Aktivera självbetjäning av lösenordsåterställning i Microsoft Entra på Windows-inloggningsskärmen

  • Artikel

Självbetjäning av lösenordsåterställning (SSPR) ger användare i Microsoft Entra-ID möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang. Normalt öppnar användarna en webbläsare på en annan enhet för att få åtkomst till SSPR-portalen. För att förbättra upplevelsen på datorer som kör Windows 7, 8, 8.1, 10 och 11 kan du göra det möjligt för användare att återställa sitt lösenord på Windows-inloggningsskärmen.

Example Windows login screens with SSPR link shown

Viktigt!

Den här självstudien visar en administratör hur du aktiverar SSPR för Windows-enheter i ett företag.

Om IT-teamet inte har aktiverat möjligheten att använda SSPR från din Windows-enhet eller om du har problem vid inloggningen kontaktar du supportavdelningen för ytterligare hjälp.

Allmänna begränsningar

Följande begränsningar gäller för användning av SSPR från Windows-inloggningsskärmen:

  • Lösenordsåterställning stöds för närvarande inte från ett fjärrskrivbord eller från utökade Hyper-V-sessioner.
  • Vissa tredjepartsleverantörer av autentiseringsuppgifter är kända för att orsaka problem med den här funktionen.
  • Att inaktivera UAC via ändring av EnableLUA-registernyckeln är känt för att orsaka problem.
  • Den här funktionen fungerar inte för nätverk med 802.1x-nätverksautentisering distribuerad och alternativet "Utför omedelbart innan användaren loggar in". För nätverk med 802.1x-nätverksautentisering distribuerad rekommenderar vi att du använder datorautentisering för att aktivera den här funktionen.
  • Microsoft Entra-hybridanslutna datorer måste ha en nätverksanslutningslinje till en domänkontrollant för att kunna använda det nya lösenordet och uppdatera cachelagrade autentiseringsuppgifter. Det innebär att enheterna antingen måste finnas i organisationens interna nätverk eller på ett VPN med nätverksåtkomst till en lokal domänkontrollant.
  • Om du använder en avbildning innan du kör sysprep kontrollerar du att webbcachen rensas för den inbyggda administratören innan du utför steget CopyProfile. Mer information om det här steget finns i supportartikeln Prestanda dålig när du använder anpassad standardanvändarprofil.
  • Följande inställningar är kända för att störa möjligheten att använda och återställa lösenord på Windows 10-enheter:
    • Om aviseringar på låsskärmen är inaktiverade fungerar inte återställningslösenordet .
    • HideFastUserSwitching är inställt på aktiverat eller 1
    • DontDisplayLastUserName är inställt på aktiverat eller 1
    • NoLockScreen är inställt på aktiverat eller 1
    • BlockNonAdminUserInstall är inställt på aktiverat eller 1
    • EnableLostMode har angetts på enheten
    • Explorer.exe har ersatts med ett anpassat gränssnitt
    • Interaktiv inloggning: Kräv att smartkortet är inställt på aktiverat eller 1
  • Kombinationen av följande specifika tre inställningar kan göra att den här funktionen inte fungerar.
    • Interaktiv inloggning: Kräver inte CTRL+ALT+DEL = Inaktiverad (endast för Windows 10 version 1710 och tidigare)
    • DisableLockScreenAppNotifications = 1 eller Aktiverad
    • Windows SKU är Home Edition

Kommentar

Dessa begränsningar gäller även för Windows Hello för företag PIN-kodsåterställning från enhetens låsskärm.

Lösenordsåterställning för Windows 11 och Windows 10

Om du vill konfigurera en Windows 11- eller Windows 10-enhet för SSPR på inloggningsskärmen läser du följande krav och konfigurationssteg.

Krav för Windows 11 och Windows 10

Aktivera för Windows 11 och Windows 10 med Microsoft Intune

Att distribuera konfigurationsändringen för att aktivera SSPR från inloggningsskärmen med Microsoft Intune är den mest flexibla metoden. Med Microsoft Intune kan du distribuera konfigurationsändringen till en specifik grupp datorer som du definierar. Den här metoden kräver Microsoft Intune-registrering av enheten.

Skapa en enhetskonfigurationsprincip i Microsoft Intune

  1. Logga in på administrationscentret för Microsoft Intune.

  2. Skapa en ny enhetskonfigurationsprofil genom att gå till Enhetskonfigurationsprofiler> och sedan välja + Skapa profil

    • För Plattform väljer du Windows 10 och senare
    • För Profiltyp väljer du Mallar och väljer sedan den anpassade mallen nedan

  3. Välj Skapa och ange sedan ett beskrivande namn för profilen, till exempel Windows 11-inloggningsskärmens SSPR

    Du kan också ange en beskrivande beskrivning av profilen och sedan välja Nästa.

  4. Under Konfigurationsinställningar väljer du Lägg till och anger följande OMA-URI-inställning för att aktivera länken för återställning av lösenord:

    • Ange ett beskrivande namn för att förklara vad inställningen gör, till exempel länken Lägg till SSPR.
    • Du kan också ange en beskrivande beskrivning av inställningen.
    • OMA-URI inställt på ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Datatyp inställt på Integer
    • Värde inställt på 1

    Välj Lägg till och sedan Nästa.

  5. Principen kan tilldelas till specifika användare, enheter eller grupper. Tilldela profilen efter behov för din miljö, helst till en testgrupp med enheter först och välj sedan Nästa.

    Mer information finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.

  6. Konfigurera tillämplighetsregler som du vill för din miljö, till exempel tilldela profil om OS-utgåvan är Windows 10 Enterprise och välj sedan Nästa.

  7. Granska din profil och välj sedan Skapa.

Aktivera för Windows 11 och Windows 10 med hjälp av registret

Utför följande steg för att aktivera SSPR på inloggningsskärmen med hjälp av en registernyckel:

  1. Logga in på Windows-datorn med administrativa autentiseringsuppgifter.

  2. Tryck på Windows + R för att öppna dialogrutan Kör och kör sedan regedit som administratör

  3. Ange följande registernyckel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Felsöka lösenordsåterställning för Windows 11 och Windows 10

Om du har problem med att använda SSPR från Windows-inloggningsskärmen innehåller Microsoft Entra-granskningsloggen information om IP-adressen och ClientType där lösenordsåterställningen inträffade, enligt följande exempelutdata:

Example Windows 7 password reset in the Microsoft Entra audit log

När användarna återställer sitt lösenord från inloggningsskärmen på en Windows 11- eller 10-enhet skapas ett tillfälligt konto med låg behörighet som heter defaultuser1 . Det här kontot används för att skydda processen för lösenordsåterställning.

Själva kontot har ett slumpmässigt genererat lösenord, som verifieras mot en lösenordsprincip för organisationer, visas inte för enhetsinloggning och tas automatiskt bort när användaren har återställt sitt lösenord. Flera defaultuser profiler kan finnas men kan ignoreras på ett säkert sätt.

Proxykonfigurationer för windows-lösenordsåterställning

Under lösenordsåterställningen skapar SSPR ett tillfälligt lokalt användarkonto för att ansluta till https://passwordreset.microsoftonline.com/n/passwordreset. När en proxy har konfigurerats för användarautentisering kan det misslyckas med felet "Något gick fel. Försök igen senare." Det beror på att det lokala användarkontot inte har behörighet att använda den autentiserade proxyn.

I det här fallet kan du använda någon av följande lösningar:

  • Konfigurera en datoromfattande proxyinställning som inte är beroende av vilken typ av användare som är inloggad på datorn. Du kan till exempel aktivera grupprincipen Gör proxyinställningar per dator (i stället för per användare) för arbetsstationerna.

  • Du kan också använda proxykonfiguration per användare för SSPR om du ändrar registermallen för standardkontot. Kommandona är följande:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Felet "Något gick fel" kan också inträffa när något avbryter anslutningen till URL: en https://passwordreset.microsoftonline.com/n/passwordreset. Det här felet kan till exempel inträffa när antivirusprogram körs på arbetsstationen utan undantag för URL:er passwordreset.microsoftonline.com, ajax.aspnetcdn.comoch ocsp.digicert.com. Inaktivera den här programvaran tillfälligt för att testa om problemet är löst eller inte.

Lösenordsåterställning för Windows 7, 8 och 8.1

Om du vill konfigurera en Windows 7-, 8- eller 8.1-enhet för SSPR på inloggningsskärmen läser du följande krav och konfigurationssteg.

Krav för Windows 7, 8 och 8.1

Varning

TLS 1.2 måste vara aktiverat, inte bara inställt på automatisk förhandling.

Installera

För Windows 7, 8 och 8.1 måste en liten komponent installeras på datorn för att aktivera SSPR på inloggningsskärmen. Utför följande steg för att installera den här SSPR-komponenten:

  1. Ladda ned rätt installationsprogram för den version av Windows som du vill aktivera.

    Programinstallationsprogrammet finns i Microsofts nedladdningscenter på https://aka.ms/sspraddin

  2. Logga in på den dator där du vill installera och kör installationsprogrammet.

  3. Efter installationen rekommenderas en omstart.

  4. Efter omstarten väljer du en användare på inloggningsskärmen och väljer "Glömt lösenord?" för att initiera arbetsflödet för lösenordsåterställning.

  5. Slutför arbetsflödet genom att följa stegen på skärmen för att återställa lösenordet.

Example Windows 7 clicked

Tyst installation

SSPR-komponenten kan installeras eller avinstalleras utan att du uppmanas att använda följande kommandon:

  • För tyst installation använder du kommandot "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • För tyst avinstallation använder du kommandot "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Felsöka lösenordsåterställning för Windows 7, 8 och 8.1

Om du har problem med att använda SSPR från Windows-inloggningsskärmen loggas händelser både på datorn och i Microsoft Entra-ID. Microsoft Entra-händelser innehåller information om IP-adressen och ClientType där lösenordsåterställningen inträffade, enligt följande exempelutdata:

Example Windows 7 password reset in the Microsoft Entra audit log

Om ytterligare loggning krävs kan en registernyckel på datorn ändras för att aktivera utförlig loggning. Aktivera utförlig loggning i felsökningssyfte endast med hjälp av följande registernyckelvärde:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Om du vill aktivera utförlig loggning skapar du en REG_DWORD: "EnableLogging"och anger den till 1.
  • Om du vill inaktivera utförlig loggning ändrar du REG_DWORD: "EnableLogging" till 0.
  • Granska felsökningsloggningen i programhändelseloggen under källan AADPasswordResetCredentialProvider.

Vad ser användarna

Vilka ändringar har gjorts för användaren när SSPR har konfigurerats för dina Windows-enheter? Hur vet de att de kan återställa sitt lösenord på inloggningsskärmen? Följande exempelskärmskärmar visar de ytterligare alternativen för en användare att återställa sitt lösenord med SSPR:

Example Windows 7 and 10 login screens with SSPR link shown

När användare försöker logga in ser de länken Återställ lösenord eller Glömt lösenord som öppnar självbetjäning av lösenordsåterställning på inloggningsskärmen. Via den här funktionen kan användarna återställa sina lösenord utan att de behöver använda en annan enhet för att få åtkomst till webbläsaren.

Mer information om hur du använder den här funktionen finns i Återställa ditt arbets- eller skollösenord

Nästa steg

För att förenkla användarregistreringen kan du fylla i kontaktinformationen för användarautentisering i förväg för SSPR.