Så här fungerar det: Självbetjäning av lösenordsåterställning i Microsoft Entra
Microsoft Entra-självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang. Om en användares konto är låst eller om de glömmer sitt lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID.
Viktigt!
Den här konceptuella artikeln förklarar för en administratör hur självbetjäning av lösenordsåterställning fungerar. Om du är en slutanvändare som redan är registrerad för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.
Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.
Hur fungerar processen för lösenordsåterställning?
En användare kan återställa eller ändra sitt lösenord med hjälp av SSPR-portalen. De måste först ha registrerat sina önskade autentiseringsmetoder. När en användare kommer åt SSPR-portalen tar Microsoft Entra ID-plattformen hänsyn till följande faktorer:
- Hur ska sidan lokaliseras?
- Är användarkontot giltigt?
- Vilken organisation tillhör användaren?
- Var hanteras användarens lösenord?
När en användare väljer länken Kan inte komma åt ditt konto från ett program eller en sida, eller går direkt till https://aka.ms/sspr, baseras språket som används i SSPR-portalen på följande alternativ:
- Som standard används webbläsarspråket för att visa SSPR på rätt språk. Funktionen för lösenordsåterställning lokaliseras till samma språk som Microsoft 365 stöder.
- Om du vill länka till SSPR på ett specifikt lokaliserat språk lägger du till i slutet av url:en för lösenordsåterställning
?mkt=tillsammans med det språk som krävs.- Om du till exempel vill ange språkvarianten för spanska es-us använder duhttps://passwordreset.microsoftonline.com/?mkt=es-us -
?mkt=es-us.
- Om du till exempel vill ange språkvarianten för spanska es-us använder duhttps://passwordreset.microsoftonline.com/?mkt=es-us -
När SSPR-portalen visas på det språk som krävs uppmanas användaren att ange ett användar-ID och skicka en captcha. Microsoft Entra-ID verifierar nu att användaren kan använda SSPR genom att göra följande kontroller:
- Kontrollerar att användaren har SSPR aktiverat.
- Om användaren inte är aktiverad för SSPR uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
- Kontrollerar att användaren har rätt autentiseringsmetoder som definierats för deras konto i enlighet med administratörsprincipen.
- Om principen bara kräver en metod kontrollerar du att användaren har rätt data definierade för minst en av de autentiseringsmetoder som aktiveras av administratörsprincipen.
- Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
- Om principen kräver två metoder kontrollerar du att användaren har rätt data definierade för minst två av de autentiseringsmetoder som aktiveras av administratörsprincipen.
- Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
- Om en Azure-administratörsroll tilldelas användaren tillämpas den starka lösenordsprincipen med två portar. Mer information finns i Principskillnader för administratörsåterställning.
- Om principen bara kräver en metod kontrollerar du att användaren har rätt data definierade för minst en av de autentiseringsmetoder som aktiveras av administratörsprincipen.
- Kontrollerar om användarens lösenord hanteras lokalt, till exempel om Microsoft Entra-klienten använder federerad autentisering, direktautentisering eller synkronisering av lösenordshash:
- Om SSPR-tillbakaskrivning har konfigurerats och användarens lösenord hanteras lokalt kan användaren fortsätta att autentisera och återställa sitt lösenord.
- Om SSPR-tillbakaskrivning inte distribueras och användarens lösenord hanteras lokalt uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
Om alla tidigare kontroller har slutförts vägleds användaren genom processen för att återställa eller ändra sitt lösenord.
Kommentar
SSPR kan skicka e-postaviseringar till användare som en del av processen för lösenordsåterställning. Dessa e-postmeddelanden skickas med smtp-relätjänsten, som fungerar i ett aktivt-aktivt läge i flera regioner.
SMTP-relätjänster tar emot och bearbetar e-posttexten, men lagrar den inte. Brödtexten i SSPR-e-postmeddelandet som potentiellt kan innehålla kundinformation lagras inte i SMTP Relay-tjänstloggarna. Loggarna innehåller endast protokollmetadata.
