Включение самостоятельного сброса пароля Microsoft Entra на экране входа в Windows

Самостоятельный сброс пароля (SSPR) предоставляет пользователям идентификатора Microsoft Entra возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Как правило, чтобы зайти на портал SSPR, пользователи открывают веб-браузер на другом устройстве. Чтобы улучшить работу на компьютерах под управлением Windows 7, 8, 8.1, 10 и 11, вы можете разрешить пользователям сбрасывать пароль на экране входа в Windows.

Важно!

В этом учебнике описано, как администратор может включить SSPR для устройств Windows на предприятии.

Если ИТ-специалисты не включили возможность использования SSPR на вашем устройстве с Windows или у вас возникли проблемы во время входа, обратитесь в службу технической поддержки за дополнительной помощью.

Общие ограничения

При использовании SSPR на экране входа Windows применяются следующие ограничения:

• Сброс пароля через расширенные сеансы Hyper-V или с удаленного рабочего стола сейчас не поддерживается.
• Использование некоторых сторонних поставщиков учетных данных приводит к проблемам с этой функцией.
• Известно, что отключение контроля учетных записей путем изменения ключа реестра EnableLUA приводит к проблемам с этой функцией.
• Эта функция не поддерживается для сетей, где развернута сетевая проверка подлинности 802.1X и установлен параметр "Выполнять непосредственно перед входом пользователя". Чтобы включить эту функцию для сетей с развернутой сетевой проверкой подлинности 802.1X, используйте проверку подлинности компьютера.
• Гибридные компьютеры, присоединенные к Microsoft Entra, должны иметь сетевое подключение к контроллеру домена, чтобы использовать новый пароль и обновить кэшированные учетные данные. Это означает, что устройство должно находиться во внутренней сети организации или использовать VPN-подключение с сетевым доступом к контроллеру домена в локальной сети.
• Если используется образ, то перед выполнением sysprep обязательно очистите веб-кэш для встроенной учетной записи администратора и затем выполните шаг CopyProfile. Дополнительные сведения об этом шаге можно найти в статье службы поддержки о низкой производительности при использовании профилей по умолчанию.
• Следующие параметры, как известно, препятствуют использованию и сбросу паролей на устройствах с Windows 10.
  • Если уведомления на экране блокировки отключены, сброс пароля не будет работать.
  • HideFastUserSwitching имеет значение"Включено" или 1.
  • DontDisplayLastUserName имеет значение "Включено" или 1.
  • NoLockScreen имеет значение "Включено" или 1.
  • BlockNonAdminUserInstall имеет значение "Включено" или 1.
  • EnableLostMode имеет значение "Включено" или 1.
  • файл Explorer.exe, замененный на файл пользовательской оболочки.
  • Интерактивный вход: параметр "Требовать смарт-карту" имеет значение "Включено" или 1
• Сочетание следующих трех параметров может привести к неработоспособности этой функции.
  • Интерактивный вход: не требуется CTRL+ALT+DEL = отключен (только для Windows 10 версии 1710 и более ранних версий)
  • DisableLockScreenAppNotifications = 1 или "Включено".
  • Номер SKU Windows — выпуск Home Edition

Примечание.

Эти ограничения также касаются сброса ПИН-кода Windows Hello для бизнеса с экрана блокировки устройства.

Сброс пароля Windows 11 и Windows 10

Чтобы настроить устройство Windows 11 или Windows 10 для SSPR на экране входа, ознакомьтесь со следующими предварительными условиями и инструкциями по настройке.

Предварительные требования для Windows 11 и Windows 10

• Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator и включите самостоятельный сброс пароля Microsoft Entra.
• Пользователи должны зарегистрироваться для SSPR перед использованием этой функции в https://aka.ms/ssprsetup
  • Все пользователи должны предоставить контактную информацию для проверки подлинности, прежде чем они смогут сбросить пароль (не только для использования SSPR на экране входа Windows).
• Требования к сетевому прокси-серверу:
  • Порт 443 для passwordreset.microsoftonline.com и ajax.aspnetcdn.com.
  • Для устройств Windows 10 требуется конфигурация прокси на уровня компьютера или конфигурация прокси-сервера с заданной областью для временной учетной записи defaultuser1, которая используется для выполнения SSPR (подробнее см. в разделе об устранении неполадок).
• Запустите по крайней мере Windows 10 версии 2018 с обновлением (версия 1803) и устройства должны быть:
  • присоединены к Microsoft Entra;
  • имеют гибридное присоединение к Microsoft Entra;

Включение для Windows 11 и Windows 10 с помощью Microsoft Intune

Развертывание изменения конфигурации для включения SSPR на экране входа с помощью Microsoft Intune является самым гибким методом. Microsoft Intune позволяет развернуть изменение конфигурации в определенной группе компьютеров, определенных вами. Для этого метода требуется регистрация устройства в Microsoft Intune.

Создание политики конфигурации устройств в Microsoft Intune

1. Войдите в Центр администрирования Microsoft Intune.

2. Создайте новый профиль конфигурации устройства, выбрав Конфигурация устройства>Профили, а затем — + Создать профиль.

   • В поле Платформа выберите Windows 10 и более поздние версии
   • Для типа профиля выберите "Шаблоны", а затем выберите пользовательский шаблон ниже

3. Выберите " Создать", а затем укажите понятное имя для профиля, например windows 11 для входа с экрана SSPR

   При необходимости укажите содержательное описание профиля, а затем выберите Далее.

4. В разделе Параметры конфигурации выберите Добавить и укажите следующий параметр OMA-URI, чтобы включить ссылку для сброса пароля:

   • Введите информативное имя, которое объясняет действия параметра, например Добавить ссылку на SSPR.
   • При необходимости введите содержательное описание параметра.
   • Для параметра OMA-URI укажите значение ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Для параметра Тип данных задайте значение Целое число.
   • Для параметра Значение установите значение 1.

   Выберите Добавить, а затем — Далее.

5. Эту политику можно назначать определенным пользователям, устройствам или группам. Сначала назначьте профиль для своей среды, в идеале — для тестовой группы устройств, а затем выберите Далее.

   Дополнительные сведения см. в статье Назначение профилей пользователей и устройств в Microsoft Intune.

6. Настройте правила применимости для вашей среды, например для назначения профиля, если выпуск ОС — Windows 10 Корпоративная, а затем выберите Далее.

7. Просмотрите свой профиль и щелкните Создать.

Включение для Windows 11 и Windows 10 с помощью реестра

Чтобы включить SSPR на экране входа с помощью раздела реестра, сделайте следующее:

1. Войдите в компьютер Windows, используя административные учетные данные.

2. Нажмите Windows + R, чтобы открыть диалоговое окно запуска, а затем запустите regedit от имени администратора

3. Настройте следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Устранение неполадок с сбросом пароля Windows 11 и Windows 10

Если у вас возникли проблемы с использованием SSPR на экране входа в Windows, журнал аудита Microsoft Entra содержит сведения о IP-адресе и clientType , где произошл сброс пароля, как показано в следующем примере выходных данных:

При сбросе пароля с экрана входа устройства Windows 11 или 10 создается временная учетная запись defaultuser1 с низким уровнем привилегий. Эта учетная запись используется для обеспечения безопасности процесса сброса пароля.

Сама учетная запись имеет случайно созданный пароль, который проверяется на соответствие политике паролей организаций, не отображается для входа в устройство и автоматически удаляется после сброса пароля пользователем. Может существовать сразу несколько профилей defaultuser, но вы можете спокойно их игнорировать.

Конфигурации прокси-сервера для сброса пароля Windows

Во время сброса пароля SSPR создает временную локальную учетную запись пользователя для подключения к https://passwordreset.microsoftonline.com/n/passwordreset. Если на прокси-сервере настроена проверка подлинности пользователя, может возвращаться ошибка с сообщением Что-то пошло не так. Повторите попытку позже. Это связано с тем, что учетная запись локального пользователя не имеет авторизации для использования прокси-сервера с проверкой подлинности.

В этом случае можно использовать одно из следующих обходных решений.

• Настройте на уровне компьютера параметр прокси-сервера, который не зависит от типа пользователя, вошедшего в систему на компьютере. Например, вы можете включить для рабочих станций групповая политику Настройка прокси-сервера для рабочих станций (а не для отдельных пользователей).

• Вы также можете использовать для SSPR конфигурацию прокси-сервера на уровне пользователя, изменив соответствующим образом шаблон реестра для учетной записи по умолчанию. Ниже приведены команды для этого.

