Планирование развертывания самостоятельного сброса пароля Microsoft Entra
Важный
Этот план развертывания предлагает рекомендации и рекомендации по развертыванию самостоятельного сброса пароля Microsoft Entra (SSPR).
Если вы являетесь конечным пользователем и должны вернуться в свою учетную запись, перейдите к разделу https://aka.ms/sspr.
Самостоятельный сброс пароля (SSPR) — это функция Microsoft Entra, которая позволяет пользователям сбрасывать пароли без обращения к ИТ-сотрудникам для получения справки. Пользователи могут быстро разблокировать себя и продолжать работать независимо от того, где они находятся или в течение дня. Позволяя сотрудникам разблокировать себя, ваша организация может сократить непроизводительное время и высокие затраты на поддержку наиболее распространенных проблем, связанных с паролем.
SSPR имеет следующие ключевые возможности:
- Самообслуживание позволяет конечным пользователям сбрасывать срок действия или пароли без обращения в службу поддержки администратора или службы технической поддержки.
- Обратная запись паролей позволяет управлять локальными паролями и разрешением блокировки учетной записи через облако.
- Отчеты об управлении паролями дают администраторам представление о сбросе пароля и действиях регистрации, происходящих в организации.
В этом руководстве по развертыванию показано, как спланировать и протестировать развертывание SSPR.
Чтобы быстро просмотреть SSPR в действии, а затем вернуться, чтобы понять дополнительные рекомендации по развертыванию:
Кончик
В качестве компаньона этой статьи рекомендуется использовать руководство по самостоятельному сбросу пароля при входе в Центр администрирования Microsoft 365. Это руководство будет настраивать интерфейс на основе вашей среды. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.
Сведения о SSPR
Дополнительные сведения о SSPR. Узнайте , как это работает: самостоятельный сброс пароля Microsoft Entra.
Ключевые преимущества
Основные преимущества включения SSPR:
Управление затратами. SSPR снижает затраты на поддержку ИТ, позволяя пользователям самостоятельно сбрасывать пароли. Это также снижает затраты на потерянное время из-за потерянных паролей и блокировок.
Интуитивно понятный интерфейс пользователя. Он предоставляет интуитивно понятный процесс одноразовой регистрации пользователей, позволяющий пользователям сбрасывать пароли и разблокировать учетные записи по запросу с любого устройства или расположения. SSPR позволяет пользователям быстрее работать и быть более продуктивным.
Гибкость и безопасность. SSPR позволяет предприятиям получать доступ к безопасности и гибкости, которую предоставляет облачная платформа. Администраторы могут изменять параметры для удовлетворения новых требований безопасности и развертывать эти изменения для пользователей, не нарушая вход.
Надежное отслеживание аудита и использования. Организация может гарантировать, что бизнес-системы остаются безопасными, пока пользователи сбрасывают свои пароли. Надежные журналы аудита включают сведения о каждом шаге процесса сброса пароля. Эти журналы доступны из API и позволяют пользователю импортировать данные в систему мониторинга инцидентов безопасности и событий (SIEM).
Лицензирование
Идентификатор Microsoft Entra лицензирован для каждого пользователя, что означает, что каждому пользователю требуется соответствующая лицензия для используемых функций. Мы рекомендуем групповое лицензирование для SSPR.
Чтобы сравнить выпуски и функции и включить групповое или пользовательское лицензирование, ознакомьтесь с требованиями к лицензированию для самостоятельного сброса пароля Microsoft Entra.
Дополнительные сведения о ценах см. в разделе о ценах Microsoft Entra.
Необходимые условия
Рабочий клиент Microsoft Entra с включенной пробной лицензией. При необходимости создайте его бесплатно.
-
Для управления этой функцией требуется глобальный администратор .
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см . в руководстве по планированию самостоятельного сброса пароля при входе в Центр администрирования Microsoft 365. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.
