Så här fungerar det: Självbetjäning av lösenordsåterställning i Azure AD

Azure Active Directory (Azure AD) självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sina lösenord, utan inblandning av administratör eller supportavdelning. Om en användares konto är låst eller om de glömmer sitt lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar samtal till supportavdelningen och förlust av produktivitet när en användare inte kan logga in på sin enhet eller ett program. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Azure AD.

Viktigt

Den här konceptuella artikeln förklarar för en administratör hur självbetjäning av lösenordsåterställning fungerar. Om du är en slutanvändare som redan har registrerats för lösenordsåterställning med självbetjäning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

Hur fungerar processen för lösenordsåterställning?

En användare kan återställa eller ändra sitt lösenord med hjälp av SSPR-portalen. De måste först ha registrerat sina önskade autentiseringsmetoder. När en användare kommer åt SSPR-portalen tar Azure-plattformen hänsyn till följande faktorer:

  • Hur ska sidan lokaliseras?
  • Är användarkontot giltigt?
  • Vilken organisation tillhör användaren?
  • Var hanteras användarens lösenord?

När en användare väljer länken Kan inte komma åt ditt konto från ett program eller en sida, eller går direkt till https://aka.ms/sspr, baseras språket som används i SSPR-portalen på följande alternativ:

  • Som standard används webbläsarspråket för att visa SSPR på lämpligt språk. Funktionen för lösenordsåterställning lokaliseras till samma språk som Microsoft 365 stöder.
  • Om du vill länka till SSPR på ett specifikt lokaliserat språk lägger du till i slutet av URL:en för lösenordsåterställning ?mkt= tillsammans med de språk som krävs.

När SSPR-portalen visas på det språk som krävs uppmanas användaren att ange ett användar-ID och skicka en captcha. Azure AD verifierar nu att användaren kan använda SSPR genom att göra följande kontroller:

  • Kontrollerar att användaren har SSPR aktiverat.
    • Om användaren inte är aktiverad för SSPR uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
  • Kontrollerar att användaren har rätt autentiseringsmetoder definierade för sitt konto i enlighet med administratörsprincipen.
    • Om principen bara kräver en metod kontrollerar du att användaren har definierat lämpliga data för minst en av de autentiseringsmetoder som aktiveras av administratörsprincipen.
      • Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa lösenordet.
    • Om principen kräver två metoder kontrollerar du att användaren har definierat lämpliga data för minst två av de autentiseringsmetoder som aktiveras av administratörsprincipen.
      • Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa lösenordet.
    • Om en Azure-administratörsroll tilldelas användaren tillämpas den starka lösenordsprincipen med två portar. Mer information finns i Skillnader i principer för administratörsåterställning.
  • Kontrollerar om användarens lösenord hanteras lokalt, till exempel om Azure AD klientorganisation använder federerad autentisering, direktautentisering eller synkronisering av lösenordshash:
    • Om SSPR-tillbakaskrivning har konfigurerats och användarens lösenord hanteras lokalt kan användaren fortsätta att autentisera och återställa sitt lösenord.
    • Om SSPR-tillbakaskrivning inte distribueras och användarens lösenord hanteras lokalt uppmanas användaren att kontakta administratören för att återställa sitt lösenord.

Om alla tidigare kontroller har slutförts vägleds användaren genom processen för att återställa eller ändra sitt lösenord.

Anteckning

SSPR kan skicka e-postaviseringar till användare som en del av återställningsprocessen för lösenord. Dessa e-postmeddelanden skickas med smtp-relätjänsten, som körs i ett aktivt-aktivt läge i flera regioner.

SMTP-relätjänsterna tar emot och bearbetar e-postmeddelandets brödtext, men lagrar den inte. Brödtexten i SSPR-e-postmeddelandet som potentiellt kan innehålla kundinformation lagras inte i SMTP Relay-tjänstloggarna. Loggarna innehåller endast protokollmetadata.

Kom igång med SSPR genom att slutföra följande självstudie:

Kräv att användare registrerar sig när de loggar in

Du kan aktivera alternativet för att kräva att en användare slutför SSPR-registreringen om de använder modern autentisering eller webbläsare för att logga in på program som använder Azure AD. Det här arbetsflödet innehåller följande program:

  • Microsoft 365
  • Azure Portal
  • Åtkomstpanel
  • Federerade program
  • Anpassade program med Azure AD

När du inte behöver registrera dig uppmanas användarna inte att göra det under inloggningen, men de kan registrera sig manuellt. Användare kan antingen besöka https://aka.ms/ssprsetup eller välja länken Registrera för lösenordsåterställning under fliken Profil i Åtkomstpanelen.

