在 Windows 登录屏幕上启用 Microsoft Entra 自助式密码重置

Microsoft Entra ID 中的自助式密码重置 (SSPR) 使用户能够更改或重置其密码,而不需要管理员或支持人员。 通常,用户会在另一台设备上打开 Web 浏览器,以访问 SSPR 门户。 若要在运行 Windows 7、8、8.1、10 和 11 的计算机上改善体验,可以允许用户在 Windows 登录屏幕上重置其密码。

Example Windows login screens with SSPR link shown

重要

本教程演示管理员如何为企业中的 Windows 设备启用 SSPR。

如果 IT 团队尚未启用从你的 Windows 设备使用 SSPR 的功能,或者你在登录过程中遇到问题,请联系支持人员以获得更多帮助。

一般限制

以下限制适用于在 Windows 登录屏幕上使用 SSPR:

  • 目前不支持从远程桌面或从 Hyper-V 增强式会话进行密码重置。
  • 已知某些第三方凭据提供程序会导致此功能出现问题。
  • 已知通过修改 EnableLUA 注册表项禁用 UAC 会导致问题。
  • 此功能不支持部署了 802.1x 网络身份验证的网络和“在用户登录前立即执行”选项。 对于部署了 802.1x 网络身份验证的网络,建议使用计算机身份验证来启用此功能。
  • 已加入混合 Microsoft Entra 的计算机必须能够通过网络连接到域控制器才能使用新密码以及更新缓存的凭据。 这意味着,设备必须位于组织的内部网络或 VPN 中,并且必须能够通过网络访问本地域控制器。
  • 如果使用映像,请确保在运行 sysprep 之前先为内置 Administrator 清除 Web 缓存,然后再执行 CopyProfile 步骤。 有关此步骤的详细信息,请参阅支持文章使用自定义默认用户配置文件时性能较差
  • 已知以下设置会干扰在 Windows 10 设备上使用和重置密码的功能:
    • 如果锁屏通知已关闭,则“重置密码”将无效。
    • HideFastUserSwitching 设置为“已启用”或 1
    • DontDisplayLastUserName 设置为“已启用”或 1
    • NoLockScreen 设置为“已启用”或 1
    • BlockNonAdminUserInstall 设置为启用或 1。
    • 在设备上设置了 EnableLostMode
    • 将 Explorer.exe 替换为自定义 shell
    • “交互式登录:需要智能卡”被设置为“已启用”或 1
  • 组合使用下面三个特定的设置可能会导致此功能失效。
    • 交互式登录:不需要 CTRL+ALT+DEL = 禁用(仅适用于Windows 10 版本 1710 及更早版本)
    • DisableLockScreenAppNotifications = 1 或“已启用”
    • Windows SKU 为家庭版

注意

这些限制也适用于从设备锁定屏幕重置的 Windows Hello 企业版 PIN 码。

Windows 11 和 Windows 10 密码重置

若要配置 Windows 11 或 Windows 10 设备以便在登录屏幕上进行 SSPR,请查看以下先决条件和配置步骤。

Windows 11 和 Windows 10 先决条件

  • 至少以身份验证策略管理员身份登录到 Microsoft Entra 管理中心,并启用 Microsoft Entra 自助式密码重置
  • 使用此功能之前,用户必须在 https://aka.ms/ssprsetup 上注册 SSPR
    • 并非仅与在 Windows 登录屏幕上使用 SSPR 相关,所有用户都必须先提供身份验证联系信息,然后才能重置其密码。
  • 网络代理要求:
    • 使用端口 443 连接到 passwordreset.microsoftonline.comajax.aspnetcdn.com
    • Windows 10 设备需要一个计算机级别的代理配置或限定范围的代理配置供临时 defaultuser1 帐户用于执行 SSPR(请参阅故障排除部分了解详细信息)。
  • 至少运行 Windows 10 2018 年 4 月更新版 (v1803),且设备必须符合下述条件之一:
    • 已建立 Microsoft Entra 联接
    • 已进行 Microsoft Entra 混合联接

使用 Microsoft Intune 为 Windows 11 和 Windows 10 启用

可以使用 Microsoft Intune 部署配置更改以启用从登录屏幕进行自助式密码重置的操作,这是最灵活的方法。 Microsoft Intune 允许将配置更改部署到你定义的特定计算机组。 此方法要求在 Microsoft Intune 中登记设备。

在 Microsoft Intune 中创建设备配置策略

  1. 登录 Microsoft Intune 管理中心

  2. 转到“设备配置”“配置文件”,然后选择“+ 创建配置文件”,以创建新的设备配置文件

    • 对于“平台”,请选择“Windows 10 及更高版本”
    • 对于“配置文件类型”,请选择“模板”,然后选择下面的“自定义模板”
  3. 选择“创建”,然后为配置文件提供有意义的名称,例如“Windows 11 登陆屏幕 SSPR”

    (可选)提供对配置文件的有意义的说明,然后选择“下一步”。

  4. 在“配置设置”下,选择“添加”,并提供以下 OMA-URI 设置以启用“重置密码”链接:

    • 提供一个有意义的名称,说明该设置执行的操作,例如“添加 SSPR 链接”。
    • (可选)提供对设置的有意义的说明。
    • OMA-URI 设置为 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • 数据类型设置为整数
    • 设置为 1

