Как это работает: самостоятельный сброс пароля в Azure AD

Самостоятельный сброс пароля (SSPR) в Azure Active Directory (AAD) позволяет пользователям изменить или сбросить пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Рекомендуем посмотреть виде о том, как включить и настроить SSPR в Azure AD.

Важно!

Из этой теоретической статьи администратор узнает, как работает функция самостоятельного сброса пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

Как работает процесс сброса паролей?

Пользователь может сбросить или изменить пароль с помощью портала SSPR. Сначала он должен зарегистрировать нужные методы проверки подлинности. Когда пользователь выполняет вход на портал SSPR, платформа Azure учитывает следующие факторы:

  • язык страницы;
  • допустимость учетной записи;
  • организация, к которой принадлежит пользователь;
  • параметры управления паролем пользователя;

Когда пользователь нажимает на ссылку Не удается получить доступ к своей учетной записи в приложении или на странице, либо когда он переходит непосредственно к https://aka.ms/sspr, язык, используемый на портале SSPR, выбирается с учетом следующих параметров:

  • По умолчанию язык, на котором портал SSPR отображается для пользователя, определяется по языковому стандарту браузера. Эта функция сброса пароля переведена на все языки, поддерживаемые Microsoft 365.
  • Если вы хотите создать ссылку, при переходе по которой порта SSPR будет отображаться на определенном языке, добавьте ?mkt= в конец URL-адреса сброса пароля вместе с требуемым языковым стандартом.

После отображения портала SSPR на требуемом языке пользователю будет предложено ввести идентификатор пользователя и подтвердить, что он не робот. Azure AD проверяет, может ли пользователь использовать самостоятельный сброс пароля, с помощью следующих проверок:

  • Проверяет, что у пользователя включена функция SSPR.
    • Если у пользователя эта функция не включена, то для сброса своего пароля ему предлагается обратиться к администратору.
  • Проверяет наличие у пользователя соответствующих методов проверки подлинности, определенных в его учетной записи в соответствии с политикой администратора.
    • Если политика требует только один метод, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для одного из методов проверки подлинности, разрешенных политикой администратора.
      • Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
    • Если политика требует два метода, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для двух методов проверки подлинности, разрешенных политикой администратора.
      • Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
    • Если пользователю назначается роль администратора Azure, применяется строгая двухфакторная политика паролей. Дополнительные сведения см. в разделе Различия политики сброса администратора.
  • Проверяет, управляется ли пароль пользователя локально (использует ли клиент Azure AD федеративную, сквозную аутентификации, или для него включена синхронизация хэшей паролей):
    • Если обратная запись самостоятельного сброса пароля настроена, а управление паролем пользователя осуществляется локально, то пользователю разрешается продолжить проверку подлинности и сбросить свой пароль.
    • Если обратная запись самостоятельного сброса пароля не развернута, а управление паролем пользователя осуществляется локально, то пользователю предлагается обратиться к администратору для сброса своего пароля.

Если все предыдущие проверки успешно выполнены, пользователь проходит через процесс сброса или изменения пароля.

Примечание

Функция самостоятельного сброса пароля может отправлять пользователям уведомления по электронной почте в рамках процесса сброса пароля. Эти сообщения отправляются с помощью службы ретранслятора SMTP, работающей в режиме "активный — активный" в нескольких регионах.

Службы ретранслятора SMTP получают и обрабатывают текст сообщений электронной почты, но не сохраняют его. Текст сообщения электронной почты от функции самостоятельного сброса пароля, который потенциально может содержать сведения, предоставленные клиентом, не хранится в журналах службы ретранслятора SMTP. В журналах содержатся только метаданные протокола.

Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.

Запрос регистрации пользователей при входе

Вы можете включить параметр, требующий от пользователя завершения регистрации SSPR, если он или она использует современную проверку подлинности или веб-браузер для входа в любые приложения, использующие Azure AD. К этому рабочему процессу относятся следующие приложения:

  • Microsoft 365
  • Портал Azure
  • Панель доступа
  • федеративные приложения;
  • пользовательские приложения, использующие Azure AD.

Если регистрация не требуется, пользователи не получают запрос во время входа в систему, но они могут выполнить регистрацию вручную. Пользователи могут открыть страницу https://aka.ms/ssprsetup или перейти по ссылке на вкладкеПрофиль на панели доступа.

Параметры регистрации SSPR на портале Azure

Примечание

Пользователи могут закрыть портал регистрации для самостоятельного сброса пароля, выбрав Отмена или закрыв окно. Но каждый раз при входе они будут получать запрос на регистрацию, пока не выполнят ее.

Это прерывание для регистрации в SSPR не нарушает подключение пользователя, если он уже выполнил вход.

Повторный ввод данных проверки подлинности

Чтобы убедиться в правильности методов проверки подлинности, когда необходимо сбросить или изменить пароль, можно потребовать от пользователей подтвердить зарегистрированную информацию по истечении определенного периода времени. Это возможно только, если включить параметр Требовать регистрации пользователей при входе.

Допустимые значения, по которым пользователю предлагается подтвердить свои зарегистрированные методы, находятся в диапазоне от 0 до 730 дней. Если установить этому параметру значение 0, пользователям не будет предлагаться подтвердить данные проверки подлинности. При использовании Объединенных возможностей регистрации пользователи должны подтвердить свою личность, прежде чем повторно подтвердить свои данные.

методы проверки подлинности;

Если для пользователя включена функция самостоятельного сброса пароля, он должен зарегистрировать по крайней мере один метод проверки подлинности. Мы настоятельно рекомендуем выбрать два или больше методов проверки подлинности, чтобы у пользователей было больше возможностей на случай, если они не смогут получить доступ к одному из методов. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.

Для SSPR доступны следующие методы проверки подлинности.

  • Уведомление от мобильного приложения
  • Код мобильного приложения
  • Email
  • Мобильный телефон
  • Рабочий телефон (доступно только для клиентов с платными подписками)
  • Контрольные вопросы

Пользователи смогут сбросить пароль, только если они зарегистрировали метод проверки подлинности, который включил администратор.

Предупреждение

Для учетных записей, которым назначены роли администратора Azure, необходимо использовать методы, описанные в разделе о различиях в политиках сброса паролей для роли администратора.

Выбор способов проверки подлинности на портале Azure

Необходимое количество методов проверки подлинности

Можно настроить количество имеющихся методов проверки подлинности, которые должен использовать пользователь, чтобы сбросить или разблокировать свой пароль. Для этого параметра можно задать значение один или два.

Пользователи могут, и им рекомендуется это сделать, зарегистрировать несколько методов проверки подлинности. Мы настоятельно рекомендуем выбрать два или больше методов проверки подлинности, чтобы у пользователей было больше возможностей на случай, если они не смогут получить доступ к одному из методов.

Если при попутке использовать самостоятельный сброс пароля количество методов проверки подлинности не соответствует минимально установленному значению, отобразится страница ошибки со ссылкой, по которой можно отправить запрос администратору на сброс пароля. Увеличьте количество требуемых методов с одного до двух, если у вас есть пользователи, зарегистрированные для самостоятельного сброса пароля, иначе они не смогут использовать эту функцию. Дополнительные сведения см. в разделе Изменение методов проверки подлинности.

Мобильное приложение и самостоятельный сброс пароля

При использовании мобильного приложения для сброса пароля, например приложения Microsoft Authenticator, пользователям необходимо учитывать следующее.

  • Когда администраторы требуют использовать один метод для сброса пароля, применение кода проверки является единственным доступным вариантом.
  • Если администраторам требуются два метода, пользователи смогут сбросить пароль с помощью уведомления ИЛИ с помощью кода проверки в дополнение к любым другим включенным методам.
Число требуемых способов сброса Один Два
Доступные функции мобильного приложения Код Код или уведомление

Пользователи не смогут зарегистрировать свое мобильное приложение при регистрации для самостоятельного сброса пароля по адресу https://aka.ms/ssprsetup. Вместо этого они смогут зарегистрировать мобильное приложение по адресу https://aka.ms/mfasetup или в службе регистрации сведений о безопасности по адресу https://aka.ms/setupsecurityinfo.

Важно!