Учебные ресурсы
Архитектура решения
В следующем примере описывается архитектура решения сброса пароля для распространенных гибридных сред.
Описание рабочего процесса
Чтобы сбросить пароль, пользователи перейдите на портал сброса пароля. Они должны проверить ранее зарегистрированный метод проверки подлинности или методы, чтобы подтвердить свое удостоверение. При успешном сбросе пароля они начинают процесс сброса.
Для пользователей, доступных только для облака, SSPR сохраняет новый пароль в идентификаторе Microsoft Entra.
Для гибридных пользователей SSPR записывает пароль в предварительную службу Active Directory через службу Microsoft Entra Connect.
Примечание. Для пользователей, у которых отключена синхронизация хэша паролей (PHS), SSPR сохраняет пароли только в предварительной версии Active Directory.
Рекомендации
Вы можете быстро зарегистрировать пользователей, развернув SSPR вместе с другим популярным приложением или службой в организации. Это действие создаст большой объем входов и приведет к регистрации.
Перед развертыванием SSPR можно определить номер и среднюю стоимость каждого вызова сброса пароля. Вы можете использовать это развертывание после развертывания данных для отображения значения SSPR в организации.
Объединенная регистрация для многофакторной проверки подлинности SSPR и Microsoft Entra
SSPR позволяет пользователям безопасно сбрасывать пароль, используя те же методы, которые они используют для многофакторной проверки подлинности Microsoft Entra. Объединенная регистрация — это один шаг регистрации для конечных пользователей, который позволяет одновременно регистрировать методы MFA и SSPR. Чтобы убедиться, что вы понимаете функциональные возможности и интерфейс конечных пользователей, ознакомьтесь с общими понятиями регистрации сведений о безопасности.
Важно сообщить пользователям о предстоящих изменениях, требованиях к регистрации и любых необходимых действиях пользователей. Мы предоставляем шаблоны коммуникации и документацию пользователей, чтобы подготовить пользователей к новому интерфейсу и помочь обеспечить успешное развертывание. Отправьте пользователям возможность https://myprofile.microsoft.com зарегистрировать, выбрав ссылку "Сведения о безопасности" на этой странице.
Планирование проекта развертывания
Учитывайте потребности организации при определении стратегии этого развертывания в вашей среде.
Привлечение правильных заинтересованных лиц
При сбое технологических проектов они обычно делают это из-за несоответствия ожиданий на влияние, результаты и обязанности. Чтобы избежать этих ошибок, убедитесь, что вы являетесь правильными заинтересованными лицами и что роли заинтересованных лиц в проекте хорошо понимаются путем документирования заинтересованных лиц и их входных данных в проект и подотчетности.
Обязательные роли администратора
| Бизнес-роль/Persona | Роль Microsoft Entra (при необходимости) |
|---|---|
| Справка уровня 1 | Администратор паролей |
| Справка уровня 2 | Администратор пользователей |
| Администратор SSPR | Администратор проверки подлинности |
Планирование пилотного проекта
Рекомендуется использовать начальную конфигурацию SSPR в тестовой среде. Начните с пилотной группы, включив SSPR для подмножества пользователей в организации. Ознакомьтесь с рекомендациями для пилотного проекта.
Чтобы создать группу, узнайте, как создать группу и добавить участников в идентификатор Microsoft Entra.
Настройка плана
Для включения SSPR вместе с рекомендуемыми значениями требуются следующие параметры.
