Включение самостоятельного сброса пароля Microsoft Entra на экране входа в Windows

С помощью функции самостоятельного сброса пароля (SSPR) в Microsoft Entra ID пользователи могут изменить или сбросить свой пароль без участия администратора или службы поддержки. Как правило, пользователи открывают веб-браузер на другом устройстве для доступа к порталу SSPR. Чтобы улучшить работу на компьютерах под управлением Windows 7, 8, 8.1, 10 и 11, можно разрешить пользователям сбрасывать свои пароли на экране входа в Windows.

В этой статье администраторам показано, как включить SSPR для устройств Windows на предприятии.

Если ваша ИТ-команда не включила возможность использования SSPR на устройстве Windows или у вас возникли проблемы во время входа, обратитесь в службу поддержки за дополнительной помощью.

Общие ограничения

Следующие ограничения применяются к использованию SSPR на экране входа Windows:

• Сброс пароля в настоящее время не поддерживается из удаленного рабочего стола или из Hyper-V расширенных сеансов.

• Известно, что некоторые поставщики учетных данных, не принадлежащие Microsoft, вызывают проблемы с этой функцией.

• Известно, что отключение управления учетными записями пользователей путем изменения раздела реестра EnableLUA вызывает проблемы.

• Эта функция не работает в сетях с развернутой сетевой проверкой подлинности 802.1x и параметром Выполнить непосредственно перед входом пользователя в систему. Для сетей с развернутой сетевой проверкой подлинности 802.1x рекомендуется использовать проверку подлинности компьютера для включения этой функции.

• Компьютеры, присоединенные к гибридной среде Microsoft Entra, должны иметь возможность прямого подключения к сети контроллера домена, чтобы использовать новый пароль и обновлять кэшированные учетные данные. Устройства должны находиться либо во внутренней сети организации, либо в виртуальной частной сети с сетевым доступом к локальному контроллеру домена. Если SSPR является единственным требованием, линия сетевого подключения к контроллеру домена не требуется.

• Если вы используете изображение, перед запуском sysprep убедитесь, что веб-кэш очищен для встроенного администратора, прежде чем выполнять этот CopyProfile шаг. Дополнительные сведения см. в разделе Низкая производительность при использовании пользовательского профиля пользователя по умолчанию.

• Известно, что следующие настройки мешают использованию и сбросу паролей на устройствах с Windows 10:

  • Если уведомления на экране блокировки отключены, сброс пароля не будет работать.
  • HideFastUserSwitching имеет значение Включено или 1.
  • DontDisplayLastUserName имеет значение Включено или 1.
  • NoLockScreen имеет значение Включено или 1.
  • BlockNonAdminUserInstall имеет значение Включено или 1.
  • EnableLostMode устанавливается на устройстве.
  • Explorer.exe заменяется на пользовательскую оболочку.
  • Интерактивный вход в систему: для параметра Требуется смарт-карта установлено значение Включено или 1.

• Сочетание следующих трех параметров может привести к тому, что эта функция не работает.

  • Интерактивный вход в систему: Не требуется, для параметра CTRL+ALT+DEL установлено значение Отключено (только для Windows 10 версии 1710 и более ранних версий).
  • DisableLockScreenAppNotifications имеет значение Включено или 1.
  • Версия для Windows — это версия Home.

Заметка

Эти ограничения также применяются к сбросу ПИН-кода Windows Hello для бизнеса с экрана блокировки устройства.

Сброс пароля в Windows 10 и Windows 11

Чтобы настроить устройство с Windows 11 или Windows 10 для SSPR на экране входа, ознакомьтесь со следующими предварительными требованиями и действиями по настройке.

Предварительные требования для Windows 11 и Windows 10

• Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности и включите Microsoft Entra SSPR.
• Пользователи должны зарегистрироваться для получения SSPR, прежде чем использовать эту функцию на экране входа в Windows.
  • Все пользователи должны предоставить контактные данные для проверки подлинности, прежде чем они смогут сбросить свой пароль, что не является уникальным для использования SSPR на экране входа в Windows.
• Требования к сетевому прокси-серверу:
  • Порт 443 в passwordreset.microsoftonline.com и ajax.aspnetcdn.com.
  • Для устройств с Windows 10 требуется конфигурация прокси-сервера на уровне компьютера или конфигурация прокси-сервера с заданной областью для временной defaultuser1 учетной записи, используемой для выполнения SSPR. Дополнительные сведения см. в разделе Устранение неполадок .
• Используйте по крайней мере Windows 10, версии April 2018 Update (v1803), и устройства должны быть:
  • Присоединилась Microsoft Entra.
  • Подключение к Microsoft Entra hybrid.

Включение для Windows 11 и Windows 10 с помощью Intune

Развертывание изменения конфигурации для включения SSPR с экрана входа в Windows с помощью Intune является наиболее гибким методом. С помощью Intune можно развернуть изменение конфигурации на определенной группе компьютеров, которые вы определяете. Для этого метода требуется регистрация устройства в Intune.

Создание политики конфигурации устройства в Intune

1. Войдите в Центра администрирования Microsoft Intune.

2. Создайте новый профиль конфигурации устройства, перейдя в разделПрофили> устройства и выбрав + Создать профиль:

   • В поле Платформа выберите Windows 10 и более поздних версий.
   • В поле Тип профиля выберите Шаблоны , а затем выберите Пользовательский шаблон.

3. Выберите Создать, а затем укажите понятное имя для профиля, например SSPR экрана входа в Windows 11.

   При необходимости введите содержательное описание профиля и нажмите кнопку Далее.

4. В разделе параметров конфигурациивыберите Добавить и укажите следующий параметр OMA-URI, чтобы включить ссылку сброса пароля:

   • Введите понятное имя, чтобы объяснить, что делает параметр, например Добавить ссылку SSPR.
   • При необходимости введите осмысленное описание параметра.
   • Установите для параметра OMA-URI значение ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • Задайте для параметра Тип данных значение Целое число.
   • Установите значение Value на 1.

   Нажмите кнопку "Добавить" и нажмите кнопку "Далее".

5. Политику можно назначить определенным пользователям, устройствам или группам. Назначьте профиль, который вы хотите использовать в своей среде. Рекомендуется сначала назначить его тестовой группе устройств, а затем нажать кнопку Далее.

   Дополнительные сведения см. в статье Назначение профилей пользователей и устройств в Microsoft Intune.

6. Настройте правила применимости, которые вы хотите использовать для своей среды, например Назначить профиль, если версия ОС — Windows 10 Корпоративная, а затем нажмите кнопку Далее.

7. Просмотрите свой профиль и нажмите кнопку Создать.

Включение для Windows 11 и Windows 10 с помощью реестра

Чтобы включить SSPR на экране входа в Windows с помощью раздела реестра, выполните следующие действия.

1. Войдите на компьютер с Windows с помощью учетных данных администратора.

2. Выберите Windows + R , чтобы открыть диалоговое окно «Выполнить », а затем запустите regedit от имени администратора.

3. Задайте следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Устранение неполадок со сбросом пароля в Windows 11 и Windows 10

Если у вас возникают проблемы с использованием SSPR на экране входа в Windows, журнал аудита Microsoft Entra содержит сведения об IP-адресе и ClientType, где произошел сброс пароля, как показано в следующем примере выходных данных.

Когда пользователи сбрасывают пароль с экрана входа на устройстве с Windows 11 или 10, создается временная временная учетная запись с низким уровнем привилегий с именем defaultuser1. Эта учетная запись используется для защиты процесса сброса пароля.

Сама учетная запись имеет случайно сгенерированный пароль, который проверяется на соответствие политике паролей организации. Пароль не отображается при входе на устройство и автоматически удаляется после сброса пароля пользователем. Может существовать несколько defaultuser профилей, но вы можете спокойно игнорировать их.

Конфигурации прокси-сервера для сброса пароля Windows

Во время сброса пароля SSPR создает временную локальную учетную запись пользователя для подключения к https://passwordreset.microsoftonline.com/n/passwordreset. Когда прокси настроен для аутентификации пользователя, он может завершиться ошибкой с ошибкой «Что-то пошло не так. Пожалуйста, повторите попытку позже». Эта ошибка возникает из-за того, что учетная запись локального пользователя не авторизована для использования прокси-сервера, прошедшего проверку подлинности.

В этом случае используйте один из следующих обходных путей:

• Настройте параметр прокси-сервера на уровне компьютера, который не зависит от типа пользователя, выполнившего вход на компьютер. Например, можно включить групповую политику настроить параметры прокси-сервера на компьютер (а не на пользователя) для рабочих станций.

• Вы также можете использовать конфигурацию прокси-сервера для каждого пользователя для SSPR, если вы изменяете шаблон реестра для учетной записи по умолчанию. Эти команды следующие:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Ошибка «Что-то пошло не так» также может возникнуть, когда что-либо прерывает подключение к URL-адресу https://passwordreset.microsoftonline.com/n/passwordreset. Например, эта ошибка может возникнуть, когда антивирусное программное обеспечение запускается на рабочей станции без исключений для URL-адресов passwordreset.microsoftonline.com, ajax.aspnetcdn.com, и ocsp.digicert.com. Отключите это программное обеспечение временно, чтобы проверить, устранена ли проблема.

Сброс пароля Windows 7, 8 и 8.1

Чтобы настроить устройство с Windows 7, 8 или 8.1 для SSPR на экране входа в Windows, ознакомьтесь со следующими предварительными требованиями и действиями по настройке.

Предварительные требования для Windows 7, 8 и 8.1

• Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности и включите Microsoft Entra SSPR.
• Прежде чем использовать эту функцию, пользователи должны зарегистрироваться для получения SSPR на экране входа в Windows .
  • Все пользователи должны предоставить контактные данные для проверки подлинности, прежде чем они смогут сбросить свой пароль, что не является уникальным для использования SSPR на экране входа в Windows.
• Требования к сетевому прокси-серверу:
  • Порт 443 в passwordreset.microsoftonline.com.
• Пропатченная операционная система Windows 7 или Windows 8.1.
• TLS 1.2 включается, следуя инструкциям в параметрах реестра Transport Layer Security (TLS).
• Если на компьютере включено несколько поставщиков учетных данных, не принадлежащих Майкрософт, пользователи видят несколько профилей пользователей на экране входа в Windows.

Предупреждение

TLS 1.2 должен быть включен, а не просто настроен на автоматическое согласование.

Установка компонента SSPR

Для Windows 7, 8 и 8.1 на компьютере должен быть установлен небольшой компонент, чтобы включить SSPR на экране входа в Windows. Чтобы установить этот компонент SSPR, выполните следующие действия:

1. Загрузите соответствующий установщик для версии Windows, которую вы хотите включить.

   Установщик программного обеспечения доступен в Центре загрузки Microsoft.

2. Войдите на компьютер, на котором вы хотите установить, и запустите установщик.

3. После установки рекомендуется выполнить перезагрузку.

4. После перезагрузки на экране входа в Windows выберите пользователя и нажмите кнопку Забыли пароль?, чтобы начать процесс сброса пароля.

5. Следуйте инструкциям по сбросу пароля.

   

Тихая установка

Чтобы установить или удалить компонент SSPR без запросов, используйте следующие команды:

• Автоматическая установка: используйте msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Тихое удаление: используйте msiexec /x SsprWindowsLogon.PROD.msi /qn.

Устранение неполадок со сбросом пароля в Windows 7, 8 и 8.1

Если при использовании SSPR на экране входа в Windows возникают проблемы, события регистрируются на компьютере и в идентификаторе Microsoft Entra. События Microsoft Entra включают сведения об IP-адресе и параметре, ClientType в котором произошел сброс пароля.

Если требуется дополнительное ведение журнала, измените раздел реестра на компьютере, чтобы включить подробное ведение журнала. Включите подробное ведение журнала только в целях устранения неполадок, используя следующее значение раздела реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Чтобы включить подробное ведение журнала, создайте REG_DWORD: "EnableLogging" и установите для него значение 1.
• Чтобы отключить подробное ведение журнала, измените REG_DWORD: "EnableLogging" значение на 0.
• Просмотрите ведение журнала отладки в журнале событий приложения в исходном AADPasswordResetCredentialProvider.

Что видят пользователи?

Если SSPR настроен для устройств Windows, какие изменения могут быть внесены для пользователя? Как они узнают, что могут сбросить пароль на экране входа? На следующих снимках экрана показаны другие варианты сброса пароля пользователем с помощью SSPR.

Когда пользователи пытаются войти в систему, они видят ссылку Сбросить пароль или Забыли пароль , которая открывает интерфейс SSPR на экране входа. Теперь пользователи могут сбросить свой пароль без необходимости использовать другое устройство для доступа к веб-браузеру.

Дополнительные сведения об использовании этой функции см. в статье Сброс рабочего или учебного пароля.

Связанный контент

Чтобы упростить процесс регистрации пользователя, можно предварительно заполнить контактные данные для проверки подлинности пользователя для SSPR.