Share via

Windows oturum açma ekranında Microsoft Entra self servis parola sıfırlamayı etkinleştirme

  • Makale

Self servis parola sıfırlama (SSPR), Microsoft Entra ID'deki kullanıcılara yönetici veya yardım masası katılımı olmadan parolalarını değiştirme veya sıfırlama olanağı sağlar. Kullanıcılar genellikle SSPR portalına erişmek için başka bir cihazda web tarayıcısı açar. Windows 7, 8, 8.1, 10 ve 11 çalıştıran bilgisayarlardaki deneyimi geliştirmek için kullanıcıların Windows oturum açma ekranında parolalarını sıfırlamalarını sağlayabilirsiniz.

Example Windows login screens with SSPR link shown

Önemli

Bu öğretici, bir yöneticinin kuruluştaki Windows cihazları için SSPR'yi nasıl etkinleştireceklerini gösterir.

BT ekibiniz Windows cihazınızdan SSPR kullanma özelliğini etkinleştirmediyse veya oturum açma sırasında sorun yaşıyorsanız ek yardım için yardım masanıza ulaşın.

Genel sınırlamalar

Aşağıdaki sınırlamalar, Windows oturum açma ekranından SSPR kullanımı için geçerlidir:

  • Parola sıfırlama şu anda Uzak Masaüstü'nden veya Hyper-V gelişmiş oturumlarından desteklenmiyor.
  • Bazı üçüncü taraf kimlik bilgileri sağlayıcılarının bu özellikte sorunlara neden olduğu bilinmektedir.
  • EnableLUA kayıt defteri anahtarının değiştirilmesiyle UAC'yi devre dışı bırakmanın sorunlara neden olduğu bilinmektedir.
  • Bu özellik, 802.1x ağ kimlik doğrulaması dağıtılan ağlarda ve "Kullanıcı oturum açmadan hemen önce gerçekleştir" seçeneğiyle çalışmaz. 802.1x ağ kimlik doğrulaması dağıtılan ağlarda bu özelliği etkinleştirmek için makine kimlik doğrulaması kullanılması önerilir.
  • Microsoft Entra karma katılmış makinelerin yeni parolayı kullanmak ve önbelleğe alınmış kimlik bilgilerini güncelleştirmek için bir etki alanı denetleyicisine ağ bağlantısı hattı olmalıdır. Bu, cihazların kuruluşun iç ağında veya şirket içi etki alanı denetleyicisine ağ erişimi olan bir VPN'de olması gerektiği anlamına gelir.
  • Görüntü kullanıyorsanız, sysprep çalıştırmadan önce CopyProfile adımını gerçekleştirmeden önce yerleşik Yönetici istrator için web önbelleğinin temizlendiğinden emin olun. Bu adım hakkında daha fazla bilgi için özel varsayılan kullanıcı profili kullanılırken performans düşük destek makalesinde bulunabilir.
  • Aşağıdaki ayarların, Windows 10 cihazlarında parolaları kullanma ve sıfırlama özelliğini engellediği bilinmektedir:
    • Kilit ekranı bildirimleri kapalıysa Parolayı sıfırla çalışmaz.
    • HideFastUserSwitching etkin veya 1 olarak ayarlandı
    • DontDisplayLastUserName etkin veya 1 olarak ayarlandı
    • NoLockScreen etkin veya 1 olarak ayarlandı
    • BlockNon Yönetici UserInstall etkin veya 1 olarak ayarlandı
    • Cihazda EnableLostMode ayarlandı
    • Explorer.exe özel bir kabukla değiştirildi
    • Etkileşimli oturum açma: Akıllı kartın etkin olarak ayarlanmasını gerektir veya 1
  • Aşağıdaki belirli üç ayarın birleşimi bu özelliğin çalışmamasına neden olabilir.
    • Etkileşimli oturum açma: CTRL+ALT+DEL = Devre Dışı (yalnızca Windows 10 sürüm 1710 ve öncesi için) gerektirmez
    • DisableLockScreenAppNotifications = 1 veya Enabled
    • Windows SKU Home sürümüdür

Dekont

Bu sınırlamalar, cihaz kilit ekranından pin sıfırlama İş İçin Windows Hello için de geçerlidir.

Windows 11 ve Windows 10 parola sıfırlama

Oturum açma ekranında SSPR için bir Windows 11 veya Windows 10 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 11 ve Windows 10 önkoşulları

  • Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istrator olarak oturum açın ve Microsoft Entra self servis parola sıfırlamayı etkinleştirin.
  • Kullanıcıların bu özelliği kullanmadan önce SSPR'ye kaydolması gerekir: https://aka.ms/ssprsetup
    • Windows oturum açma ekranından SSPR'yi kullanmaya özgü değildir, tüm kullanıcıların parolalarını sıfırlayabilmek için önce kimlik doğrulama iletişim bilgilerini sağlaması gerekir.
  • Ağ ara sunucusu gereksinimleri:
    • ve için 443 passwordreset.microsoftonline.com numaralı bağlantı noktası ajax.aspnetcdn.com
    • Windows 10 cihazları, SSPR gerçekleştirmek için kullanılan geçici defaultuser1 hesabı için makine düzeyinde ara sunucu yapılandırması veya kapsamlı ara sunucu yapılandırması gerektirir (daha fazla ayrıntı için sorun giderme bölümüne bakın).
  • En az Windows 10, sürüm Nisan 2018 Güncelleştirmesi 'ni (v1803) çalıştırın ve cihazlar aşağıdakilerden biri olmalıdır:
    • Microsoft Entra ortamına katılan
    • Microsoft Entra ortamına katılan hibrit

Microsoft Intune kullanarak Windows 11 ve Windows 10 için etkinleştirme

Microsoft Intune kullanarak oturum açma ekranından SSPR'yi etkinleştirmek için yapılandırma değişikliğini dağıtmak en esnek yöntemdir. Microsoft Intune, yapılandırma değişikliğini tanımladığınız belirli bir makine grubuna dağıtmanıza olanak tanır. Bu yöntem, cihazın Microsoft Intune kaydını gerektirir.

Microsoft Intune'da cihaz yapılandırma ilkesi oluşturma

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihaz yapılandırma Profilleri'ne gidip + Profil Oluştur'u seçerek yeni bir cihaz yapılandırma>profili oluşturun

    • Platform için Windows 10 ve üzerini seçin
    • Profil türü için Şablonlar'ı ve ardından aşağıdaki Özel şablonu seçin

  3. Oluştur'u seçin ve profil için Windows 11 oturum açma ekranı SSPR gibi anlamlı bir ad sağlayın

    İsteğe bağlı olarak, profilin anlamlı bir açıklamasını sağlayın ve İleri'yi seçin.

  4. Yapılandırma ayarları'nın altında Ekle'yi seçin ve parola sıfırlama bağlantısını etkinleştirmek için aşağıdaki OMA-URI ayarını sağlayın:

    • Ayarın ne yaptığını açıklamak için SSPR bağlantısı ekle gibi anlamlı bir ad sağlayın.
    • İsteğe bağlı olarak ayarın anlamlı bir açıklamasını sağlayın.
    • OMA-URI olarak ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset ayarlayın
    • Veri türü olarak Tamsayı ayarlayın
    • Değer olarak 1 ayarlayın

    Ekle'yi ve ardından İleri'yi seçin.

  5. İlke belirli kullanıcılara, cihazlara veya gruplara atanabilir. Profili ortamınız için istediğiniz gibi atayın, ideal olarak önce bir test grubuna cihaz verin, ardından İleri'yi seçin.

    Daha fazla bilgi için bkz . Microsoft Intune'da kullanıcı ve cihaz profilleri atama.

  6. İşletim sistemi sürümü Windows 10 Enterprise ise profil atama gibi uygulanabilirlik kurallarını ortamınız için istediğiniz şekilde yapılandırın ve İleri'yi seçin.

  7. Profilinizi gözden geçirin ve oluştur'u seçin.

Kayıt Defteri'ni kullanarak Windows 11 ve Windows 10 için etkinleştirme

Kayıt defteri anahtarı kullanarak oturum açma ekranında SSPR'yi etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Yönetici kimlik bilgilerini kullanarak Windows bilgisayarda oturum açın.

  2. Çalıştır iletişim kutusunu açmak için Windows + R tuşuna basın ve ardından regedit'i yönetici olarak çalıştırın

  3. Aşağıdaki kayıt defteri anahtarını ayarlayın:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Windows 11 ve Windows 10 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranındaN SSPR kullanmayla ilgili sorun yaşıyorsanız, Microsoft Entra denetim günlüğü aşağıdaki örnek çıktıda gösterildiği gibi, parola sıfırlamanın gerçekleştiği IP adresi ve ClientType hakkında bilgi içerir:

Example Windows 7 password reset in the Microsoft Entra audit log

Kullanıcılar bir Windows 11 veya 10 cihazının oturum açma ekranından parolalarını sıfırladığında adlı defaultuser1 düşük ayrıcalıklı geçici bir hesap oluşturulur. Bu hesap, parola sıfırlama işlemini güvenli tutmak için kullanılır.

Hesabın kendisi, kuruluş parola ilkesine göre doğrulanmış rastgele oluşturulmuş bir parolaya sahiptir, cihaz oturum açma için gösterilmez ve kullanıcı parolasını sıfırladıktan sonra otomatik olarak kaldırılır. Birden çok defaultuser profil bulunabilir ancak güvenle yoksayılabilir.

Windows parola sıfırlama için ara sunucu yapılandırmaları

Parola sıfırlama sırasında, SSPR bağlanmak https://passwordreset.microsoftonline.com/n/passwordresetiçin geçici bir yerel kullanıcı hesabı oluşturur. Bir ara sunucu kullanıcı kimlik doğrulaması için yapılandırıldığında , "Bir sorun oluştu. Lütfen daha sonra yeniden deneyin." Bunun nedeni yerel kullanıcı hesabının kimliği doğrulanmış ara sunucuyu kullanma yetkisinin olmamasıdır.

Bu durumda, aşağıdaki geçici çözümlerden birini kullanabilirsiniz:

  • Makine genelinde, makinede oturum açmış kullanıcının türüne bağlı olmayan bir ara sunucu ayarı yapılandırın. Örneğin, iş istasyonları için Grup İlkesi Makine başına ara sunucu ayarları yapma (kullanıcı başına değil) ayarını etkinleştirebilirsiniz.

  • Varsayılan Hesap için kayıt defteri şablonunu değiştirirseniz SSPR için Kullanıcı Başına proxy yapılandırmasını da kullanabilirsiniz. Komutlar aşağıdaki gibidir:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • URL https://passwordreset.microsoftonline.com/n/passwordresetbağlantısını kesintiye uğratırsa "Bir sorun oluştu" hatası da oluşabilir. Örneğin, bu hata, virüsten koruma yazılımı URL' ler passwordreset.microsoftonline.com, ajax.aspnetcdn.comve ocsp.digicert.comdışlamaları olmadan iş istasyonunda çalıştırıldığında oluşabilir. Sorunun çözülmüş olup olmadığını test etmek için bu yazılımı geçici olarak devre dışı bırakın.

Windows 7, 8 ve 8.1 parola sıfırlama

Oturum açma ekranında SSPR için bir Windows 7, 8 veya 8.1 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 7, 8 ve 8.1 önkoşulları

  • Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istrator olarak oturum açın ve Microsoft Entra self servis parola sıfırlamayı etkinleştirin.
  • Kullanıcıların bu özelliği kullanmadan önce SSPR'ye kaydolması gerekir: https://aka.ms/ssprsetup
    • Windows oturum açma ekranından SSPR'yi kullanmaya özgü değildir, tüm kullanıcıların parolalarını sıfırlayabilmek için önce kimlik doğrulama iletişim bilgilerini sağlaması gerekir.
  • Ağ ara sunucusu gereksinimleri:
    • Bağlantı noktası 443 - passwordreset.microsoftonline.com
  • Düzeltme eki uygulamalı Windows 7 veya Windows 8.1 İşletim Sistemi.
  • TLS 1.2, Aktarım Katmanı Güvenliği (TLS) kayıt defteri ayarlarında bulunan yönergeler kullanılarak etkinleştirildi.
  • Makinenizde birden fazla üçüncü taraf kimlik bilgisi sağlayıcısı etkinleştirildiyse, kullanıcılar oturum açma ekranında birden fazla kullanıcı profili görür.

Uyarı

TLS 1.2'nin etkinleştirilmesi gerekir, yalnızca otomatik anlaşma için ayarlanmamalıdır.

Yükle

Windows 7, 8 ve 8.1'de oturum açma ekranında SSPR'yi etkinleştirmek için makineye küçük bir bileşen yüklenmelidir. Bu SSPR bileşenini yüklemek için aşağıdaki adımları tamamlayın:

  1. Etkinleştirmek istediğiniz Windows sürümü için uygun yükleyiciyi indirin.

    Yazılım yükleyicisi şu konumdaki Microsoft indirme merkezinde bulunabilir: https://aka.ms/sspraddin

  2. Yüklemek istediğiniz makinede oturum açın ve yükleyiciyi çalıştırın.

  3. Yüklemeden sonra, yeniden başlatma kesinlikle önerilir.

  4. Yeniden başlatma işleminden sonra, oturum açma ekranında bir kullanıcı seçin ve parola sıfırlama iş akışını başlatmak için "Parola mı unuttunuz?" seçeneğini belirleyin.

  5. Parolanızı sıfırlamak için ekrandaki adımları izleyerek iş akışını tamamlayın.

Example Windows 7 clicked

Sessiz yükleme

SSPR bileşeni aşağıdaki komutlar kullanılarak istemler olmadan yüklenebilir veya kaldırılabilir:

  • Sessiz yükleme için "msiexec /i SsprWindowsLogon.PROD.msi /qn" komutunu kullanın
  • Sessiz kaldırma için "msiexec /x SsprWindowsLogon.PROD.msi /qn" komutunu kullanın

Windows 7, 8 ve 8.1 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranındaN SSPR kullanmayla ilgili sorun yaşıyorsanız, olaylar hem makinede hem de Microsoft Entra Id'de günlüğe kaydedilir. Microsoft Entra olayları, aşağıdaki örnek çıktıda gösterildiği gibi, parola sıfırlamanın gerçekleştiği IP adresi ve ClientType ile ilgili bilgileri içerir:

Example Windows 7 password reset in the Microsoft Entra audit log

Ek günlük kaydı gerekiyorsa, ayrıntılı günlüğe kaydetmeyi etkinleştirmek için makinedeki bir kayıt defteri anahtarı değiştirilebilir. Sorun giderme amacıyla yalnızca aşağıdaki kayıt defteri anahtarı değerini kullanarak ayrıntılı günlük kaydını etkinleştirin:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Ayrıntılı günlüğü etkinleştirmek için bir REG_DWORD: "EnableLogging"oluşturun ve 1 olarak ayarlayın.
  • Ayrıntılı günlüğü devre dışı bırakmak için öğesini 0 olarak REG_DWORD: "EnableLogging" değiştirin.
  • Uygulama olay günlüğünde AADPasswordResetCredentialProvider kaynağı altındaki hata ayıklama günlüğünü gözden geçirin.

Kullanıcıların ne görecek

Windows cihazlarınız için SSPR yapılandırıldığında, kullanıcı için hangi değişiklikler güncelleştirilir? Oturum açma ekranında parolalarını sıfırlayabileceklerini nasıl anlayacaklar? Aşağıdaki örnek ekran görüntüleri, kullanıcının SSPR kullanarak parolasını sıfırlaması için ek seçenekleri gösterir:

Example Windows 7 and 10 login screens with SSPR link shown

Kullanıcılar oturum açmaya çalıştığında, oturum açma ekranında self servis parola sıfırlama deneyimini açan parolayı sıfırla veya Parolayı unuttum bağlantısını görür. Bu işlev kullanıcıların web tarayıcısına erişmek için başka bir cihaz kullanmalarına gerek kalmadan parolalarını sıfırlamalarına olanak tanır.

Kullanıcılar için bu özelliği kullanma hakkında daha fazla bilgi için bkz . İş veya okul parolanızı sıfırlama

Sonraki adımlar

Kullanıcı kayıt deneyimini basitleştirmek için SSPR için kullanıcı kimlik doğrulaması iletişim bilgilerini önceden doldurabilirsiniz.