Параметры развертывания самостоятельного сброса пароля

Внимание

В сентябре 2022 года корпорация Майкрософт объявила об отмене использования сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывание сервера Многофакторной идентификации Azure больше не обслуживает запросы многофакторной проверки подлинности (MFA). Клиенты сервера Многофакторной идентификации Azure должны перейти на использование пользовательских поставщиков MFA с MIM SSPR или Microsoft Entra SSPR вместо MIM SSPR.

Для новых клиентов, лицензированных для Microsoft Entra ID P1 или P2, рекомендуется использовать самостоятельный сброс пароля Microsoft Entra, чтобы обеспечить взаимодействие с конечным пользователем. Самостоятельный сброс пароля Microsoft Entra обеспечивает как веб-интерфейс, так и интегрированную с Windows возможность сброса пароля пользователем и поддерживает многие из этих возможностей, как MIM, включая альтернативные шлюзы электронной почты и Q&A. При развертывании самостоятельного сброса пароля Microsoft Entra можно настроить Microsoft Entra Connect для записи новых паролей в AD DS, а службу уведомлений об изменении пароля MIM можно использовать для пересылки паролей в другие системы, например сервера каталогов другого поставщика. Развертывание MIM для управления паролями не требует развертывания службы MIM или самостоятельного сброса пароля MIM или порталов регистрации. Вместо этого можно выполнить следующие действия.

• Во-первых, если необходимо отправить пароли в каталоги, отличные от идентификатора Microsoft Entra и AD DS, разверните синхронизацию MIM с соединителями для служб домен Active Directory и любых дополнительных целевых систем, настройте MIM для управления паролями и разверните службу уведомлений об изменении пароля.
• Затем, если вам нужно отправить пароли в каталоги, отличные от идентификатора Microsoft Entra, настройте Microsoft Entra Connect для записи новых паролей в AD DS.
• При необходимости предварительно зарегистрируйте пользователей.
• Наконец, разверните самостоятельный сброс пароля Microsoft Entra для конечных пользователей.

Для клиентов Forefront Identity Manager (FIM) или MIM, лицензированных для Microsoft Entra ID P1 или P2, рекомендуется перейти на самостоятельный сброс пароля Microsoft Entra. Вы можете перенести конечных пользователей в самостоятельный сброс пароля Microsoft Entra без необходимости повторной регистрации, синхронизируя или устанавливая с помощью PowerShell альтернативный адрес электронной почты или номер мобильного телефона. После регистрации пользователей для самостоятельного сброса пароля Microsoft Entra портал сброса пароля FIM можно выбросить.

Развертывания MIM 2016, использующие MFA Microsoft Entra, должны перейти к использованию MIM SSPR с настраиваемым поставщиком MFA или самостоятельным сбросом пароля Microsoft Entra. Новые развертывания должны использовать настраиваемый поставщик MFA или самостоятельный сброс пароля Microsoft Entra.

Развертывание портала самостоятельного сброса пароля MIM с помощью настраиваемого поставщика для многофакторной проверки подлинности

В следующем разделе описывается развертывание портала самостоятельного сброса пароля MIM с помощью поставщика для многофакторной проверки подлинности. Эти действия необходимы только для клиентов, которые не используют самостоятельный сброс пароля Microsoft Entra для своих пользователей.

С помощью MFA пользователи проходят проверку подлинности через внешнего поставщика, чтобы проверить свое удостоверение при попытке восстановить доступ к учетной записи и ресурсам. Проверку подлинности можно выполнять с помощью SMS или по телефону Чем сильнее проверка подлинности, тем выше уверенность, что пользователь, пытающийся получить доступ, действительно является реальным пользователем, который владеет удостоверением. Пройдя проверку подлинности, пользователь может выбрать новый пароль на замену старому.

Предварительные требования для настройки самостоятельной разблокировки учетной записи и сброса пароля с помощью MFA

В этом разделе предполагается, что вы скачали и завершили развертывание компонентов и служб Microsoft Identity Manager 2016 MIM Sync, MIM Service и MIM Portal, включая следующие компоненты и службы:

• Контроллер домен Active Directory с указанным доменом (корпоративным доменом)

• Групповая политика, определенная для блокирования учетных записей

• Служба синхронизации MIM 2016 (синхронизация) установлена и запущена на сервере, присоединенном к домену AD.

• Служба MIM 2016 и портал, включая портал регистрации SSPR и портал сброса SSPR, устанавливаются и выполняются на сервере (могут находиться совместно с синхронизацией).

• Синхронизация MIM настроена для синхронизации удостоверений AD-MIM, в том числе:

  • Настройка агента управления Active Directory (ADMA) для подключения к AD DS и запуска профилей для импорта данных удостоверений и экспорта их в Active Directory.

  • Настройка агента управления MIM (MIM MA) для подключения к базе данных службы FIM и запуска профилей для импорта данных удостоверения из базы данных FIM и экспорта их в базу данных FIM.

  • Настройка правил синхронизации на портале MIM для синхронизации данных пользователей и выполнения действий на основе синхронизации в службе MIM.

• Надстройки MIM 2016 и расширения, включая интегрированный клиент входа Windows SSPR windows, развертывается на сервере или на отдельном клиентском компьютере.

Подготовка MIM для работы с MFA

Настройка службы MIM Sync для поддержки сброса паролей и разблокирования учетных записей. Дополнительные сведения см. в разделе "Установка надстроек FIM и расширений", установка FIM SSPR, шлюзов проверки подлинности SSPR и руководство по лаборатории тестирования SSPR.

Настройка телефонного шлюза или шлюза одноразового пароля по SMS

1. Запустите Internet Explorer и перейдите на портал MIM, проверяя подлинность администратора MIM, а затем щелкните рабочие процессы в левой панели навигации .

   

2. Проверьте рабочий процесс сброса пароля.

   

3. Щелкните вкладку "Действия" , а затем прокрутите вниз, чтобы добавить действие.

4. Выберите "Шлюз телефонов" или "Однократный пароль" sms-шлюз нажмите кнопку "Выбрать" и "ОК".

   Примечание.

   Если используется другой поставщик, который создает одноразовый пароль, убедитесь, что поле длины, настроенное, совпадает с длиной, созданной поставщиком MFA.

Теперь пользователи в вашей организации могут регистрироваться для сброса пароля. Для этого пользователи должны будут указать номер рабочего или мобильного телефона, чтобы система могла позвонить им (или отправить СМС-сообщение).

Регистрация пользователей для сброса пароля

1. Пользователь запустит веб-браузер и перейдет на портал регистрации сброса пароля MIM. (Обычно этот портал настраивается с помощью проверки подлинности Windows.) На портале пользователь указывает имя пользователя и пароль, чтобы подтвердить свою личность.

   Пользователи должны посетить портал регистрации паролей и пройти проверку подлинности с помощью своих имени пользователя и пароля.

2. В поле "Номер телефона" или "Мобильный телефон" они должны ввести код страны, пробел и номер телефона и нажмите кнопку "Далее".

   

   

Как это работает для пользователей?

Теперь, когда все настроено и запущено, вам может быть интересно, что приходится делать пользователю, если он сбросить свой пароль прямо перед отпуском, а затем вернется и поймет, что совсем забыл его.

Существует два способа использования функции сброса пароля и разблокировки учетной записи на экране входа в Windows или на портале самообслуживания.

После установки надстроек и расширений службы MIM на компьютере домена, который подключен через сеть организации к службе MIM, пользователи могут восстанавливать забытый пароль с рабочего стола своего компьютера. Ниже приведены инструкции по процессу.

Интегрированный сброс пароля через рабочий стол Windows

1. Если пользователь вводит неправильный пароль несколько раз, на экране входа у вас будет возможность щелкнуть "Проблемы войдите в систему?".

   

   Щелкнув эту ссылку, перейдите на экран сброса пароля MIM, где они могут изменить пароль или разблокировать свою учетную запись.

   

2. Пользователь будет направлен на проверку подлинности. Если настроена многофакторная проверка подлинности, пользователь получит телефонный звонок.

3. В фоновом режиме происходит то, что поставщик MFA затем помещает телефонный звонок на номер, который пользователь дал, когда этот пользователь зарегистрировал службу.

4. Когда пользователь отвечает на телефон, он может быть предложено взаимодействовать, например, нажимать клавишу фунта # на телефоне. Затем пользователь нажимает кнопку "Далее" на портале.

   Если также настроить остальные шлюзы, пользователю будет предложено предоставить дополнительные сведения на последующих экранах.

   Примечание.

   Если пользователь нетерпеливый и нажмите кнопку "Далее" , прежде чем нажать клавишу фунта#, проверка подлинности завершается ошибкой.

5. После успешной проверки подлинности пользователю будет предложено два варианта: разблокировать учетную запись, сохранив текущий пароль, или задать новый.

6. Затем пользователь должен ввести новый пароль дважды, после чего выполняется сброс пароля.

Доступ с портала самообслуживания

1. Пользователи могут открыть веб-браузер, перейти на портал сброса пароля и ввести имя пользователя и нажмите кнопку "Далее".

   Если настроена многофакторная проверка подлинности, пользователь получит телефонный звонок. В фоновом режиме происходит многофакторная проверка подлинности Microsoft Entra, а затем помещает телефонный звонок на номер, который пользователь дал при регистрации в службе.

   Когда пользователь отвечает на звонок, ему будет предложено нажать на телефоне клавишу #. Затем пользователь нажимает кнопку "Далее" на портале.

2. Если также настроить остальные шлюзы, пользователю будет предложено предоставить дополнительные сведения на последующих экранах.

   Примечание.

   Если пользователь нетерпеливый и нажмите кнопку "Далее" , прежде чем нажать клавишу фунта#, проверка подлинности завершается ошибкой.

3. Пользователю потребуется выбрать, нужно ли сбрасывать пароль или разблокировать свою учетную запись. Если они решили разблокировать свою учетную запись, учетная запись будет разблокирована.

   

4. После успешной проверки подлинности пользователь получит два варианта, чтобы сохранить текущий пароль или задать новый пароль.

5. 

6. Если пользователь решит сбросить пароль, он должен будет ввести новый пароль дважды и нажать кнопку "Далее ", чтобы изменить пароль.