Registreringsalternativ för SSPR i Azure Portal

Anteckning

Användare kan stänga SSPR-registreringsportalen genom att välja Avbryt eller genom att stänga fönstret. De uppmanas dock att registrera sig varje gång de loggar in tills registreringen är klar.

Det här avbrottet för att registrera sig för SSPR bryter inte användarens anslutning om de redan är inloggade.

Bekräfta autentiseringsinformation

För att säkerställa att autentiseringsmetoderna är korrekta när de behövs för att återställa eller ändra sitt lösenord kan du kräva att användarna bekräftar sin registrerade information efter en viss tidsperiod. Det här alternativet är endast tillgängligt om du aktiverar alternativet Kräv att användare registrerar sig vid inloggning .

Giltiga värden för att uppmana en användare att bekräfta att deras registrerade metoder är mellan 0 och 730 dagar. Om det här värdet anges till 0 uppmanas användarna aldrig att bekräfta sin autentiseringsinformation. När du använder den kombinerade registreringsupplevelsen måste användarna bekräfta sin identitet innan de bekräftar sin information igen.

Autentiseringsmetoder

När en användare är aktiverad för SSPR måste de registrera minst en autentiseringsmetod. Vi rekommenderar starkt att du väljer två eller flera autentiseringsmetoder så att användarna får större flexibilitet om de inte kan komma åt en metod när de behöver den. Mer information finns i Vad är autentiseringsmetoder?.

Följande autentiseringsmetoder är tillgängliga för SSPR:

  • Meddelanden via mobilapp
  • Kod för mobilapp
  • E-post
  • Mobiltelefon
  • Office-telefon (endast tillgänglig för klienter med betalda prenumerationer)
  • Säkerhetsfrågor

Användare kan bara återställa sina lösenord om de har registrerat en autentiseringsmetod som administratören har aktiverat.

Varning

Konton som tilldelats Azure-administratörsroller krävs för att använda metoder enligt definitionen i avsnittet Skillnader i principer för administratörsåterställning.

Val av autentiseringsmetoder i Azure Portal

Antal autentiseringsmetoder som krävs

Du kan konfigurera antalet tillgängliga autentiseringsmetoder som en användare måste ange för att återställa eller låsa upp sitt lösenord. Det här värdet kan anges till antingen ett eller två.

Användare kan och bör registrera flera autentiseringsmetoder. Återigen rekommenderar vi starkt att användarna registrerar två eller flera autentiseringsmetoder så att de får större flexibilitet om de inte kan komma åt en metod när de behöver den.

Om en användare inte har det minsta antalet obligatoriska metoder som registrerats när de försöker använda SSPR visas en felsida som uppmanar dem att begära att en administratör återställer sitt lösenord. Var försiktig om du ökar antalet metoder som krävs från ett till två om du har befintliga användare registrerade för SSPR och de sedan inte kan använda funktionen. Mer information finns i följande avsnitt i Ändra autentiseringsmetoder.

Mobilapp och SSPR

När du använder en mobilapp som en metod för lösenordsåterställning, till exempel Microsoft Authenticator-appen, gäller följande överväganden:

  • När administratörer kräver att en metod används för att återställa ett lösenord är verifieringskod det enda tillgängliga alternativet.
  • När administratörer kräver att två metoder används för att återställa ett lösenord kan användarna använda meddelande- eller verifieringskod utöver andra aktiverade metoder.
Antal metoder som krävs för återställning En Två
Tillgängliga funktioner för mobilappar Kod Kod eller meddelande

Användare har inte möjlighet att registrera sin mobilapp när de registrerar sig för lösenordsåterställning via självbetjäning från https://aka.ms/ssprsetup. Användare kan registrera sin mobilapp på https://aka.ms/mfasetup, eller i den kombinerade registreringen av säkerhetsinformation på https://aka.ms/setupsecurityinfo.

Viktigt

Authenticator-appen kan inte väljas som den enda autentiseringsmetoden när endast en metod krävs. På samma sätt kan inte Authenticator-appen och endast en ytterligare metod väljas när två metoder krävs.

