Dela via

Aktivera självbetjäning av lösenordsåterställning i Microsoft Entra på inloggningsskärmen i Windows

Genom att använda självbetjäning av lösenordsåterställning (SSPR) i Microsoft Entra ID kan användarna ändra eller återställa sina lösenord utan inblandning av administratör eller supportavdelning. Normalt öppnar användare en webbläsare på en annan enhet för att komma åt SSPR-portalen. För att förbättra upplevelsen på datorer som kör Windows 7, 8, 8.1, 10 och 11 kan du göra det möjligt för användare att återställa sina lösenord på Windows-inloggningsskärmen.

Skärmbild som visar exempel på Windows-inloggningsskärmar med SSPR-länken.

Den här artikeln visar administratörer hur du aktiverar SSPR för Windows-enheter i ett företag.

Om IT-teamet inte har aktiverat möjligheten att använda SSPR från din Windows-enhet eller om du har problem under inloggningen kan du kontakta supportavdelningen för mer hjälp.

Allmänna begränsningar

Följande begränsningar gäller för användning av SSPR från Windows-inloggningsskärmen:

  • Lösenordsåterställning stöds för närvarande inte från ett fjärrskrivbord eller från Hyper-V förbättrade sessioner.

  • Vissa leverantörer av autentiseringsuppgifter som inte kommer från Microsoft är kända för att orsaka problem med den här funktionen.

  • Att inaktivera användarkontokontroll via modifiering av EnableLUA-registernyckeln är känt för att orsaka problem.

  • Den här funktionen fungerar inte för nätverk med distribuerad 802.1x-nätverksautentisering och alternativet Utför omedelbart innan användaren loggar in. För nätverk med 802.1x-nätverksautentisering distribuerad rekommenderar vi att du använder maskinautentisering för att aktivera den här funktionen.

  • Microsoft Entra hybridanslutna datorer måste ha nätverksanslutningen i sikte till en domänkontrollant för att kunna använda det nya lösenordet och uppdatera cachelagrade autentiseringsuppgifter. Enheterna måste antingen finnas i organisationens interna nätverk eller i ett virtuellt privat nätverk med nätverksåtkomst till en lokal domänkontrollant. Om SSPR är det enda kravet krävs inte nätverksanslutningslinjen till domänkontrollanten.

  • Om du använder en avbildning måste du se till att webbcachen är rensad för den inbyggda administratören innan du utför steget innan du körsysprep.CopyProfile Mer information finns i Prestanda dålig när du använder en anpassad standardanvändarprofil.

  • Följande inställningar är kända för att störa möjligheten att använda och återställa lösenord på Windows 10-enheter:

    • Om aviseringar på låsskärmen är inaktiverade Återställ lösenord fungerar inte.
    • HideFastUserSwitching är inställt på Aktiverad eller 1.
    • DontDisplayLastUserName är inställt på Aktiverad eller 1.
    • NoLockScreen är inställt på Aktiverad eller 1.
    • BlockNonAdminUserInstall är inställt på Aktiverad eller 1.
    • EnableLostMode är inställd på enheten.
    • Explorer.exe ersätts med ett anpassat skal.
    • Interaktiv inloggning: Kräv smartkort är inställt på Aktiverad eller 1.

  • Kombinationen av följande specifika tre inställningar kan göra att den här funktionen inte fungerar.

    • Interaktiv inloggning: Kräv inte CTRL+ALT+DEL är inställt på Inaktiverad (endast för Windows 10 version 1710 och tidigare).
    • DisableLockScreenAppNotifications är inställt på Aktiverad eller 1.
    • Windows-versionen är Home-utgåvan.

Anteckning

Dessa begränsningar gäller även för återställning av PIN-kod för Windows Hello för företag från enhetens låsskärm.

Lösenordsåterställning för Windows 11 och Windows 10

Om du vill konfigurera en Windows 11- eller Windows 10-enhet för SSPR på inloggningsskärmen granskar du följande krav och konfigurationssteg.

Krav för Windows 11 och Windows 10

  • Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper och aktivera Microsoft Entra SSPR.
  • Användare måste registrera sig för SSPR innan de använder den här funktionen på Windows-inloggningsskärmen.
    • Alla användare måste ange kontaktinformation för autentisering innan de kan återställa sitt lösenord, vilket inte är unikt för att använda SSPR från Windows-inloggningsskärmen.
  • Krav för nätverksproxy:
    • Port 443 till passwordreset.microsoftonline.com och ajax.aspnetcdn.com.
    • Windows 10 enheter kräver en proxykonfiguration på datornivå eller begränsad proxykonfiguration för det tillfälliga defaultuser1 konto som används för att utföra SSPR. Mer information finns i avsnittet Felsökning .
  • Kör minst Windows 10 version April 2018 Update (v1803) och enheterna måste vara antingen:
    • Microsoft Entra ansluts.
    • Microsoft Entra hybrid ansluten.

Aktivera för Windows 11 och Windows 10 med hjälp av Intune

Att distribuera konfigurationsändringen för att aktivera SSPR från Windows-inloggningsskärmen med hjälp av Intune är den mest flexibla metoden. Med Intune kan du distribuera konfigurationsändringen till en specifik grupp datorer som du definierar. Den här metoden kräver Intune-registrering av enheten.

Skapa en enhetskonfigurationsprincip i Intune

  1. Logga in på administrationscentret för Microsoft Intune.

  2. Skapa en ny enhetskonfigurationsprofil genom att gå till Enhetskonfigurationsprofiler> och sedan välja + Skapa profil:

    • För Plattform väljer du Windows 10 och senare.
    • För Profiltyp väljer du Mallar och väljer sedan den anpassade mallen.

  3. Välj Skapa och ange sedan ett beskrivande namn för profilen, till exempel Windows 11 SSPR på inloggningsskärmen.

    Du kan också ange en beskrivande beskrivning av profilen och sedan välja Nästa.

  4. Under Konfigurationsinställningarväljer du Lägg till och anger följande OMA-URI inställning för att aktivera länken för återställning av lösenord:

    • Ange ett beskrivande namn för att förklara vad inställningen gör, till exempel Lägg till SSPR-länk.
    • Du kan också ange en beskrivande beskrivning av inställningen.
    • Ställ in OMA-URI./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
    • Ange Datatyp till Heltal.
    • Ange värdet till 1.

    Välj Lägg tilloch välj sedan Nästa.

  5. Du kan tilldela principen till specifika användare, enheter eller grupper. Tilldela den profil som du vill använda för din miljö. Det bästa sättet är att tilldela den till en testgrupp med enheter först och sedan välja Nästa.

    Mer information finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.

  6. Konfigurera de tillämplighetsregler som du vill använda för din miljö, till exempel Tilldela profil om OS-utgåvan är Windows 10 Enterprise, och välj sedan Nästa.

  7. Granska din profil och välj sedan Skapa.

Aktivera för Windows 11 och Windows 10 med hjälp av registret

Följ dessa steg om du vill aktivera SSPR på Windows-inloggningsskärmen med hjälp av en registernyckel:

  1. Logga in på Windows-datorn med administrativa autentiseringsuppgifter.

  2. Välj Windows + R för att öppna dialogrutan Kör och kör sedan regedit som administratör.

  3. Ange följande registernyckel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Felsöka lösenordsåterställning för Windows 11 och Windows 10

Om du har problem med att använda SSPR från Windows-inloggningsskärmen innehåller Microsoft Entra-granskningsloggen information om IP-adressen och ClientType, där lösenordsåterställningen inträffade, som du ser i följande exempelutdata.

Skärmbild som visar ett exempel på en lösenordsåterställning för Windows 7 i Microsoft Entra-granskningsloggen.

När användarna återställer sitt lösenord från inloggningsskärmen på en Windows 11- eller 10-enhet skapas ett tillfälligt konto med låg behörighet som heter defaultuser1. Det här kontot används för att skydda lösenordsåterställningsprocessen.

Själva kontot har ett slumpmässigt genererat lösenord som verifieras mot en organisations lösenordsprincip. Lösenordet visas inte för enhetsinloggning och tas bort automatiskt när användaren har återställt sitt lösenord. Det kan finnas flera defaultuser profiler, men du kan ignorera dem.

Proxykonfigurationer för windows-lösenordsåterställning

Under lösenordsåterställningen skapar SSPR ett tillfälligt lokalt användarkonto för att ansluta till https://passwordreset.microsoftonline.com/n/passwordreset. När en proxy har konfigurerats för användarautentisering kan den misslyckas med felet "Något gick fel. Snälla, försök igen senare." Det här felet beror på att det lokala användarkontot inte har behörighet att använda den autentiserade proxyn.

I det här fallet använder du någon av följande lösningar:

  • Konfigurera en proxyinställning för hela datorn som inte är beroende av vilken typ av användare som är inloggad på datorn. Du kan till exempel aktivera grupprincipen Skapa proxyinställningar per dator (i stället för per användare) för arbetsstationerna.

  • Du kan också använda proxykonfiguration per användare för SSPR om du ändrar registermallen för standardkontot. Kommandona är:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Felet "Något gick fel" kan också uppstå när något avbryter anslutningen till URL: https://passwordreset.microsoftonline.com/n/passwordreseten . Det här felet kan till exempel inträffa när antivirusprogram körs på arbetsstationen utan undantag för URL:erna passwordreset.microsoftonline.com, ajax.aspnetcdn.com, och ocsp.digicert.com. Inaktivera den här programvaran tillfälligt för att testa om problemet är löst eller inte.

Lösenordsåterställning för Windows 7, 8 och 8.1

Om du vill konfigurera en Windows 7-, 8- eller 8.1-enhet för SSPR på Windows-inloggningsskärmen granskar du följande krav och konfigurationssteg.

Krav för Windows 7, 8 och 8.1

Varning

TLS 1.2 måste vara aktiverat, inte bara inställt på autonegotiate.

Installera SSPR-komponenten

För Windows 7, 8 och 8.1 måste en liten komponent installeras på datorn för att aktivera SSPR på Windows-inloggningsskärmen. Följ dessa steg för att installera den här SSPR-komponenten:

  1. Ladda ned lämpligt installationsprogram för den Windows-version som du vill aktivera.

    Installationsprogrammet för programvaran finns på Microsoft Download Center.

  2. Logga in på den dator där du vill installera och kör installationsprogrammet.

  3. Efter installationen rekommenderar vi att du gör en omstart.

  4. Efter omstarten går du till Windows-inloggningsskärmen, väljer en användare och väljer Glömt lösenordet? för att starta arbetsflödet för lösenordsåterställning.

  5. Följ stegen för att återställa ditt lösenord.

    Skärmdump som visar ett exempel på Windows 7 med glömt lösenordet? SSPR-flöde.

Tyst installation

Om du vill installera eller avinstallera SSPR-komponenten utan uppmaningar använder du följande kommandon:

  • Tyst installation: Använd msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Tyst avinstallation: Använd msiexec /x SsprWindowsLogon.PROD.msi /qn.

Felsöka återställning av lösenord för Windows 7, 8 och 8.1

Om du har problem när du använder SSPR från Windows-inloggningsskärmen loggas händelser på datorn och i Microsoft Entra ID. Microsoft Entra-händelser innehåller information om IP-adressen och parametern ClientType där lösenordsåterställningen inträffade.

Skärmbild som visar ett exempel på en lösenordsåterställning för Windows 7 i Microsoft Entra-granskningsloggen.

Om mer loggning krävs ändrar du en registernyckel på datorn för att aktivera utförlig loggning. Aktivera endast utförlig loggning i felsökningssyfte med hjälp av följande registernyckelvärde:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Om du vill aktivera utförlig loggning skapar REG_DWORD: "EnableLogging" och ställer du in den på 1.
  • Om du vill inaktivera utförlig loggning ändrar du REG_DWORD: "EnableLogging" till 0.
  • Granska felsökningsloggningen i programhändelseloggen under källan AADPasswordResetCredentialProvider.

Vad ser användarna?

Vilka är ändringarna för användaren när SSPR har konfigurerats för dina Windows-enheter? Hur vet de att de kan återställa sitt lösenord på inloggningsskärmen? Följande exempelskärmbilder visar andra alternativ för en användare att återställa sitt lösenord med hjälp av SSPR.

Skärmbild som visar inloggningsskärmar för Windows 7 och 10 med SSPR-länken som visas.

När användare försöker logga in visas länken Återställ lösenord eller Glömt lösenord som öppnar SSPR-upplevelsen på inloggningsskärmen. Nu kan användare återställa sitt lösenord utan att behöva använda en annan enhet för att komma åt en webbläsare.

Mer information om hur du använder den här funktionen finns i Återställa ditt arbets- eller skollösenord.

Relaterat innehåll

För att förenkla användarregistreringen kan du fylla i kontaktinformation för användarautentisering i förväg för SSPR.