Поделиться через


Руководство по разблокировке учетной записи или сбросу паролей с помощью самостоятельного сброса пароля Microsoft Entra

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если идентификатор Microsoft Entra id блокирует учетную запись пользователя или забыл свой пароль, они могут следовать инструкциям, чтобы разблокировать себя и вернуться к работе. Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. У нас также есть видео для ИТ-администраторов по разрешению шести наиболее распространенных сообщений об ошибках конечных пользователей с помощью SSPR.

Важный

В этом руководстве показано, как включить самостоятельный сброс пароля. Если вы уже зарегистрированы для самостоятельного сброса пароля и должны вернуться в учетную запись, перейдите на страницу сброса пароля Microsoft Online.

Если ИТ-команда не включила возможность сброса пароля, обратитесь в службу технической поддержки для получения дополнительной помощи.

В этом руководстве описано, как:

  • Включение самостоятельного сброса пароля для группы пользователей Microsoft Entra
  • Настройка методов проверки подлинности и параметров регистрации
  • Тестирование процесса SSPR в качестве пользователя

Важный

В марте 2023 года мы объявили об отмене управления методами проверки подлинности в устаревших политиках многофакторной проверки подлинности и самостоятельном сбросе пароля (SSPR). Начиная с 30 сентября 2025 г. методы проверки подлинности нельзя управлять в этих устаревших политиках MFA и SSPR. Мы рекомендуем клиентам использовать ручной элемент управления миграции для миграции в политику методов проверки подлинности по дате отмены.

Руководство по видео

Вы также можете следовать в связанном видео: как включить и настроить SSPR в идентификаторе Microsoft Entra.

Необходимые условия

Чтобы завершить работу с этим руководством, вам потребуются следующие ресурсы и привилегии:

Включение самостоятельного сброса пароля

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Идентификатор Microsoft Entra позволяет включить SSPR для None, Selected или All users. Эта детальная возможность позволяет выбрать подмножество пользователей для тестирования процесса регистрации SSPR и рабочего процесса. Когда вы комфортно с процессом, и время правильно сообщить о требованиях с более широким набором пользователей, вы можете выбрать группу пользователей, чтобы включить SSPR. Кроме того, вы можете включить SSPR для всех пользователей в клиенте Microsoft Entra.

Заметка

В настоящее время можно включить только одну группу Microsoft Entra для SSPR с помощью Центра администрирования Microsoft Entra. В рамках более широкого развертывания SSPR идентификатор Microsoft Entra поддерживает вложенные группы.

В этом руководстве описана настройка SSPR для набора пользователей в тестовой группе. Используйте группу SSPR-Test-Test-Group и предоставьте собственную группу Microsoft Entra по мере необходимости:

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к сбросу пароля защиты>из меню слева.

  3. На странице "Свойства" в разделе параметра "Самостоятельный сброс пароля" выберите "Выбран".

  4. Если группа не отображается, выберите "Нет выбранных групп", найдите и выберите группу Microsoft Entra, например SSPR-Test-Group, и нажмите кнопку "Выбрать".

    Выберите группу, чтобы включить самостоятельный сброс пароля

  5. Чтобы включить SSPR для выбора пользователей, нажмите кнопку "Сохранить".

Выбор методов проверки подлинности и параметров регистрации

Когда пользователям нужно разблокировать свою учетную запись или сбросить пароль, им предлагается другой метод подтверждения. Этот дополнительный фактор проверки подлинности гарантирует, что идентификатор Microsoft Entra ID завершил только утвержденные события SSPR. Вы можете выбрать методы проверки подлинности, которые необходимо разрешить, на основе сведений о регистрации, которые предоставляет пользователь.

  1. В меню слева на странице методов проверки подлинности задайте количество методов, необходимых для сброса 2.

    Чтобы повысить безопасность, можно увеличить количество методов проверки подлинности, необходимых для SSPR.

  2. Выберите методы, доступные пользователям , которым ваша организация хочет разрешить. В этом руководстве установите флажки, чтобы включить следующие методы:

    • Уведомление о мобильном приложении
    • Код мобильного приложения
    • Отправить по электронной почте
    • Мобильный телефон

    Вы можете включить другие методы проверки подлинности, такие как телефон Office или вопросы безопасности, в соответствии с вашими бизнес-требованиями.

  3. Чтобы применить методы проверки подлинности, нажмите кнопку "Сохранить".

Прежде чем пользователи смогут разблокировать свою учетную запись или сбросить пароль, они должны зарегистрировать свои контактные данные. Идентификатор Microsoft Entra использует эти контактные данные для различных методов проверки подлинности, настроенных на предыдущих шагах.

Администратор может вручную предоставить эти контактные данные, или пользователи могут перейти на портал регистрации, чтобы предоставить информацию самостоятельно. В этом руководстве настройте идентификатор Microsoft Entra для запроса пользователей на регистрацию при следующем входе.

  1. В меню слева от страницы регистрации выберите "Да " для пользователей, которые должны регистрироваться при входе.

  2. Задайте количество дней, прежде чем пользователям будет предложено повторно подтвердить сведения о проверке подлинности до 180.

    Важно сохранить контактные данные в актуальном состоянии. Если устаревшие контактные данные существуют при запуске события SSPR, пользователь не сможет разблокировать свою учетную запись или сбросить пароль.

  3. Чтобы применить параметры регистрации, нажмите кнопку "Сохранить".

Заметка

Прерывание запроса на регистрацию контактных данных во время входа происходит только в том случае, если выполнены условия, настроенные в параметрах, и будут применяться только к учетным записям пользователей и администраторов, которые включены для сброса паролей с помощью самостоятельного сброса пароля Microsoft Entra.

Настройка уведомлений и настроек

Чтобы пользователи могли получать сведения о действиях учетной записи, можно настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте при возникновении события SSPR. Эти уведомления могут охватывать как обычные учетные записи пользователей, так и учетные записи администратора. Для учетных записей администраторов это уведомление предоставляет еще один уровень осведомленности при сбросе пароля привилегированного администратора с помощью SSPR. Идентификатор Microsoft Entra может уведомить всех администраторов, когда пользователь использует SSPR в учетной записи администратора.

  1. В меню слева на странице уведомлений настройте следующие параметры:

    • Установите параметр "Уведомлять пользователей о сбросе пароля"? значение "Да".
    • Установите для всех администраторов уведомление, когда другие администраторы сбрасывают пароль? Значение "Да".
  2. Чтобы применить параметры уведомления, нажмите кнопку "Сохранить".

Если пользователям нужна дополнительная помощь по процессу SSPR, можно настроить ссылку "Связаться с администратором". Пользователь может выбрать эту ссылку в процессе регистрации SSPR и при разблокировке учетной записи или сбросе пароля. Чтобы убедиться, что пользователи получают необходимую поддержку, рекомендуется предоставить настраиваемую электронную почту или URL-адрес службы технической поддержки.

  1. В меню слева от страницы "Настройка" установите ссылку "Настройка справки" на "Да".
  2. В поле "Пользовательская служба поддержки" или "URL-адрес" укажите адрес электронной почты или URL-адрес веб-страницы, где пользователи могут получить дополнительную помощь от вашей организации, напримерhttps://support.contoso.com/
  3. Чтобы применить настраиваемую ссылку, нажмите кнопку "Сохранить".

Тестирование самостоятельного сброса пароля

Включив и настроив SSPR, проверьте процесс SSPR с пользователем, который входит в группу, выбранную в предыдущем разделе, например Test-SSPR-Group. В следующем примере используется учетная запись testuser . Укажите собственную учетную запись пользователя. Это часть группы, которую вы включили для SSPR в первом разделе этого руководства.

Заметка

При тестировании самостоятельного сброса пароля используйте учетную запись без администратора. По умолчанию идентификатор Microsoft Entra включает самостоятельный сброс пароля для администраторов. Они должны использовать два метода проверки подлинности для сброса пароля. Дополнительные сведения см. в разделе "Различия политик сброса администратора".