När du konfigurerar SSPR-principer som inkluderar Authenticator-appen som en metod bör minst en ytterligare metod väljas när en metod krävs, och minst två ytterligare metoder bör väljas när två metoder konfigureras.

Det här kravet beror på att den aktuella SSPR-registreringsupplevelsen inte innehåller alternativet att registrera autentiseringsappen. Alternativet att registrera autentiseringsappen ingår i den nya kombinerade registreringsupplevelsen.

Att tillåta principer som endast använder Authenticator-appen (när en metod krävs) eller Authenticator-appen och endast en ytterligare metod (när två metoder krävs) kan leda till att användare blockeras från att registrera sig för SSPR tills de har konfigurerats att använda den nya kombinerade registreringsupplevelsen.

Ändra autentiseringsmetoder

Vad händer om du börjar med en princip som bara har en obligatorisk autentiseringsmetod för återställning eller upplåsning registrerad och du ändrar den till två metoder?

Antal registrerade metoder Antal metoder som krävs Resultat
1 eller fler 1 Det går att återställa eller låsa upp
1 2 Det går inte att återställa eller låsa upp
2 eller fler 2 Det går att återställa eller låsa upp

Om du ändrar de tillgängliga autentiseringsmetoderna kan det också orsaka problem för användarna. Om du ändrar de typer av autentiseringsmetoder som en användare kan använda kan du oavsiktligt hindra användare från att kunna använda SSPR om de inte har den minsta mängden tillgängliga data.

Tänk dig följande exempelscenario:

  1. Den ursprungliga principen konfigureras med två autentiseringsmetoder som krävs. Den använder endast office-telefonnumret och säkerhetsfrågorna.
  2. Administratören ändrar principen så att den inte längre använder säkerhetsfrågorna, men tillåter användning av en mobiltelefon och ett alternativt e-postmeddelande.
  3. Användare utan mobiltelefonen eller alternativa e-postfält som fyllts i nu kan inte återställa sina lösenord.

Meddelanden

För att öka medvetenheten om lösenordshändelser kan du med SSPR konfigurera meddelanden för både användare och identitetsadministratörer.

Meddela användare om lösenordsåterställning

Om det här alternativet är inställt på Ja får användare som återställer sitt lösenord ett e-postmeddelande om att deras lösenord har ändrats. E-postmeddelandet skickas via SSPR-portalen till deras primära och alternativa e-postadresser som lagras i Azure AD. Ingen annan meddelas om återställningshändelsen.

Meddela alla administratörer när andra administratörer återställer sina lösenord

Om det här alternativet är inställt på Ja får alla andra Azure-administratörer ett e-postmeddelande till sin primära e-postadress som lagras i Azure AD. E-postmeddelandet meddelar dem att en annan administratör har ändrat sitt lösenord med hjälp av SSPR.

Tänk dig följande exempelscenario:

  • Det finns fyra administratörer i en miljö.
  • Administratör A återställer sitt lösenord med hjälp av SSPR.
  • Administratörerna B, C och D får ett e-postmeddelande där de får en avisering om lösenordsåterställningen.

Anteckning

Email meddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:

  • Offentlig: msonlineservicesteam@microsoft.com
  • Kina: msonlineservicesteam@oe.21vianet.com
  • Regeringen: msonlineservicesteam@azureadnotifications.us

Om du upptäcker problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.

Lokal integration

Om du har en hybridmiljö kan du konfigurera Azure AD Anslut för att skriva tillbaka lösenordsändringshändelser från Azure AD till en lokal katalog.

Validering av tillbakaskrivning av lösenord är aktiverat och arbetar med

Azure AD kontrollerar din aktuella hybridanslutning och tillhandahåller något av följande meddelanden i Azure Portal:

  • Din lokala återskrivningsklient är igång.
  • Azure AD är online och är ansluten till din lokala återskrivningsklient. Det verkar dock som om den installerade versionen av Azure AD Connect är inaktuell. Överväg att uppgradera Azure AD Connect för att säkerställa att du har de senaste anslutningsfunktionerna och viktiga felkorrigeringar.
  • Tyvärr kan vi inte kontrollera klientstatusen för lokal tillbakaskrivning eftersom den installerade versionen av Azure AD Connect är inaktuell. Uppgradera Azure AD Anslut för att kunna kontrollera anslutningsstatusen.
  • Tyvärr verkar det som om vi inte kan ansluta till din lokala tillbakaskrivningsklient just nu. Felsöka Azure AD Anslut för att återställa anslutningen.
  • Tyvärr kan vi inte ansluta till din lokala tillbakaskrivningsklient eftersom tillbakaskrivning av lösenord inte har konfigurerats korrekt. Konfigurera tillbakaskrivning av lösenord för att återställa anslutningen.
  • Tyvärr verkar det som om vi inte kan ansluta till din lokala tillbakaskrivningsklient just nu. Detta kan bero på tillfälliga problem på vår sida. Om problemet kvarstår felsöker du Azure AD Anslut för att återställa anslutningen.