| Площадь | Оправа | Ценность |
|---|---|---|
| Свойства SSPR | Включен самостоятельный сброс пароля | Выбранная группа для пилотного проекта / Все для рабочей среды |
| Методы проверки подлинности | Методы проверки подлинности, необходимые для регистрации | Всегда 1 больше, чем требуется для сброса |
| Методы проверки подлинности, необходимые для сброса | Один или два | |
| Регистрация | Требовать, чтобы пользователи регистрируются при входе | Да |
| Количество дней до того, как пользователи будут запрашивать подтверждение сведений о проверке подлинности | 90 – 180 дней | |
| Уведомления | Уведомление пользователей о сбросе пароля | Да |
| Уведомлять всех администраторов о сбросе пароля другими администраторами | Да | |
| Настройка | Настройка ссылки на службу технической поддержки | Да |
| Пользовательская электронная почта или URL-адрес службы технической поддержки | Сайт поддержки или адрес электронной почты | |
| Локальная интеграция | Обратная запись паролей в локальную службу AD | Да |
| Разрешить пользователям разблокировать учетную запись без сброса пароля | Да |
Свойства SSPR
При включении SSPR выберите соответствующую группу безопасности в пилотной среде.
- Чтобы применить регистрацию SSPR для всех пользователей, рекомендуется использовать параметр All .
- В противном случае выберите соответствующий идентификатор Microsoft Entra или группу безопасности AD.
Методы проверки подлинности
Если служба SSPR включена, пользователи могут сбрасывать пароль только в том случае, если у них есть данные в методах проверки подлинности, включенных администратором. К методам относятся телефон, уведомление приложения Authenticator, вопросы безопасности и т. д. Дополнительные сведения см. в разделе "Что такое методы проверки подлинности?".
Рекомендуется использовать следующие параметры метода проверки подлинности:
Задайте методы проверки подлинности, необходимые для регистрации по крайней мере на один номер, необходимый для сброса. Разрешение нескольких аутентификаций обеспечивает гибкость пользователей при необходимости сброса.
Задайте количество методов, необходимых для сброса на уровень, соответствующий вашей организации. Для одного требуется наименьшее трение, в то время как два могут увеличить уровень безопасности.
Примечание. Пользователь должен иметь методы проверки подлинности, настроенные в политиках паролей и ограничениях в идентификаторе Microsoft Entra.
Параметры регистрации
Установите флажок "Требовать, чтобы пользователи регистрируются при входе в да". Этот параметр требует, чтобы пользователи регистрировались при входе, обеспечивая защиту всех пользователей.
Задайте количество дней до того, как пользователи будут запрашивать подтверждение сведений о проверке подлинности в период от 90 до 180 дней, если у вашей организации нет бизнес-потребности в более короткий период времени.
Параметры уведомлений
Настройте пользователей уведомления о сбросе пароля и уведомлять всех администраторов, когда другие администраторы сбрасывают пароль на "Да". Выбор "Да" для обоих повышает безопасность, гарантируя, что пользователи осведомлены о сбросе пароля. Он также гарантирует, что все администраторы знают, когда администратор изменяет пароль. Если пользователи или администраторы получают уведомление и не инициируют изменения, они могут немедленно сообщить о потенциальной проблеме безопасности.
Заметка
Уведомления по электронной почте из службы SSPR будут отправляться с следующих адресов на основе облака Azure, с которым вы работаете:
- Общественный: msonlineservicesteam@microsoft.com
- Китай: msonlineservicesteam@oe.21vianet.com
- Правительство: msonlineservicesteam@azureadnotifications.us
Если вы наблюдаете проблемы с получением уведомлений, проверьте параметры нежелательной почты.
Параметры настройки
Очень важно настроить адрес электронной почты или URL-адреса службы поддержки, чтобы пользователи, которые сталкиваются с проблемами, могли немедленно получить помощь. Задайте этот параметр общим адресом электронной почты или веб-страницей справки, с которыми знакомы ваши пользователи.
Дополнительные сведения см. в разделе "Настройка функций Microsoft Entra" для самостоятельного сброса пароля.
Обратная запись паролей
Обратная запись паролей включена с помощью Microsoft Entra Connect и записывает сброс паролей в облаке обратно в существующий локальный каталог в режиме реального времени. Дополнительные сведения см. в разделе "Что такое обратная запись паролей"?