  1. Чтобы просмотреть процесс регистрации вручную, откройте новое окно браузера в режиме InPrivate или инкогнито и перейдите к ней https://aka.ms/ssprsetup. Идентификатор Microsoft Entra будет направлять пользователей на этот портал регистрации при следующем входе.

  2. Войдите с помощью тестового пользователя, отличного от администратора, например testuser, и зарегистрируйте контактные данные методов проверки подлинности.

  3. После завершения нажмите кнопку с пометкой "Выглядит хорошо " и закройте окно браузера.

  4. Откройте новое окно браузера в режиме InPrivate или инкогнито и перейдите к ней https://aka.ms/sspr.

  5. Введите данные учетной записи пользователей, не являющихся администраторами, например testuser, символы из CAPTCHA и нажмите кнопку "Далее".

    Введите сведения об учетной записи пользователя для сброса пароля

  6. Выполните действия по проверке, чтобы сбросить пароль. По завершении вы получите уведомление по электронной почте о сбросе пароля.

Очистка ресурсов

В следующем руководстве этой серии вы настроите обратную запись паролей. Эта функция записывает изменения паролей из Microsoft Entra SSPR обратно в локальную среду AD. Если вы хотите продолжить работу с этой серии учебников, чтобы настроить обратную запись паролей, не отключите SSPR сейчас.

Если вы больше не хотите использовать функции SSPR, настроенные в рамках этого руководства, задайте для состояния SSPR значение None , выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
  2. Перейдите к сбросу пароля защиты>.
  3. На странице "Свойства" в разделе параметра "Самостоятельный сброс пароля" выберите "Нет".
  4. Чтобы применить изменение SSPR, нажмите кнопку "Сохранить".

Часто задаваемые вопросы

В этом разделе описываются распространенные вопросы администраторов и конечных пользователей, которые пытаются попробовать SSPR:

  • Почему локальные политики паролей не отображаются во время SSPR?

    В настоящее время Microsoft Entra Connect и облачная синхронизация не поддерживают совместное использование сведений о политике паролей в облаке. SSPR отображает только сведения о политике облачного пароля и не может отображать локальные политики.

  • Почему федеративные пользователи ожидают до 2 минут после сброса пароля, прежде чем они смогут использовать пароли, синхронизированные из локальной среды?

    Для федеративных пользователей, пароли которых синхронизируются, источник центра для паролей находится в локальной среде. В результате SSPR обновляет только локальные пароли. Синхронизация хэша паролей с идентификатором Microsoft Entra запланирована каждые 2 минуты.

  • Когда только что созданный пользователь, который предварительно заполнен данными SSPR, такими как телефон и электронная почта, посещает страницу регистрации SSPR, не теряйте доступ к вашей учетной записи! Отображается в качестве заголовка страницы. Почему другие пользователи, у которых есть данные SSPR, предварительно заполненные, не видят это сообщение?

    Пользователь, который видит , что не теряет доступ к вашей учетной записи! является членом групп SSPR/объединенной регистрации, настроенных для клиента. Пользователи, которые не видят , не теряют доступ к вашей учетной записи! Не были частью групп SSPR/объединенной регистрации.

  • Когда некоторые пользователи проходят процесс SSPR и сбрасывают пароль, почему они не видят индикатора надежности пароля?

    Пользователи, которые не видят слабых и надежных паролей, включили синхронизированную обратную запись паролей. Так как SSPR не может определить политику паролей локальной среды клиента, она не может проверить силу пароля или слабость.

Дальнейшие действия

В этом руководстве вы включили самостоятельный сброс пароля Microsoft Entra для выбранной группы пользователей. Вы узнали, как:

  • Включение самостоятельного сброса пароля для группы пользователей Microsoft Entra
  • Настройка методов проверки подлинности и параметров регистрации
  • Тестирование процесса SSPR в качестве пользователя