Настройка пользовательского интерфейса для самостоятельного сброса пароля Microsoft Entra
Самостоятельный сброс пароля (SSPR) предоставляет пользователям идентификатора Microsoft Entra возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение.
Чтобы улучшить работу SSPR для пользователей, можно настроить внешний вид страницы сброса пароля, уведомлений по электронной почте или страниц входа. Эти параметры настройки позволяют создать понятный интерфейс, чтобы пользователь был уверен, что он на правильной странице и получает доступ к ресурсам своей компании.
В этой статье показано, как настроить ссылку в сообщениях электронной почты для самостоятельного сброса пароля для пользователей, фирменную символику компании и ссылку на страницу входа AD FS.
Настройка ссылки "Обратитесь к администратору"
Чтобы пользователи могли обращаться за помощью по службе самостоятельного сброса пароля, на портале сброса паролей отображается ссылка "Обратитесь к администратору". Если пользователь выбирает эту ссылку, она выполняет одно из двух действий:
Если эта ссылка на контакт остается в состоянии по умолчанию, то администратору отправляется сообщение электронной почты с запросом помощи в изменении пароля пользователя. В следующем примере письма отображается это сообщение электронной почты по умолчанию:
Если он настроен, отправляет пользователя на веб-страницу или отправляет сообщение электронной почты по адресу, указанному администратором для получения помощи.
- При настройке этого параметра рекомендуется задать значение, которое уже знакомо пользователям, которые обращались за поддержкой.
Предупреждение
Если настроить этот параметр с использованием адреса электронной почты и учетной записи, требующей сброса пароля, пользователь не сможет обратиться за помощью.
Поведение электронной почты по умолчанию
Контактный адрес электронной почты по умолчанию отправляется получателям в таком порядке:
- Если назначена роль администратора службы технической поддержки или роль администратора паролей, то уведомления получают администраторы с этими ролями.
- Если роли администратора службы технической поддержки или администратора паролей никому не назначены, то уведомления получают администраторы пользователей.
- Если ни одна из вышеупомянутых ролей не назначена, уведомление получат глобальные администраторы.
Во всех случаях уведомление будет отправлено не более чем 100 получателям.
Дополнительные сведения о различных ролях администратора и их назначении см. в разделе "Назначение ролей администратора" в идентификаторе Microsoft Entra.
Отключение отправки электронных сообщений при выборе ссылки "Обратитесь к администратору"
Если организации не требуется уведомлять администраторов о запросах на сброс паролей, можно использовать следующие параметры конфигурации:
- Настройте ссылку справки, чтобы указать URL-адрес веб-адреса, который пользователи могут использовать для получения помощи. Этот параметр находится в разделе Сброс пароля>Настройка>Адрес электронной почты или URL-адрес нестандартной службы технической поддержки.
- Включение самостоятельного сброса пароля для всех пользователей Этот параметр находится в разделе Сброс пароля>Свойства. Если вы не хотите, чтобы пользователи могли сбрасывать пароли, можно ограничить доступ, назначив пустую группу. Этот вариант использовать не рекомендуется.
Настройка страницы входа и панели доступа
Вы можете настроить страницу входа, например добавить логотип и изображение, которые соответствуют фирменной символике вашей компании. Дополнительные сведения о настройке фирменной символики компании см. в разделе "Добавление фирменной символики компании" на страницу входа в идентификатор Microsoft Entra.
Выбранные вами изображения отображаются в следующих случаях:
- После того, как пользователь вводит свое имя пользователя.
- Если пользователь обращается к пользовательскому URL-адресу:
- путем передачи параметра
whrна страницу сброса пароля, напримерhttps://login.microsoftonline.com/?whr=contoso.com. - путем передачи параметра
usernameна страницу сброса пароля, напримерhttps://login.microsoftonline.com/?username=admin@contoso.com.
- путем передачи параметра
Имя каталога
Чтобы сделать интерфейс более понятным для пользователей, можно изменить название организации на портале и в автоматизированных коммуникациях. Чтобы изменить атрибут имени каталога в Центре администрирования Microsoft Entra, войдите в качестве глобального Администратор istrator и перейдите к свойствам обзора>удостоверений.> Понятное название организации лучше всего видно в автоматизированных сообщениях электронной почты, как показано в следующих примерах:
- понятное имя в сообщении электронной почты, например Майкрософт от имени демонстрационной учетной записи CONTOSO;
- строка темы в сообщении электронной почты, например Код подтверждения адреса электронной почты демонстрационной учетной записи CONTOSO.
Настройка страницы входа в службы федерации AD FS
Если для событий входа пользователя используются службы федерации Active Directory (AD FS), можно добавить ссылку на страницу входа, следуя указаниям в статье о добавлении описания страницы входа.
Предоставьте пользователям ссылку на страницу для входа в рабочий процесс SSPR, например https://passwordreset.microsoftonline.com. Чтобы добавить ссылку на страницу входа в AD FS, используйте следующую команду на сервере AD FS:
Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><a href='https://passwordreset.microsoftonline.com' target='_blank'>Can't access your account?</a></p>"
Следующие шаги
Сведения об использовании SSPR в вашей среде см. в разделе "Параметры отчетности" для управления паролями Microsoft Entra.
Если у вас или у ваших пользователей возникли проблемы с SSPR, см. статью об устранении неполадок при самостоятельном сбросе пароля.