    依次选择“添加”、“下一步”。

  5. 可将此策略分配给特定的用户、设备或组。 根据需要为环境分配配置文件,最好是先将配置文件分配给一个设备测试组,然后选择“下一步”。

    有关详细信息,请参阅在 Microsoft Intune 中分配用户和设备配置文件

  6. 根据需要为环境配置适用性规则(例如“如果 OS 版本是 Windows 10 企业版,则分配配置文件”),然后选择“下一步”。

  7. 查看配置文件,然后选择“创建”。

使用注册表为 Windows 11 和 Windows 10 启用

若要使用注册表项在登录屏幕上启用 SSPR,请完成以下步骤:

  1. 使用管理凭据登录到 Windows 电脑。

  2. Windows + R 打开“运行”对话框,然后作为管理员运行 regedit。

  3. 设置以下注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

排查 Windows 11 和 Windows 10 密码重置问题

如果在 Windows 登录屏幕上使用 SSPR 时遇到问题,Microsoft Entra 审核日志会包含有关发生密码重置的 IP 地址和 ClientType 的信息,如以下示例输出所示:

Example Windows 7 password reset in the Microsoft Entra audit log

当用户在 Windows 11 和 10 设备的登录屏幕中重置其密码时,系统会创建名为 defaultuser1 的权限较低的临时帐户。 使用此帐户可以确保密码重置过程的安全。

该帐户本身有一个随机生成的密码,该密码会根据组织密码策略进行验证,不会在设备登录时显示,并且会在用户重置密码后自动删除。 可能存在多个 defaultuser 配置文件,不过可以放心地忽略它们。

Windows 密码重置的代理配置

在密码重置期间,SSPR 会创建一个临时本地用户帐户以连接到 https://passwordreset.microsoftonline.com/n/passwordreset。 为用户身份验证配置代理时,它可能会失败并出现错误“出现问题。请稍后重试。”这是因为本地用户帐户无权使用经过身份验证的代理。

在这种情况下,可以使用以下解决方法之一:

  • 配置一个计算机范围的代理设置,该设置不依赖于登录到计算机的用户的类型。 例如,可以为工作站启用组策略“按计算机(而不是按用户)进行代理设置”。

  • 如果为默认帐户修改注册表模板,则还可以将按用户代理配置用于 SSPR。 命令如下所示:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • 当任何事件中断与 URL (https://passwordreset.microsoftonline.com/n/passwordreset) 的连接时,也可能会发生错误“出现问题”。 例如,当防病毒软件在不排除以下 URL 的情况下,在工作站上运行时,可能会发生此错误:passwordreset.microsoftonline.comajax.aspnetcdn.comocsp.digicert.com。 暂时禁用此软件以测试问题是否得到解决。

Windows 7、8 和 8.1 密码重置

若要配置 Windows 7、8 或 8.1 设备以便在登录屏幕上启用 SSPR,请查看以下先决条件和配置步骤。

Windows 7、8 和 8.1 先决条件

警告

必须启用 TLS 1.2,而不能仅仅设置为自动协商。

安装

对于 Windows 7、8 和 8.1,必须在计算机上安装一个小组件,才能在登录屏幕上启用 SSPR。 若要安装此 SSPR 组件,请完成以下步骤:

  1. 下载要启用的 Windows 版本的相应安装程序。

    Microsoft 下载中心 (https://aka.ms/sspraddin) 提供了该软件安装程序

  2. 登录到要在其中进行安装的计算机,然后运行安装程序。

  3. 安装完成后,强烈建议重新启动。

  4. 重新启动后,在登录屏幕上选择一个用户,然后选择“忘记了密码?”以启动密码重置工作流。

  5. 遵循屏幕上的步骤完成重置密码的工作流。

Example Windows 7 clicked

无提示安装

可以使用以下命令,在无提示的情况下安装或卸载 SSPR 组件:

  • 若要进行无提示安装,请使用命令“msiexec /i SsprWindowsLogon.PROD.msi /qn”
  • 若要进行无提示卸载,请使用命令“msiexec /x SsprWindowsLogon.PROD.msi /qn”

排查 Windows 7、8 和 8.1 密码重置问题

如果在 Windows 登录屏幕上使用 SSPR 时遇到问题,则计算机和 Microsoft Entra 中均会记录事件。 Microsoft Entra 事件包括有关发生密码重置的 IP 地址和 ClientType 的信息,如以下示例输出所示:

Example Windows 7 password reset in the Microsoft Entra audit log

如果需要记录更多的日志,可以更改计算机上的注册表项,以启用详细日志记录。 使用以下注册表项值启用详细日志记录(仅用于故障排除目的):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • 若要启用详细日志记录,请创建 REG_DWORD: "EnableLogging" 并将其设置为 1。
  • 若要禁用详细日志记录,请将 REG_DWORD: "EnableLogging" 更改为 0。
  • 查看源 AADPasswordResetCredentialProvider 下应用程序事件日志中的调试日志记录。

用户看到什么

为 Windows 设备配置 SSPR 以后,对用户来说有什么变化? 用户如何知道可以在登录屏幕上重置其密码? 以下示例屏幕截图显示了可供用户使用 SSPR 重置其密码的更多选项:

Example Windows 7 and 10 login screens with SSPR link shown

用户在尝试登录时,可以看到“重置密码”或“忘记了密码”链接,该链接用于在登录屏幕上打开自助式密码重置体验。 此功能允许用户重置其密码,无需使用其他设备来访问 Web 浏览器。

可以在重置工作或学校密码中找到为用户提供的有关使用此功能的详细信息

后续步骤

若要简化用户注册体验,可以预填充用于 SSPR 的用户身份验证联系信息