Vanliga frågor och svar om kontoåterställning i Microsoft Entra ID

Följande är vanliga frågor om kontoåterställning i Microsoft Entra ID. För frågor som inte får svar här kan du fråga communityn på Microsoft Q&A-frågesidan för Microsoft Entra ID.

Vanliga frågor och svar omfattar:

• Så här fungerar kontoåterställning
• Profiler för identitetsverifiering
• Kontoverifiering och anpassade autentiseringstillägg
• Val och användning av identitetsverifieringsprovider (IDV)
• Troubleshooting

Så här fungerar kontoåterställning

Vilken licens krävs för att använda kontoåterställning?

Användarna behöver en Microsoft Entra ID P1-licens för att kunna använda kontoåterställning. En Face Check-licens krävs också, antingen via Entra-sviten eller fristående. Kostnaden för identitetsverifieringsprovidern beror på vilket erbjudande du prenumererar på i Microsoft Security Store.

Var går användardata under identitetsverifieringsprocessen?

Identitetsverifieringsleverantörer har sina egna sekretess- och datakvarhållningsprinciper som en del av verifieringserbjudandet från Microsoft Security Store. Mer information finns i leverantörens dokumentation.

Hur matchas verifierat ID mot Microsoft Entra ID kontoinformation?

Kontoåterställning verifierar först bevis på närvaro genom att jämföra fotot på användarens myndighets utfärdade ID med en ansiktskontroll i realtid. Därefter matchar systemet för- och efternamnsanspråken från det verifierade myndighets-ID:t mot användarens First name och Last name profilegenskaper i Microsoft Entra ID. Endast dessa två egenskaper används för matchning – Visningsnamn och Användarens huvudnamn används inte i matchningsprocessen för kontoåterställning.

Administratörer kan konfigurera matchningsförtroendenivån för varje identitetsverifieringsprofil:

• Exact – Förnamn och efternamn från verifierade autentiseringsuppgifter måste matcha användarens First-namn och Lastnamn egenskaper i Microsoft Entra ID exakt.

• Relaxed – Använder ordmatchning mellan fält för att hantera variationer i hur namn visas i dokument som utfärdats av myndigheter jämfört med Microsoft Entra ID användarprofiler.

Så här fungerar avslappnad matchning

Myndighetsdokument – särskilt pass – kan innehålla en användares fullständiga juridiska namn i ett enda fält utan att skilja mellan förnamn och efternamn. Vissa identitetsverifieringsleverantörer placerar det fullständiga namnet helt i för- eller efternamnsanspråket för den verifierade identitetshandlingen. Dessutom kan en användares Microsoft Entra ID profil endast innehålla en delmängd av namnen i deras fullständiga juridiska namn. Till exempel kan en användare vars pass läser "Maria Elena Garcia Lopez" bara ha "Maria" som First name och "Garcia" som Last name i sin Microsoft Entra ID profil.

För att hantera dessa variationer använder avslappnad matchning följande logik:

• Egenskapen Förnamn i Microsoft Entra ID måste matcha något ord i antingen för- eller efternamnsanspråket från de verifierade referenserna.

• AND egenskapen Last name i Microsoft Entra ID måste matcha any word i antingen för- eller efternamnsanspråket från den verifierade autentiseringsuppgiften.

• Båda villkoren måste vara sanna för att matchningen ska lyckas.

I exemplet ovan matchar "Maria" ett ord i den verifierade autentiseringsuppgiftens förnamnsanspråk ("Maria Elena") och "Garcia" matchar ett ord i efternamnsanspråket ("Garcia Lopez") – så att matchningen lyckas trots att Microsoft Entra ID-profilen endast innehåller en delmängd av det fullständiga juridiska namnet.

Den här metoden möjliggör lyckad matchning när namn delas upp på olika sätt mellan verifierade autentiseringsuppgifter och Microsoft Entra ID, eller när en användarprofil innehåller en delmängd av det fullständiga juridiska namnet på det myndighets utfärdade dokumentet.

Om namnmatchningen misslyckas under någon av konfidensnivån kan användaren inte slutföra återställningen och behöver följa sin normala supportprocess.

