distributionsalternativ för Self-Service lösenordsåterställning

Viktigt

I september 2022 meddelade Microsoft att Azure Multi-Factor Authentication Server skulle fasas ut. Från och med den 30 september 2024 kommer Azure Multi-Factor Authentication Server-distributioner inte längre att hantera MFA-begäranden (multifaktorautentisering). Kunder med Azure Multi-Factor Authentication Server bör planera att flytta till i stället använda antingen anpassade MFA-providers med MIM SSPR eller Microsoft Entra SSPR i stället för MIM SSPR.

För nya kunder som är licensierade för Microsoft Entra ID P1 eller P2 rekommenderar vi att du använder Microsoft Entra självbetjäning av lösenordsåterställning för att tillhandahålla slutanvändarupplevelsen. Microsoft Entra självbetjäning av lösenordsåterställning ger både en webbaserad och Windows-integrerad upplevelse för en användare att återställa sitt eget lösenord och stöder många av samma funktioner som MIM, inklusive alternativ e-post och Q&A-portar. När du distribuerar Microsoft Entra självbetjäning av lösenordsåterställning kan du konfigurera Microsoft Entra Anslut för att skriva tillbaka de nya lösenorden till AD DS, och MIM-tjänsten för meddelanden om lösenordsändring kan användas för att vidarebefordra lösenorden till andra system, till exempel en annan leverantörs katalogserver. För att distribuera MIM för lösenordshantering krävs inte att MIM-tjänsten eller MIM-portalen för självbetjäning av lösenordsåterställning eller registrering distribueras. I stället kan du följa dessa steg:

• Om du först behöver skicka lösenord till andra kataloger än Microsoft Entra-ID och AD DS ska du distribuera MIM Sync med anslutningsappar till Active Directory Domain Services och eventuella ytterligare målsystem, konfigurera MIM för lösenordshantering och distribuera tjänsten för meddelanden om lösenordsändring.
• Om du sedan behöver skicka lösenord till andra kataloger än Microsoft Entra-ID konfigurerar du Microsoft Entra Connect för att skriva tillbaka de nya lösenorden till AD DS.
• Om du vill kan du förregistrera användare.
• Slutligen distribuerar du Microsoft Entra självbetjäning av lösenordsåterställning till slutanvändarna.

För befintliga kunder som tidigare hade distribuerat Forefront Identity Manager (FIM) för lösenordsåterställning via självbetjäning och är licensierade för Microsoft Entra ID P1 eller P2 rekommenderar vi att du planerar att övergå till Microsoft Entra självbetjäning av lösenordsåterställning. Du kan överföra slutanvändare till Microsoft Entra självbetjäning av lösenordsåterställning utan att behöva registrera dem igen, genom att synkronisera eller ställa in via PowerShell en användares alternativa e-postadress eller mobiltelefonnummer. När användare har registrerats för Microsoft Entra självbetjäning av lösenordsåterställning kan FIM-portalen för lösenordsåterställning inaktiveras.

För kunder, som ännu inte har distribuerat Microsoft Entra självbetjäning av lösenordsåterställning för sina användare, tillhandahåller MIM även portaler för lösenordsåterställning med självbetjäning. Jämfört med FIM innehåller MIM 2016 följande ändringar:

• Med MIM-Self-Service portalen för lösenordsåterställning och Windows-inloggningsskärmen kan användarna låsa upp sina konton utan att ändra sina lösenord.

• En ny autentiseringsport, Phone Gate, har lagts till i MIM. Detta möjliggör användarautentisering via telefonsamtal via Microsoft Entra multifaktorautentiseringstjänst.

MIM 2016-versionen bygger upp till version 4.5.26.0 och förlitade sig på att kunden skulle ladda ned ett SDK som har blivit inaktuellt, och befintliga distributioner bör flyttas till att antingen använda MIM SSPR med en anpassad MFA-provider eller Microsoft Entra självbetjäning av lösenordsåterställning. Nya distributioner bör använda antingen en anpassad MFA-provider eller Microsoft Entra självbetjäning av lösenordsåterställning.

