Vad är lösenordsåterställning med självbetjäning i Microsoft Entra-ID?
Du har blivit ombedd att utvärdera sätt att minska supportkostnaderna i din detaljhandelsorganisation. Du har märkt att supportpersonalen lägger mycket av sin tid på att återställa lösenord för användare. Användarna klagar ofta på fördröjningar i den här processen, och dessa fördröjningar påverkar deras produktivitet. Du vill förstå hur du kan konfigurera Azure så att användarna kan hantera sina egna lösenord.
I den här lektionen får du lära dig hur självbetjäning av lösenordsåterställning (SSPR) fungerar i Microsoft Entra-ID.
Varför ska du använda SSPR?
I Microsoft Entra-ID kan alla användare ändra sitt lösenord om de redan är inloggade. Men om de inte är inloggade och har glömt sitt lösenord eller om det har upphört att gälla måste de återställa sitt lösenord. Med SSPR kan användarna återställa sina lösenord i en webbläsare eller från en Windows-inloggningsskärm för att få åtkomst till Azure, Microsoft 365 och andra program som använder Microsoft Entra-ID för autentisering.
SSPR minskar belastningen på administratörer eftersom användarna själva kan åtgärda lösenordsproblem utan att behöva ringa supportavdelningen. Dessutom minimeras produktivitetseffekten för ett bortglömt eller utgånget lösenord. Användarna behöver inte vänta tills en administratör är tillgänglig för att återställa sitt lösenord.
Så här fungerar SSPR
Användaren initierar en lösenordsåterställning antingen genom att gå direkt till portalen för lösenordsåterställning eller genom att välja länken Kan inte komma åt ditt konto på en inloggningssida. Återställningsportalen utför följande steg:
- Lokalisering: Portalen kontrollerar webbläsarens nationella inställningar och återger SSPR-sidan på lämpligt språk.
- Verifiering: Användaren anger sitt användarnamn och skickar en captcha för att säkerställa att det är en användare och inte en robot.
- Autentisering: Användaren anger nödvändiga data för att autentisera sin identitet. De kan till exempel ange en kod eller svara på säkerhetsfrågor.
- Lösenordsåterställning: Om användaren klarar autentiseringstesterna kan de ange ett nytt lösenord och bekräfta det.
- Meddelande: Ett meddelande skickas till användaren för att bekräfta återställningen.
Det finns flera sätt att anpassa SSPR-användarupplevelsen. Du kan till exempel lägga till företagets logotyp på inloggningssidan så att användarna vet att de är på rätt plats för att återställa sitt lösenord.
Autentisera en lösenordsåterställning
Det är viktigt att verifiera en användares identitet innan du tillåter en lösenordsåterställning. Skadliga användare kan utnyttja eventuella svagheter i systemet för att personifiera den användaren. Azure stöder sex olika sätt att autentisera återställningsbegäranden.
Som administratör kan du välja de metoder som ska användas när du konfigurerar SSPR. Aktivera två eller flera av dessa metoder så att användarna kan välja de som de enkelt kan använda. Metoderna är:
| Autentiseringsmetod | Så här registrerar du dig | Autentisera för en lösenordsåterställning |
|---|---|---|
| Meddelanden via mobilapp | Installera Microsoft Authenticator-appen på din mobila enhet och registrera den sedan på sidan för konfiguration av multifaktorautentisering. | Azure skickar ett meddelande till appen som du antingen kan verifiera eller neka. |
| Kod för mobilapp | Den här metoden använder även Authenticator-appen och du installerar och registrerar den på samma sätt. | Ange koden från appen. |
| Ange en e-postadress som är extern för Azure och Microsoft 365. | Azure skickar en kod till adressen som du anger i återställningsguiden. | |
| Mobiltelefon | Ange ett mobiltelefonnummer. | Azure skickar en kod till telefonen i ett SMS som du anger i återställningsguiden. Du kan också välja att få ett automatiserat samtal. |
| Telefon (kontor) | Ange ett telefonnummer som inte är mobilt. | Du får ett automatiskt samtal till det här numret och trycker på #. |
| Säkerhetsfrågor | Välj frågor som "I vilken stad föddes din mamma?" och spara deras svar. | Svara på frågorna. |
I kostnadsfria Microsoft Entra-organisationer och utvärderingsversioner stöds inte telefonsamtalsalternativ.
Kräv det minsta antalet autentiseringsmetoder
Du kan ange det minsta antalet metoder som användaren måste konfigurera: en eller två. Du kan till exempel aktivera metoderna för mobilappkod, e-post, office-telefon och säkerhetsfrågor och ange minst två metoder. Användarna kan sedan välja de två metoder som de föredrar, till exempel mobilappkod och e-post.
För metoden security-question kan du ange ett minsta antal frågor som användaren måste ställa in för att registrera sig för den här metoden. Du kan också ange ett minsta antal frågor som de måste besvara korrekt för att återställa sitt lösenord.
När användarna har registrerat den information som krävs för det minsta antal metoder som du har angett anses de vara registrerade för SSPR.
Rekommendationer
- Aktivera två eller flera av metoderna för autentiseringsåterställningsbegäran.
- Använd mobilappmeddelandet eller koden som primär metod, men aktivera även e-post- eller office-telefonmetoderna för att stödja användare utan mobila enheter.
- Mobiltelefonmetoden är inte en rekommenderad metod eftersom det är möjligt att skicka bedrägliga SMS.
- Alternativet för säkerhetsfrågor är den metod som rekommenderas minst eftersom svaren på säkerhetsfrågorna kan vara kända för andra personer. Använd endast metoden security-question i kombination med minst en annan metod.
Konton som är associerade med administratörsroller
- En stark autentiseringsprincip med två metoder tillämpas alltid på konton med en administratörsroll, oavsett konfiguration för andra användare.
- Metoden för säkerhetsfråga är inte tillgänglig för konton som är associerade med en administratörsroll.
Konfigurera aviseringar
Administratörer kan välja hur användare meddelas om lösenordsändringar. Det finns två alternativ som du kan aktivera:
- Meddela användare om lösenordsåterställning: Användaren som återställer sitt eget lösenord meddelas till sina primära och sekundära e-postadresser. Om återställningen gjordes av en obehörig användare aviserar det här meddelandet användaren, som kan vidta åtgärder.
- Meddela alla administratörer när andra administratörer återställer sitt lösenord: Alla administratörer meddelas när en annan administratör återställer sitt lösenord.
Licenskrav
Det finns tre utgåvor av Microsoft Entra ID: kostnadsfritt, Premium P1 och Premium P2. Vilka funktioner för lösenordsåterställning du kan använda beror på din utgåva.
Alla användare som är inloggade kan ändra sitt lösenord, oavsett utgåva av Microsoft Entra-ID.
Om du inte är inloggad och du har glömt ditt lösenord eller om lösenordet har upphört att gälla kan du använda SSPR i Microsoft Entra ID P1 eller P2. Den är också tillgänglig med Microsoft 365-applikationer för företag eller Microsoft 365.
I en hybridsituation, där du har Active Directory lokalt och Microsoft Entra-ID i molnet, måste alla lösenordsändringar i molnet skrivas tillbaka till den lokala katalogen. Det här tillbakaskrivningsstödet är tillgängligt i Microsoft Entra ID P1 eller P2. Det är också tillgängligt med Microsoft 365-applikationer för företag.
Distributionsalternativ för SSPR
Du kan distribuera SSPR med tillbakaskrivning av lösenord med hjälp av Microsoft Entra Anslut eller molnsynkronisering, beroende på användarens behov. Du kan distribuera varje alternativ sida vid sida i olika domäner för att rikta in dig på olika uppsättningar användare. Detta hjälper befintliga användare lokalt att skriva tillbaka lösenordsändringar, samtidigt som du lägger till ett alternativ för användare i frånkopplade domäner på grund av en företagssammanslagning eller delning. Användare från en befintlig lokal domän kan använda Microsoft Entra Anslut, medan nya användare från en sammanslagning kan använda molnsynkronisering i en annan domän. Molnsynkronisering kan också ge högre tillgänglighet eftersom den inte förlitar sig på en enda instans av Microsoft Entra Anslut. En funktionsjämförelse mellan de två distributionsalternativen finns i Jämförelse mellan Microsoft Entra Anslut och molnsynkronisering.