowe hasło, które zastąpi stare hasło.

Wymagania wstępne związane z konfigurowaniem samoobsługowego odblokowywania kont i resetowania haseł przy użyciu usługi MFA

W tej sekcji założono, że pobrano i ukończono wdrożenie synchronizacji programu Microsoft Identity Manager 2016 MIM, usługi MIM i portalu programu MIM, w tym następujących składników i usług:

• Kontroler domena usługi Active Directory z wyznaczoną domeną (domena "firmowa")

• Zdefiniowano zasady grupy dla blokowania kont.

• Usługa synchronizacji programu MIM 2016 (Sync) jest zainstalowana i uruchomiona na serwerze przyłączonym do domeny usługi AD.

• Portal i usługa programu MIM 2016, w tym portal rejestracji samoobsługowego resetowania hasła i portal resetowania samoobsługowego resetowania hasła, są instalowane i uruchomione na serwerze (może być współlokowane z synchronizacją)

• Usługa synchronizacji programu MIM jest skonfigurowana z synchronizacją tożsamości usługi AD programu MIM, w tym:

  • Konfigurowanie agenta zarządzania usługi Active Directory (ADMA) pod kątem łączności z usługami AD DS i uruchamiania profilów w celu zaimportowania danych tożsamości z usługi Active Directory i wyeksportowania ich do usługi Active Directory.

  • Konfigurowanie agenta zarządzania programu MIM (MIM MA) na potrzeby łączności z bazą danych usługi FIM i uruchamianie profilów w celu zaimportowania danych tożsamości z bazy danych programu FIM i wyeksportowania ich do bazy danych programu FIM.

  • Konfigurowanie reguł synchronizacji w portalu MIM, zezwalających na synchronizację danych użytkowników i ułatwiających działania oparte na synchronizacji w usłudze MIM.

• Dodatki i rozszerzenia programu MIM 2016, w tym zintegrowanego klienta logowania systemu Windows samoobsługowego resetowania hasła, są wdrażane na serwerze lub na osobnym komputerze klienckim.

Przygotowywanie programu MIM do pracy z usługą MFA

Skonfiguruj synchronizację programu MIM do obsługi resetowania haseł i odblokowywania kont. Aby uzyskać więcej informacji, zobacz Instalowanie dodatków i rozszerzeń programu FIM, Instalowanie samoobsługowego resetowania hasła programu FIM, bram uwierzytelniania samoobsługowego resetowania hasła i przewodnik po laboratorium testowym samoobsługowego resetowania hasła.

Konfigurowanie bramy telefonicznej lub bramy SMS haseł jednorazowych

1. Uruchom program Internet Explorer i przejdź do portalu MIM, uwierzytelniając się jako administrator programu MIM, a następnie kliknij przycisk Przepływy pracy na pasku nawigacyjnym po lewej stronie.

   

2. Sprawdź przepływ pracy AuthN resetowania hasła.

   

3. Kliknij kartę Działania , a następnie przewiń w dół do pozycji Dodaj działanie.

4. Wybierz pozycję Phone Gate lub One-Time Password SMS Gate kliknij przycisk Wybierz, a następnie OK.

   Uwaga

   Jeśli korzystasz z innego dostawcy, który generuje hasło jednorazowe, upewnij się, że skonfigurowane pole długości jest taka sama jak wartość wygenerowana przez dostawcę uwierzytelniania wieloskładnikowego.

Użytkownicy w organizacji mogą teraz rejestrować się w celu resetowania haseł. W trakcie tego procesu będą oni wprowadzać swoje numery telefonów służbowych lub komórkowych, aby umożliwić systemowi ustanawianie połączeń telefonicznych z nimi (lub wysyłanie do nich wiadomości SMS).

