Руководство по Включение самостоятельного сброса пароля для разблокировки учетных записей или сброса паролей пользователями в Microsoft Entra

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если идентификатор Microsoft Entra id блокирует учетную запись пользователя или забыл свой пароль, они могут следовать инструкциям, чтобы разблокировать себя и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. Кроме того, у нас есть видео для ИТ-администраторов, где показано, как обрабатывать шесть распространенных сообщений об ошибках пользователей, связанных с SSPR.

Важно!

В этом учебнике описано, как администратор может включить самостоятельный сброс пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу Сброс пароля Microsoft Online.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

Из этого руководства вы узнаете, как выполнить следующие задачи:

• Включение самостоятельного сброса пароля для группы пользователей Microsoft Entra
• Настройка методов проверки подлинности и параметров регистрации
• Тестирование процесса SSPR в качестве пользователя.

Важно!

В марте 2023 года мы объявили об отмене управления методами проверки подлинности в устаревших политиках многофакторной проверки подлинности и самостоятельном сбросе пароля (SSPR). Начиная с 30 сентября 2024 г. методы проверки подлинности нельзя управлять в этих устаревших политиках MFA и SSPR. Мы рекомендуем клиентам использовать ручной элемент управления миграции для миграции в политику методов проверки подлинности по дате отмены.

Видеоруководство

Вы также можете следовать в связанном видео: как включить и настроить SSPR в идентификаторе Microsoft Entra.

Необходимые компоненты

Для завершения работы с этим учебником требуются следующие ресурсы и разрешения:

• Рабочий клиент Microsoft Entra с включенной бесплатной или пробной лицензией Microsoft Entra ID. На уровне "Бесплатный" SSPR работает только для облачных пользователей в идентификаторе Microsoft Entra ID. На уровне "Бесплатный" поддерживается изменение пароля, но не его сброс.
  • Для последующих руководств в этой серии вам потребуется лицензия Microsoft Entra ID P1 или пробная лицензия для локальной обратной записи паролей.
  • При необходимости создайте бесплатно учетную запись Azure.
• Учетная запись с правами глобального Администратор istrator или политики проверки подлинности Администратор istrator.
• Пользователь без прав администратора, пароль которого вам известен, например testuser. В этом учебнике вы протестируете работу пользователей с SSPR, используя данную учетную запись.
  • Если вам нужно создать пользователя, см . краткое руководство. Добавление новых пользователей в идентификатор Microsoft Entra ID.
• Группа, в которую входит пользователь без прав администратора, например SSPR-Test-Group. В этом учебнике вы включите SSPR для данной группы.
  • Если вам нужно создать группу, см. статью "Создание базовой группы" и добавление участников с помощью идентификатора Microsoft Entra.

Включить самостоятельный сброс паролей

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Идентификатор Microsoft Entra позволяет включить SSPR для None, Selected или All users. Эта детальная возможность позволяет выбрать подмножество пользователей для тестирования процесса регистрации и рабочего процесса SSPR. Если процесс для вас удобен и сейчас вы можете обеспечить соблюдение требований для более широкого набора пользователей, можно выбрать группу пользователей и включить для нее SSPR. Кроме того, вы можете включить SSPR для всех пользователей в клиенте Microsoft Entra.

Примечание.

В настоящее время можно включить только одну группу Microsoft Entra для SSPR с помощью Центра администрирования Microsoft Entra. В рамках более широкого развертывания SSPR идентификатор Microsoft Entra поддерживает вложенные группы.

В этом учебнике SSPR настраивается для набора пользователей в тестовой группе. Используйте группу SSPR-Test-Test-Group и предоставьте собственную группу Microsoft Entra по мере необходимости:

1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

2. Перейдите к сбросупароля защиты>из меню слева.

3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля щелкните Выбрано.

4. Если группа не отображается, выберите "Нет выбранных групп", найдите и выберите группу Microsoft Entra, например SSPR-Test-Group, и нажмите кнопку "Выбрать".

   

5. Чтобы включить SSPR для выбранных пользователей, щелкните Сохранить.