För organisationer som behöver starkare validering utöver namnmatchning kan anpassade autentiseringstillägg verifiera ytterligare anspråk mot organisationsdata.

Vad händer när personer med samma namn försöker återställa ett konto?

Administratörer kan använda anpassade autentiseringstillägg för att bearbeta identitetsanspråk från verifieringsprovidern och jämföra dem med organisationsdata – till exempel ett HRIS-system eller en anställds katalog – för att skilja mellan användare med liknande namn.

Utan ett anpassat autentiseringstillägg kan återställningsförsök från användare med samma namn som en annan användare blockeras. Undvik detta genom att aktivera ett anpassat autentiseringstillägg för identitetsverifieringsprofilen och verifiera ytterligare attribut utöver för- och efternamn.

Måste jag använda ett tillfälligt åtkomstkort (TAP) för kontoåterställning?

Ja. TAP krävs för kontoåterställning i den här versionen.

Vad händer om användaren inte har Microsoft Authenticator på sin enhet?

Under återställningsflödet påminner identitetsverifieringsprovidern användaren om att ladda ned appen om det behövs. Microsoft Authenticator behöver bara installeras – användaren behöver inte logga in på den för att lagra det verifierade ID som utfärdats av providern.

Ska jag aktivera kontoåterställning för alla användare i min organisation?

Kontoåterställning stöder en stegvis distribution via identitetsverifieringsprofiler. Varje profil riktar sig till specifika användargrupper, så att du kan börja med en liten testgrupp i utvärderingsläge och expandera när du får förtroende.

En rekommenderad metod:

• Skapa en profil i utvärderingsläge för en liten testgrupp för att verifiera identitetsverifieringsflödet.

• Växla profilen till Produktionsläge när testningen bekräftar att flödet fungerar för dina användare.

• Skapa ytterligare profiler för bredare användarpopulationer efter behov.

För vissa konton – till exempel sådana som tillhör en VD eller ekonomiansvarig – kan du begränsa återställningen till personliga eller fjärranslutna processer som inkluderar en människa i loopen. Dessa konton kan vara olämpliga för självserviceåterställning på grund av deras känsliga karaktär.

Hur beräknar jag kostnaden för kontoåterställning i hela organisationen?

Begäranden om kontoåterställning påverkar vanligtvis cirka 1%–3% användare varje månad. cost savings estimator i Microsoft Entra administrationscenter (under Entra ID>Account recovery) hjälper dig att beräkna potentiella besparingar. Ange dina aktuella supportkostnader, antalet målanvändare och kostnaden per verifiering från den valda leverantören. Skattaren jämför aktuella utgifter med beräknade självbetjäningsåterställningskostnader så att du kan modellera besparingar för ditt scenario.

Profiler för identitetsverifiering

Vad är en identitetsverifieringsprofil?

En identitetsverifieringsprofil är ett konfigurationsobjekt som definierar hur identitetsverifiering konfigureras för en specifik grupp användare. Profiler styr vilken identitetsverifieringsprovider som utför verifiering, vilka användare som finns i omfånget och hur kontovalidering hanteras. I dag används profiler för identitetsverifiering för att konfigurera kontoåterställning – och de är utformade för att stödja ytterligare scenarier för identitetsverifiering i framtiden.

Varje profil anger:

• Omfång för användargrupper – Vilka användare profilen gäller för, definierad av inkluderade och exkluderade grupper

• Identitetsverifieringsprovider – den tredjepartsleverantör som utför identitetsbevisning

• Kontoverifieringsregler – Hur identitetsanspråk matchas, inklusive matchningsförtroende och valfritt anpassat autentiseringstillägg

• Återställningsläge – För scenarier för kontoåterställning: Utvärdering (testning) eller Produktion (fullständig återställning)

Profiler skapas via en guide i Microsoft Entra administrationscenter under Entra ID>Kontonåterställning>Profiler.

Kan jag skapa flera identitetsverifieringsprofiler?

Ja. Organisationer kan skapa flera profiler för att stödja olika användarpopulationer med olika konfigurationer. Som exempel:

• En profil för företagsanställda som använder en identitetsverifieringsprovider med strikt matchning

• En profil för medarbetare i frontlinjen som använder en annan leverantör med avslappnad matchning

• En profil i utvärderingsläge för en pilotgrupp som testar en ny provider

Varje profil fungerar oberoende av användarens omfång, provider, valideringsregler och lägesinställningar.

Vad är utvärderings- och produktionslägen?

Varje identitetsverifieringsprofil fungerar i något av två lägen:

• Utvärdering – Användare kan testa identitetsverifieringsflödet för att bekräfta att det fungerar korrekt. Konton återställs inte i det här läget. Använd Utvärdering för att verifiera upplevelsen innan du aktiverar fullständig återställning.

• Produktion – Användare som slutför identitetsverifiering kan återställa sina konton helt, få ett tillfälligt åtkomstpass och registrera autentiseringsmetoderna igen.

Du kan när som helst växla en profil från Utvärdering till Produktion genom att redigera profilen i Microsoft Entra administrationscenter.

Hur anger jag prioriteten när en användare matchar flera profiler?

Fliken Profiler i Microsoft Entra administrationscenter innehåller alternativet Uppsättningsprioritet. När en användare tillhör grupper som matchar flera profiler utvärderar systemet profiler i prioritetsordning och tillämpar den första matchande profilen.

Kontoverifiering och anpassade autentiseringstillägg

Vilka matchningsförtroendenivåer är tillgängliga?

Två konfidensnivåer för matchning är tillgängliga för namnmatchning:

• Exact – Förnamn och efternamn från identitetsverifieringsprovidern måste matcha användarens Microsoft Entra ID profilegenskaper exakt.

• Avslappnad – Tillåter mindre variationer i namnmatchning för att ta hänsyn till skillnader som förkortningar eller transkriberingar.

Matchningssäkerhet konfigureras per identitetsverifieringsprofil.

Hur fungerar anpassade autentiseringstillägg med kontoåterställning?

Anpassade autentiseringstillägg lägger till organisationsspecifik kontoverifieringslogik under återställningsprocessen. När en användare slutför identitetsverifiering skickas de verifierade anspråken från providern till organisationens slutpunkt – en Azure funktion, logikapp eller REST-API – som validerar dem mot auktoritativa datakällor som:

• HRIS (personalregister)

• Kataloger för anställda

• Märkeshanteringssystem

Tillägget returnerar ett matchningsbeslut till kontoåterställningsflödet. Detta möjliggör validering utöver matchning av för- och efternamn och hjälper till att skilja användare med liknande namn.

Important

Alla data som bearbetas av det anpassade autentiseringstillägget ligger kvar inom organisationens förtroendegräns. Inga organisationsdata delas med Microsoft – endast matchningsresultatet returneras till kontoåterställning.

Vad behöver jag för att konfigurera ett anpassat autentiseringstillägg?

Om du vill använda ett anpassat autentiseringstillägg med kontoåterställning behöver du:

• En Azure-funktion, logikapp eller REST API-slutpunkt som kan ta emot verifierade anspråk och returnera ett matchningsbeslut

• Åtkomst till organisationens auktoritativa datakälla (HRIS, arbetskatalog eller liknande)

• Slutpunkten som registrerats som ett anpassat autentiseringstillägg i Microsoft Entra ID

Aktivera tillägget i kontovalideringssteget i guiden för identitetsverifieringsprofil.

Val och användning av identitetsverifieringsprovider (IDV)

Kan jag ta med min egen IDV och mitt kontrakt till kontoåterställning?

Kontoåterställning stöder endast granskade och godkända leverantörer via Microsoft Security Store.

Kan jag använda min egen IDV i återställningsflödet?

För närvarande stöder kontoåterställning endast identitetsverifieringsproviders från Microsoft Security Store. Detta säkerställer konsekvens i återställningsflödet för användare.

Kan jag hoppa över IDV-dokumentverifieringen om jag redan har ett verifierat ID från providern?

