Nasıl çalışır? Azure AD self servis parola sıfırlama

Azure Active Directory (Azure AD) self servis parola sıfırlama (SSPR), kullanıcılara yönetici veya yardım masası müdahalesi olmadan parolalarını değiştirme veya sıfırlama olanağı sağlar. Bir kullanıcının hesabı kilitliyse veya parolasını unutursa, engelini kaldırmak ve işe geri dönmek için istemleri izleyebilir. Bu özellik, bir kullanıcı cihazında veya bir uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. Azure AD'da SSPR'yi etkinleştirme ve yapılandırma hakkında bu video önerilir.

Önemli

Bu kavramsal makalede, yöneticiye self servis parola sıfırlamanın nasıl çalıştığı açıklanır. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.

BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.

Parola sıfırlama işlemi nasıl çalışır?

Bir kullanıcı SSPR portalını kullanarak parolasını sıfırlayabilir veya değiştirebilir. Önce istenen kimlik doğrulama yöntemlerini kaydetmiş olmaları gerekir. Bir kullanıcı SSPR portalına eriştiğinde Azure platformu aşağıdaki faktörleri dikkate alır:

  • Sayfa nasıl yerelleştirilmelidir?
  • Kullanıcı hesabı geçerli mi?
  • Kullanıcı hangi kuruluşa üye?
  • Kullanıcının parolası nerede yönetilir?

Kullanıcı bir uygulamadan veya sayfadan hesabınıza erişemiyor bağlantısını seçtiğinde veya doğrudan https://aka.ms/sspradresine gittiğinde, SSPR portalında kullanılan dil aşağıdaki seçeneklere dayanır:

  • Varsayılan olarak, SSPR'yi uygun dilde görüntülemek için tarayıcı yerel ayarı kullanılır. Parola sıfırlama deneyimi, Microsoft 365'in desteklediği dillerle yerelleştirilir.
  • Belirli bir yerelleştirilmiş dilde SSPR'ye bağlanmak istiyorsanız, gerekli yerel ayar ile birlikte parola sıfırlama URL'sinin sonuna ekleyin ?mkt= .

SSPR portalı gerekli dilde görüntülendikten sonra, kullanıcıdan bir kullanıcı kimliği girip captcha geçirmesi istenir. Azure AD şimdi aşağıdaki denetimleri yaparak kullanıcının SSPR'yi kullanabileceğini doğrular:

  • Kullanıcının SSPR'yi etkinleştirdiğini denetler.
    • Kullanıcı SSPR için etkinleştirilmemişse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.
  • Kullanıcının hesaplarında yönetici ilkesine uygun olarak tanımlanmış doğru kimlik doğrulama yöntemlerine sahip olduğunu denetler.
    • İlke yalnızca bir yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az biri için tanımlanan uygun verilere sahip olup olmadığını denetleyin.
      • Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlamak için yöneticisine başvurması tavsiye edilir.
    • İlke iki yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az ikisi için tanımlanan uygun verilere sahip olup olmadığını denetleyin.
      • Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlamak için yöneticisine başvurması tavsiye edilir.
    • Kullanıcıya bir Azure yönetici rolü atanırsa, güçlü iki kapılı parola ilkesi zorlanır. Daha fazla bilgi için bkz. Yönetici sıfırlama ilkesi farklılıkları.
  • Azure AD kiracısının federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlemesi kullanıp kullanmaması gibi kullanıcının parolasının şirket içinde yönetilip yönetilmediğini denetler:
    • SSPR geri yazma yapılandırılırsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcının kimlik doğrulamasına devam edip parolasını sıfırlamasına izin verilir.
    • SSPR geri yazma dağıtılmazsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.

Önceki tüm denetimler başarıyla tamamlanırsa, kullanıcıya parolasını sıfırlama veya değiştirme işlemi boyunca yol gösterilir.

Not

SSPR, parola sıfırlama işleminin bir parçası olarak kullanıcılara e-posta bildirimleri gönderebilir. Bu e-postalar, çeşitli bölgelerde etkin-etkin modda çalışan SMTP geçiş hizmeti kullanılarak gönderilir.

SMTP geçiş hizmetleri e-posta gövdesini alır ve işler, ancak depolamaz. Müşteri tarafından sağlanan bilgileri içerebilecek SSPR e-postasının gövdesi SMTP geçiş hizmeti günlüklerinde depolanmaz. Günlükler yalnızca protokol meta verilerini içerir.

SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Kullanıcıların oturum açarken kaydolmasını gerektir

Azure AD kullanarak herhangi bir uygulamada oturum açmak için modern kimlik doğrulaması veya web tarayıcısı kullanan bir kullanıcının SSPR kaydını tamamlamasını gerektirme seçeneğini etkinleştirebilirsiniz. Bu iş akışı aşağıdaki uygulamaları içerir:

  • Microsoft 365
  • Azure portal
  • Erişim Paneli
  • Federasyon uygulamaları
  • Azure AD kullanan özel uygulamalar

Kayıt gerektirmediğinizde, oturum açma sırasında kullanıcılardan istenmez, ancak kullanıcılar el ile kaydolabilir. Kullanıcılar, Erişim Paneli Profil sekmesinin altındaki Parola sıfırlama için kaydol bağlantısını ziyaret https://aka.ms/ssprsetup edebilir veya seçebilir.

Azure portal SPR

Not

Kullanıcılar iptal et'i seçerek veya pencereyi kapatarak SSPR kayıt portalını kapatabilir. Ancak, kayıt işlemlerini tamamlayana kadar her oturum açtıklarında kaydolmaları istenir.

SSPR'ye kaydolmaya yönelik bu kesme, kullanıcının zaten oturum açmışsa bağlantısını kesmez.

Kimlik doğrulama bilgilerini yeniden onayla

Kimlik doğrulama yöntemlerinin parolalarını sıfırlamaları veya değiştirmeleri gerektiğinde doğru olduğundan emin olmak için, kullanıcıların bilgileri kayıtlı bilgilerini belirli bir süre sonra onaylamasını zorunlu hale getirebilirsiniz. Bu seçenek yalnızca Kullanıcıların oturum açarken kaydolmasını gerektir seçeneğini etkinleştirdiğinizde kullanılabilir.

Kullanıcıdan kayıtlı yöntemlerinin 0 ila 730 gün olduğunu onaylamasını isteyen geçerli değerler. Bu değerin 0 olarak ayarlanması, kullanıcıların kimlik doğrulama bilgilerini onaylamalarının hiçbir zaman istenmemesini sağlar. Birleşik kayıt deneyimini kullanırken, kullanıcıların bilgilerini yeniden onaylamadan önce kimliklerini onaylamaları gerekir.

Kimlik doğrulama yöntemleri

Bir kullanıcı SSPR için etkinleştirildiğinde en az bir kimlik doğrulama yöntemi kaydetmesi gerekir. Kullanıcılarınızın ihtiyaç duyduklarında bir yönteme erişememesi durumunda daha fazla esnekliğe sahip olması için iki veya daha fazla kimlik doğrulama yöntemi seçmenizi kesinlikle öneririz. Daha fazla bilgi için bkz. Kimlik doğrulama yöntemleri nelerdir?.

SSPR için aşağıdaki kimlik doğrulama yöntemleri kullanılabilir:

  • Mobil uygulama bildirimi
  • Mobil uygulama kodu
  • E-posta
  • Cep telefonu
  • Office telefonu (yalnızca ücretli abonelikleri olan kiracılar için kullanılabilir)
  • Güvenlik soruları

Kullanıcılar parolalarını yalnızca yöneticinin etkinleştirdiği bir kimlik doğrulama yöntemi kaydettiyse sıfırlayabilirler.

Uyarı

Azure yönetici rollerine atanan hesapların, Yönetici sıfırlama ilkesi farklılıkları bölümünde tanımlanan yöntemleri kullanması gerekir.

Azure portal kimlik doğrulama yöntemleri seçimi

Gerekli kimlik doğrulama yöntemlerinin sayısı

Bir kullanıcının parolasını sıfırlamak veya kilidini açmak için sağlaması gereken kullanılabilir kimlik doğrulama yöntemlerinin sayısını yapılandırabilirsiniz. Bu değer bir veya iki olarak ayarlanabilir.