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Ошибка вида Что-то пошло не так может возникать также, если что-то прерывает подключение к URL https://passwordreset.microsoftonline.com/n/passwordreset. Например, если на рабочей станции работает антивирусная программа без исключений для URL-адресов passwordreset.microsoftonline.com, ajax.aspnetcdn.com и ocsp.digicert.com. Временно отключите это программное обеспечение и проверьте, устранит ли это проблему.

Сброс паролей в Windows 7, 8 и 8.1

Чтобы настроить устройство с Windows 7, 8 или 8.1 для SSPR на экране входа, ознакомьтесь со следующими необходимыми компонентами и действиями конфигурации.

Предварительные условия для Windows 7, 8 и 8.1

• Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator и включите самостоятельный сброс пароля Microsoft Entra.
• Пользователи должны зарегистрироваться для SSPR перед использованием этой функции в https://aka.ms/ssprsetup
  • Все пользователи должны предоставить контактную информацию для проверки подлинности, прежде чем они смогут сбросить пароль (не только для использования SSPR на экране входа Windows).
• Требования к сетевому прокси-серверу:
  • Порт 443 для passwordreset.microsoftonline.com.
• В операционной системе Windows 7 или Windows 8.1 должны быть установлены исправления.
• Должен быть включен протокол TLS 1.2 (см. руководство по настройке параметров реестра для протокола TLS).
• Если на компьютере включены несколько сторонних поставщиков учетных данных, пользователи могут видеть несколько профилей пользователя на экране входа в систему.

Предупреждение

Протокол TLS 1.2 должен быть включен, а не просто настроен на автоматический обмен записями.

Установка

На компьютерах с Windows 7, 8 и 8.1 должен быть установлен небольшой компонент, чтобы включить SSPR на экране входа. Чтобы установить этот компонент SSPR, сделайте следующее:

1. Скачайте соответствующий установщик для версии Windows, в которой следует включить этот протокол.

   Установщик программного обеспечения доступен в Центре загрузки Майкрософт по адресу https://aka.ms/sspraddin

2. Войдите на компьютер, где следует выполнить установку, и запустите программу установки.

3. После установки настоятельно рекомендуется выполнить перезагрузку.

4. После перезагрузки на экране входа выберите пользователя и нажмите кнопку "Забыли пароль?", чтобы запустить рабочий процесс сброса пароля.

5. Завершите процесс, следуя указаниям на экране для сброса пароля.

Автоматическая установка

Компонент SSPR можно установить или удалить без подсказок с помощью следующих команд:

• Для автоматической установки выполните команду "msiexec /i SsprWindowsLogon.PROD.msi /qn".
• Для автоматического удаления выполните команду "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Устранение неполадок при сбросе пароля в Windows 7, 8 и 8.1

Если у вас возникли проблемы с использованием SSPR на экране входа в Windows, события регистрируются как на компьютере, так и в идентификаторе Microsoft Entra. События Microsoft Entra включают сведения об IP-адресе и ClientType, где произошла сброс пароля, как показано в следующем примере выходных данных:

При необходимости для включения подробного ведения журнала можно изменить соответствующий раздел реестра на компьютере. Включите подробное ведение журнала только для устранения неполадок, используя следующее значение раздела реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Чтобы включить ведение журнала, создайте REG_DWORD: "EnableLogging" и присвойте ему значение 1.
• Чтобы отключить подробное ведение журнала, измените для REG_DWORD: "EnableLogging" значение на 0.
• Просмотрите ведение журнала отладки в журнале событий приложения в источнике AADPasswordResetCredentialProvider.

Что видят пользователи?

Какие изменения заметят пользователи после настройки SSPR для устройств с Windows? Как они узнают, что можно сбросить пароль на экране входа в систему? На снимках экрана показаны дополнительные параметры сброса пароля пользователем с помощью SSPR:

Когда пользователь пытается войти в систему, он видит ссылку Сбросить пароль или Забыли пароль?, которая открывает функцию самостоятельного сброса пароля на экране входа. С помощью этой функции пользователи могут сбросить пароль, не используя другое устройство для получения доступа к браузеру.

Дополнительные сведения об использовании этой функции для пользователей можно найти в статье о сбросе рабочего или учебного пароля

Следующие шаги

Чтобы упростить регистрацию пользователя, можно предварительно заполнить контактную информацию для проверки подлинности пользователя для SSPR.