Рекомендуется использовать следующие параметры:
- Убедитесь, что для записи паролей обратно в локальную службу AD задано значение "Да".
- Задайте для пользователей разрешение разблокировать учетную запись без сброса пароля на "Да".
По умолчанию идентификатор Microsoft Entra разблокирует учетные записи при выполнении сброса пароля.
Параметр пароля администратора
Учетные записи администратора имеют повышенные разрешения. Локальные корпоративные администраторы или администраторы домена не могут сбрасывать пароли через SSPR. Локальные учетные записи администратора имеют следующие ограничения:
- Может изменять пароль только в предварительной среде.
- Никогда не может использовать секретные вопросы и ответы в качестве метода сброса пароля.
Рекомендуется не синхронизировать учетные записи администратора Active Directory с идентификатором Microsoft Entra.
Среды с несколькими системами управления удостоверениями
В некоторых средах имеется несколько систем управления удостоверениями. Локальные диспетчеры удостоверений, такие как Oracle IAM и SiteMinder, требуют синхронизации с AD для паролей. Это можно сделать с помощью такого средства, как служба уведомлений об изменении пароля (PCNS) с помощью Microsoft Identity Manager (MIM). Сведения об этом более сложном сценарии см. в статье "Развертывание службы уведомлений об изменении пароля MIM" на контроллере домена.
Планирование тестирования и поддержки
На каждом этапе развертывания из начальных пилотных групп по всей организации убедитесь, что результаты будут должным образом.
Планирование тестирования
Чтобы убедиться, что развертывание работает должным образом, запланируйте набор тестовых вариантов для проверки реализации. Чтобы оценить тестовые случаи, вам нужен тестовый пользователь без администратора с паролем. Если вам нужно создать пользователя, см. статью "Добавление новых пользователей в идентификатор Microsoft Entra ID".
В следующей таблице приведены полезные сценарии тестирования, которые можно использовать для документирования ожидаемых результатов организации на основе политик.
| Бизнес-дело | Ожидаемые результаты |
|---|---|
| Портал SSPR доступен из корпоративной сети | Определяется вашей организацией |
| Портал SSPR доступен извне корпоративной сети | Определяется вашей организацией |
| Сброс пароля пользователя из браузера, если пользователь не включен для сброса пароля | Пользователь не может получить доступ к потоку сброса пароля |
| Сброс пароля пользователя из браузера, если пользователь не зарегистрировался для сброса пароля | Пользователь не может получить доступ к потоку сброса пароля |
| Вход пользователя при принудительном выполнении регистрации сброса пароля | Запрос пользователя на регистрацию сведений о безопасности |
| Вход пользователя при завершении регистрации сброса пароля | Запрос пользователя на регистрацию сведений о безопасности |
| Портал SSPR доступен, если у пользователя нет лицензии | Доступно |
| Сброс пароля пользователя из Windows 10 Microsoft Entra joined или экран блокировки устройства с гибридным присоединением к Microsoft Entra | Пользователь может сбросить пароль |
| Данные о регистрации и использовании SSPR доступны администраторам практически в режиме реального времени | Доступна с помощью журналов аудита |
Вы также можете ознакомиться с пилотным пакетом самостоятельного сброса пароля Microsoft Entra. В этом руководстве описано, как включить пилотное развертывание SSPR в организации и проверить использование учетной записи, отличной от администратора.