Distribuera MIM Self-Service portalen för lösenordsåterställning med hjälp av en anpassad provider för multifaktorautentisering

I följande avsnitt beskrivs hur du distribuerar MIM-portalen för självbetjäning av lösenordsåterställning med hjälp av en provider för multifaktorautentisering. De här stegen är endast nödvändiga för kunder som inte använder Microsoft Entra lösenordsåterställning via självbetjäning för sina användare.

Med MFA autentiserar användarna via den externa providern för att verifiera sin identitet när de försöker få åtkomst till sitt konto och sina resurser. Autentisering kan genomföras via SMS eller telefon. Ju starkare autentisering, desto troligare är det att den som begär åtkomst verkligen är den användare som äger identiteten. Användaren kan välja ett nytt lösenord för att ersätta det gamla när autentiseringen är klar.

Krav för att konfigurera upplåsning och lösenordsåterställning för självbetjäningskonton med MFA

Det här avsnittet förutsätter att du har laddat ned och slutfört distributionen av komponenterna Microsoft Identity Manager MIM Sync, MIM-tjänsten och MIM-portalen 2016, inklusive följande komponenter och tjänster:

• En Windows Server 2008 R2 eller senare som har konfigurerats som en Active Directory-server med AD-domäntjänster och domänkontrollant som har en angiven domän (en företagsdomän)

• En grupprincip har definierats för kontoutelåsning

• Synkroniseringstjänsten (Synk) för MIM 2016 har installerats och körs på en server som är domänansluten till AD-domänen

• MIM 2016 Service & Portal, inklusive SSPR-registreringsportalen och SSPR-återställningsportalen, installeras och körs på en server (kan finnas tillsammans med Sync)

• MIM-synkronisering har konfigurerats för AD-MIM-identitetssynkronisering, inklusive:

  • Konfigurering av hanteringsagenten för Active Directory (ADMA) för anslutning till AD DS och möjlighet att importera identitetsdata från, och exportera dem till, Active Directory.

  • Konfigurering av MIM Management Agent (MIM MA) för anslutning till FIM-tjänstdatabasen och möjlighet att importera identitetsdata från, och exportera dem till, FIM-databasen.

  • Konfigurering av synkroniseringsregler i MIM-portalen för att tillåta synkronisering av användardata och förenkla synkroniseringsbaserade aktiviteter i MIM-tjänsten.

• MIM 2016-tillägg & tillägg, inklusive den integrerade SSPR Windows-inloggningsklienten, distribueras på servern eller på en separat klientdator.

Om du använder Microsoft Entra multifaktorautentisering kräver det här scenariot att du har MIM CALs för dina användare samt en prenumeration för Microsoft Entra multifaktorautentisering.

Förbereda MIM för att arbeta med MFA

Konfigurera MIM-synkronisering för att ge stöd för funktionerna lösenordsåterställning och kontoupplåsning. Mer information finns i Installera FIM-tillägg och förlängningar, Installera FIM SSPR, SSPR-autentiseringsgater och SSPR Test Lab-guide

Konfigurera telefonporten eller SMS-gaten för engångslösenord

1. Starta Internet Explorer och gå till MIM-portalen, autentisera som MIM-administratör och klicka sedan på Arbetsflöden i det vänstra navigeringsfältet .

   

2. Markera Återställning av lösenord för AuthN-arbetsflöde.

   

3. Klicka på fliken Aktiviteter och bläddra till Lägg till aktivitet.

4. Välj Telefongrind eller SMS-grind för engångslösenord klickar du på Välj och sedan på OK.

   Anteckning

   Om du använder en annan provider som genererar själva engångslösenordet kontrollerar du att längdfältet som konfigurerats ovan är samma längd som det som genereras av MFA-providern. Den här längden måste vara 6 för Azure Multi-Factor Authentication Server. Azure Multi-Factor Authentication Server genererar också en egen meddelandetext så att SMS-meddelandet ignoreras.