I det vanligaste återställningsscenariot för fullständig utelåsning har användaren inget befintligt verifierat ID i plånboken eftersom de använder en ny enhet. Kontoåterställning fokuserar på det här vanligaste fallet – att skaffa ett nytt verifierat ID från providern under återställningen.

Vad ska de göra om en användares myndighets-ID nekas av IDV:t?

Som en del av registrerings- och etableringsprocessen för IDV får klientorganisationen kontaktinstruktioner för att arbeta med leverantörens supportteam för att felsöka specifika ID-utfärdandefel för enskilda användare.

Stöder IDV-flödet mobila körkort, europeisk digital identitet (EUDI) eller elektronisk identifiering (eID)?

För närvarande stöder kontoåterställning användarverifiering via standardverifierade autentiseringsuppgifter med Microsoft Entra – verifierat ID.

Felsökning

Jag ser "Application Management"-fel för Core Directory i administratörsgranskningsloggarna.

Dessa fel är inte relaterade till kontoåterställning och kan ignoreras på ett säkert sätt.

Följande är vanliga frågor om kontoåterställning i Microsoft Entra ID. För frågor som inte får svar här kan du fråga communityn på Microsoft Q&A-frågesidan för Microsoft Entra ID.

Vanliga frågor och svar omfattar:

• Så här fungerar kontoåterställning
• Profiler för identitetsverifiering
• Kontoverifiering och anpassade autentiseringstillägg
• Val och användning av identitetsverifieringsprovider (IDV)
• Troubleshooting

Användarna behöver en Microsoft Entra ID P1-licens för att kunna använda kontoåterställning. En Face Check-licens krävs också, antingen via Entra-sviten eller fristående. Kostnaden för identitetsverifieringsprovidern beror på vilket erbjudande du prenumererar på i Microsoft Security Store.

Identitetsverifieringsleverantörer har sina egna sekretess- och datakvarhållningsprinciper som en del av verifieringserbjudandet från Microsoft Security Store. Mer information finns i leverantörens dokumentation.

Kontoåterställning verifierar först bevis på närvaro genom att jämföra fotot på användarens myndighets utfärdade ID med en ansiktskontroll i realtid. Därefter matchar systemet för- och efternamnsanspråken från det verifierade myndighets-ID:t mot användarens First name och Last name profilegenskaper i Microsoft Entra ID. Endast dessa två egenskaper används för matchning – Visningsnamn och Användarens huvudnamn används inte i matchningsprocessen för kontoåterställning.

Administratörer kan konfigurera matchningsförtroendenivån för varje identitetsverifieringsprofil:

• Exact – Förnamn och efternamn från verifierade autentiseringsuppgifter måste matcha användarens First-namn och Lastnamn egenskaper i Microsoft Entra ID exakt.

• Relaxed – Använder ordmatchning mellan fält för att hantera variationer i hur namn visas i dokument som utfärdats av myndigheter jämfört med Microsoft Entra ID användarprofiler.

Så här fungerar avslappnad matchning

Myndighetsdokument – särskilt pass – kan innehålla en användares fullständiga juridiska namn i ett enda fält utan att skilja mellan förnamn och efternamn. Vissa identitetsverifieringsleverantörer placerar det fullständiga namnet helt i för- eller efternamnsanspråket för den verifierade identitetshandlingen. Dessutom kan en användares Microsoft Entra ID profil endast innehålla en delmängd av namnen i deras fullständiga juridiska namn. Till exempel kan en användare vars pass läser "Maria Elena Garcia Lopez" bara ha "Maria" som First name och "Garcia" som Last name i sin Microsoft Entra ID profil.

För att hantera dessa variationer använder avslappnad matchning följande logik:

• Egenskapen Förnamn i Microsoft Entra ID måste matcha något ord i antingen för- eller efternamnsanspråket från de verifierade referenserna.

• AND egenskapen Last name i Microsoft Entra ID måste matcha any word i antingen för- eller efternamnsanspråket från den verifierade autentiseringsuppgiften.

• Båda villkoren måste vara sanna för att matchningen ska lyckas.

I exemplet ovan matchar "Maria" ett ord i den verifierade autentiseringsuppgiftens förnamnsanspråk ("Maria Elena") och "Garcia" matchar ett ord i efternamnsanspråket ("Garcia Lopez") – så att matchningen lyckas trots att Microsoft Entra ID-profilen endast innehåller en delmängd av det fullständiga juridiska namnet.

Den här metoden möjliggör lyckad matchning när namn delas upp på olika sätt mellan verifierade autentiseringsuppgifter och Microsoft Entra ID, eller när en användarprofil innehåller en delmängd av det fullständiga juridiska namnet på det myndighets utfärdade dokumentet.

Om namnmatchningen misslyckas under någon av konfidensnivån kan användaren inte slutföra återställningen och behöver följa sin normala supportprocess.

För organisationer som behöver starkare validering utöver namnmatchning kan anpassade autentiseringstillägg verifiera ytterligare anspråk mot organisationsdata.

Administratörer kan använda anpassade autentiseringstillägg för att bearbeta identitetsanspråk från verifieringsprovidern och jämföra dem med organisationsdata – till exempel ett HRIS-system eller en anställds katalog – för att skilja mellan användare med liknande namn.

Utan ett anpassat autentiseringstillägg kan återställningsförsök från användare med samma namn som en annan användare blockeras. Undvik detta genom att aktivera ett anpassat autentiseringstillägg för identitetsverifieringsprofilen och verifiera ytterligare attribut utöver för- och efternamn.

Ja. TAP krävs för kontoåterställning i den här versionen.

Under återställningsflödet påminner identitetsverifieringsprovidern användaren om att ladda ned appen om det behövs. Microsoft Authenticator behöver bara installeras – användaren behöver inte logga in på den för att lagra det verifierade ID som utfärdats av providern.

Kontoåterställning stöder en stegvis distribution via identitetsverifieringsprofiler. Varje profil riktar sig till specifika användargrupper, så att du kan börja med en liten testgrupp i utvärderingsläge och expandera när du får förtroende.

En rekommenderad metod:

• Skapa en profil i utvärderingsläge för en liten testgrupp för att verifiera identitetsverifieringsflödet.

• Växla profilen till Produktionsläge när testningen bekräftar att flödet fungerar för dina användare.

• Skapa ytterligare profiler för bredare användarpopulationer efter behov.

För vissa konton – till exempel sådana som tillhör en VD eller ekonomiansvarig – kan du begränsa återställningen till personliga eller fjärranslutna processer som inkluderar en människa i loopen. Dessa konton kan vara olämpliga för självserviceåterställning på grund av deras känsliga karaktär.

Begäranden om kontoåterställning påverkar vanligtvis cirka 1%–3% användare varje månad. cost savings estimator i Microsoft Entra administrationscenter (under Entra ID>Account recovery) hjälper dig att beräkna potentiella besparingar. Ange dina aktuella supportkostnader, antalet målanvändare och kostnaden per verifiering från den valda leverantören. Skattaren jämför aktuella utgifter med beräknade självbetjäningsåterställningskostnader så att du kan modellera besparingar för ditt scenario.

En identitetsverifieringsprofil är ett konfigurationsobjekt som definierar hur identitetsverifiering konfigureras för en specifik grupp användare. Profiler styr vilken identitetsverifieringsprovider som utför verifiering, vilka användare som finns i omfånget och hur kontovalidering hanteras. I dag används profiler för identitetsverifiering för att konfigurera kontoåterställning – och de är utformade för att stödja ytterligare scenarier för identitetsverifiering i framtiden.

Varje profil anger:

• Omfång för användargrupper – Vilka användare profilen gäller för, definierad av inkluderade och exkluderade grupper

• Identitetsverifieringsprovider – den tredjepartsleverantör som utför identitetsbevisning

• Kontoverifieringsregler – Hur identitetsanspråk matchas, inklusive matchningsförtroende och valfritt anpassat autentiseringstillägg

• Återställningsläge – För scenarier för kontoåterställning: Utvärdering (testning) eller Produktion (fullständig återställning)

Profiler skapas via en guide i Microsoft Entra administrationscenter under Entra ID>Kontonåterställning>Profiler.

Ja. Organisationer kan skapa flera profiler för att stödja olika användarpopulationer med olika konfigurationer. Som exempel:

• En profil för företagsanställda som använder en identitetsverifieringsprovider med strikt matchning

• En profil för medarbetare i frontlinjen som använder en annan leverantör med avslappnad matchning

• En profil i utvärderingsläge för en pilotgrupp som testar en ny provider

Varje profil fungerar oberoende av användarens omfång, provider, valideringsregler och lägesinställningar.

Varje identitetsverifieringsprofil fungerar i något av två lägen:

• Utvärdering – Användare kan testa identitetsverifieringsflödet för att bekräfta att det fungerar korrekt. Konton återställs inte i det här läget. Använd Utvärdering för att verifiera upplevelsen innan du aktiverar fullständig återställning.

• Produktion – Användare som slutför identitetsverifiering kan återställa sina konton helt, få ett tillfälligt åtkomstpass och registrera autentiseringsmetoderna igen.

Du kan när som helst växla en profil från Utvärdering till Produktion genom att redigera profilen i Microsoft Entra administrationscenter.

Fliken Profiler i Microsoft Entra administrationscenter innehåller alternativet Uppsättningsprioritet. När en användare tillhör grupper som matchar flera profiler utvärderar systemet profiler i prioritetsordning och tillämpar den första matchande profilen.

Två konfidensnivåer för matchning är tillgängliga för namnmatchning:

• Exact – Förnamn och efternamn från identitetsverifieringsprovidern måste matcha användarens Microsoft Entra ID profilegenskaper exakt.

• Avslappnad – Tillåter mindre variationer i namnmatchning för att ta hänsyn till skillnader som förkortningar eller transkriberingar.

Matchningssäkerhet konfigureras per identitetsverifieringsprofil.

Anpassade autentiseringstillägg lägger till organisationsspecifik kontoverifieringslogik under återställningsprocessen. När en användare slutför identitetsverifiering skickas de verifierade anspråken från providern till organisationens slutpunkt – en Azure funktion, logikapp eller REST-API – som validerar dem mot auktoritativa datakällor som:

• HRIS (personalregister)

• Kataloger för anställda

• Märkeshanteringssystem

Tillägget returnerar ett matchningsbeslut till kontoåterställningsflödet. Detta möjliggör validering utöver matchning av för- och efternamn och hjälper till att skilja användare med liknande namn.

Important

Alla data som bearbetas av det anpassade autentiseringstillägget ligger kvar inom organisationens förtroendegräns. Inga organisationsdata delas med Microsoft – endast matchningsresultatet returneras till kontoåterställning.

Om du vill använda ett anpassat autentiseringstillägg med kontoåterställning behöver du:

• En Azure-funktion, logikapp eller REST API-slutpunkt som kan ta emot verifierade anspråk och returnera ett matchningsbeslut

• Åtkomst till organisationens auktoritativa datakälla (HRIS, arbetskatalog eller liknande)

• Slutpunkten som registrerats som ett anpassat autentiseringstillägg i Microsoft Entra ID

Aktivera tillägget i kontovalideringssteget i guiden för identitetsverifieringsprofil.

Kontoåterställning stöder endast granskade och godkända leverantörer via Microsoft Security Store.

För närvarande stöder kontoåterställning endast identitetsverifieringsproviders från Microsoft Security Store. Detta säkerställer konsekvens i återställningsflödet för användare.

I det vanligaste återställningsscenariot för fullständig utelåsning har användaren inget befintligt verifierat ID i plånboken eftersom de använder en ny enhet. Kontoåterställning fokuserar på det här vanligaste fallet – att skaffa ett nytt verifierat ID från providern under återställningen.

Som en del av registrerings- och etableringsprocessen för IDV får klientorganisationen kontaktinstruktioner för att arbeta med leverantörens supportteam för att felsöka specifika ID-utfärdandefel för enskilda användare.

För närvarande stöder kontoåterställning användarverifiering via standardverifierade autentiseringsuppgifter med Microsoft Entra – verifierat ID.

Dessa fel är inte relaterade till kontoåterställning och kan ignoreras på ett säkert sätt.