Självstudie: Gör det möjligt för användare att låsa upp sitt konto eller återställa lösenord via självbetjäning av lösenordsåterställning i Microsoft Entra

Microsoft Entra-självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang. Om Microsoft Entra-ID låser en användares konto eller om de glömmer sitt lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID. Vi har också en video för IT-administratörer om hur du löser de sex vanligaste slutanvändarfelmeddelandena med SSPR.

Viktigt!

Den här självstudien visar en administratör hur du aktiverar självbetjäning av lösenordsåterställning. Om du är en slutanvändare som redan är registrerad för lösenordsåterställning med självbetjäning och behöver komma tillbaka till ditt konto går du till sidan för lösenordsåterställning i Microsoft Online.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

I den här självstudiekursen får du lära du dig att:

• Aktivera lösenordsåterställning med självbetjäning för en grupp Microsoft Entra-användare
• Konfigurera autentiseringsmetoder och registreringsalternativ
• Testa SSPR-processen som användare

Viktigt!

I mars 2023 tillkännagav vi utfasningen av hantering av autentiseringsmetoder i äldre principer för multifaktorautentisering och självbetjäning av lösenordsåterställning (SSPR). Från och med den 30 september 2024 kan autentiseringsmetoder inte hanteras i dessa äldre MFA- och SSPR-principer. Vi rekommenderar att kunderna använder den manuella migreringskontrollen för att migrera till principen Autentiseringsmetoder efter utfasningsdatumet.

Videosjälvstudie

Du kan också följa med i en relaterad video: Så här aktiverar och konfigurerar du SSPR i Microsoft Entra-ID.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En fungerande Microsoft Entra-klientorganisation med minst en kostnadsfri licens för Microsoft Entra-ID eller en utvärderingslicens aktiverad. På den kostnadsfria nivån fungerar SSPR endast för molnanvändare i Microsoft Entra-ID. Lösenordsändring stöds på den kostnadsfria nivån, men lösenordsåterställning är inte det.
  • För senare självstudier i den här serien behöver du en Microsoft Entra ID P1- eller utvärderingslicens för lokal tillbakaskrivning av lösenord.
  • Skapa ett Azure-konto kostnadsfritt om det behövs.
• Ett konto med behörigheten Global administratör eller autentiseringsprincipadministratör .
• En icke-administratörsanvändare med ett lösenord som du känner till, till exempel testuser. Du testar slutanvändarens SSPR-upplevelse med det här kontot i den här självstudien.
  • Om du behöver skapa en användare kan du läsa Snabbstart: Lägga till nya användare i Microsoft Entra-ID.
• En grupp som användaren som inte är administratör är medlem i, till exempel SSPR-Test-Group. Du aktiverar SSPR för den här gruppen i den här självstudien.
  • Om du behöver skapa en grupp kan du läsa Skapa en grundläggande grupp och lägga till medlemmar med hjälp av Microsoft Entra-ID.

Aktivera lösenordsåterställning via självbetjäning

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med Microsoft Entra-ID kan du aktivera SSPR för Ingen, Vald eller Alla användare. Med den här detaljerade funktionen kan du välja en delmängd användare för att testa SSPR-registreringsprocessen och arbetsflödet. När du är nöjd med processen och tiden är rätt att kommunicera kraven med en bredare uppsättning användare kan du välja en grupp användare som ska aktiveras för SSPR. Eller så kan du aktivera SSPR för alla i Microsoft Entra-klientorganisationen.

Kommentar

För närvarande kan du bara aktivera en Microsoft Entra-grupp för SSPR med hjälp av administrationscentret för Microsoft Entra. Som en del av en bredare distribution av SSPR stöder Microsoft Entra ID kapslade grupper.

I den här självstudien konfigurerar du SSPR för en uppsättning användare i en testgrupp. Använd SSPR-Test-Group och ange din egen Microsoft Entra-grupp efter behov:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

2. Bläddra till Skydd>Lösenordsåterställning från menyn till vänster.

3. På sidan Egenskaper går du till alternativet Självbetjäning av lösenordsåterställning aktiverat och väljer Vald.

4. Om din grupp inte visas väljer du Inga grupper valda, bläddrar efter och väljer din Microsoft Entra-grupp, till exempel SSPR-Test-Group, och väljer sedan Välj.

