Предыдущий

Следующая

Что такое самостоятельный сброс пароля в идентификаторе Microsoft Entra?

Завершено

Вам было предложено оценить способы снижения затрат на службу технической поддержки в розничной организации. Вы заметили, что сотрудники службы поддержки тратят много времени на сброс паролей для пользователей. Пользователи часто сообщают о задержке этого процесса, и эти задержки влияют на их производительность. Вы хотите понять, как настроить Azure, чтобы пользователи могли управлять собственными паролями.

В этом уроке вы узнаете, как работает самостоятельный сброс пароля (SSPR) в идентификаторе Microsoft Entra ID.

Зачем нужен самостоятельный сброс пароля?

В идентификаторе Microsoft Entra любой пользователь может изменить пароль, если он уже вошел в систему. Но если он не вошел в учетную запись и забыл пароль или срок действия пароля истек, ему потребуется сбросить пароль. С помощью SSPR пользователи могут сбросить пароли в веб-браузере или с экрана входа Windows, чтобы восстановить доступ к Azure, Microsoft 365 и любому другому приложению, использующим идентификатор Microsoft Entra для проверки подлинности.

SSPR снижает нагрузку на администраторов, так как пользователи могут самостоятельно устранять проблемы с паролем, не вызывая службу технической поддержки. Кроме того, это позволяет уменьшить влияние забытого или просроченного пароля на производительность. Пользователям не нужно ждать, пока администратор будет свободен и сможет сбросить пароль.

Как работает самостоятельный сброс пароля

Пользователь инициирует сброс пароля, перейдя непосредственно на портал сброса пароля или выбрав ссылку "Не удается получить доступ к учетной записи " на странице входа. На портале сброса выполняются следующие действия:

1. Локализация: портал проверка параметр языкового стандарта браузера и отображает страницу SSPR на соответствующем языке.
2. Проверка. Пользователь вводит свое имя пользователя и передает captcha, чтобы убедиться, что это пользователь, а не бот.
3. Проверка подлинности. Пользователь вводит необходимые данные для проверки подлинности удостоверения. Например, можно ввести код или ответить на контрольные вопросы.
4. Сброс пароля: если пользователь проходит тесты проверки подлинности, он может ввести новый пароль и подтвердить его.
5. Уведомление: для подтверждения сброса пользователю отправляется сообщение.

Существует несколько способов настроить пользовательский интерфейс самостоятельного сброса пароля. Например, вы можете добавить логотип компании на страницу входа, чтобы пользователи знали, что они в нужном месте для сброса пароля.

Проверка подлинности для сброса пароля

Перед разрешением сброса пароля важно проверить удостоверение пользователя. Злоумышленники могут использовать любые слабые места в системе для олицетворения этого пользователя. Azure поддерживает шесть разных способов проверки подлинности запросов на сброс.

Администратор может выбрать методы, которые следует использовать при настройке SSPR. Включите два или более этих методов, чтобы пользователи могли выбирать те, которые они могут легко использовать. Вот эти методы:

Authentication method	Регистрация	Способ проверки подлинности при сбросе пароля
Уведомление от мобильного приложения	Установите приложение Microsoft Authenticator на мобильном устройстве, а затем зарегистрируйте его на странице установки многофакторной проверки подлинности.	Azure отправляет в приложение уведомление, которое можно проверить или отклонить.
Код мобильного приложения	Этот метод также использует приложение Authenticator, и вы устанавливаете и регистрируете его аналогичным образом.	Введите код из приложения.
Адрес электронной почты	Укажите адрес электронной почты за пределами Azure и Microsoft 365.	Azure отправляет код на адрес, который вы ввели в мастере сброса.
Мобильный телефон	Укажите номер мобильного телефона.	Azure отправляет код в SMS-сообщении на номер телефона, который вы ввели в мастере сброса. Вы также можете получить автоматический звонок.
Рабочий телефон	Укажите номер немобильного телефона.	Вы принимаете автоматический звонок на этот номер и нажимаете клавишу #.
Контрольные вопросы	Выберите такие вопросы, как "В каком городе родился ваша мать?" и сохраните свои ответы.	Ответьте на вопросы.

В бесплатных и пробных организациях Microsoft Entra варианты телефонного звонка не поддерживаются.

Обязательное минимальное количество методов проверки подлинности

Вы можете указать минимальное число методов, которые должен настроить пользователь: один или два. Например, можно включить методы "код в мобильном приложении", "электронная почта", "рабочий телефон" и "контрольные вопросы" и указать, что нужно выбрать минимум два метода. Затем пользователи могут выбрать два метода, которые они предпочитают, например код мобильного приложения и электронную почту.

Для метода безопасности можно указать минимальное количество вопросов, которые пользователь должен настроить для регистрации для этого метода. Вы также можете указать минимальное количество вопросов, которые они должны правильно ответить, чтобы сбросить пароль.

После того как пользователи зарегистрируют необходимые сведения для указанного минимального количества методов, они считаются зарегистрированными для самостоятельного сброса пароля.

Рекомендации

• Включите два или более метода проверки подлинности для запросов на сброс пароля.
• Используйте уведомление или код в мобильном приложении в качестве основного метода, а также включите адрес электронной почты или номер рабочего телефона для пользователей без мобильных устройств.
• Метод мобильного телефона не рекомендуется, так как можно отправлять мошеннические SMS-сообщения.
• Параметр безопасности — это наименее рекомендуемый метод, так как ответы на вопросы безопасности могут быть известны другим людям. Используйте метод безопасности только в сочетании с хотя бы одним другим методом.

Учетные записи, связанные с ролями администратора

• Строгая политика проверки подлинности с двумя методами всегда применяется к учетным записям с ролью администратора независимо от конфигурации других пользователей.
• Метод безопасности с вопросом недоступен для учетных записей, связанных с ролью администратора.

Настройка уведомлений

Администраторы могут выбрать способ уведомления пользователей об изменении пароля. Существует два варианта, которые можно включить:

• Уведомлять пользователей о сбросе пароля: пользователь, который сбрасывает свой собственный пароль, уведомляется об их первичных и вторичных адресах электронной почты. Если сброс выполнялся злоумышленником, это уведомление предупреждает пользователя и он может принять меры по устранению рисков.
• Уведомляйте всех администраторов, когда другие администраторы сбрасывают пароль: все администраторы уведомляются, когда другой администратор сбрасывает свой пароль.

Требования к лицензиям

Существует три выпуска Идентификатора Microsoft Entra: бесплатный, Премиум P1 и Premium P2. Функции сброса пароля, которые можно использовать, зависят от выпуска.

Любой пользователь, вошедший в систему, может изменить свой пароль независимо от выпуска идентификатора Microsoft Entra.

Если вы не выполнили вход и забыли пароль или пароль истек, можно использовать SSPR в Microsoft Entra ID P1 или P2. Он также доступен в Приложениях Microsoft 365 для бизнеса или Microsoft 365.

В гибридной ситуации, когда у вас есть локальный каталог Active Directory и идентификатор Microsoft Entra в облаке, все изменения пароля в облаке должны быть записаны обратно в локальный каталог. Эта поддержка обратной записи доступна в Microsoft Entra ID P1 или P2. Она также доступна в Приложениях Microsoft 365 для бизнеса.

Варианты развертывания SSPR

Вы можете развернуть SSPR с обратной записью паролей с помощью Microsoft Entra Подключение или облачной синхронизации в зависимости от потребностей пользователя. Каждый параметр можно развертывать параллельно в разных доменах для целевых наборов пользователей. Это помогает существующим пользователям записывать изменения паролей в локальной среде, добавляя возможность для пользователей в отключенных доменах из-за слияния или разделения компании. Пользователи из существующего локального домена могут использовать microsoft Entra Подключение, а новые пользователи из слияния могут использовать облачную синхронизацию в другом домене. Облачная синхронизация также может обеспечить более высокую доступность, так как она не зависит от одного экземпляра Microsoft Entra Подключение. Сравнение функций между двумя параметрами развертывания см. в разделе "Сравнение между Microsoft Entra Подключение и облачной синхронизацией".

Проверьте свои знания

1.

Когда пользователь считается зарегистрированным для самостоятельного сброса пароля?

Когда они зарегистрировали по крайней мере один из разрешенных методов проверки подлинности.

Когда они зарегистрировали по крайней мере то количество методов, которое вы указали как обязательное для сброса пароля.

Если они настроили минимальное количество контрольных вопросов.

2.

При включении SSPR для вашей организации Microsoft Entra...

Пользователи могут изменить свой пароль при входе.

Администраторы могут сбросить свой пароль с помощью одного метода проверки подлинности

Пользователи могут сбрасывать пароли, если не могут войти в систему.

Вы должны ответить на все вопросы перед проверкой.

Продолжить