在 Windows 登录屏幕上启用 Microsoft Entra 自助密码重置

通过在 Microsoft Entra ID 中使用自助密码重置 （SSPR），用户可以更改或重置其密码，无需管理员或支持人员参与。 通常，用户会在另一台设备上打开 Web 浏览器，以访问 SSPR 门户。 若要改进运行 Windows 7、8、8.1、10 和 11 的计算机上的体验，可以让用户在 Windows 登录屏幕上重置其密码。

本文介绍如何为企业中的 Windows 设备启用 SSPR。

如果你的 IT 团队未启用从 Windows 设备使用 SSPR 的功能，或者在登录期间遇到问题，请联系支持人员以获取更多帮助。

一般限制

以下限制适用于在 Windows 登录屏幕上使用 SSPR：

• 目前不支持从远程桌面或从 Hyper-V 增强式会话进行密码重置。

• 已知某些非Microsoft凭据提供程序会导致此功能出现问题。

• 已知通过修改 EnableLUA 注册表项 禁用用户帐户控制会导致问题。

• 此功能不适用于部署了 802.1x 网络身份验证的网络，并且选项 在用户登录前立即执行。 对于部署了 802.1x 网络身份验证的网络，建议使用计算机身份验证来启用此功能。

• Microsoft Entra 混合联接的计算机必须与域控制器有网络连接才能使用新密码并更新缓存的凭据。 设备必须位于组织的内部网络或具有对本地域控制器的网络访问权限的虚拟专用网络上。 如果 SSPR 是唯一的要求，则不需要与域控制器建立网络连接线。

• 如果使用映像，请在运行 sysprep 之前确保为内置管理员清除 Web 缓存，然后再执行该 CopyProfile 步骤。 有关详细信息，请参阅 使用自定义默认用户配置文件时性能不佳。

• 已知以下设置会干扰在 Windows 10 设备上使用和重置密码的功能：

  • 如果锁屏通知已关闭，则“重置密码”将无效。
  • HideFastUserSwitching 设置为 “已启用 ”或 “1”。
  • DontDisplayLastUserName 设置为 “已启用 ”或 “1”。
  • NoLockScreen 设置为 “已启用 ”或 “1”。
  • BlockNonAdminUserInstall 设置为 “已启用 ”或 “1”。
  • EnableLostMode 在设备上设置。
  • Explorer.exe 替换为自定义 shell。
  • 交互式登录：要求智能卡 设置为 “已启用” 或 “1”。

• 组合使用下面三个特定的设置可能会导致此功能失效。

  • 交互式登录：不需要 CTRL+Alt+DEL 设置为 “已禁用 ”（仅适用于 Windows 10 版本 1710 及更早版本）。
  • DisableLockScreenAppNotifications 设置为 “已启用 ”或 “1”。
  • Windows 版本是家庭版。

注释

这些限制也适用于从设备锁定屏幕重置的 Windows Hello 企业版 PIN 码。

Windows 11 和 Windows 10 密码重置

若要在登录屏幕上为 SSPR 配置 Windows 11 或 Windows 10 设备，请查看以下先决条件和配置步骤。

Windows 11 和 Windows 10 先决条件

• 以至少身份验证策略管理员身份登录到 Microsoft Entra 管理中心，并启用 Microsoft Entra SSPR。
• 用户必须先注册 SSPR，然后才能在 Windows 登录屏幕上使用此功能。
  • 所有用户都必须提供身份验证联系人信息，才能重置其密码，这并不仅限于从 Windows 登录屏幕使用 SSPR。
• 网络代理要求：
  • 端口 443 到 passwordreset.microsoftonline.com 和 ajax.aspnetcdn.com.
  • Windows 10 设备需要为用于执行 SSPR 的临时 defaultuser1 帐户配置计算机级代理或范围代理。 有关更多信息，请参阅故障排除部分。
• 至少运行 Windows 10 2018 年 4 月更新版 (v1803)，且设备必须符合下述条件之一：
  • Microsoft Entra 已加入。
  • Microsoft Entra 混合联接。

使用 Intune 为 Windows 11 和 Windows 10 启用

使用 Intune 部署配置更改以启用 Windows 登录屏幕上的 SSPR 是最灵活的方法。 通过 Intune，可以将配置更改部署到定义的特定计算机组。 此方法需要设备注册 Intune。

在 Intune 中创建设备配置策略

1. 登录 Microsoft Intune 管理中心。

2. 通过转到设备配置>配置文件，然后选择“+ 新建配置文件”来创建新的设备配置文件：

   • 对于“平台”，选择“Windows 10 及更高版本”。
   • 对于“配置文件类型”，选择“模板”，然后选择“自定义”模板。

3. 选择“创建”，然后为配置文件提供一个有意义的名称，例如“Windows 11 登录屏幕 SSPR”。

   （可选）提供配置文件的有意义描述，然后选择“下一步”。

4. 在“配置设置”下，选择“添加”并提供以下 OMA-URI 设置以启用重置密码链接：

   • 输入一个有意义的名称来解释此设置的作用，例如“添加 SSPR 链接”。
   • （可选）输入该设置的有意义描述。
   • 将 OMA-URI 设置为 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset。
   • 将“数据类型”设置为“整数”。
   • 将“值”设置为 1。