   

5. Om du vill aktivera SSPR för de utvalda användarna väljer du Spara.

Välj autentiseringsmetoder och registreringsalternativ

När användarna behöver låsa upp sitt konto eller återställa sitt lösenord uppmanas de att använda en annan bekräftelsemetod. Den här extra autentiseringsfaktorn säkerställer att Microsoft Entra-ID endast har slutfört godkända SSPR-händelser. Du kan välja vilka autentiseringsmetoder som ska tillåtas, baserat på den registreringsinformation som användaren tillhandahåller.

1. På menyn till vänster på sidan Autentiseringsmetoder anger du Antalet metoder som krävs för att återställa till 2.

   För att förbättra säkerheten kan du öka antalet autentiseringsmetoder som krävs för SSPR.

2. Välj de metoder som är tillgängliga för användare som din organisation vill tillåta. I den här självstudien markerar du kryssrutorna för att aktivera följande metoder:

   • Avisering om mobilapp
   • Mobilappkod
   • E-post
   • Mobiltelefon

   Du kan aktivera andra autentiseringsmetoder, till exempel Office-telefon eller säkerhetsfrågor, efter behov för att passa dina affärsbehov.

3. Om du vill tillämpa autentiseringsmetoderna väljer du Spara.

Innan användarna kan låsa upp sitt konto eller återställa ett lösenord måste de registrera sina kontaktuppgifter. Microsoft Entra ID använder den här kontaktinformationen för de olika autentiseringsmetoder som konfigurerades i föregående steg.

En administratör kan ange den här kontaktinformationen manuellt, eller så kan användarna gå till en registreringsportal för att tillhandahålla själva informationen. I den här självstudien konfigurerar du Microsoft Entra-ID för att uppmana användarna att registrera sig nästa gång de loggar in.

1. På menyn till vänster på sidan Registrering väljer du Ja för Kräv att användare registrerar sig när de loggar in.

2. Ställ in Antal dagar innan användare uppmanas att bekräfta sin autentiseringsinformation på 180.

   Det är viktigt att hålla kontaktinformationen uppdaterad. Om inaktuell kontaktinformation finns när en SSPR-händelse startar kanske användaren inte kan låsa upp sitt konto eller återställa sitt lösenord.

3. Om du vill tillämpa registreringsinställningarna väljer du Spara.

Kommentar

Avbrottet i begäran om att registrera kontaktinformation under inloggningen sker endast om villkoren som konfigurerats för inställningarna uppfylls och endast gäller för användare och administratörskonton som har aktiverats för att återställa lösenord med hjälp av självbetjäningsåterställning av lösenord i Microsoft Entra.

Konfigurera meddelanden och anpassningar

Om du vill hålla användarna informerade om kontoaktivitet kan du konfigurera Microsoft Entra-ID för att skicka e-postaviseringar när en SSPR-händelse inträffar. Dessa meddelanden kan omfatta både vanliga användarkonton och administratörskonton. För administratörskonton ger det här meddelandet ytterligare ett lager av medvetenhet när ett lösenord för privilegierat administratörskonto återställs med hjälp av SSPR. Microsoft Entra-ID meddelar alla globala administratörer när någon använder SSPR på ett administratörskonto.

1. I menyn till vänster på sidan Meddelanden konfigurerar du följande alternativ:

   • Ange Alternativet Meddela användare om lösenordsåterställning till Ja.
   • Ange Meddela alla administratörer när andra administratörer återställer sitt lösenord? till Ja.

2. Om du vill tillämpa meddelandeinställningarna väljer du Spara.

Om användarna behöver mer hjälp med SSPR-processen kan du anpassa länken "Kontakta administratören". Användaren kan välja den här länken i SSPR-registreringsprocessen och när de låser upp sitt konto eller återställer sitt lösenord. För att se till att användarna får den support som behövs rekommenderar vi att du anger en anpassad e-postadress eller URL för supportavdelningen.

1. Från menyn till vänster på sidan Anpassning anger du Länken Anpassa supportavdelning till Ja.
2. I fältet Anpassad support eller URL anger du en e-postadress eller webbadress där användarna kan få mer hjälp från din organisation, t.ex. https://support.contoso.com/
3. Om du vill använda den anpassade länken väljer du Spara.

Testa självåterställning av lösenord

När SSPR är aktiverat och konfigurerat testar du SSPR-processen med en användare som ingår i den grupp som du valde i föregående avsnitt, till exempel Test-SSPR-Group. I följande exempel används testuser-kontot . Ange ditt eget användarkonto. Det är en del av den grupp som du har aktiverat för SSPR i det första avsnittet i den här självstudien.