Rejestrowanie użytkowników w celu resetowania haseł

1. Użytkownik uruchomi przeglądarkę internetową i przejdzie do portalu rejestracji resetowania haseł programu MIM. (Zazwyczaj ten portal będzie skonfigurowany z uwierzytelnianiem systemu Windows). W portalu użytkownicy muszą ponownie podać swoją nazwę użytkownika i hasło w celu potwierdzenia ich tożsamości.

   Będą oni monitowani o przejście do portalu rejestracji haseł i uwierzytelnienie się przy użyciu nazwy użytkownika i hasła.

2. W polu Numer telefonu lub Telefon komórkowy muszą wprowadzić kod kraju, spację i numer telefonu, a następnie kliknąć przycisk Dalej.

   

   

Czy takie rozwiązanie jest odpowiednie dla Twoich użytkowników?

Po skonfigurowaniu i uruchomieniu wszystkich składników można zapoznać się z procedurami resetowania haseł przez użytkowników, którzy po powrocie z urlopu nie pamiętają swoich danych uwierzytelniania.

Istnieją dwa sposoby resetowania hasła i odblokowania konta przez użytkownika (użycie ekranu logowania systemu Windows lub portalu samoobsługowego).

Instalując dodatki i rozszerzenia programu MIM na komputerze przyłączonym do domeny i połączonym za pośrednictwem sieci organizacji z usługą MIM, użytkownicy mogą odzyskać zapomniane hasło na ekranie logowania do komputera. Poniższe kroki przeprowadzą Cię przez proces.

Resetowanie hasła zintegrowane z logowaniem do komputera z systemem Windows

1. Jeśli użytkownik wprowadzi nieprawidłowe hasło kilka razy, na ekranie logowania będzie miał możliwość kliknięcia pozycji Problemy podczas logowania? .

   

   Kliknięcie tego linku powoduje wyświetlenie ekranu resetowania hasła programu MIM, na którym można zmienić swoje hasło lub odblokować konto.

   

2. Użytkownik zostanie przekierowany do strony uwierzytelniania. Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem.

3. W tle dzieje się tak, że dostawca uwierzytelniania wieloskładnikowego następnie umieszcza połączenie telefoniczne z numerem podanym przez użytkownika, gdy ten użytkownik zarejestrował się w usłudze.

4. Gdy użytkownik odpowie na telefon, może zostać poproszony o interakcję, na przykład w celu naciśnięcia funta # na telefonie. Następnie użytkownik klika przycisk Dalej w portalu.

   Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

   Uwaga

   Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

5. Po pomyślnym uwierzytelnieniu użytkownik będzie mógł skorzystać z dwóch opcji: odblokowanie konta i zachowanie bieżącego hasła lub skonfigurowanie nowego hasła.

6. Następnie użytkownik musi wprowadzić nowe hasło dwa razy, aby zresetować hasło.

Dostęp z portalu samoobsługowego

1. Użytkownicy mogą otworzyć przeglądarkę internetową, przejść do portalu resetowania haseł i wprowadzić swoją nazwę użytkownika, a następnie kliknąć przycisk Dalej.

   Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem. W tle dzieje się tak, że uwierzytelnianie wieloskładnikowe firmy Microsoft następnie umieszcza połączenie telefoniczne z numerem podanym przez użytkownika podczas tworzenia konta usługi.

   Gdy użytkownik odbierze połączenie, będzie monitowany o naciśnięcie przycisku # na klawiaturze telefonu. Następnie użytkownik klika przycisk Dalej w portalu.

2. Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

   Uwaga

   Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

3. Użytkownik będzie musiał wybrać, czy chcesz zresetować hasło, czy odblokować swoje konto. Jeśli zdecyduje się odblokować swoje konto, konto zostanie odblokowane.

   

4. Po pomyślnym uwierzytelnieniu użytkownik otrzyma dwie opcje, aby zachować bieżące hasło lub ustawić nowe hasło.

5. 

6. Jeśli użytkownik wybierze opcję resetowania hasła, będzie musiał wpisać nowe hasło dwa razy i kliknąć przycisk Dalej, aby zmienić hasło.