Выбор методов проверки подлинности и настройка параметров регистрации

Когда пользователям необходимо разблокировать учетные записи или сбросить пароли, им предлагается другой метод подтверждения. Этот дополнительный фактор проверки подлинности гарантирует, что идентификатор Microsoft Entra ID завершил только утвержденные события SSPR. Вы можете выбрать методы проверки подлинности, которые следует разрешить, на основе сведений о регистрации, предоставляемых пользователем.

1. На странице Методы проверки подлинности в меню слева задайте для параметра Число способов, необходимых для сброса значение 2.

   Чтобы повысить безопасность, можно увеличить число методов проверки подлинности, необходимых для SSPR.

2. Выберите Способы, доступные пользователям, которые ваша организация собирается разрешить. Для работы с этим руководством установите флажки, чтобы включить следующие методы:

   • Уведомление мобильного приложения
   • Код мобильного приложения
   • Эл. почта
   • Мобильный телефон

   Можно включить другие методы проверки подлинности, такие как Рабочий телефон или Контрольные вопросы, в соответствии с бизнес-требованиями.

3. Чтобы применить методы проверки подлинности, щелкните Сохранить.

Чтобы пользователи могли разблокировать учетную запись или сбросить пароль, сначала они должны зарегистрировать свои контактные данные. Идентификатор Microsoft Entra использует эти контактные данные для различных методов проверки подлинности, настроенных на предыдущих шагах.

Администратор может вручную указать эти контактные данные, или пользователи могут посетить портал регистрации и предоставить сведения. В этом руководстве настройте идентификатор Microsoft Entra для запроса пользователей на регистрацию при следующем входе.

1. На странице Регистрация в меню слева выберите значение Да для параметра Требовать регистрацию пользователей при входе.

2. Для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности выберите 180.

   Важно, чтобы контактные данные сохранялись в актуальном состоянии. Если контактная информация устарела, при запуске события SSPR, возможно, пользователь не сможет разблокировать учетную запись или сбросить пароль.

3. Чтобы применить параметры регистрации, щелкните Сохранить.

Примечание.

Прерывание запроса на регистрацию контактных данных во время входа происходит только в том случае, если выполнены условия, настроенные в параметрах, и будут применяться только к учетным записям пользователей и администраторов, которые включены для сброса паролей с помощью самостоятельного сброса пароля Microsoft Entra.

Настройка уведомлений и изменение настроек

Чтобы пользователи могли получать сведения о действиях учетной записи, можно настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте при возникновении события SSPR. Эти уведомления могут охватывать как обычные учетные записи пользователей, так и учетные записи администраторов. Для учетных записей администраторов это уведомление обеспечивает другой уровень осведомленности о сбросе пароля привилегированной учетной записи администратора с использованием SSPR. Идентификатор Microsoft Entra уведомляет всех глобальных администраторов, когда кто-то использует SSPR в учетной записи администратора.

1. На странице Уведомления в меню слева настройте следующие параметры.

   • Для параметра Уведомлять пользователей о сбросе пароля? выберите Да.
   • Для параметра Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли? выберите Да.

2. Чтобы применить настройки уведомлений, щелкните Сохранить.

Если пользователям требуется дополнительная помощь по процессу SSPR, можно настроить ссылку "Обратитесь к администратору". Пользователь может использовать эту ссылку при регистрации SSPR, когда снимает блокировку с учетной записи или сбрасывает пароль. Чтобы гарантировать, что пользователи получат необходимую поддержку, рекомендуется предоставить адрес электронной почты или URL-адрес нестандартной службы технической поддержки.

1. На странице Настройка в меню слева задайте для параметра Настроить ссылку на службу технической поддержки значение Да.
2. В поле Адрес электронной почты или URL-адрес нестандартной службы технической поддержки укажите адрес или веб-страницу, с помощью которых пользователи смогут получить дополнительную поддержку от вашей организации, например, https://support.contoso.com/
3. Чтобы применить настроенную ссылку, выберите Сохранить.

Тестирование самостоятельного сброса пароля

После включения и настройки SSPR протестируйте процесс SSPR с пользователем, который входит в группу, выбранную в предыдущем разделе, например Test-SSPR-Group. В следующем примере используется учетная запись testuser. Укажите собственную учетную запись пользователя. Она входит в группу, для которой включен SSPR в первом разделе этого учебника.

