Poprzednie

Następne

Co to jest samoobsługowe resetowanie hasła w identyfikatorze Entra firmy Microsoft?

Ukończone

Poproszono Cię o ocenę sposobów zmniejszenia kosztów pomocy technicznej w organizacji handlu detalicznego. Zauważyliśmy, że pracownicy pomocy technicznej poświęcają większość czasu na resetowanie haseł dla użytkowników. Użytkownicy często narzekają na opóźnienia w tym procesie, a opóźnienia te wpływają na ich produktywność. Chcesz zrozumieć, jak można skonfigurować platformę Azure, aby umożliwić użytkownikom zarządzanie własnymi hasłami.

W tej lekcji dowiesz się, jak samoobsługowe resetowanie hasła (SSPR) działa w usłudze Microsoft Entra ID.

Dlaczego warto używać samoobsługowego resetowania hasła?

W usłudze Microsoft Entra ID każdy użytkownik może zmienić swoje hasło, jeśli już się zalogował. Jeśli jednak nie zalogowali się i nie zapomnieli hasła lub wygasły, konieczne będzie zresetowanie hasła. Za pomocą samoobsługowego resetowania hasła użytkownicy mogą resetować swoje hasła w przeglądarce internetowej lub z ekranu logowania systemu Windows, aby odzyskać dostęp do platformy Azure, platformy Microsoft 365 i dowolnej innej aplikacji, która używa identyfikatora Entra firmy Microsoft do uwierzytelniania.

Samoobsługowe resetowanie hasła zmniejsza obciążenie administratorów, ponieważ użytkownicy mogą samodzielnie rozwiązywać problemy z hasłami bez konieczności kontaktowania się z pomocą techniczną. Ponadto minimalizuje to wpływ na produktywność zapomnianego lub wygasłego hasła. Użytkownicy nie muszą czekać, aż administrator będzie dostępny do zresetowania hasła.

Jak działa samoobsługowe resetowanie hasła

Użytkownik inicjuje resetowanie hasła, przechodząc bezpośrednio do portalu resetowania hasła lub wybierając link Nie można uzyskać dostępu do konta na stronie logowania. Portal resetowania wykonuje następujące czynności:

1. Lokalizacja: portal sprawdza ustawienia regionalne przeglądarki i renderuje stronę samoobsługowego resetowania hasła w odpowiednim języku.
2. Weryfikacja: użytkownik wprowadza swoją nazwę użytkownika i przekazuje captcha, aby upewnić się, że jest to użytkownik, a nie bot.
3. Uwierzytelnianie: użytkownik wprowadza wymagane dane, aby uwierzytelnić swoją tożsamość. Mogą na przykład wprowadzić kod lub odpowiedzieć na pytania zabezpieczające.
4. Resetowanie hasła: jeśli użytkownik przejdzie testy uwierzytelniania, może wprowadzić nowe hasło i potwierdzić je.
5. Powiadomienie: do użytkownika zostanie wysłana wiadomość w celu potwierdzenia zresetowania.

Istnieje kilka sposobów dostosowywania środowiska użytkownika samoobsługowego resetowania hasła. Możesz na przykład dodać logo firmy do strony logowania, aby użytkownicy wiedzieli, że znajdują się w odpowiednim miejscu, aby zresetować swoje hasło.

Uwierzytelnianie resetowania hasła

Przed zezwoleniem na resetowanie hasła ważne jest zweryfikowanie tożsamości użytkownika. Złośliwi użytkownicy mogą wykorzystać wszelkie słabości systemu w celu personifikacji tego użytkownika. pomoc techniczna platformy Azure sześć różnych sposobów uwierzytelniania żądań resetowania.

Jako administrator możesz wybrać metody, które mają być używane podczas konfigurowania samoobsługowego resetowania hasła. Włącz co najmniej dwie z tych metod, aby użytkownicy mogli wybrać te, których mogą łatwo użyć. Metody to:

Metoda uwierzytelniania	Jak się zarejestrować	Jak uwierzytelniać się na potrzeby resetowania hasła
Powiadomienie aplikacji mobilnej	Zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym, a następnie zarejestruj ją na stronie konfiguracji uwierzytelniania wieloskładnikowego.	Platforma Azure wysyła powiadomienie do aplikacji, które można zweryfikować lub odrzucić.
Kod aplikacji mobilnej	Ta metoda używa również aplikacji Authenticator i instalujesz ją i rejestrujesz w taki sam sposób.	Wprowadź kod z aplikacji.
Poczta e-mail	Podaj adres e-mail, który jest zewnętrzny dla platformy Azure i platformy Microsoft 365.	Platforma Azure wysyła kod do adresu wprowadzonego w kreatorze resetowania.
Telefon komórkowy	Podaj numer telefonu komórkowego.	Platforma Azure wysyła kod do telefonu w wiadomości SMS wprowadzonej w kreatorze resetowania. Możesz również wybrać automatyczne wywołanie.
Telefon biurowy	Podaj niemobilny numer telefonu.	Otrzymasz automatyczne wywołanie tego numeru i naciśnij klawisz #.
Pytania zabezpieczające	Wybierz pytania, takie jak "W jakim mieście urodziła się Twoja matka?" i zapisz odpowiedzi.	Odpowiedz na pytania.

W bezpłatnych i próbnych organizacjach firmy Microsoft Entra opcje połączeń telefonicznych nie są obsługiwane.

