Planera en självbetjäningsdistribution av lösenordsåterställning i Azure Active Directory

Viktigt

Den här distributionsplanen innehåller vägledning och metodtips för att distribuera Azure AD självbetjäning av lösenordsåterställning (SSPR).

Om du är slutanvändare och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Självbetjäning av lösenordsåterställning (SSPR) är en Azure Active Directory-funktion (AD) som gör det möjligt för användare att återställa sina lösenord utan att kontakta IT-personalen för hjälp. Användarna kan snabbt avblockera sig själva och fortsätta arbeta oavsett var de befinner sig eller vilken tid på dagen de befinner sig. Genom att låta de anställda avblockera sig själva kan din organisation minska den icke-produktiva tiden och de höga supportkostnaderna för de vanligaste lösenordsrelaterade problemen.

SSPR har följande viktiga funktioner:

  • Med självbetjäning kan slutanvändare återställa sina utgångna eller icke-utgångna lösenord utan att kontakta en administratör eller supportavdelning för support.
  • Tillbakaskrivning av lösenord möjliggör hantering av lokala lösenord och lösning av kontoutelåsning via molnet.
  • Aktivitetsrapporter för lösenordshantering ger administratörer insikt i lösenordsåterställning och registreringsaktivitet som inträffar i organisationen.

Den här distributionsguiden visar hur du planerar och testar en SSPR-distribution.

Om du snabbt vill se hur SSPR fungerar och sedan komma tillbaka för att förstå ytterligare distributionsöverväganden:

Läs mer om SSPR

Läs mer om SSPR. Se Så här fungerar det: Azure AD självbetjäning av lösenordsåterställning.

Viktiga fördelar

De viktigaste fördelarna med att aktivera SSPR är:

  • Hantera kostnader. SSPR minskar IT-supportkostnaderna genom att göra det möjligt för användare att återställa lösenord på egen hand. Det minskar också kostnaden för förlorad tid på grund av förlorade lösenord och utelåsningar.

  • Intuitiv användarupplevelse. Det ger en intuitiv engångsregistreringsprocess som gör det möjligt för användare att återställa lösenord och avblockera konton på begäran från valfri enhet eller plats. Med SSPR kan användarna återgå till arbetet snabbare och bli mer produktiva.

  • Flexibilitet och säkerhet. SSPR gör det möjligt för företag att få åtkomst till den säkerhet och flexibilitet som en molnplattform tillhandahåller. Administratörer kan ändra inställningarna för att hantera nya säkerhetskrav och distribuera dessa ändringar till användare utan att störa inloggningen.

  • Robust gransknings- och användningsspårning. En organisation kan se till att affärssystemen förblir säkra medan användarna återställer sina egna lösenord. Robusta granskningsloggar innehåller information om varje steg i processen för lösenordsåterställning. Dessa loggar är tillgängliga från ett API och gör det möjligt för användaren att importera data till ett SIEM-system (Security Incident and Event Monitoring).

Licensiering

Azure Active Directory licensieras per användare, vilket innebär att varje användare kräver en lämplig licens för de funktioner som de använder. Vi rekommenderar gruppbaserad licensiering för SSPR.

Information om hur du jämför utgåvor och funktioner och aktiverar grupp- eller användarbaserad licensiering finns i Licensieringskrav för Azure AD självbetjäning av lösenordsåterställning.

Mer information om priser finns i Priser för Azure Active Directory.

Förutsättningar

  • En aktiv Azure AD-klientorganisation med minst en aktiverad utvärderingslicens. Om det behövs skapar du en kostnadsfritt.

  • Ett konto med behörigheter som global administratör.