Поддержка планов
Хотя SSPR обычно не создает проблемы с пользователем, важно подготовить сотрудников службы поддержки для решения проблем, которые могут возникнуть. Чтобы обеспечить успех вашей группы поддержки, вы можете создать часто задаваемые вопросы на основе вопросов, полученных от пользователей. Ниже приведены несколько примеров.
| Сценарии | Описание |
|---|---|
| У пользователя нет зарегистрированных методов проверки подлинности | Пользователь пытается сбросить пароль, но не имеет методов проверки подлинности, которые они зарегистрировали (например, оставили свой мобильный телефон дома и не могут получить доступ к электронной почте). |
| Пользователь не получает текст или звонок по офису или мобильному телефону | Пользователь пытается проверить свое удостоверение с помощью текста или вызова, но не получает текст или звонок. |
| Пользователь не может получить доступ к порталу сброса пароля | Пользователь хочет сбросить пароль, но не включен для сброса пароля и не может получить доступ к странице для обновления паролей. |
| Пользователь не может задать новый пароль | Пользователь завершает проверку во время потока сброса пароля, но не может задать новый пароль. |
| Пользователь не видит ссылку сброса пароля на устройстве с Windows 10 | Пользователь пытается сбросить пароль с экрана блокировки Windows 10, но устройство либо не присоединено к идентификатору Microsoft Entra ID, либо политика устройства Microsoft Intune не включена. |
Планирование отката
Чтобы выполнить откат развертывания, выполните следующие действия.
Для одного пользователя удалите пользователя из группы безопасности.
Для группы удалите группу из конфигурации SSPR
Для всех пользователей отключите SSPR для клиента Microsoft Entra
Развертывание SSPR
Перед развертыванием убедитесь, что выполнены следующие действия.
Определите соответствующие параметры конфигурации.
Определены пользователи и группы для пилотных и рабочих сред.
Определяемые параметры конфигурации для регистрации и самообслуживания.
Настройка обратной записи паролей при наличии гибридной среды.
Теперь вы готовы развернуть SSPR!
Инструкции по настройке следующих областей см. в статье "Включение самостоятельного сброса пароля".
Включение SSPR в Windows
Для компьютеров под управлением Windows 7, 8, 8.1 и 10 можно разрешить пользователям сбрасывать пароль на экране входа в Windows.
Управление SSPR
Идентификатор Microsoft Entra может предоставить дополнительные сведения о производительности SSPR с помощью аудита и отчетов.
Отчеты об активности управления паролями
Вы можете использовать предварительно созданные отчеты в Центре администрирования Microsoft Entra для измерения производительности SSPR. Если вы имеете соответствующую лицензию, вы также можете создать настраиваемые запросы. Дополнительные сведения см. в разделе "Параметры создания отчетов" для управления паролями Microsoft Entra.
Для управления этой функцией требуется глобальный администратор .
Заметка
Чтобы эти данные были собраны для вашей организации, необходимо принять участие. Чтобы принять участие, необходимо посетить вкладку "Отчеты" или журналы аудита в Центре администрирования Microsoft Entra по крайней мере один раз. До тех пор данные не собираются для вашей организации.
Журналы аудита для регистрации и сброса пароля доступны в течение 30 дней. Если аудит безопасности в вашей корпорации требует более длительного хранения, журналы необходимо экспортировать и использовать в инструмент SIEM, например Microsoft Sentinel, Splunk или ArcSight.
Методы проверки подлинности— использование и аналитика
Использование и аналитические сведения позволяют понять, как методы проверки подлинности для таких функций, как многофакторная проверка подлинности Microsoft Entra и SSPR работают в вашей организации. Эта возможность создания отчетов предоставляет вашей организации средства, чтобы понять, какие методы регистрируются и как их использовать.
Устранить
Сведения об устранении неполадок самостоятельного сброса пароля
Часто задаваемые вопросы об управлении паролями
Полезная документация
Как это работает: самостоятельный сброс пароля Microsoft Entra?
Настройка функциональных возможностей Microsoft Entra для самостоятельного сброса пароля
Политики паролей и ограничения в идентификаторе Microsoft Entra
Дальнейшие действия
Сведения о начале развертывания SSPR см. в статье "Включение самостоятельного сброса пароля Microsoft Entra"
Рассмотрите возможность реализации защиты паролей Microsoft Entra
Рассмотрите возможность реализации смарт-блокировки Microsoft Entra