Wymagaj minimalnej liczby metod uwierzytelniania

Możesz określić minimalną liczbę metod, które użytkownik musi skonfigurować: jedną lub dwie. Możesz na przykład włączyć metodę kodu aplikacji mobilnej, poczty e-mail, telefonu biurowego i pytań zabezpieczających oraz określić co najmniej dwie metody. Użytkownicy mogą następnie wybrać dwie preferowane przez nich metody, takie jak kod aplikacji mobilnej i wiadomość e-mail.

W przypadku metody pytania zabezpieczającego można określić minimalną liczbę pytań, które użytkownik musi skonfigurować, aby zarejestrować się w tej metodzie. Możesz również określić minimalną liczbę pytań, na które muszą odpowiedzieć poprawnie, aby zresetować hasło.

Gdy użytkownicy zarejestrują wymagane informacje dla minimalnej liczby określonych metod, są one uznawane za zarejestrowane w funkcji samoobsługowego resetowania hasła.

Zalecenia

• Włącz co najmniej dwie metody żądania resetowania uwierzytelniania.
• Użyj powiadomienia lub kodu aplikacji mobilnej jako metody podstawowej, ale także włącz metody poczty e-mail lub telefonu biurowego, aby obsługiwać użytkowników bez urządzeń przenośnych.
• Metoda telefonu komórkowego nie jest zalecaną metodą, ponieważ istnieje możliwość wysyłania fałszywych wiadomości SMS.
• Opcja pytania zabezpieczającego jest najmniej zalecaną metodą, ponieważ odpowiedzi na pytania zabezpieczające mogą być znane innym osobom. Użyj tylko metody pytania zabezpieczającego w połączeniu z co najmniej jedną inną metodą.

Konta skojarzone z rolami administratora

• Silne zasady uwierzytelniania dwóch metod są zawsze stosowane do kont z rolą administratora, niezależnie od konfiguracji dla innych użytkowników.
• Metoda pytania zabezpieczającego nie jest dostępna dla kont skojarzonych z rolą administratora.

Skonfigurowanie powiadomień

Administracja istratorzy mogą wybrać sposób powiadamiania użytkowników o zmianach haseł. Dostępne są dwie opcje:

• Powiadamianie użytkowników o zresetowaniu haseł: użytkownik, który resetuje własne hasło, jest powiadamiany o ich podstawowych i pomocniczych adresach e-mail. Jeśli zresetowanie zostało wykonane przez złośliwego użytkownika, to powiadomienie ostrzega użytkownika, który może wykonać kroki zaradcze.
• Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło: wszyscy administratorzy są powiadamiani o zresetowaniu hasła przez innego administratora.

Wymagania dotyczące licencji

Istnieją trzy wersje microsoft Entra ID: free, Premium P1 i Premium P2. Funkcja resetowania hasła, której można użyć, zależy od używanej wersji.

Każdy zalogowany użytkownik może zmienić swoje hasło niezależnie od wersji identyfikatora Entra firmy Microsoft.

Jeśli nie zalogowano się i nie pamiętasz hasła lub hasło wygasło, możesz użyć samoobsługowego resetowania hasła w usłudze Microsoft Entra ID P1 lub P2. Jest ona również dostępna w przypadku Aplikacje Microsoft 365 dla firm lub platformy Microsoft 365.

W sytuacji hybrydowej, w której masz lokalną usługę Active Directory i identyfikator Firmy Microsoft Entra w chmurze, wszelkie zmiany hasła w chmurze muszą zostać zapisane z powrotem do katalogu lokalnego. Ta obsługa zapisywania zwrotnego jest dostępna w usłudze Microsoft Entra ID P1 lub P2. Jest ona również dostępna z Aplikacje Microsoft 365 dla firm.

Opcje wdrażania samoobsługowego resetowania hasła

Samoobsługowe resetowanie hasła można wdrożyć przy użyciu funkcji zapisywania zwrotnego haseł przy użyciu usługi Microsoft Entra Połączenie lub synchronizacji w chmurze, w zależności od potrzeb użytkownika. Każdą opcję można wdrożyć obok siebie w różnych domenach, aby kierować do różnych zestawów użytkowników. Dzięki temu istniejący użytkownicy lokalnie mogą zapisywać zmiany haseł, dodając jednocześnie opcję dla użytkowników w domenach bez połączenia lub podziału firmy. Użytkownicy z istniejącej domeny lokalnej mogą korzystać z usługi Microsoft Entra Połączenie, podczas gdy nowi użytkownicy z połączenia mogą korzystać z synchronizacji w chmurze w innej domenie. Synchronizacja w chmurze może również zapewnić wyższą dostępność, ponieważ nie polega na pojedynczym wystąpieniu usługi Microsoft Entra Połączenie. Aby zapoznać się z porównaniem funkcji między dwiema opcjami wdrażania, zobacz Porównanie między usługą Microsoft Entra Połączenie i synchronizacją w chmurze.

Sprawdź swoją wiedzę

1.

Kiedy użytkownik jest uznawany za zarejestrowanego na potrzeby samoobsługowego resetowania hasła?

Po zarejestrowaniu co najmniej jednej z dozwolonych metod uwierzytelniania

Po zarejestrowaniu co najmniej liczby metod wymaganych do zresetowania hasła

Po skonfigurowaniu minimalnej liczby pytań zabezpieczających

2.

Po włączeniu samoobsługowego resetowania hasła dla organizacji Firmy Microsoft...

Użytkownicy mogą zmieniać swoje hasło tylko po zalogowaniu

Administracja można zresetować hasło przy użyciu jednej metody uwierzytelniania

Użytkownicy mogą resetować swoje hasła, gdy nie mogą się zalogować

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.

Kontynuuj