Träningsresurser

Resurser Länk och beskrivning
Video Ge användarna bättre IT-skalbarhet
Vad är självbetjäning av lösenordsåterställning?
Distribuera lösenordsåterställning med självbetjäning
Så här aktiverar och konfigurerar du SSPR i Azure AD
Så här konfigurerar du självbetjäning av lösenordsåterställning för användare i Azure AD?
Så här [förbereder du användare att] registrera [deras] säkerhetsinformation för Azure Active Directory
Onlinekurser Hantera identiteter i Microsoft Azure Active Directory Använda SSPR för att ge användarna en modern och skyddad upplevelse. Se särskilt modulen "Hantera Azure Active Directory-användare och -grupper".
Pluralsight Betalda kurser Problem med identitets- och åtkomsthantering Lär dig mer om IAM och säkerhetsproblem som du bör känna till i din organisation. Se särskilt modulen "Andra autentiseringsmetoder".
Komma igång med Microsoft Enterprise Mobility Suite Learn de bästa metoderna för att utöka lokala tillgångar till molnet på ett sätt som möjliggör autentisering, auktorisering, kryptering och en säker mobil upplevelse. Se särskilt modulen "Konfigurera avancerade funktioner i Microsoft Azure Active Directory Premium".
Självstudier Utföra en pilotlansering av självbetjäning av lösenordsåterställning för Azure AD
Aktivera tillbakaskrivning av lösenord
Azure AD lösenordsåterställning från inloggningsskärmen för Windows 10
Vanliga frågor Vanliga frågor och svar om lösenordshantering

Lösningsarkitektur

I följande exempel beskrivs lösningsarkitekturen för lösenordsåterställning för vanliga hybridmiljöer.

diagram över lösningsarkitektur

Beskrivning av arbetsflöde

Om du vill återställa lösenordet går användarna till portalen för lösenordsåterställning. De måste verifiera den tidigare registrerade autentiseringsmetoden eller metoderna för att bevisa sin identitet. Om de har återställt lösenordet påbörjar de återställningsprocessen.

  • För användare som endast är molnbaserade lagrar SSPR det nya lösenordet i Azure AD.

  • För hybridanvändare skriver SSPR tillbaka lösenordet till den lokala Active Directory via Azure AD Connect-tjänsten.

Obs! För användare som har phs(Password hash synchronization) inaktiverat lagrar SSPR lösenorden endast i den lokala Active Directory.

Bästa praxis

Du kan hjälpa användare att registrera sig snabbt genom att distribuera SSPR tillsammans med ett annat populärt program eller en annan tjänst i organisationen. Den här åtgärden genererar en stor mängd inloggningar och driver registreringen.

Innan du distribuerar SSPR kan du välja att fastställa antalet och den genomsnittliga kostnaden för varje lösenordsåterställningsanrop. Du kan använda den här datainläggsdistributionen för att visa det värde som SSPR ger organisationen.

Kombinerad registrering för SSPR och Azure AD Multi-Factor Authentication

Anteckning

Från och med den 15 augusti 2020 aktiveras alla nya Azure AD klienter automatiskt för kombinerad registrering. Klienter som skapats efter det här datumet kan inte använda de äldre registreringsarbetsflödena. Efter den 30 september 2022 aktiveras alla befintliga Azure AD klienter automatiskt för kombinerad registrering.

Vi rekommenderar att organisationer använder den kombinerade registreringsupplevelsen för Azure AD Multi-Factor Authentication och självbetjäning av lösenordsåterställning (SSPR). Med SSPR kan användarna återställa sitt lösenord på ett säkert sätt med samma metoder som de använder för Azure AD Multi-Factor Authentication. Kombinerad registrering är ett enda steg för slutanvändare. Information om hur du förstår funktionerna och slutanvändarupplevelsen finns i Begreppen för kombinerad registrering av säkerhetsinformation.

Det är viktigt att informera användarna om kommande ändringar, registreringskrav och eventuella nödvändiga användaråtgärder. Vi tillhandahåller kommunikationsmallar och användardokumentation för att förbereda användarna för den nya upplevelsen och för att säkerställa en lyckad distribution. Skicka användare till https://myprofile.microsoft.com för registrering genom att välja länken Säkerhetsinformation på den sidan.

Planera distributionsprojektet

Överväg organisationens behov medan du fastställer strategin för den här distributionen i din miljö.

Kontakta rätt intressenter

När teknikprojekt misslyckas gör de vanligtvis det på grund av felmatchade förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet förstås väl genom att dokumentera intressenterna och deras projektindata och ansvar.

Nödvändiga administratörsroller

Affärsroll/Persona Azure AD roll (om det behövs)
Supportavdelningen på nivå 1 Lösenordsadministratör
Hjälpavdelningen på nivå 2 Användaradministratör
SSPR-administratör Global administratör

Planera en pilot

Vi rekommenderar att den första konfigurationen av SSPR finns i en testmiljö. Börja med en pilotgrupp genom att aktivera SSPR för en delmängd användare i din organisation. Se Metodtips för en pilot.

Om du vill skapa en grupp kan du se hur du skapar en grupp och lägger till medlemmar i Azure Active Directory.

Planera konfiguration

Följande inställningar krävs för att aktivera SSPR tillsammans med rekommenderade värden.

Område Inställning Värde
SSPR-egenskaper Lösenordsåterställning med självbetjäning aktiverat Vald grupp för pilot/ Alla för produktion
Autentiseringsmetoder Autentiseringsmetoder som krävs för att registrera Alltid 1 mer än vad som krävs för återställning
Autentiseringsmetoder som krävs för återställning En eller två
Registrering Kräv att användare registrerar sig vid inloggning Yes
Antal dagar innan användare uppmanas att bekräfta sin autentiseringsinformation 90 – 180 dagar
Aviseringar Meddela användare om lösenordsåterställning Yes
Meddela alla administratörer när andra administratörer återställer sina lösenord Yes
Anpassning Anpassa helpdesk-länk Yes
Anpassad e-postadress eller URL för supportavdelningen Supportwebbplats eller e-postadress
Lokal integration Skriva tillbaka lösenord till lokal AD Yes
Tillåt användare att låsa upp konto utan att återställa lösenord Yes

SSPR-egenskaper

När du aktiverar SSPR väljer du en lämplig säkerhetsgrupp i pilotmiljön.

  • För att framtvinga SSPR-registrering för alla rekommenderar vi att du använder alternativet Alla .
  • Annars väljer du lämplig Azure AD eller AD-säkerhetsgrupp.

Autentiseringsmetoder

När SSPR är aktiverat kan användarna bara återställa sitt lösenord om de har data i de autentiseringsmetoder som administratören har aktiverat. Metoder inkluderar telefon, Authenticator-appavisering, säkerhetsfrågor osv. Mer information finns i Vad är autentiseringsmetoder?.

Vi rekommenderar följande inställningar för autentiseringsmetod:

  • Ange de autentiseringsmetoder som krävs för att registrera till minst en mer än det antal som krävs för att återställa. Att tillåta flera autentiseringar ger användarna flexibilitet när de behöver återställa.

  • Ange Antal metoder som krävs för att återställa till en nivå som är lämplig för din organisation. En kräver minst friktion, medan två kan öka din säkerhetsstatus.

Obs! Användaren måste ha autentiseringsmetoderna konfigurerade i lösenordsprinciperna och begränsningarna i Azure Active Directory.

Registreringsinställningar

Ange Kräv att användare registrerar sig när de loggar in påJa. Den här inställningen kräver att användarna registrerar sig när de loggar in, vilket säkerställer att alla användare skyddas.

Ange Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation på mellan 90 och 180 dagar, såvida inte din organisation har ett affärsbehov för en kortare tidsram.

Inställningar för meddelanden

Konfigurera både Meddela användare vid lösenordsåterställning och Meddela alla administratörer när andra administratörer återställer sitt lösenord till Ja. Om du väljer Ja på båda ökar säkerheten genom att se till att användarna är medvetna när deras lösenord återställs. Det säkerställer också att alla administratörer är medvetna när en administratör ändrar ett lösenord. Om användare eller administratörer får ett meddelande och inte har initierat ändringen kan de omedelbart rapportera ett potentiellt säkerhetsproblem.

Anteckning

Email meddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:

  • Offentlig: msonlineservicesteam@microsoft.com
  • Kina: msonlineservicesteam@oe.21vianet.com
  • Myndigheter: msonlineservicesteam@azureadnotifications.us Om du ser problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.

Anpassningsinställningar

Det är viktigt att anpassa supportavdelningens e-post eller URL för att säkerställa att användare som upplever problem kan få hjälp omedelbart. Ange det här alternativet till en vanlig e-postadress eller webbsida för supportavdelningen som användarna är bekanta med.

Mer information finns i Anpassa Azure AD funktioner för lösenordsåterställning med självbetjäning.

Tillbakaskrivning av lösenord

Tillbakaskrivning av lösenord aktiveras med Azure AD Anslut och skriver tillbaka lösenordsåterställning i molnet till en befintlig lokal katalog i realtid. Mer information finns i Vad är tillbakaskrivning av lösenord?

Vi rekommenderar följande inställningar:

  • Kontrollera att Skriv tillbaka lösenord till lokal AD är inställt på Ja.
  • Ange Tillåt användare att låsa upp kontot utan att återställa lösenordet till Ja.

Som standard låser Azure AD upp konton när en lösenordsåterställning utförs.

Inställning för administratörslösenord

Administratörskonton har utökade behörigheter. Lokala företags- eller domänadministratörer kan inte återställa sina lösenord via SSPR. Lokala administratörskonton har följande begränsningar:

  • kan bara ändra sina lösenord i den lokala miljön.
  • kan aldrig använda hemliga frågor och svar som en metod för att återställa sitt lösenord.

Vi rekommenderar att du inte synkroniserar dina lokala Active Directory-administratörskonton med Azure AD.

Miljöer med flera identitetshanteringssystem

Vissa miljöer har flera identitetshanteringssystem. Lokala identitetshanterare som Oracle AM och SiteMinder kräver synkronisering med AD för lösenord. Du kan göra detta med hjälp av ett verktyg som Tjänsten för meddelande om lösenordsändring (PCNS) med Microsoft Identity Manager (MIM). Information om det här mer komplexa scenariot finns i artikeln Distribuera MIM-tjänsten för meddelande om lösenordsändring på en domänkontrollant.

Planera testning och support

I varje steg i distributionen från inledande pilotgrupper via hela organisationen ser du till att resultaten är som förväntat.

Planera testning

Planera en uppsättning testfall för att verifiera implementeringen för att säkerställa att distributionen fungerar som förväntat. För att utvärdera testfallen behöver du en testanvändare som inte är administratör med ett lösenord. Om du behöver skapa en användare kan du läsa Lägga till nya användare i Azure Active Directory.

Följande tabell innehåller användbara testscenarier som du kan använda för att dokumentera organisationens förväntade resultat baserat på dina principer.

Affärsfall Förväntat resultat
SSPR-portalen är tillgänglig inifrån företagsnätverket Bestäms av din organisation
SSPR-portalen är tillgänglig utanför företagsnätverket Bestäms av din organisation
Återställa användarlösenord från webbläsare när användaren inte är aktiverad för lösenordsåterställning Användaren kan inte komma åt flödet för lösenordsåterställning
Återställa användarlösenord från webbläsaren när användaren inte har registrerat sig för lösenordsåterställning Användaren kan inte komma åt flödet för lösenordsåterställning
Användaren loggar in när de framtvingas för registrering av lösenordsåterställning Uppmanar användaren att registrera säkerhetsinformation
Användaren loggar in när registreringen av lösenordsåterställning har slutförts Uppmanar användaren att registrera säkerhetsinformation
SSPR-portalen är tillgänglig när användaren inte har någon licens Är tillgänglig
Återställa användarlösenord från Windows 10 Azure AD ansluten eller hybrid Azure AD ansluten enhetslåsskärm Användaren kan återställa lösenordet
SSPR-registrering och användningsdata är tillgängliga för administratörer nästan i realtid Är tillgänglig via granskningsloggar

Du kan också läsa Slutför en Azure AD pilotlansering av lösenordsåterställning med självbetjäning. I den här självstudien aktiverar du en pilotlansering av SSPR i din organisation och testar med ett konto som inte är administratör.

Planera support

Även om SSPR vanligtvis inte skapar användarproblem är det viktigt att förbereda supportpersonalen för att hantera problem som kan uppstå. Även om en administratör kan återställa lösenordet för slutanvändare via Azure AD-portalen är det bättre att lösa problemet via en självbetjäningssupportprocess.

Om du vill göra supportteamet framgångsrikt kan du skapa vanliga frågor och svar baserat på frågor som du får från dina användare. Några exempel:

Scenarier Beskrivning
Användaren har inga registrerade autentiseringsmetoder tillgängliga En användare försöker återställa sitt lösenord men har inte någon av de autentiseringsmetoder som de registrerade tillgängliga (exempel: de lämnade sin mobiltelefon hemma och kan inte komma åt e-post)
Användaren får inget sms eller samtal på sitt kontor eller sin mobiltelefon En användare försöker verifiera sin identitet via sms eller samtal men får inget sms/samtal.
Användaren kan inte komma åt portalen för lösenordsåterställning En användare vill återställa sitt lösenord men är inte aktiverad för lösenordsåterställning och kan inte komma åt sidan för att uppdatera lösenord.
Användaren kan inte ange ett nytt lösenord En användare slutför verifieringen under lösenordsåterställningsflödet men kan inte ange ett nytt lösenord.
Användaren ser inte länken Återställ lösenord på en Windows 10 enhet En användare försöker återställa lösenord från Windows 10 låsskärm, men enheten är antingen inte ansluten till Azure AD eller så är inte Enhetsprincipen för Microsoft Endpoint Manager aktiverad

Planåterställning

Så här återställer du distributionen:

  • för en enskild användare tar du bort användaren från säkerhetsgruppen

  • för en grupp tar du bort gruppen från SSPR-konfigurationen

  • Inaktivera SSPR för Azure AD klientorganisation för alla

Distribuera SSPR

Kontrollera att du har gjort följande innan du distribuerar:

  1. Fastställde lämpliga konfigurationsinställningar.

  2. Identifierade användare och grupper för pilot - och produktionsmiljöerna.

  3. Konfigurationsinställningar för registrering och självbetjäning fastställdes.

  4. Konfigurerad tillbakaskrivning av lösenord om du har en hybridmiljö.

Nu är du redo att distribuera SSPR!

Se Aktivera självbetjäning av lösenordsåterställning för fullständiga stegvisa anvisningar om hur du konfigurerar följande områden.

  1. Autentiseringsmetoder

  2. Registreringsinställningar

  3. Inställningar för meddelanden

  4. Anpassningsinställningar

  5. Lokal integration

Aktivera SSPR i Windows

För datorer som kör Windows 7, 8, 8.1 och 10 kan du göra det möjligt för användare att återställa sina lösenord på Windows-inloggningsskärmen

Hantera SSPR

Azure AD kan ge ytterligare information om dina SSPR-prestanda via granskningar och rapporter.

Aktivitetsrapporter för lösenordshantering

Du kan använda färdiga rapporter på Azure Portal för att mäta SSPR-prestanda. Om du har rätt licens kan du också skapa anpassade frågor. Mer information finns i Rapporteringsalternativ för Azure AD lösenordshantering

Anteckning

Du måste vara global administratör och du måste anmäla dig för att dessa data ska samlas in för din organisation. Om du vill anmäla dig måste du gå till fliken Rapportering eller granskningsloggarna på Azure-portalen minst en gång. Fram till dess samlar inte data in för din organisation.

Granskningsloggar för registrering och lösenordsåterställning är tillgängliga i 30 dagar. Om säkerhetsgranskning inom företaget kräver längre kvarhållning måste loggarna exporteras och användas i ett SIEM-verktyg som Microsoft Sentinel, Splunk eller ArcSight.

Skärmbild av SSPR-rapportering

Autentiseringsmetoder – Användning och insikter

Med användning och insikter kan du förstå hur autentiseringsmetoder för funktioner som Azure AD MFA och SSPR fungerar i din organisation. Den här rapporteringsfunktionen ger din organisation möjlighet att förstå vilka metoder som registreras och hur de används.

Felsöka

Användbar dokumentation

Nästa steg