   选择添加，然后选择下一步。

5. 可以将策略分配给特定用户、设备或组。 为环境分配所需的配置文件。 最佳做法是先将其分配给测试设备组，然后选择“下一步”。

   有关详细信息，请参阅在 Microsoft Intune 中分配用户和设备配置文件。

6. 配置环境所需的适用性规则，例如“如果操作系统版本是 Windows 10 企业版，则分配配置文件”，然后选择“下一步”。

7. 查看配置文件，然后选择“创建”。

使用注册表为 Windows 11 和 Windows 10 启用

若要使用注册表项在 Windows 登录屏幕上启用 SSPR，请执行以下步骤：

1. 使用管理凭据登录到 Windows 电脑。

2. 选择 Windows + R 以打开 “运行 ”对话框，然后以管理员身份运行 regedit 。

3. 设置以下注册表项：

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

排查 Windows 11 和 Windows 10 密码重置问题

如果在 Windows 登录屏幕上使用 SSPR 时遇到问题，Microsoft Entra 审核日志会包含有关密码重置发生的 IP 地址和 ClientType 的信息，如下例输出所示。

当用户在 Windows 11 和 10 设备的登录屏幕中重置其密码时，系统会创建名为 defaultuser1 的权限较低的临时帐户。 使用此帐户可以确保密码重置过程的安全。

帐户本身具有随机生成的密码，该密码根据组织的密码策略进行验证。 密码在设备登录时不会显示，用户重置密码后会自动被删除。 可能存在多个 defaultuser 配置文件，但可以安全地忽略它们。

Windows 密码重置的代理配置

在密码重置期间，SSPR 会创建一个临时本地用户帐户以连接到 https://passwordreset.microsoftonline.com/n/passwordreset。 为用户身份验证配置代理时，可能会失败并出现“出了点问题”错误。 请稍后再试。发生此错误是因为本地用户帐户无权使用经过身份验证的代理。

在这种情况下，请使用以下解决方法之一：

• 配置不依赖于登录到计算机的用户类型的计算机范围代理设置。 例如，可以为工作站启用组策略“使代理设置按计算机（而非按用户）”。

• 如果修改默认帐户的注册表模板，也可以为 SSPR 使用按用户代理配置。 命令包括：

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• 当任何因素中断与 URL https://passwordreset.microsoftonline.com/n/passwordreset 的连接时，也可能出现“出现问题”错误。 例如，当防病毒软件在工作站上运行时，如果没有为 URL passwordreset.microsoftonline.com、ajax.aspnetcdn.com 和 ocsp.digicert.com 设置排除项，则可能会发生此错误。 暂时禁用此软件以测试问题是否得到解决。

Windows 7、8 和 8.1 密码重置

若要在 Windows 登录屏幕上为 SSPR 配置 Windows 7、8 或 8.1 设备，请查看以下先决条件和配置步骤。

Windows 7、8 和 8.1 先决条件

• 以至少身份验证策略管理员身份登录到 Microsoft Entra 管理中心，并启用 Microsoft Entra SSPR。
• 用户必须先在 Windows 登录屏幕上 注册 SSPR，然后才能使用此功能。
  • 所有用户都必须提供身份验证联系人信息，才能重置其密码，这并不仅限于从 Windows 登录屏幕使用 SSPR。
• 网络代理要求：
  • 端口 443 到 passwordreset.microsoftonline.com.
• 修补后的 Windows 7 或 Windows 8.1 操作系统。
• 按照 传输层安全性 （TLS） 注册表设置中的指南启用 TLS 1.2。
• 如果计算机上启用了多个非 Microsoft 凭据提供程序，用户会在 Windows 登录屏幕上看到多个用户配置文件。

警告

必须启用 TLS 1.2，而不仅仅是设置为自动协商。

安装 SSPR 组件

对于 Windows 7、8 和 8.1，必须在计算机上安装一个小组件才能在 Windows 登录屏幕上启用 SSPR。 若要安装此 SSPR 组件，请执行以下步骤：

1. 下载要启用的 Windows 版本的相应安装程序。

   Microsoft 下载中心提供软件安装程序。

2. 登录到要安装的计算机，并运行安装程序。

3. 安装后，建议执行重新启动。

4. 重新启动后，在 Windows 登录屏幕上，选择用户并选择“ 忘记密码” 以启动密码重置工作流。

5. 按照步骤重置密码。

无提示安装

若要在没有提示的情况下安装或卸载 SSPR 组件，请使用以下命令：

• 无提示安装：使用 msiexec /i SsprWindowsLogon.PROD.msi /qn。
• 无提示卸载：使用 msiexec /x SsprWindowsLogon.PROD.msi /qn。

排除 Windows 7、8 和 8.1 密码重置问题

如果在 Windows 登录屏幕中使用 SSPR 时遇到问题，则事件会记录在计算机上和Microsoft Entra ID 中。 Microsoft Entra 事件包含有关发生密码重置的 IP 地址和 ClientType 参数的信息。

如果需要更多日志记录，请更改计算机上的注册表项以启用详细日志记录。 仅为了故障排除目的，通过使用以下注册表项值启用详细日志记录：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• 若要启用详细日志记录，请创建 REG_DWORD: "EnableLogging" 并将其设置为 1。
• 若要禁用详细日志记录，请将 REG_DWORD: "EnableLogging" 更改为 0。
• 在源 AADPasswordResetCredentialProvider下的“应用程序事件日志”中查看调试日志记录。

用户会看到什么？

为 Windows 设备配置 SSPR 后，用户有哪些更改？ 他们如何知道他们可以在登录屏幕上重置密码？ 以下示例屏幕截图显示了用户使用 SSPR 重置其密码的其他选项。

当用户尝试登录时，他们会看到 “重置密码 ”或 “忘记密码 ”链接，该链接会在登录屏幕上打开 SSPR 体验。 现在，用户无需使用其他设备访问 Web 浏览器即可重置其密码。

有关如何使用此功能的详细信息，请参阅 “重置工作或学校密码”。

相关内容

为了简化用户注册体验，可以 预填充 SSPR 的用户身份验证联系信息。