Примечание.

При тестировании самостоятельного сброса пароля используйте учетную запись без прав администратора. По умолчанию идентификатор Microsoft Entra включает самостоятельный сброс пароля для администраторов. Для сброса своих паролей им нужно использовать два метода проверки подлинности. Дополнительные сведения см. в разделе Различия политики сброса администратора.

1. Чтобы просмотреть процесс регистрации вручную, откройте новое окно браузера в приватном режиме или режиме инкогнито и перейдите по адресу https://aka.ms/ssprsetup. Идентификатор Microsoft Entra будет направлять пользователей на этот портал регистрации при следующем входе.

2. Войдите, используя данные тестового пользователя без прав администратора, например testuser, и зарегистрируйте свою контактную информацию для методов проверки подлинности.

3. После завершения щелкните Все правильно и закройте окно браузера.

4. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://aka.ms/sspr.

5. Введите данные учетной записи тестового пользователя без прав администратора, например testuser, символы из CAPTCHA, а затем нажмите кнопку Далее.

   

6. Выполните шаги подтверждения для сброса пароля. По завершении вы получите уведомление по электронной почте о том, что пароль сброшен.

Очистка ресурсов

В следующем учебнике этой серии описывается настройка компонента обратной записи паролей. Эта функция записывает изменения паролей из Microsoft Entra SSPR обратно в локальную среду AD. Если вы хотите продолжить работу с этой серией учебников, чтобы настроить компонент обратной записи паролей, не отключайте SSPR сейчас.

Если вы больше не хотите использовать настройки SSPR, которые вы выполнили в рамках этого учебника, установите для состояния SSPR значение Нет, выполнив следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
2. Перейдите к сбросу пароля защиты>.
3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля выберите значение Нет.
4. Чтобы применить изменения SSPR, щелкните Сохранить.

Вопросы и ответы

В этом разделе описываются распространенные вопросы от администраторов и пользователей, которые пытаются выполнить самостоятельный сброс пароля:

• Почему локальные политики паролей не отображаются во время SSPR?

  В настоящее время Microsoft Entra Подключение и облачная синхронизация не поддерживают совместное использование сведений о политике паролей в облаке. SSPR отображает только сведения о политике облачного пароля и не может отображать локальные политики.

• Почему федеративным пользователям необходимо ждать до 2 минут после появления сообщения Ваш пароль сброшен, прежде чем использовать пароли, синхронизированные из локальной среды?

  Для федеративных пользователей, пароли которых синхронизированы, источником полномочий для паролей является локальная среда. В результате SSPR обновляет только локальные пароли. Синхронизация хэша паролей с идентификатором Microsoft Entra запланирована каждые 2 минуты.

• Когда недавно созданный пользователь, профиль которого предварительно заполняется данными SSPR, например телефоном и электронной почтой, посещает страницу регистрации SSPR, в заголовке страницы появляется сообщение Не теряйте доступ к своей учетной записи! Почему другие пользователи, у которых нет предварительно заполненных данных SSPR, видят это сообщение?

  Пользователь, который видит сообщение Не теряйте доступ к вашей учетной записи! является членом SSPR или объединенных групп регистрации, настроенных для клиента. Пользователи, которые не видят сообщение Не теряйте доступ к вашей учетной записи!, не входили в SSPR или объединенные группы регистрации.

• Во время процесса SSPR и сброса пароля для некоторых пользователей не отображается индикатор надежности пароля. С чем это связано?

  Пользователи, которые не видят статус пароля "Слабый/Надежный", имеют синхронизированный компонент обратной записи паролей. И, поскольку SSPR не может определить политику паролей в локальной среде клиента, ей также не удастся проверить пароль на надежность или слабость.

Следующие шаги

В этом руководстве вы включили самостоятельный сброс пароля Microsoft Entra для выбранной группы пользователей. Вы научились выполнять следующие задачи:

• Включение самостоятельного сброса пароля для группы пользователей Microsoft Entra
• Настройка методов проверки подлинности и параметров регистрации
• Тестирование процесса SSPR в качестве пользователя.

Включение многофакторной проверки подлинности Microsoft Entra