Kullanıcılar birden çok kimlik doğrulama yöntemini kaydedebilir ve kaydetmelidir. Kullanıcıların ihtiyaç duyduklarında bir yönteme erişememeleri durumunda daha fazla esneklik elde edebilmeleri için iki veya daha fazla kimlik doğrulama yöntemini kaydetmeleri kesinlikle önerilir.

Bir kullanıcı SSPR'yi kullanmaya çalıştığında kayıtlı en az sayıda gerekli yönteme sahip değilse, bir yöneticinin parolasını sıfırlamasını istemeye yönlendiren bir hata sayfası görür. SSPR'ye kayıtlı mevcut kullanıcılarınız varsa ve bu kullanıcılar bu özelliği kullanamıyorsa, gerekli yöntem sayısını birden ikiye çıkardığınızda dikkatli olun. Daha fazla bilgi için aşağıdaki Kimlik doğrulama yöntemlerini değiştirme bölümüne bakın.

Mobil uygulama ve SSPR

Microsoft Authenticator uygulaması gibi bir mobil uygulamayı parola sıfırlama yöntemi olarak kullanırken aşağıdaki noktalar geçerlidir:

  • Yöneticiler parola sıfırlamak için tek bir yöntem kullanılmasını gerektirdiğinde, doğrulama kodu tek seçenektir.
  • Yöneticiler parola sıfırlamak için iki yöntem kullanılmasını gerektirdiğinde, kullanıcılar diğer etkin yöntemlere ek olarak bildirim VEYA doğrulama kodunu da kullanabilir.
Sıfırlamak için gereken yöntem sayısı Bir İki
Kullanılabilir mobil uygulama özellikleri Kod Kod veya Bildirim

Kullanıcılar, uygulamasından self servis parola sıfırlamaya kaydolduğunda mobil uygulamalarını kaydetme seçeneğine https://aka.ms/ssprsetupsahip değildir. Kullanıcılar mobil uygulamalarını adresine https://aka.ms/mfasetupveya konumundaki birleşik güvenlik bilgileri kaydına https://aka.ms/setupsecurityinfokaydedebilir.

Önemli

Tek bir yöntem gerektiğinde Authenticator uygulaması tek kimlik doğrulama yöntemi olarak seçilemiyor. Benzer şekilde, Authenticator uygulaması ve iki yöntem gerektiğinde yalnızca bir ek yöntem seçilemez.

Authenticator uygulamasını bir yöntem olarak içeren SSPR ilkelerini yapılandırırken, bir yöntem gerektiğinde en az bir ek yöntem seçilmeli ve iki yöntem yapılandırılırken en az iki ek yöntem seçilmelidir.

Bu gereksinim, geçerli SSPR kayıt deneyiminin kimlik doğrulayıcı uygulamasını kaydetme seçeneğini içermemesidir. Kimlik doğrulayıcı uygulamasını kaydetme seçeneği, yeni birleşik kayıt deneyimine dahil edilir.

Yalnızca Authenticator uygulamasını (bir yöntem gerektiğinde) veya Authenticator uygulamasını ve yalnızca bir ek yöntemi (iki yöntem gerektiğinde) kullanan ilkelere izin vermek, kullanıcıların yeni birleştirilmiş kayıt deneyimini kullanacak şekilde yapılandırılana kadar SSPR'ye kaydolmalarının engellenmesine neden olabilir.

Kimlik doğrulama yöntemlerini değiştirme

Sıfırlama veya kilit açma için yalnızca bir gerekli kimlik doğrulama yöntemine sahip bir ilkeyle başlarsanız ve bunu iki yöntemle değiştirirseniz ne olur?

Kayıtlı yöntem sayısı Gerekli yöntem sayısı Sonuç
1 veya daha fazla 1 Sıfırlama veya kilidini açabilme
1 2 Sıfırlama veya kilidi açılamıyor
2 veya daha fazla 2 Sıfırlama veya kilidini açabilme

Kullanılabilir kimlik doğrulama yöntemlerinin değiştirilmesi de kullanıcılar için sorunlara neden olabilir. Bir kullanıcının kullanabileceği kimlik doğrulama yöntemi türlerini değiştirirseniz, kullanılabilir en düşük veri miktarına sahip olmayan kullanıcıların SSPR'yi kullanabilmesini istemeden durdurabilirsiniz.

Aşağıdaki örnek senaryoyu göz önünde bulundurun:

  1. Özgün ilke, gereken iki kimlik doğrulama yöntemiyle yapılandırılır. Yalnızca ofis telefon numarasını ve güvenlik sorularını kullanır.
  2. Yönetici, ilkeyi güvenlik sorularını artık kullanamayacak şekilde değiştirir, ancak cep telefonu ve alternatif bir e-posta kullanılmasına izin verir.
  3. Cep telefonu veya alternatif e-posta alanları doldurulmamış kullanıcılar artık parolalarını sıfırlayamaz.

Bildirimler

SSPR, parola olaylarının farkındalığını artırmak için hem kullanıcılar hem de kimlik yöneticileri için bildirimleri yapılandırmanıza olanak tanır.

Parola sıfırlamayı kullanıcılara bildir

Bu seçenek Evet olarak ayarlanırsa, parolalarını sıfırlayan kullanıcılara parolalarının değiştirildiğini bildiren bir e-posta gönderilir. E-posta, SSPR portalı aracılığıyla Azure AD depolanan birincil ve alternatif e-posta adreslerine gönderilir. Sıfırlama olayından başka kimseye bildirim alınmaz.

Diğer yöneticiler parolalarını sıfırladığında tüm yöneticileri bilgilendirin

Bu seçenek Evet olarak ayarlanırsa, diğer tüm Azure yöneticileri Azure AD depolanan birincil e-posta adreslerine bir e-posta alır. E-posta, başka bir yöneticinin SSPR kullanarak parolasını değiştirdiğini bildirir.

Aşağıdaki örnek senaryoyu göz önünde bulundurun:

  • Bir ortamda dört yönetici vardır.
  • Yönetici A , SSPR kullanarak parolasını sıfırlar.
  • B, C ve D yöneticileri, parola sıfırlama konusunda onları uyaran bir e-posta alır.

Not

SSPR hizmetinden gelen Email bildirimleri, çalıştığınız Azure bulutunu temel alan aşağıdaki adreslerden gönderilir:

  • Genel: msonlineservicesteam@microsoft.com
  • Çin: msonlineservicesteam@oe.21vianet.com
  • Hükümet: msonlineservicesteam@azureadnotifications.us

Bildirimleri alırken sorunlarla karşılaşırsanız lütfen istenmeyen posta ayarlarınızı denetleyin.

Şirket içi tümleştirme

Karma bir ortamınız varsa, parola değişikliği olaylarını Azure AD şirket içi dizine geri yazmak için Azure AD Bağlan'ı yapılandırabilirsiniz.

Parola geri yazma doğrulaması etkinleştirildi ve çalışıyor

Azure AD geçerli karma bağlantınızı denetler ve Azure portal aşağıdaki iletilerden birini sağlar:

  • Şirket içi geri yazma istemciniz çalışır durumda.
  • Azure AD çevrimiçidir ve şirket içi geri yazma istemcinize bağlıdır. Ancak, Azure AD Connect'in yüklü sürümü güncel değil gibi görünüyor. En son bağlantı özelliklerine ve önemli hata düzeltmelerine sahip olduğunuzdan emin olmak için Bağlan Azure AD Yükseltmeyi göz önünde bulundurun.
  • Ne yazık ki, Azure AD Connect'in yüklü sürümü güncel olmadığından şirket içi geri yazma istemcinizin durumunu denetleyemiyoruz. Bağlantı durumunuzu denetleyebilmek için Bağlan Azure AD yükseltin.
  • Ne yazık ki şu anda şirket içi geri yazma istemcinize bağlanamıyoruz gibi görünüyor. Bağlantıyı geri yüklemek için Bağlan Azure AD sorunlarını giderin.
  • Parola geri yazma düzgün yapılandırılmadığından ne yazık ki şirket içi geri yazma istemcinize bağlanamıyoruz. Bağlantıyı geri yüklemek için parola geri yazmayı yapılandırın.
  • Ne yazık ki şu anda şirket içi geri yazma istemcinize bağlanamıyoruz gibi görünüyor. Bunun nedeni bizim tarafımızdaki geçici sorunlar olabilir. Sorun devam ederse bağlantıyı geri yüklemek için Bağlan Azure AD sorun giderin.