Användare i din organisation kan nu registrera sig för att få sina lösenord återställda. Som en del av denna process får de ange sitt telefonnummer till arbetet eller sitt mobiltelefonnummer så att systemet vet hur det ska ringa upp dem (eller skicka SMS).

Registrera användare för lösenordsåterställning

1. En användare startar en webbläsare och går till MIM-portalen för registrering av lösenordsåterställning. (Normalt konfigureras den här portalen med Windows-autentisering). I portalen får de uppge sitt användarnamn och lösenord igen för att bekräfta sin identitet.

   De måste gå till portalen för lösenordsregistrering och autentiseras med sitt användarnamn och lösenord

2. I fältet Telefonnummer eller Mobiltelefon måste de ange en landskod, ett blanksteg och telefonnumret och klicka på Nästa.

   

   

Hur fungerar det för användarna?

Nu när allting har konfigurerats och körs kanske du vill se vilken procedur användarna får gå igenom om de återställer sitt lösenord strax innan en ledighet och upptäcker att de glömt sitt lösenord när de kommer tillbaka från ledigheten.

Användare kan komma åt funktionerna för lösenordsåterställning och kontoupplåsning på två sätt, antingen genom Windows inloggningssida eller via självbetjäningsportalen.

Genom att installera MIM-tillägg och -förlängningar på en domänansluten dator som är ansluten till MIM-tjänsten via din organisations nätverk, kan användare återställa ett lösenord de har glömt från platsen för inloggning till skrivbordsmiljön. Följande steg hjälper dig genom processen.

Windows lösenordsåterställning vid inloggning till skrivbordsmiljön

1. Om användaren anger fel lösenord flera gånger kan användaren på inloggningsskärmen välja att klicka på Problem med att logga in? .

   

   Genom att klicka på den här länken kommer de vidare till sidan för MIM lösenordsåterställning där de kan ändra sitt lösenord eller låsa upp sitt konto.

   

2. Användaren styrs till att autentiseras. Om MFA har konfigurerats får användaren ett telefonsamtal.

3. I bakgrunden är det som händer att MFA-providern sedan ringer upp det nummer som användaren gav när användaren registrerade sig för tjänsten.

4. När en användare svarar i telefonen kan de till exempel uppmanas att interagera för att trycka på pundknappen # på telefonen. Användaren klickar sedan på Nästa i portalen.

   Om du även konfigurerar andra portar uppmanas användaren att ange mer information på de efterföljande sidorna.

   Anteckning

   Autentiseringen misslyckas om användare råkar trycka på Nästa innan de har tryckt på fyrkant, #.

5. Efter en lyckad autentisering får användaren två alternativ, antingen att låsa upp kontot och behålla det nuvarande lösenordet eller att ange ett nytt lösenord.

6. Användaren får sedan ange sitt nya lösenord två gånger och lösenordet återställs.

Åtkomst från självbetjäningsportalen

1. Användaren kan öppna en webbläsare, navigera till portalen för återställning av lösenord, ange sitt lösenord och klicka på Nästa.

   Om MFA har konfigurerats får användaren ett telefonsamtal. I bakgrunden är det som händer att Microsoft Entra multifaktorautentisering sedan ringer ett telefonsamtal till det nummer som användaren gav när de registrerade sig för tjänsten.

   Användare som svarar i telefonen blir ombedda att trycka på fyrkant, #, på telefonen. Användaren klickar sedan på Nästa i portalen.

2. Om du även konfigurerar andra portar uppmanas användaren att ange mer information på de efterföljande sidorna.

   Anteckning

   Autentiseringen misslyckas om användare råkar trycka på Nästa innan de har tryckt på fyrkant, #.

3. Användaren måste välja om de vill återställa sitt lösenord eller låsa upp sitt konto. Om de väljer att låsa upp sitt konto kommer kontot att låsas upp.

   

4. Efter en lyckad autentisering får användaren två alternativ, antingen för att behålla sitt aktuella lösenord eller för att ange ett nytt lösenord.

5. 

6. Om användare väljer att återställa sitt lösenord måste de skriva in sitt nya lösenord två gånger och klicka på Nästa för att ändra lösenordet.