Slutför följande självstudie för att komma igång med SSPR:
Kräv att användare registrerar sig när de loggar in
Du kan aktivera alternativet för att kräva att en användare slutför SSPR-registreringen om de använder modern autentisering eller webbläsare för att logga in på program som använder Microsoft Entra-ID. Det här arbetsflödet innehåller följande program:
- Microsoft 365
- Microsoft Entra administrationscenter
- Åtkomstpanel
- Federerade program
- Anpassade program med Microsoft Entra-ID
När du inte behöver registrera dig uppmanas användarna inte att göra det under inloggningen, men de kan registrera sig manuellt. Användare kan antingen besöka https://aka.ms/ssprsetup eller välja länken Registrera för lösenordsåterställning under fliken Profil i Åtkomstpanelen.
! [Registreringsalternativ för SSPR i administrationscentret för Microsoft Entra] [Registrering]
Kommentar
Användare kan stänga SSPR-registreringsportalen genom att välja Avbryt eller genom att stänga fönstret. De uppmanas dock att registrera sig varje gång de loggar in tills de har slutfört registreringen.
Det här avbrottet för att registrera sig för SSPR bryter inte användarens anslutning om de redan är inloggade.
Bekräfta autentiseringsinformationen igen
För att säkerställa att autentiseringsmetoderna är korrekta när de behövs för att återställa eller ändra sitt lösenord kan du kräva att användarna bekräftar sin registrerade information efter en viss tidsperiod. Det här alternativet är bara tillgängligt om du aktiverar alternativet Kräv att användare registrerar sig när de loggar in .
Giltiga värden för att uppmana en användare att bekräfta att deras registrerade metoder är mellan 0 och 730 dagar. Om det här värdet anges till 0 uppmanas användarna aldrig att bekräfta sin autentiseringsinformation. När du använder den kombinerade registreringsupplevelsen måste användarna bekräfta sin identitet innan de bekräftar sin information igen.
Autentiseringsmetoder
När en användare är aktiverad för SSPR måste de registrera minst en autentiseringsmetod. Vi rekommenderar starkt att du väljer två eller flera autentiseringsmetoder så att användarna får större flexibilitet om de inte kan komma åt en metod när de behöver den. Mer information finns i Vad är autentiseringsmetoder?.
Följande autentiseringsmetoder är tillgängliga för SSPR:
- Meddelanden via mobilapp
- Kod för mobilapp
- Mobiltelefon
- Office-telefon (endast tillgängligt för klienter med betalda prenumerationer)
- Säkerhetsfrågor
Användare kan bara återställa sitt lösenord om de har registrerat en autentiseringsmetod som administratören har aktiverat.
Varning
Konton som tilldelats Azure-administratörsroller krävs för att använda metoder enligt definitionen i avsnittet Principskillnader för administratörsåterställning.
! [Val av autentiseringsmetoder i administrationscentret för Microsoft Entra] [Autentisering]
Antal autentiseringsmetoder som krävs
Du kan konfigurera antalet tillgängliga autentiseringsmetoder som en användare måste ange för att återställa eller låsa upp sitt lösenord. Det här värdet kan anges till antingen ett eller två.
Användare kan och bör registrera flera autentiseringsmetoder. Återigen rekommenderar vi starkt att användarna registrerar två eller flera autentiseringsmetoder så att de får större flexibilitet om de inte kan komma åt en metod när de behöver den.
Om en användare inte har det minsta antalet obligatoriska metoder registrerade när de försöker använda SSPR ser de en felsida som uppmanar dem att begära att en administratör återställer sitt lösenord. Var försiktig om du ökar antalet metoder som krävs från ett till två om du har befintliga användare registrerade för SSPR och de sedan inte kan använda funktionen. Mer information finns i följande avsnitt i Ändra autentiseringsmetoder.
Mobilapp och SSPR
När du använder en mobilapp som en metod för lösenordsåterställning, till exempel Microsoft Authenticator-appen, gäller följande överväganden om en organisation inte har migrerat till principen för centraliserade autentiseringsmetoder:
- När administratörer kräver att en metod används för att återställa ett lösenord är verifieringskoden det enda tillgängliga alternativet.
- När administratörer kräver att två metoder används för att återställa ett lösenord kan användarna använda meddelande - eller verifieringskod utöver andra aktiverade metoder.
| Antal metoder som krävs för återställning | En | Två |
|---|---|---|
| Tillgängliga mobilappfunktioner | Kod | Kod eller meddelande |
Användare kan registrera sin mobilapp på https://aka.ms/mfasetup, eller i den kombinerade säkerhetsinformationsregistreringen på https://aka.ms/setupsecurityinfo.
Viktigt!
Om Authenticator-appen inte kan väljas som den enda autentiseringsmetoden när endast en metod krävs. På samma sätt kan inte Authenticator-appen och endast en ytterligare metod väljas när två metoder krävs.
När du konfigurerar SSPR-principer som innehåller Authenticator-appen som en metod bör minst en ytterligare metod väljas när en metod krävs, och minst två ytterligare metoder bör väljas när två metoder konfigureras.
Ändra autentiseringsmetoder
Vad händer om du börjar med en princip som bara har en obligatorisk autentiseringsmetod för återställning eller upplåsning registrerad och du ändrar den till två metoder?
| Antal registrerade metoder | Antal metoder som krävs | Resultat |
|---|---|---|
| 1 eller mer | 1 | Det går att återställa eller låsa upp |
| 1 | 2 | Det går inte att återställa eller låsa upp |
| 2 eller fler | 2 | Det går att återställa eller låsa upp |
Om du ändrar de tillgängliga autentiseringsmetoderna kan det också orsaka problem för användarna. Om du ändrar de typer av autentiseringsmetoder som en användare kan använda kan du oavsiktligt hindra användare från att kunna använda SSPR om de inte har den minsta mängden tillgängliga data.
Föreställ dig följande exempel:
- Den ursprungliga principen konfigureras med två autentiseringsmetoder som krävs. Den använder endast office-telefonnumret och säkerhetsfrågorna.
- Administratören ändrar principen så att den inte längre använder säkerhetsfrågorna, men tillåter användning av en mobiltelefon och ett alternativt e-postmeddelande.
- Användare utan de mobiltelefon- eller alternativa e-postfält som fyllts i nu kan inte återställa sina lösenord.
Meddelanden
För att öka medvetenheten om lösenordshändelser kan du med SSPR konfigurera meddelanden för både användare och identitetsadministratörer.
Meddela användare om lösenordsåterställning
Om det här alternativet är inställt på Ja får användare som återställer sitt lösenord ett e-postmeddelande om att lösenordet har ändrats. E-postmeddelandet skickas via SSPR-portalen till deras primära och alternativa e-postadresser som lagras i Microsoft Entra-ID. Om ingen primär eller alternativ e-postadress har definierats försöker SSPR skicka e-postavisering via användarens användarhuvudnamn (UPN). Ingen annan meddelas om återställningshändelsen.
Meddela alla administratörer när andra administratörer återställer sina lösenord
Om det här alternativet är inställt på Ja får globala administratörer ett e-postmeddelande till sin primära e-postadress som lagras i Microsoft Entra-ID. E-postmeddelandet meddelar dem att en annan administratör har ändrat sitt lösenord med hjälp av SSPR.
Kommentar
E-postmeddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:
- Offentlig: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Om du ser problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.
Om du vill att anpassade administratörer ska få e-postmeddelandena använder du SSPR-anpassningar och konfigurerar en anpassad supportlänk eller e-post.
Lokal integration
Om du har en hybridmiljö kan du konfigurera Microsoft Entra Anslut att skriva tillbaka händelser för lösenordsändring från Microsoft Entra-ID till en lokal katalog.
! [Validering av tillbakaskrivning av lösenord är aktiverat för Microsoft Entra-ID till en lokal integrering] [Tillbakaskrivning]
Microsoft Entra ID kontrollerar din aktuella hybridanslutning och tillhandahåller något av följande meddelanden i administrationscentret för Microsoft Entra:
- Den lokala tillbakaskrivningsklienten är igång.
- Microsoft Entra ID är online och är anslutet till din lokala tillbakaskrivningsklient. Det verkar dock som om den installerade versionen av Microsoft Entra Anslut är inaktuell. Överväg att uppgradera Microsoft Entra Anslut för att säkerställa att du har de senaste anslutningsfunktionerna och viktiga felkorrigeringar.
- Tyvärr kan vi inte kontrollera din lokala tillbakaskrivningsklientstatus eftersom den installerade versionen av Microsoft Entra Anslut är inaktuell. Uppgradera Microsoft Entra Anslut för att kunna kontrollera anslutningsstatusen.
- Tyvärr verkar det som om vi inte kan ansluta till din lokala tillbakaskrivningsklient just nu. Felsöka Microsoft Entra-Anslut för att återställa anslutningen.
- Tyvärr kan vi inte ansluta till din lokala tillbakaskrivningsklient eftersom tillbakaskrivning av lösenord inte har konfigurerats korrekt. Konfigurera tillbakaskrivning av lösenord för att återställa anslutningen.
- Tyvärr verkar det som om vi inte kan ansluta till din lokala tillbakaskrivningsklient just nu. Detta kan bero på tillfälliga problem på vår sida. Om problemet kvarstår felsöker du Microsoft Entra Anslut för att återställa anslutningen.
Slutför följande självstudie för att komma igång med tillbakaskrivning av SSPR:
Skriva tillbaka lösenord till din lokala katalog
Du kan aktivera tillbakaskrivning av lösenord med hjälp av administrationscentret för Microsoft Entra. Du kan också tillfälligt inaktivera tillbakaskrivning av lösenord utan att behöva konfigurera om Microsoft Entra Anslut.
- Om alternativet är inställt på Ja aktiveras tillbakaskrivning. Federerade, direktautentisering eller lösenordshash synkroniserade användare kan återställa sina lösenord.
- Om alternativet är inställt på Nej inaktiveras tillbakaskrivningen. Federerad autentisering, direktautentisering eller lösenordshash synkroniserade användare kan inte återställa sina lösenord.
Tillåt användare att låsa upp konton utan att återställa sitt lösenord
Som standard låser Microsoft Entra ID upp konton när det utför en lösenordsåterställning. För att ge flexibilitet kan du välja att tillåta användare att låsa upp sina lokala konton utan att behöva återställa sitt lösenord. Använd den här inställningen för att separera dessa två åtgärder.
- Om inställningen är Ja får användarna möjlighet att återställa sitt lösenord och låsa upp kontot, eller att låsa upp sitt konto utan att behöva återställa lösenordet.
- Om värdet är Nej kan användarna bara utföra en kombinerad lösenordsåterställning och kontolåsning.
Lokala Active Directory-lösenordsfilter
SSPR utför motsvarande en administratörsinitierad lösenordsåterställning i Active Directory. Om du använder ett lösenordsfilter från tredje part för att framtvinga anpassade lösenordsregler, och du kräver att det här lösenordsfiltret kontrolleras under lösenordsåterställning med Microsoft Entra självbetjäning, kontrollerar du att lösningen för lösenordsfilter från tredje part är konfigurerad att tillämpas i scenariot för återställning av administratörslösenord. Microsoft Entra-lösenordsskydd för Active Directory-domän Services stöds som standard.
Lösenordsåterställning för B2B-användare
Lösenordsåterställning och ändring stöds fullt ut i alla B2B-konfigurationer (business-to-business). B2B-användares lösenordsåterställning stöds i följande tre fall:
- Användare från en partnerorganisation med en befintlig Microsoft Entra-klientorganisation: Om den organisation som du samarbetar med har en befintlig Microsoft Entra-klientorganisation respekterar vi alla principer för lösenordsåterställning som är aktiverade för den klientorganisationen. För att lösenordsåterställning ska fungera behöver partnerorganisationen bara se till att Microsoft Entra SSPR är aktiverat. Det tillkommer ingen extra kostnad för Microsoft 365-kunder.
- Användare som registrerar sig via självbetjäningsregistrering: Om den organisation som du samarbetar med använde självbetjäningsregistreringsfunktionen för att komma in i en klientorganisation låter vi dem återställa lösenordet med det e-postmeddelande som de registrerade.
- B2B-användare: Alla nya B2B-användare som skapats med hjälp av de nya Funktionerna i Microsoft Entra B2B kan också återställa sina lösenord med e-postmeddelandet som de registrerade under inbjudan.
Om du vill testa det här scenariot går du till https://passwordreset.microsoftonline.com med en av dessa partneranvändare. Om ett alternativt e-postmeddelande eller e-postmeddelande för autentisering har definierats fungerar lösenordsåterställning som förväntat.
Kommentar
Microsoft-konton som har beviljats gäståtkomst till din Microsoft Entra-klientorganisation, till exempel från Hotmail.com, Outlook.com eller andra personliga e-postadresser, kan inte använda Microsoft Entra SSPR. De måste återställa sitt lösenord med hjälp av informationen i artikeln När du inte kan logga in på ditt Microsoft-konto .
Nästa steg
Slutför följande självstudie för att komma igång med SSPR: