Självstudie: Gör det möjligt för användare att låsa upp sitt konto eller återställa lösenord via självbetjäning av lösenordsåterställning i Azure Active Directory

Azure Active Directory (Azure AD) självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sina lösenord, utan inblandning av administratör eller supportavdelning. Om Azure AD låser en användares konto eller glömmer sitt lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar samtal till supportavdelningen och förlust av produktivitet när en användare inte kan logga in på sin enhet eller ett program. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Azure AD. Vi har också en video för IT-administratörer om hur du löser de sex vanligaste slutanvändarfelmeddelandena med SSPR.

Viktigt

Den här självstudien visar en administratör hur du aktiverar självbetjäning av lösenordsåterställning. Om du är en slutanvändare som redan har registrerats för lösenordsåterställning med självbetjäning och behöver komma tillbaka till ditt konto går du till sidan för lösenordsåterställning i Microsoft Online .

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

I den här guiden får du lära du dig hur man:

  • Aktivera självbetjäning av lösenordsåterställning för en grupp Azure AD-användare
  • Konfigurera autentiseringsmetoder och registreringsalternativ
  • Testa SSPR-processen som en användare

Videosjälvstudie

Du kan också följa med i en relaterad video: Så här aktiverar och konfigurerar du SSPR i Azure AD.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

  • En fungerande Azure AD-klientorganisation med minst en kostnadsfri licens eller utvärderingslicens för Azure AD aktiverad. På den kostnadsfria nivån fungerar SSPR endast för molnanvändare i Azure AD. Lösenordsändring stöds på den kostnadsfria nivån, men återställning av lösenord är inte det.
    • För senare självstudier i den här serien behöver du en Azure AD Premium P1- eller utvärderingslicens för tillbakaskrivning av lokala lösenord.
    • Skapa ett Azure-konto kostnadsfritt om det behövs.
  • Ett konto med behörighet som global administratör .
  • En icke-administratörsanvändare med ett lösenord som du känner till, till exempel testuser. Du testar slutanvändarens SSPR-upplevelse med det här kontot i den här självstudien.
  • En grupp som icke-administratörsanvändaren är medlem i, till exempel SSPR-Test-Group. Du aktiverar SSPR för den här gruppen i den här självstudien.

Aktivera lösenordsåterställning via självbetjäning

Med Azure AD kan du aktivera SSPR för Inga, Valda eller Alla användare. Med den här detaljerade funktionen kan du välja en delmängd av användarna för att testa registreringsprocessen och arbetsflödet för SSPR. När du är nöjd med processen och tiden är rätt att kommunicera kraven med en bredare uppsättning användare kan du välja en grupp användare som ska aktiveras för SSPR. Eller så kan du aktivera SSPR för alla i Azure AD-klientorganisationen.

Anteckning

För närvarande kan du bara aktivera en Azure AD-grupp för SSPR med hjälp av Azure-portalen. Som en del av en bredare distribution av SSPR stöder Azure AD kapslade grupper.

I den här självstudien konfigurerar du SSPR för en uppsättning användare i en testgrupp. Använd SSPR-Test-Group och ange din egen Azure AD-grupp efter behov:

  1. Logga in på Azure-portalen med ett konto med behörigheter som global administratör .

  2. Sök efter och välj Azure Active Directory och välj sedan Lösenordsåterställning på menyn till vänster.

  3. På sidan Egenskaper går du till alternativet Lösenordsåterställning via självbetjäning aktiverat och väljer Valda.

  4. Om din grupp inte visas väljer du Inga grupper valda, bläddrar efter och väljer din Azure AD-grupp, t.ex. SSPR-Test-Group, och väljer sedan Välj.

    Select a group in the Azure portal to enable for self-service password reset

  5. Om du vill aktivera SSPR för de utvalda användarna väljer du Spara.

Välj autentiseringsmetoder och registreringsalternativ

När användare behöver låsa upp sitt konto eller återställa sitt lösenord uppmanas de att ange en annan bekräftelsemetod. Den här extra autentiseringsfaktorn ser till att Azure AD endast har slutfört godkända SSPR-händelser. Du kan välja vilka autentiseringsmetoder som ska tillåtas, baserat på den registreringsinformation som användaren tillhandahåller.

  1. På menyn till vänster på sidan Autentiseringsmetoder anger du Antal metoder som krävs för att återställa till2.

    För att förbättra säkerheten kan du öka antalet autentiseringsmetoder som krävs för SSPR.

  2. Välj de metoder som är tillgängliga för användare som din organisation vill tillåta. I den här självstudien markerar du kryssrutorna för att aktivera följande metoder:

    • Avisering om mobilapp
    • Kod för mobilapp
    • E-post
    • Mobiltelefon

    Du kan aktivera andra autentiseringsmetoder, till exempel Office-telefon eller säkerhetsfrågor, efter behov för att passa dina affärsbehov.

  3. Om du vill tillämpa autentiseringsmetoderna väljer du Spara.

Innan användarna kan låsa upp sitt konto eller återställa ett lösenord måste de registrera sina kontaktuppgifter. Azure AD använder den här kontaktinformationen för de olika autentiseringsmetoder som konfigurerats i föregående steg.

En administratör kan ange den här kontaktinformationen manuellt, eller så kan användarna gå till en registreringsportal för att själva ange informationen. I den här självstudien konfigurerar du Azure AD för att uppmana användarna att registrera sig nästa gång de loggar in.

  1. På menyn till vänster på sidan Registrering väljer du Ja för Kräv att användare registrerar sig vid inloggning.

  2. Ställ in Antal dagar innan användare uppmanas att bekräfta sin autentiseringsinformation180.

    Det är viktigt att hålla kontaktinformationen uppdaterad. Om det finns inaktuell kontaktinformation när en SSPR-händelse startar kanske användaren inte kan låsa upp sitt konto eller återställa sitt lösenord.

  3. Om du vill tillämpa registreringsinställningarna väljer du Spara.

Konfigurera meddelanden och anpassningar

Om du vill hålla användarna informerade om kontoaktiviteten kan du konfigurera Azure AD för att skicka e-postaviseringar när en SSPR-händelse inträffar. Dessa meddelanden kan omfatta både vanliga användarkonton och administratörskonton. För administratörskonton ger det här meddelandet ytterligare ett lager av medvetenhet när ett lösenord för privilegierat administratörskonto återställs med hjälp av SSPR. Azure AD meddelar alla globala administratörer när någon använder SSPR på ett administratörskonto.

  1. På menyn till vänster på sidan Meddelanden konfigurerar du följande alternativ:

    • Ställ in Alternativet Meddela användare om lösenordsåterställning? påJa.
    • Ställ in Meddela alla administratörer när andra administratörer återställer sitt lösenord? till Ja.
  2. Om du vill tillämpa meddelandeinställningarna väljer du Spara.

Om användarna behöver mer hjälp med SSPR-processen kan du anpassa länken "Kontakta administratören". Användaren kan välja den här länken i SSPR-registreringsprocessen och när de låser upp sitt konto eller återställer sitt lösenord. För att se till att användarna får den support som behövs rekommenderar vi att du anger en anpassad e-postadress eller URL för supportavdelningen.

  1. På menyn till vänster på sidan Anpassning anger du Länken Anpassa supportavdelning till Ja.
  2. I fältet Anpassad supportavdelnings e-postadress eller URL anger du en e-postadress eller webbadress där användarna kan få mer hjälp från din organisation, t.ex. https://support.contoso.com/
  3. Om du vill använda den anpassade länken väljer du Spara.

Testa självåterställning av lösenord

När SSPR är aktiverat och konfigurerat testar du SSPR-processen med en användare som ingår i den grupp som du valde i föregående avsnitt, till exempel Test-SSPR-Group. I följande exempel används testuser-kontot . Ange ditt eget användarkonto. Det är en del av den grupp som du aktiverade för SSPR i det första avsnittet i den här självstudien.

Anteckning

När du testar självbetjäning av lösenordsåterställning använder du ett konto som inte är administratör. Som standard aktiverar Azure AD självbetjäning av lösenordsåterställning för administratörer. De måste använda två autentiseringsmetoder för att återställa sitt lösenord. Mer information finns i Skillnader i principer för administratörsåterställning.

  1. Om du vill se den manuella registreringsprocessen öppnar du ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och bläddrar till https://aka.ms/ssprsetup. Azure AD dirigerar användarna till den här registreringsportalen när de loggar in nästa gång.

  2. Logga in med en testanvändare som inte är administratör, till exempel testanvändare, och registrera dina autentiseringsmetoders kontaktinformation.

  3. När du är klar väljer du knappen Som är markerad Ser bra ut och stänger webbläsarfönstret.

  4. Öppna ett nytt webbläsarfönster i InPrivate- eller inkognitoläge och gå till https://aka.ms/sspr.

  5. Ange testanvändarkontoinformation som inte är administratör, till exempel testuser, tecknen från CAPTCHA och välj sedan Nästa.

    Enter user account information to reset the password

  6. Följ verifieringsstegen för att återställa lösenordet. När du är klar får du ett e-postmeddelande om att lösenordet har återställts.

Rensa resurser

I en senare självstudie i den här serien konfigurerar du tillbakaskrivning av lösenord. Den här funktionen skriver tillbaka lösenordsändringar från Azure AD SSPR till en lokal AD-miljö. Om du vill fortsätta med den här självstudieserien för att konfigurera tillbakaskrivning av lösenord ska du inte inaktivera SSPR nu.

Om du inte längre vill använda de SSPR-funktioner som du har konfigurerat som en del av den här självstudien anger du SSPR-statusen till Ingen med hjälp av följande steg:

  1. Logga in på Azure-portalen.
  2. Sök efter och välj Azure Active Directory och välj sedan Lösenordsåterställning på menyn till vänster.
  3. På sidan Egenskaper går du till alternativet Självbetjäning av lösenordsåterställning aktiverat och väljer Ingen.
  4. Om du vill tillämpa SSPR-ändringen väljer du Spara.

Vanliga frågor och svar

Det här avsnittet beskriver vanliga frågor från administratörer och slutanvändare som provar SSPR:

  • Varför väntar federerade användare upp till 2 minuter efter att de ser Att lösenordet har återställts innan de kan använda lösenord som synkroniseras lokalt?

    För federerade användare vars lösenord synkroniseras är källan till auktoriteten för lösenorden lokal. Därför uppdaterar SSPR endast de lokala lösenorden. Synkronisering av lösenordshash tillbaka till Azure AD schemaläggs var 2:e minut.

  • När en nyskapad användare som är förifylld med SSPR-data, till exempel telefon och e-post, besöker SSPR-registreringssidan visas Inte åtkomsten till ditt konto! som rubrik på sidan. Varför ser inte andra användare som har SSPR-data i förväg meddelandet?

    En användare som ser Förlora inte åtkomst till ditt konto! är medlem i SSPR/kombinerade registreringsgrupper som har konfigurerats för klientorganisationen. Användare som inte ser Förlora inte åtkomst till ditt konto! ingick inte i SSPR/kombinerade registreringsgrupper.

  • När vissa användare går igenom SSPR-processen och återställer sitt lösenord, varför ser de inte indikatorn för lösenordsstyrka?

    Användare som inte ser svag/stark lösenordsstyrka har synkroniserat tillbakaskrivning av lösenord aktiverat. Eftersom SSPR inte kan fastställa lösenordsprincipen för kundens lokala miljö kan den inte verifiera lösenordsstyrkan eller svagheten.

Nästa steg

I den här självstudien har du aktiverat självbetjäning av lösenordsåterställning i Azure AD för en vald grupp användare. Du har lärt dig att:

  • Aktivera självbetjäning av lösenordsåterställning för en grupp Azure AD-användare
  • Konfigurera autentiseringsmetoder och registreringsalternativ
  • Testa SSPR-processen som användare