Приложение Authenticator нельзя выбрать в качестве единственного метода проверки подлинности, если требуется только один метод. Аналогично, приложение Authenticator и только один дополнительный метод нельзя выбрать, если требуется два метода.

При настройке политик самостоятельного сброса пароля, в которых приложение Authenticator указано в качестве метода, необходимо выбрать по крайней мере один дополнительный метод, если требуется один метод, а при настройке двух методов необходимо выбрать не менее двух дополнительных методов.

Это требование связано с тем, что в текущей процедуре регистрации самостоятельного сброса пароля нет возможности зарегистрировать приложение для проверки подлинности. Возможность регистрации приложения для проверки подлинности входит в новую объединенную процедуру регистрации.

Разрешение политик, использующих только приложение Authenticator (если требуется один метод) или приложение Authenticator и только один дополнительный метод (если требуются два метода), может привести к блокированию регистрации пользователей для самостоятельного сброса пароля до тех пор, пока для них не будет настроено использование новой функции регистрации.

Изменение методов проверки подлинности

Что случится, если начать с политики, в которой зарегистрирован только один обязательный метод проверки подлинности для сброса или разблокировки, а затем изменить его на два?

Число зарегистрированных методов Число обязательных методов Результат
1 или более 1 Есть возможность сброса или разблокировки
1 2 Нет возможности сброса или разблокировки
минимум 2 2 Есть возможность сброса или разблокировки

Изменение доступных методов проверки подлинности также может вызвать проблемы для пользователей. Если изменить типы методов проверки подлинности, которые доступны пользователю, то можно непреднамеренно заблокировать ему возможность использовать SSPR. Это произойдет, если у пользователя не будет минимального объема доступных данных.

Рассмотрим следующий пример сценария:

  1. Настроена исходная политика с двумя методами проверки подлинности. Она использует только номер рабочего телефона и контрольные вопросы.
  2. Администратор изменяет политику таким образом, чтобы больше не использовались контрольные вопросы, а использовались номер мобильного телефона и запасной адрес электронной почты.
  3. Пользователи, у которых не заполнены поля мобильного телефона или запасного адреса электронной почты, не могут сбрасывать свои пароли.

Уведомления

Чтобы улучшить осведомленность о событиях, связанных с паролями, функция самостоятельного сброса пароля позволяет настраивать уведомления как для пользователей, так и для администраторов удостоверений.

"Уведомлять пользователей о сбросе пароля"

Если для этого параметра задать значение Да, пользователи, сбрасывающие пароль, получат письмо, в котором указано, что пароль изменен. Электронное письмо отправляется через портал SSPR на основной и запасной адрес электронной почты, указанные в Azure AD. Больше это уведомление никому не отправляется.

"Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли"

Если для этого параметра задать значение Да, то все остальные администраторы Azure получат письмо по основному и запасному адресу электронной почты, которые указаны в Azure AD. В сообщении будет указано, что другой администратор изменил пароль с помощью SSPR.

Рассмотрим следующий пример сценария:

  • В среде есть 4 администратора.
  • Администратор А сбрасывает их пароли с помощью SSPR.
  • Администраторы B, C и D получат письмо с уведомлением о сбросе пароля.

Примечание

Уведомления по электронной почте из службы SSPR будут отправляться со следующих адресов на основе облака Azure, с которым вы работаете:

  • Общедоступные: msonlineservicesteam@microsoft.com
  • Китай: msonlineservicesteam@oe.21vianet.com
  • Государственные: msonlineservicesteam@azureadnotifications.us

Если при получении уведомлений возникают проблемы, проверьте параметры спама.

Интеграция с локальной средой

При наличии гибридной среды в Azure AD Connect можно настроить запись событий изменения пароля из Azure AD в локальный каталог.

Проверка обратной записи паролей включена и работает

Azure AD проверяет текущее гибридное подключение и выдает одно из следующих сообщений на портале Azure:

  • "Локальный клиент обратной записи запущен и работает".
  • "Служба Azure AD Connect работает и подключена к локальному клиенту обратной записи. Похоже, однако, что установленная версия Azure AD Connect устарела. Обновите Azure AD Connect, чтобы использовать новые функции подключения и получить важные исправления ошибок".
  • "Не удается проверить состояние локального клиента обратной записи, так как установленная версия Azure AD Connect устарела". Обновите Azure AD Connect, чтобы проверить состояние подключения".
  • "Сейчас не удается подключиться к локальному клиенту обратной записи. Устраните неполадки с Azure AD Connect, чтобы восстановить подключение".
  • "Не удается подключиться к локальному клиенту обратной записи, так как обратная запись пароля не настроена. Настройте обратную запись пароля, чтобы восстановить подключение".
  • "Сейчас не удается подключиться к локальному клиенту обратной записи. Возможно, дело во временных проблемах с нашей стороны. Если ошибка сохраняется, устраните неполадки с Azure AD Connect, чтобы восстановить подключение".

Чтобы приступить к работе с обратной записью SSPR, ознакомьтесь со следующим руководством.

"Включить обратную запись паролей в локальный каталог"

Включить обратную запись паролей можно с помощью портала Azure. Можно временно отключить обратную запись паролей без повторной настройки Azure AD Connect.

  • Если для параметра задано значение Да, обратная запись включена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей могут сбрасывать свои пароли.
  • Если параметр имеет значение Нет, обратная запись отключена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей не могут сбрасывать свои пароли.

Разрешить пользователям разблокировать учетные записи без сброса пароля

По умолчанию Azure AD разблокирует учетные записи при выполнении сброса пароля. Для обеспечения гибкости можно разрешить пользователям разблокировать свои локальные учетные записи без необходимости сбрасывать свои пароли. Используйте данный параметр, чтобы разделить эти две операции.

  • Если выбрано значение Да, пользователи могут сбросить пароль и разблокировать учетную запись или разблокировать учетную запись без сброса пароля.
  • Если значение — Нет, пользователи могут разблокировать учетную запись только после сброса пароля.

Фильтры паролей локальной службы Active Directory

Функция самостоятельного сброса пароля выполняет в Active Directory действие, эквивалентное сбросу пароля, инициированного администратором. Используя фильтр пароля сторонних производителей для обеспечения пользовательских правил для паролей, и имея необходимость его проверки во время самостоятельного сброса пароля в Azure AD, убедитесь, что стороннее решение для фильтрации паролей настроено на применение в сценарии сброса пароля администратором. Защита паролем Azure AD для доменных служб Active Directory включена по умолчанию.

Сброс пароля для пользователей B2B

Сброс и изменение пароля полностью поддерживается во всех конфигурациях B2B. Сброс паролей для пользователей B2B поддерживается в трех случаях:

  • Пользователи из партнерской организации с существующим клиентом Azure AD. Если организация, с которой вы вступили в партнерские отношения, имеет клиент Azure AD, мы учитываем политики сброса пароля, включенные в этом клиенте. Для работы сброса паролей партнерская организация должна убедиться в том, что SSPR включен в Azure AD. Дополнительная плата не взимается с клиентов Microsoft 365.
  • Пользователи, зарегистрировавшиеся с помощью функции самостоятельной регистрации. Если организация, с которой вы вступили в партнерские отношения, использует функцию самостоятельной регистрации для входа в клиент, мы позволим ее пользователям сбросить пароль, указав зарегистрированный адрес электронной почты.
  • Пользователи B2B. Все новые пользователи B2B, созданные с помощью новых возможностей Azure AD B2B, также смогут сбросить пароль, указав адрес электронной почты, зарегистрированный в процессе приглашения.

Чтобы протестировать данный сценарий, перейдите на сайт https://passwordreset.microsoftonline.com под одним из этих пользователей-партнеров. Если они определили дополнительный адрес электронной почты или адрес электронной почты для проверки подлинности, сброс паролей будет работать должным образом.

Примечание

Учетные записи Майкрософт, которым предоставлен гостевой доступ к вашему клиенту Azure AD, например адреса из Hotmail.com, Outlook.com или другие личные адреса электронной почты, не могут использовать SSPR в Azure AD. Им потребуется сбросить свой пароль, как описано в статье Не удается войти в учетную запись Майкрософт.

Дальнейшие действия

Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.

Дополнительные сведения о сбросе пароля с помощью Azure AD см. в следующих статьях: