Windows oturum açma ekranında Microsoft Entra self servis parola sıfırlamayı etkinleştirin

Kullanıcılar, Microsoft Entra ID'de self servis parola sıfırlama (SSPR) kullanarak yönetici veya yardım masası müdahalesi olmadan parolalarını değiştirebilir veya sıfırlayabilir. Kullanıcılar genellikle SSPR portalınaerişmek için başka bir cihazda bir web tarayıcısı açar. Windows 7, 8, 8.1, 10 ve 11 çalıştıran bilgisayarlarda deneyimi geliştirmek için kullanıcıların Windows oturum açma ekranında parolalarını sıfırlamalarını sağlayabilirsiniz.

Bu makalede, yöneticilerin bir kuruluştaki Windows cihazları için SSPR'nin nasıl etkinleştirileceği gösterilmektedir.

BT ekibiniz Windows cihazınızdan SSPR kullanma özelliğini etkinleştirmediyse veya oturum açma sırasında sorun yaşıyorsanız daha fazla yardım için yardım masanıza ulaşın.

Genel sınırlamalar

Aşağıdaki sınırlamalar, Windows oturum açma ekranından SSPR kullanımı için geçerlidir:

• Parola sıfırlama şu anda Uzak Masaüstü'nden veya gelişmiş Hyper-V oturumlardan desteklenmemektedir.

• Microsoft dışı bazı kimlik bilgisi sağlayıcılarının bu özellikle ilgili sorunlara neden olduğu bilinmektedir.

• EnableLUA kayıt defteri anahtarının değiştirilmesi yoluyla kullanıcı hesabı denetiminin devre dışı bırakılmasının sorunlara neden olduğu bilinmektedir.

• Bu özellik, 802.1x ağ kimlik doğrulamasının dağıtıldığı ve Kullanıcı oturum açmadan hemen önce gerçekleştir seçeneğinin bulunduğu ağlarda çalışmaz. 802.1x ağ kimlik doğrulamasının dağıtıldığı ağlarda, bu özelliği etkinleştirmek için makine kimlik doğrulamasını kullanmanızı öneririz.

• Microsoft Entra karma katılımlı makinelerin, yeni parolayı kullanmak ve önbelleğe alınmış kimlik bilgilerini güncelleştirmek için bir etki alanı denetleyicisine ağ bağlantısı görüş hattına sahip olması gerekir. Cihazların kuruluşun iç ağında veya şirket içi etki alanı denetleyicisine ağ erişimi olan bir sanal özel ağda olması gerekir. Tek gereksinim SSPR ise, etki alanı denetleyicisine ağ bağlantı hattı gerekli değildir.

• Bir görüntü kullanıyorsanız, çalıştırmadan sysprep önce, adımı gerçekleştirmeden önce yerleşik yönetici için web önbelleğinin CopyProfile temizlendiğinden emin olun. Daha fazla bilgi için, bkz: Özel varsayılan kullanıcı profili kullanılırken performans düşük.

• Aşağıdaki ayarların Windows 10 cihazlarda parola kullanma ve sıfırlama özelliğini engellediği bilinmektedir:

  • Kilit ekranı bildirimleri kapalıysa Parolayı sıfırla çalışmaz.
  • HideFastUserSwitching Etkin veya 1 olarak ayarlanır.
  • DontDisplayLastUserName Etkin veya 1 olarak ayarlanır.
  • NoLockScreen Etkin veya 1 olarak ayarlanır.
  • BlockNonAdminUserInstall Etkin veya 1 olarak ayarlanır.
  • EnableLostMode cihazda ayarlanır.
  • Explorer.exe , özel bir kabukla değiştirilir.
  • Etkileşimli oturum açma: Akıllı kart gerektir seçeneği Etkin veya 1 olarak ayarlanır.

• Aşağıdaki belirli üç ayarın birleşimi bu özelliğin çalışmamasına neden olabilir.

  • Etkileşimli oturum açma: CTRL+ALT+DEL tuşlarınınDevre Dışı olarak ayarlanmasını gerektirmez (yalnızca Windows 10 sürüm 1710 ve önceki sürümler için).
  • DisableLockScreenAppNotifications Etkin veya 1 olarak ayarlanır.
  • Windows sürümü, Home sürümüdür.

Not

Bu sınırlamalar, cihaz kilit ekranından İş İçin Windows Hello PIN sıfırlaması için de geçerlidir.

Windows 11 ve Windows 10 parola sıfırlama

Oturum açma ekranında SSPR için bir Windows 11 veya Windows 10 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 11 ve Windows 10 önkoşulları

• Microsoft Entra yönetim merkezinde en az bir Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın ve Microsoft Entra SSPR'yi etkinleştirin.
• Kullanıcıların Windows oturum açma ekranında bu özelliği kullanmadan önce SSPR'ye kaydolması gerekir.
  • Tüm kullanıcıların parolalarını sıfırlayabilmeleri için önce kimlik doğrulama iletişim bilgilerini sağlamaları gerekir ve bu, Windows oturum açma ekranından SSPR kullanmaya özgü değildir.
• Ağ ara sunucusu gereksinimleri:
  • Bağlantı noktası 443 ve passwordreset.microsoftonline.comajax.aspnetcdn.com.
  • Windows 10 cihazlar, SSPR gerçekleştirmek için kullanılan geçici defaultuser1 hesap için makine düzeyinde ara sunucu yapılandırması veya kapsamlı ara sunucu yapılandırması gerektirir. Daha fazla bilgi için Sorun Giderme bölümüne bakın.
• En az Windows 10, sürüm Nisan 2018 Güncelleştirmesi 'ni (v1803) çalıştırın ve cihazlar aşağıdakilerden biri olmalıdır:
  • Microsoft Entra katıldı.
  • Microsoft Entra hibrit katıldı.

Intune kullanarak Windows 11 ve Windows 10 için etkinleştirme

Intune kullanarak Windows oturum açma ekranından SSPR'yi etkinleştirmek için yapılandırma değişikliğini dağıtmak en esnek yöntemdir. Intune ile, yapılandırma değişikliğini tanımladığınız belirli bir makine grubuna dağıtabilirsiniz. Bu yöntem, cihazın Intune kaydını gerektirir.

Intune'da cihaz yapılandırma ilkesi oluşturma

1. Microsoft Intune yönetim merkezindeoturum açın.

2. Cihaz yapılandırma> gidip + Profil Oluştur'u seçerek yeni bir cihaz yapılandırma profili oluşturun:

   • Platform için Windows 10 ve üzerini seçin.
   • Profil türü için Şablonlar'ı seçin ve ardından Özel şablonu seçin.

3. Oluştur'u seçin ve profil için Windows 11 oturum açma ekranı SSPR gibi anlamlı bir ad sağlayın.

   İsteğe bağlı olarak, profilin anlamlı bir açıklamasını sağlayın ve İleri'yi seçin.

4. Yapılandırma ayarlarıaltında Ekle seçin ve parola sıfırlama bağlantısını etkinleştirmek için aşağıdaki OMA-URI ayarını sağlayın:

   • Ayarın ne yaptığını açıklamak için SSPR bağlantısı ekle gibi anlamlı bir ad girin.
   • İsteğe bağlı olarak, ayarın anlamlı bir açıklamasını girin.
   • OMA-URI'yi şu şekilde ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordResetayarlayın: .
   • Veri türü'nüTamsayı olarak ayarlayın.
   • Değeri1 olarak ayarlayın.

   Ekle'yi seçip İleri'yi seçin.

5. İlkeyi belirli kullanıcılara, cihazlara veya gruplara atayabilirsiniz. Ortamınız için istediğiniz profili atayın. En iyi yöntem, önce bir test cihaz grubuna atamak ve ardından İleri'yi seçmektir.

   Daha fazla bilgi için bkz. Microsoft Intune'da kullanıcı ve cihaz profilleri atama.

6. İşletim sistemi sürümü Windows 10 Enterprise ise profil ata gibi ortamınız için istediğiniz uygulanabilirlik kurallarını yapılandırın ve ardından İleri'yi seçin.

7. Profilinizi gözden geçirin ve Oluştur'u seçin.

Kayıt defterini kullanarak Windows 11 ve Windows 10 için etkinleştirin

Kayıt defteri anahtarı kullanarak Windows oturum açma ekranında SSPR'yi etkinleştirmek için şu adımları izleyin:

1. Yönetici kimlik bilgilerini kullanarak Windows PC'de oturum açın.

2. Çalıştır iletişim kutusunu açmak için + R'yi seçin ve ardından regedit'i yönetici olarak çalıştırın.

3. Aşağıdaki kayıt defteri anahtarını ayarlayın:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Windows 11 ve Windows 10 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranından SSPR'yi kullanırken sorun yaşıyorsanız, Microsoft Entra denetim günlüğü, aşağıdaki örnek çıktıda gösterildiği gibi IP adresi ve ClientTypeparola sıfırlamanın gerçekleştiği yer hakkında bilgiler içerir.

Kullanıcılar bir Windows 11 veya 10 cihazının oturum açma ekranından parolalarını sıfırladığında, defaultuser1 adlı düşük ayrıcalıklı geçici bir hesap oluşturulur. Bu hesap, parola sıfırlama işlemini güvenli tutmak için kullanılır.

Hesabın kendisi, bir kuruluşun parola ilkesine göre doğrulanan rastgele oluşturulmuş bir parolaya sahiptir. Parola, cihazda oturum açma için gösterilmez ve kullanıcı parolasını sıfırladıktan sonra otomatik olarak kaldırılır. Birden fazla defaultuser profil olabilir, ancak bunları güvenle yok sayabilirsiniz.

Windows parola sıfırlama için ara sunucu yapılandırmaları

Parola sıfırlama sırasında SSPR, https://passwordreset.microsoftonline.com/n/passwordresetbağlanmak için geçici bir yerel kullanıcı hesabı oluşturur. Bir proxy kullanıcı kimlik doğrulaması için yapılandırıldığında, "Bir şeyler ters gitti. Lütfen daha sonra tekrar deneyin." Bu hata, yerel kullanıcı hesabının kimliği doğrulanmış ara sunucuyu kullanma yetkisine sahip olmaması nedeniyle oluşur.

Bu durumda, aşağıdaki geçici çözümlerden birini kullanın:

• Makinede oturum açan kullanıcının türüne bağlı olmayan, makine genelinde bir ara sunucu ayarı yapılandırın. Örneğin, Grup İlkesi'ni etkinleştirebilir İş istasyonları için makine başına ara sunucu ayarları (kullanıcı başına değil) yapabilirsiniz.

• Varsayılan hesap için kayıt defteri şablonunu değiştirirseniz, SSPR için kullanıcı başına ara sunucu yapılandırmasını da kullanabilirsiniz. Komutlar şunlardır:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• "Bir şeyler ters gitti" hatası, herhangi bir şey URL'ye https://passwordreset.microsoftonline.com/n/passwordresetbağlantıyı kestiğinde de ortaya çıkabilir. Örneğin, virüsten koruma yazılımı , passwordreset.microsoftonline.com, ve ajax.aspnetcdn.comURL'leri ocsp.digicert.comiçin dışlamalar olmadan iş istasyonunda çalıştığında bu hata oluşabilir. Sorunun çözülmüş olup olmadığını test etmek için bu yazılımı geçici olarak devre dışı bırakın.

Windows 7, 8 ve 8.1 parola sıfırlama

Windows oturum açma ekranında SSPR için bir Windows 7, 8 veya 8.1 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 7, 8 ve 8.1 önkoşulları

• Microsoft Entra yönetim merkezinde en az bir Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın ve Microsoft Entra SSPR'yi etkinleştirin.
• Kullanıcıların bu özelliği kullanmadan önce Windows oturum açma ekranında SSPR'ye kaydolması gerekir.
  • Tüm kullanıcıların parolalarını sıfırlayabilmeleri için önce kimlik doğrulama iletişim bilgilerini sağlamaları gerekir ve bu, Windows oturum açma ekranından SSPR kullanmaya özgü değildir.
• Ağ ara sunucusu gereksinimleri:
  • 443 numaralı bağlantı noktasından passwordreset.microsoftonline.com.
• Yamalı Windows 7 veya Windows 8.1 işletim sistemi.
• TLS 1.2, Aktarım Katmanı Güvenliği (TLS) kayıt defteri ayarlarındaki yönergeler izlenerek etkinleştirilir.
• Makinenizde birden fazla Microsoft dışı kimlik bilgisi sağlayıcısı etkinleştirilmişse, kullanıcılar Windows oturum açma ekranında birden fazla kullanıcı profili görür.

Uyarı

TLS 1.2'nin etkinleştirilmesi gerekir, yalnızca otomatik anlaşma için ayarlanmamalıdır.

SSPR bileşenini yükleme

Windows 7, 8 ve 8.1 için, Windows oturum açma ekranında SSPR'yi etkinleştirmek için makineye küçük bir bileşen yüklenmelidir. Bu SSPR bileşenini yüklemek için şu adımları izleyin:

1. Etkinleştirmek istediğiniz Windows sürümü için uygun yükleyiciyi indirin.

   Yazılım yükleyicisi Microsoft İndirme Merkezi'nde mevcuttur.

2. Yüklemek istediğiniz makinede oturum açın ve yükleyiciyi çalıştırın.

3. Kurulumdan sonra, yeniden başlatma yapmanızı öneririz.

4. Yeniden başlatmanın ardından, Windows oturum açma ekranında bir kullanıcı seçin ve parola sıfırlama iş akışını başlatmak için Parolanızı mı unuttunuz? öğesini seçin.

5. Parolanızı sıfırlamak için adımları izleyin.

   

Sessiz yükleme

SSPR bileşenini istemler olmadan yüklemek veya kaldırmak için aşağıdaki komutları kullanın:

• Sessiz yükleme: kullanın msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Sessiz kaldırma: kullanın msiexec /x SsprWindowsLogon.PROD.msi /qn.

Windows 7, 8 ve 8.1 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranından SSPR kullanırken sorun yaşarsanız, olaylar makinede ve Microsoft Entra ID'de günlüğe kaydedilir. Microsoft Entra olayları, IP adresi ve parola sıfırlamanın ClientType gerçekleştiği parametre hakkında bilgiler içerir.

Daha fazla günlüğe kaydetme gerekiyorsa, ayrıntılı günlüğe kaydetmeyi etkinleştirmek için makinedeki bir kayıt defteri anahtarını değiştirin. Ayrıntılı günlüğü yalnızca aşağıdaki kayıt defteri anahtarı değerini kullanarak sorun giderme amacıyla etkinleştirin:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Ayrıntılı günlüğü etkinleştirmek için oluşturun REG_DWORD: "EnableLogging" ve 1 olarak ayarlayın.
• Ayrıntılı günlüğü devre dışı bırakmak için REG_DWORD: "EnableLogging" olarak değiştirin.
• Kaynağın AADPasswordResetCredentialProvideraltındaki Uygulama olay günlüğündeki hata ayıklama günlüğünü gözden geçirin.

Kullanıcılar neleri görür?

SSPR Windows cihazlarınız için yapılandırıldığında, kullanıcı için değişiklikler nelerdir? Oturum açma ekranında parolalarını sıfırlayabileceklerini nasıl anlarlar? Aşağıdaki örnek ekran görüntülerinde, bir kullanıcının SSPR kullanarak parolasını sıfırlaması için diğer seçenekler gösterilmektedir.

Kullanıcılar oturum açmaya çalıştığında, oturum açma ekranında SSPR deneyimini açan Parolayı sıfırla veya Parolamı unuttum bağlantısını görürler. Artık kullanıcılar, bir web tarayıcısına erişmek için başka bir cihaz kullanmak zorunda kalmadan şifrelerini sıfırlayabilirler.

Bu özelliğin nasıl kullanılacağı hakkında daha fazla bilgi için bkz: İş veya okul parolanızı sıfırlama.

İlgili içerik

Kullanıcı kayıt deneyimini basitleştirmek için, SSPR için kullanıcı kimlik doğrulaması iletişim bilgilerini önceden doldurabilirsiniz.