Kommentar

När du testar lösenordsåterställning med självbetjäning använder du ett konto som inte är administratör. Som standard möjliggör Microsoft Entra-ID självbetjäning av lösenordsåterställning för administratörer. De måste använda två autentiseringsmetoder för att återställa sitt lösenord. Mer information finns i Principskillnader för administratörsåterställning.

1. Om du vill se den manuella registreringsprocessen öppnar du ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddrar till https://aka.ms/ssprsetup. Microsoft Entra-ID dirigerar användare till den här registreringsportalen när de loggar in nästa gång.

2. Logga in med en testanvändare som inte är administratör, till exempel testanvändare, och registrera dina autentiseringsmetoders kontaktinformation.

3. När du är klar väljer du knappen Ser bra ut och stänger webbläsarfönstret.

4. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och gå till https://aka.ms/sspr.

5. Ange dina icke-administratörstestanvändares kontoinformation, till exempel testuser, tecknen från CAPTCHA och välj sedan Nästa.

   

6. Följ verifieringsstegen för att återställa lösenordet. När du är klar får du ett e-postmeddelande om att lösenordet har återställts.

Rensa resurser

I en senare självstudie i den här serien konfigurerar du tillbakaskrivning av lösenord. Den här funktionen skriver tillbaka lösenordsändringar från Microsoft Entra SSPR till en lokal AD-miljö. Om du vill fortsätta med den här självstudieserien för att konfigurera tillbakaskrivning av lösenord ska du inte inaktivera SSPR nu.

Om du inte längre vill använda de SSPR-funktioner som du har konfigurerat som en del av den här självstudien anger du SSPR-status till Ingen med hjälp av följande steg:

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
2. Bläddra till Lösenordsåterställning för skydd>.
3. På sidan Egenskaper går du till alternativet Självbetjäning av lösenordsåterställning aktiverat och väljer Ingen.
4. Om du vill tillämpa SSPR-ändringen väljer du Spara.

Vanliga frågor och svar

I det här avsnittet beskrivs vanliga frågor från administratörer och slutanvändare som provar SSPR:

• Varför visas inte lokala lösenordsprinciper under SSPR?

  För närvarande har Microsoft Entra Anslut och molnsynkronisering inte stöd för att dela information om lösenordsprinciper med molnet. SSPR visar endast information om molnlösenordsprinciper och kan inte visa lokala principer.

• Varför väntar federerade användare upp till 2 minuter efter att de ser Att lösenordet har återställts innan de kan använda lösenord som synkroniseras lokalt?

  För federerade användare vars lösenord synkroniseras är källan till behörigheten för lösenorden lokal. Därför uppdaterar SSPR endast de lokala lösenorden. Synkronisering av lösenordshash tillbaka till Microsoft Entra-ID schemaläggs var 2:e minut.

• När en nyskapad användare som är förifylld med SSPR-data, till exempel telefon och e-post, besöker SSPR-registreringssidan visas Inte åtkomsten till ditt konto! som sidans rubrik. Varför ser inte andra användare som har SSPR-data i förväg meddelandet?

  En användare som ser Förlora inte åtkomsten till ditt konto! är medlem i SSPR/kombinerade registreringsgrupper som har konfigurerats för klientorganisationen. Användare som inte ser Förlora inte åtkomst till ditt konto! ingick inte i SSPR/kombinerade registreringsgrupper.

• När vissa användare går igenom SSPR-processen och återställer sitt lösenord, varför ser de inte indikatorn för lösenordsstyrka?

  Användare som inte ser svag/stark lösenordsstyrka har synkroniserat tillbakaskrivning av lösenord aktiverat. Eftersom SSPR inte kan fastställa lösenordsprincipen för kundens lokala miljö kan den inte verifiera lösenordsstyrkan eller svagheten.

Nästa steg

I den här självstudien aktiverade du självbetjäningsåterställning av lösenord i Microsoft Entra för en vald grupp användare. Du har lärt dig att:

• Aktivera lösenordsåterställning med självbetjäning för en grupp Microsoft Entra-användare
• Konfigurera autentiseringsmetoder och registreringsalternativ
• Testa SSPR-processen som användare

Aktivera Microsoft Entra multifaktorautentisering