Kom igång med tillbakaskrivning av SSPR genom att slutföra följande självstudie:

Skriva tillbaka lösenord till din lokala katalog

Du kan aktivera tillbakaskrivning av lösenord med hjälp av Azure Portal. Du kan också tillfälligt inaktivera tillbakaskrivning av lösenord utan att behöva konfigurera om Azure AD Connect.

  • Om alternativet är inställt på Ja aktiveras tillbakaskrivning. Federerad, direktautentisering eller lösenordshashsynkroniserade användare kan återställa sina lösenord.
  • Om alternativet är inställt på Nej inaktiveras tillbakaskrivningen. Federerad, direktautentisering eller lösenordshashsynkroniserade användare kan inte återställa sina lösenord.

Tillåt användare att låsa upp konton utan att återställa sitt lösenord

Som standard låser Azure AD upp konton när en lösenordsåterställning utförs. För att ge flexibilitet kan du välja att tillåta användare att låsa upp sina lokala konton utan att behöva återställa sitt lösenord. Använd den här inställningen för att separera dessa två åtgärder.

  • Om inställningen är Inställd på Ja får användarna möjlighet att återställa sitt lösenord och låsa upp kontot, eller låsa upp sitt konto utan att behöva återställa lösenordet.
  • Om inställningen är Nej kan användarna bara utföra en kombinerad återställning av lösenord och upplåsning av konton.

Lokala Active Directory-lösenordsfilter

SSPR utför motsvarigheten till en administratörsinitierad lösenordsåterställning i Active Directory. Om du använder ett lösenordsfilter från tredje part för att framtvinga anpassade lösenordsregler och du kräver att det här lösenordsfiltret kontrolleras under Azure AD självbetjäning av lösenordsåterställning kontrollerar du att lösningen för lösenordsfilter från tredje part har konfigurerats för att tillämpas i scenariot för återställning av administratörslösenord. Azure AD lösenordsskydd för Active Directory Domain Services stöds som standard.

Lösenordsåterställning för B2B-användare

Lösenordsåterställning och ändring stöds fullt ut i alla B2B-konfigurationer (business-to-business). B2B-användares lösenordsåterställning stöds i följande tre fall:

  • Användare från en partnerorganisation med en befintlig Azure AD klientorganisation: Om den organisation som du samarbetar med har en befintlig Azure AD klientorganisation respekterar vi de principer för lösenordsåterställning som är aktiverade för den klientorganisationen. För att lösenordsåterställningen ska fungera behöver partnerorganisationen bara se till att Azure AD SSPR är aktiverat. Det tillkommer ingen extra kostnad för Microsoft 365-kunder.
  • Användare som registrerar sig via självbetjäningsregistrering: Om den organisation som du samarbetar med använde självbetjäningsregistreringsfunktionen för att komma in i en klientorganisation låter vi dem återställa lösenordet med e-postmeddelandet som de registrerade.
  • B2B-användare: Alla nya B2B-användare som skapats med hjälp av de nya B2B-funktionerna i Azure AD kan också återställa sina lösenord med e-postmeddelandet som de registrerade under inbjudan.

Om du vill testa det här scenariot går du till https://passwordreset.microsoftonline.com med en av dessa partneranvändare. Om ett alternativt e-postmeddelande eller e-postmeddelande för autentisering har definierats fungerar lösenordsåterställning som förväntat.

Anteckning

Microsoft-konton som har beviljats gäståtkomst till din Azure AD klientorganisation, till exempel från Hotmail.com, Outlook.com eller andra personliga e-postadresser, kan inte använda Azure AD SSPR. De måste återställa sitt lösenord med hjälp av informationen i artikeln När du inte kan logga in på ditt Microsoft-konto .

Nästa steg

Kom igång med SSPR genom att slutföra följande självstudie:

Följande artiklar ger ytterligare information om lösenordsåterställning via Azure AD: