Planera en självbetjäningsdistribution av lösenordsåterställning i Microsoft Entra
Viktigt!
Den här distributionsplanen innehåller vägledning och metodtips för att distribuera lösenordsåterställning med Microsoft Entra självbetjäning (SSPR).
Om du är slutanvändare och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.
Självbetjäning av lösenordsåterställning (SSPR) är en Microsoft Entra-funktion som gör det möjligt för användare att återställa sina lösenord utan att kontakta IT-personalen för att få hjälp. Användarna kan snabbt avblockera sig själva och fortsätta arbeta oavsett var de befinner sig eller vilken tid på dagen de befinner sig. Genom att låta de anställda avblockera sig själva kan din organisation minska den icke-produktiva tiden och de höga supportkostnaderna för de vanligaste lösenordsrelaterade problemen.
SSPR har följande viktiga funktioner:
- Med självbetjäning kan slutanvändarna återställa sina utgångna eller icke-utgångna lösenord utan att kontakta en administratör eller supportavdelning för support.
- Tillbakaskrivning av lösenord möjliggör hantering av lokala lösenord och lösning av kontoutelåsning via molnet.
- Rapporter om lösenordshanteringsaktivitet ger administratörer insikter om lösenordsåterställning och registreringsaktivitet som inträffar i organisationen.
Den här distributionsguiden visar hur du planerar och sedan testar en SSPR-distribution.
Om du snabbt vill se SSPR i praktiken och sedan komma tillbaka för att förstå ytterligare distributionsöverväganden:
Dricks
Som ett komplement till den här artikeln rekommenderar vi att du använder distributionsguiden För självbetjäning av lösenordsåterställning när du är inloggad i administrationscentret för Microsoft 365. Den här guiden anpassar din upplevelse baserat på din miljö. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till installationsportalen för M365.
Läs mer om SSPR
Läs mer om SSPR. Se Så här fungerar det: Lösenordsåterställning i Microsoft Entra med självbetjäning.
Viktiga fördelar
De viktigaste fördelarna med att aktivera SSPR är:
Hantera kostnader. SSPR minskar IT-supportkostnaderna genom att göra det möjligt för användare att återställa lösenord på egen hand. Det minskar också kostnaden för förlorad tid på grund av förlorade lösenord och utelåsningar.
Intuitiv användarupplevelse. Det ger en intuitiv engångsregistreringsprocess som gör det möjligt för användare att återställa lösenord och avblockera konton på begäran från valfri enhet eller plats. Med SSPR kan användarna komma tillbaka till arbetet snabbare och vara mer produktiva.
Flexibilitet och säkerhet. SSPR gör det möjligt för företag att få åtkomst till den säkerhet och flexibilitet som en molnplattform tillhandahåller. Administratörer kan ändra inställningarna för att hantera nya säkerhetskrav och distribuera ändringarna till användare utan att störa inloggningen.
Robust granskning och användningsspårning. En organisation kan se till att affärssystemen förblir säkra medan användarna återställer sina egna lösenord. Robusta granskningsloggar innehåller information om varje steg i processen för lösenordsåterställning. Dessa loggar är tillgängliga från ett API och gör det möjligt för användaren att importera data till ett SIEM-system (Security Incident and Event Monitoring).
Licensiering
Microsoft Entra-ID är licensierat per användare, vilket innebär att varje användare kräver en lämplig licens för de funktioner som de använder. Vi rekommenderar gruppbaserad licensiering för SSPR.
Information om hur du jämför utgåvor och funktioner och aktiverar grupp- eller användarbaserad licensiering finns i Licensieringskrav för lösenordsåterställning via Microsoft Entra självbetjäning.
Mer information om priser finns i Microsoft Entra-priser.
Förutsättningar
En fungerande Microsoft Entra-klient med minst en utvärderingslicens aktiverad. Skapa en kostnadsfritt om det behövs.
Ett konto med behörigheter som global administratör.
Guidad genomgång
En guidad genomgång av många av rekommendationerna i den här artikeln finns i guiden Planera distribution av lösenordsåterställning med självbetjäning när du är inloggad i administrationscentret för Microsoft 365. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till installationsportalen för M365.
Utbildningsresurser
Lösningsarkitekturen
I följande exempel beskrivs lösningsarkitekturen för lösenordsåterställning för vanliga hybridmiljöer.
Beskrivning av arbetsflöde
Om du vill återställa lösenordet går användarna till portalen för lösenordsåterställning. De måste verifiera den tidigare registrerade autentiseringsmetoden eller metoderna för att bevisa sin identitet. Om de återställer lösenordet påbörjar de återställningsprocessen.
För användare med endast molnet lagrar SSPR det nya lösenordet i Microsoft Entra-ID.
För hybridanvändare skriver SSPR tillbaka lösenordet till den lokala Active Directory via Microsoft Entra Anslut-tjänsten.
Obs! För användare som har inaktiverat synkronisering av lösenordshash (PHS) lagrar SSPR endast lösenorden i den lokala Active Directory.
Bästa praxis
Du kan hjälpa användare att registrera sig snabbt genom att distribuera SSPR tillsammans med ett annat populärt program eller en annan tjänst i organisationen. Den här åtgärden genererar en stor mängd inloggningar och driver registreringen.
Innan du distribuerar SSPR kan du välja att fastställa antalet och den genomsnittliga kostnaden för varje lösenordsåterställningsanrop. Du kan använda den här datadistributionen för att visa det värde som SSPR tillför organisationen.
Kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering
Med SSPR kan användarna återställa sitt lösenord på ett säkert sätt med samma metoder som de använder för Microsoft Entra multifaktorautentisering. Kombinerad registrering är ett enda registreringssteg för slutanvändare som möjliggör registrering av både MFA- och SSPR-metoder samtidigt. Information om hur du förstår funktionerna och slutanvändarupplevelsen finns i Begreppen för kombinerad säkerhetsinformationsregistrering.
Det är viktigt att informera användarna om kommande ändringar, registreringskrav och eventuella nödvändiga användaråtgärder. Vi tillhandahåller kommunikationsmallar och användardokumentation för att förbereda användarna för den nya upplevelsen och för att säkerställa en lyckad distribution. Skicka användare till https://myprofile.microsoft.com för att registrera sig genom att välja länken Säkerhetsinformation på den sidan.
Planera distributionsprojektet
Tänk på organisationens behov när du fastställer strategin för den här distributionen i din miljö.
Engagera rätt intressenter
När teknikprojekt misslyckas gör de vanligtvis det på grund av felaktiga förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet förstås väl genom att dokumentera intressenterna och deras projektindata och ansvar.
Nödvändiga administratörsroller
| Affärsroll/Persona | Microsoft Entra-roll (om det behövs) |
|---|---|
| Supportavdelningen på nivå 1 | Lösenordsadministratör |
| Supportavdelningen på nivå 2 | Användaradministratör |
| SSPR-administratör | Global administratör |
Planera en pilot
Vi rekommenderar att den första konfigurationen av SSPR finns i en testmiljö. Börja med en pilotgrupp genom att aktivera SSPR för en delmängd användare i din organisation. Se Metodtips för en pilot.
Om du vill skapa en grupp kan du se hur du skapar en grupp och lägger till medlemmar i Microsoft Entra-ID.
Planera konfiguration
Följande inställningar krävs för att aktivera SSPR tillsammans med rekommenderade värden.
| Ytdiagram | Inställning | Värde |
|---|---|---|
| SSPR-egenskaper | Självbetjäning av lösenordsåterställning aktiverat | Vald grupp för pilot/ Alla för produktion |
| Autentiseringsmetoder | Autentiseringsmetoder som krävs för registrering | Alltid 1 mer än vad som krävs för återställning |
| Autentiseringsmetoder som krävs för att återställa | En eller två | |
| Registrering | Kräv att användare registrerar sig vid inloggning | Ja |
| Antal dagar innan användare uppmanas att bekräfta sin autentiseringsinformation | 90–180 dagar | |
| Aviseringar | Meddela användare om lösenordsåterställning | Ja |
| Meddela alla administratörer när andra administratörer återställer sina lösenord | Ja | |
| Anpassning | Anpassa länk till supportavdelningen | Ja |
| Anpassad e-postadress eller webbadress för supportavdelningen | Supportwebbplats eller e-postadress | |
| Lokal integration | Skriva tillbaka lösenord till lokal AD | Ja |
| Tillåt användare att låsa upp konto utan att återställa lösenord | Ja |
SSPR-egenskaper
När du aktiverar SSPR väljer du en lämplig säkerhetsgrupp i pilotmiljön.
- För att framtvinga SSPR-registrering för alla rekommenderar vi att du använder alternativet Alla .
- Annars väljer du lämpligt Microsoft Entra-ID eller AD-säkerhetsgrupp.
Autentiseringsmetoder
När SSPR är aktiverat kan användarna bara återställa sitt lösenord om de har data i de autentiseringsmetoder som administratören har aktiverat. Metoder inkluderar telefon, Authenticator-appavisering, säkerhetsfrågor osv. Mer information finns i Vad är autentiseringsmetoder?.
Vi rekommenderar följande inställningar för autentiseringsmetod:
Ange de autentiseringsmetoder som krävs för att registrera minst ett fler än det antal som krävs för att återställa. Om du tillåter flera autentiseringar får användarna flexibilitet när de behöver återställas.
Ange Antal metoder som krävs för att återställa till en nivå som är lämplig för din organisation. En kräver minst friktion, medan två kan öka din säkerhetsstatus.
Obs! Användaren måste ha autentiseringsmetoderna konfigurerade i lösenordsprinciperna och begränsningarna i Microsoft Entra-ID.
Registreringsinställningar
Ange Kräv att användare registrerar sig när de loggar in på Ja. Den här inställningen kräver att användarna registrerar sig när de loggar in, vilket säkerställer att alla användare är skyddade.
Ange Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation på mellan 90 och 180 dagar, såvida inte din organisation har ett affärsbehov under en kortare tidsperiod.
Aviseringsinställningar
Konfigurera både Meddela användare vid lösenordsåterställning och Meddela alla administratörer när andra administratörer återställer sitt lösenord till Ja. Om du väljer Ja på båda ökar säkerheten genom att se till att användarna är medvetna när deras lösenord återställs. Det säkerställer också att alla administratörer är medvetna när en administratör ändrar ett lösenord. Om användare eller administratörer får ett meddelande och de inte har initierat ändringen kan de omedelbart rapportera ett potentiellt säkerhetsproblem.
Kommentar
E-postmeddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:
- Offentlig: msonlineservicesteam@microsoft.com
- Kina: msonlineservicesteam@oe.21vianet.com
- Regeringen: msonlineservicesteam@azureadnotifications.us
Om du ser problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.
Anpassningsinställningar
Det är viktigt att anpassa supportavdelningens e-post eller URL för att säkerställa att användare som upplever problem kan få hjälp omedelbart. Ange det här alternativet till en vanlig e-postadress eller webbsida för supportavdelningen som användarna är bekanta med.
Mer information finns i Anpassa Microsoft Entra-funktionerna för självbetjäning av lösenordsåterställning.
Tillbakaskrivning av lösenord
Tillbakaskrivning av lösenord aktiveras med Microsoft Entra Anslut och skriver tillbaka lösenordsåterställning i molnet till en befintlig lokal katalog i realtid. Mer information finns i Vad är tillbakaskrivning av lösenord?
Vi rekommenderar följande inställningar:
- Kontrollera att Skriv tillbaka lösenord till lokal AD är inställt på Ja.
- Ange Tillåt användare att låsa upp kontot utan att återställa lösenordet till Ja.
Som standard låser Microsoft Entra ID upp konton när det utför en lösenordsåterställning.
Inställningar för administratörslösenord
Administratörskonton har utökade behörigheter. Det lokala företaget eller domänadministratörerna kan inte återställa sina lösenord via SSPR. Lokala administratörskonton har följande begränsningar:
- Det går bara att ändra lösenordet i den lokala miljön.
- Kan aldrig använda hemliga frågor och svar som en metod för att återställa sitt lösenord.
Vi rekommenderar att du inte synkroniserar dina lokala Active Directory-administratörskonton med Microsoft Entra-ID.
Miljöer med flera identitetshanteringssystem
Vissa miljöer har flera identitetshanteringssystem. Lokala identitetshanterare som Oracle IAM och SiteMinder kräver synkronisering med AD för lösenord. Du kan göra detta med hjälp av ett verktyg som Tjänsten för meddelande om lösenordsändring (PCNS) med Microsoft Identity Manager (MIM). Information om det här mer komplexa scenariot finns i artikeln Distribuera TJÄNSTEN FÖR meddelande om MIM-lösenordsändring på en domänkontrollant.
Planera testning och support
I varje steg i distributionen från inledande pilotgrupper via hela organisationen kontrollerar du att resultaten är som förväntat.
Planera testning
Planera en uppsättning testfall för att verifiera implementeringen för att säkerställa att distributionen fungerar som förväntat. För att utvärdera testfallen behöver du en testanvändare som inte är administratör med ett lösenord. Om du behöver skapa en användare kan du läsa Lägga till nya användare i Microsoft Entra-ID.
Följande tabell innehåller användbara testscenarier som du kan använda för att dokumentera organisationens förväntade resultat baserat på dina principer.
| Företagscase | Förväntat resultat |
|---|---|
| SSPR-portalen är tillgänglig från företagsnätverket | Bestäms av din organisation |
| SSPR-portalen är tillgänglig utanför företagsnätverket | Bestäms av din organisation |
| Återställa användarlösenord från webbläsaren när användaren inte är aktiverad för lösenordsåterställning | Användaren kan inte komma åt flödet för lösenordsåterställning |
| Återställa användarlösenord från webbläsaren när användaren inte har registrerat sig för lösenordsåterställning | Användaren kan inte komma åt flödet för lösenordsåterställning |
| Användare loggar in när de tillämpas för att göra registrering för lösenordsåterställning | Uppmanar användaren att registrera säkerhetsinformation |
| Användaren loggar in när registreringen av lösenordsåterställning är klar | Uppmanar användaren att registrera säkerhetsinformation |
| SSPR-portalen är tillgänglig när användaren inte har någon licens | Är tillgänglig |
| Återställa användarlösenord från Windows 10 Microsoft Entra-ansluten eller Microsoft Entra hybridansluten enhetslåsskärm | Användaren kan återställa lösenord |
| SSPR-registrering och användningsdata är tillgängliga för administratörer nästan i realtid | Är tillgänglig via granskningsloggar |
Du kan också läsa Slutför en pilotrulle för självbetjäning av lösenordsåterställning i Microsoft Entra. I den här självstudien aktiverar du en pilotdistribution av SSPR i din organisation och testar med ett konto som inte är administratör.
Planera support
Även om SSPR vanligtvis inte skapar användarproblem är det viktigt att förbereda supportpersonalen för att hantera problem som kan uppstå. Om du vill göra supportteamet framgångsrikt kan du skapa vanliga frågor och svar baserat på frågor som du får från dina användare. Några exempel:
| Scenarier | beskrivning |
|---|---|
| Användaren har inga registrerade autentiseringsmetoder tillgängliga | En användare försöker återställa sitt lösenord men har inte någon av de autentiseringsmetoder som de registrerade tillgängliga (Exempel: de lämnade sin mobiltelefon hemma och kan inte komma åt e-post) |
| Användaren får inte ett sms eller samtal på sitt kontor eller sin mobiltelefon | En användare försöker verifiera sin identitet via text eller samtal men får inget sms/samtal. |
| Användaren kan inte komma åt portalen för lösenordsåterställning | En användare vill återställa sitt lösenord men är inte aktiverad för lösenordsåterställning och kan inte komma åt sidan för att uppdatera lösenord. |
| Användaren kan inte ange ett nytt lösenord | En användare slutför verifieringen under flödet för lösenordsåterställning men kan inte ange något nytt lösenord. |
| Användaren ser ingen länk för att återställa lösenord på en Windows 10-enhet | En användare försöker återställa lösenordet från Windows 10-låsskärmen, men enheten är antingen inte ansluten till Microsoft Entra-ID eller så är inte Microsoft Intune-enhetsprincipen aktiverad |
Planåterställning
Så här återställer du distributionen:
För en enskild användare tar du bort användaren från säkerhetsgruppen
För en grupp tar du bort gruppen från SSPR-konfigurationen
Inaktivera SSPR för Microsoft Entra-klientorganisationen för alla
Distribuera SSPR
Kontrollera att du har gjort följande innan du distribuerar:
Fastställde lämpliga konfigurationsinställningar.
Identifierade användare och grupper för pilot - och produktionsmiljöerna.
Fastställde konfigurationsinställningar för registrering och självbetjäning.
Konfigurerad tillbakaskrivning av lösenord om du har en hybridmiljö.
Nu är du redo att distribuera SSPR!
Aktivera SSPR i Windows
För datorer som kör Windows 7, 8, 8.1 och 10 kan du göra det möjligt för användare att återställa sitt lösenord på Windows-inloggningsskärmen
Hantera SSPR
Microsoft Entra-ID kan ge ytterligare information om dina SSPR-prestanda via granskningar och rapporter.
Aktivitetsrapporter för lösenordshantering
Du kan använda fördefinierade rapporter i administrationscentret för Microsoft Entra för att mäta SSPR-prestanda. Om du har rätt licens kan du också skapa anpassade frågor. Mer information finns i Rapporteringsalternativ för Microsoft Entra-lösenordshantering
Kommentar
Du måste vara global administratör och du måste anmäla dig för att dessa data ska samlas in för din organisation. Om du vill anmäla dig måste du gå till fliken Rapportering eller granskningsloggarna i administrationscentret för Microsoft Entra minst en gång. Fram till dess samlar inte data in för din organisation.
Granskningsloggar för registrering och lösenordsåterställning är tillgängliga i 30 dagar. Om säkerhetsgranskning inom företaget kräver längre kvarhållning måste loggarna exporteras och förbrukas till ett SIEM-verktyg som Microsoft Sentinel, Splunk eller ArcSight.
Autentiseringsmetoder – Användning och insikter
Med användning och insikter kan du förstå hur autentiseringsmetoder för funktioner som Microsoft Entra multifaktorautentisering och SSPR fungerar i din organisation. Den här rapporteringsfunktionen ger din organisation möjlighet att förstå vilka metoder som registreras och hur de ska användas.
Felsöka
Användbar dokumentation
Så här fungerar det: Microsoft Entra självbetjäning av lösenordsåterställning?
Anpassa Microsoft Entra-funktionerna för självbetjäning av lösenordsåterställning
Nästa steg
Information om hur du kommer igång med att distribuera SSPR finns i Aktivera lösenordsåterställning med Microsoft Entra självbetjäning