SSPR geri yazma ile çalışmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Şirket içi dizininize parolaları geri yazma

parola geri yazma özelliğini Azure portal kullanarak etkinleştirebilirsiniz. Ayrıca, Azure AD Connect'i yeniden yapılandırmak zorunda kalmadan parola geri yazma özelliğini geçici olarak devre dışı bırakabilirsiniz.

  • Seçenek Evet olarak ayarlanırsa geri yazma etkinleştirilir. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayabilir.
  • Seçenek Hayır olarak ayarlanırsa geri yazma devre dışı bırakılır. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayamaz.

Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin verme

Varsayılan olarak, Azure AD parola sıfırlama gerçekleştirdiğinde hesapların kilidini açar. Esneklik sağlamak için kullanıcıların parolalarını sıfırlamak zorunda kalmadan şirket içi hesaplarının kilidini açmasına izin vermeyi seçebilirsiniz. Bu iki işlemi ayırmak için bu ayarı kullanın.

  • Evet olarak ayarlanırsa, kullanıcılara parolalarını sıfırlama ve hesabın kilidini açma veya parolayı sıfırlamak zorunda kalmadan hesabının kilidini açma seçeneği verilir.
  • Hayır olarak ayarlanırsa, kullanıcılar yalnızca birleştirilmiş parola sıfırlama ve hesap kilidini açma işlemi gerçekleştirebilir.

Şirket içi Active Directory parola filtreleri

SSPR, Active Directory'de yönetici tarafından başlatılan parola sıfırlamanın eşdeğerini gerçekleştirir. Özel parola kurallarını zorunlu kılmak için üçüncü taraf parola filtresi kullanıyorsanız ve self servis parola sıfırlama sırasında bu parola filtresinin denetlenmesini Azure AD istiyorsanız, üçüncü taraf parola filtresi çözümünün yönetici parola sıfırlama senaryosunda uygulanacak şekilde yapılandırıldığından emin olun. Active Directory Domain Services için Azure AD parola koruması varsayılan olarak desteklenir.

B2B kullanıcıları için parola sıfırlama

Parola sıfırlama ve değişiklik tüm işletmeler arası (B2B) yapılandırmalarda tam olarak desteklenir. B2B kullanıcı parolası sıfırlama aşağıdaki üç durumda desteklenir:

  • mevcut Azure AD kiracısı olan bir iş ortağı kuruluşun kullanıcıları: İş ortağı olduğunuz kuruluşun mevcut bir Azure AD kiracısı varsa, bu kiracıda etkinleştirilen parola sıfırlama ilkelerine saygı duyarız. Parola sıfırlamanın çalışması için iş ortağı kuruluşunun Azure AD SSPR'nin etkinleştirildiğinden emin olması gerekir. Microsoft 365 müşteri için ek ücret alınmaz.
  • Self servis kaydolma yoluyla kaydolan kullanıcılar: İş ortağı olduğunuz kuruluş bir kiracıya girmek için self servis kaydolma özelliğini kullandıysa, kaydoldukları e-postayla parolayı sıfırlamalarına izin veririz.
  • B2B kullanıcıları: Yeni Azure AD B2B özellikleri kullanılarak oluşturulan tüm yeni B2B kullanıcıları, davet işlemi sırasında kaydettikleri e-postayla parolalarını da sıfırlayabilir.

Bu senaryoya test etmek için https://passwordreset.microsoftonline.com bu iş ortağı kullanıcılarından biriyle adresine gidin. Tanımlanmış alternatif bir e-posta veya kimlik doğrulama e-postası varsa parola sıfırlama beklendiği gibi çalışır.

Not

Hotmail.com, Outlook.com veya diğer kişisel e-posta adresleri gibi Azure AD kiracınıza konuk erişimi verilmiş Microsoft hesapları Azure AD SSPR'yi kullanamaz. Microsoft hesabınızda oturum açamıyorsanız makalesinde bulunan bilgileri kullanarak parolalarını sıfırlamaları gerekir.

Sonraki adımlar

SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Aşağıdaki makaleler, Azure AD aracılığıyla parola sıfırlama konusunda ek bilgiler sağlar: