在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設

自助密碼重設 (SSPR) 使 Microsoft Entra ID 中的使用者能夠變更或重設其密碼，而無需系統管理員或技術支援中心介入。 一般情況下，使用者會在另一個裝置上開啟網頁瀏覽器，以存取 SSPR 入口網站。 若要改善執行 Windows 7、8、8.1、10 和 11 的電腦體驗，您可以允許使用者在 Windows 登入畫面重設其密碼。

重要

本教學課程說明管理員如何為企業中的 Windows 裝置啟用 SSPR。

如果您的 IT 小組尚未啟用從您的 Windows 裝置使用 SSPR 的功能，或您在進行單一登入時遇到問題，請與您的技術服務人員聯繫以取得其他協助。

一般限制

從 Windows 登入畫面使用 SSPR 具有下列限制：

• 目前不支援從遠端桌面或 Hyper-V 增強工作階段進行密碼重設。
• 已知某些協力廠商認證提供者會導致此功能發生問題。
• 已知透過修改 EnableLUA 登錄機碼 \(英文\) 來停用 UAC 會造成問題。
• 此功能不適用於已部署 802.1x 網路驗證及使用 [在使用者登入前立即執行] 選項的網路。 針對已部署 802.1x 網路驗證的網路，建議您使用機器驗證來啟用此功能。
• 已加入 Microsoft Entra 混合式的電腦必須網路連線且可看見網域控制站，才能使用新的密碼並更新快取的認證。 這表示裝置必須位於組織的內部網路，或是位於能透過網路存取內部部署網域控制站的 VPN。
• 如果使用映像，請在執行 sysprep 之前，先確定已針對內建的 Administrator 清除 Web 快取，然後才執行 CopyProfile 步驟。 如需有關此步驟的詳細資訊，請參閱使用自訂預設使用者設定檔時效能不佳 \(機器翻譯\) 支援文章。
• 已知下列設定會影響在 Windows 10 裝置上使用及重設密碼的能力：
  • 如果鎖定螢幕通知已關閉，[重設密碼] 將無法運作。
  • HideFastUserSwitching 設定為已啟用或 1
  • DontDisplayLastUserName 設定為已啟用或 1
  • NoLockScreen 設定為已啟用或 1
  • BlockNonAdminUserInstall 設定為已啟用或 1
  • EnableLostMode 已設定於裝置上
  • Explorer.exe 會取代為自訂殼層
  • 互動式登入：需要將智慧卡設定為已啟用或 1
• 下列三個特定設定的組合，可能會導致此功能無法正常運作。
  • 互動式登入：不需要 CTRL+ALT+DEL = 停用 (僅適用於 Windows 10 1710 版和更早版本)
  • [DisableLockScreenAppNotifications] = 1 或 [已啟用]
  • Windows SKU 為家用版本

注意

這些限制也適用於裝置鎖定畫面的 Windows Hello 企業版 PIN 重設。

Windows 11 和 Windows 10 密碼重設

若要設定 Windows 11 或 Windows 10 裝置在登入畫面的 SSPR，請參閱下列先決條件和設定步驟。

Windows 11 和 Windows 10 的先決條件

• 以至少驗證原則管理員身分登入 Microsoft Entra 系統管理中心，並啟用 Microsoft Entra 自助式密碼重設。
• 使用者必須註冊 SSPR 才能在 https://aka.ms/ssprsetup 使用此功能
  • 除了從 Windows 登入畫面使用 SSPR，所有使用者都必須先提供驗證連絡人資訊，才能重設其密碼。
• 網路 Proxy 需求：
  • 針對 passwordreset.microsoftonline.com 和 ajax.aspnetcdn.com 開啟連接埠 443
  • Windows 10 裝置需要用來執行 SSPR 之暫時 defaultuser1 帳戶的機器層級 Proxy 設定或限定的 Proxy 設定 (如需詳細資料，請參閱疑難排解一節)。
• 至少執行 2018 年 4 月更新版 (v1803) 的 Windows 10，且裝置必須是：
  • 已加入 Microsoft Entra
  • 已加入 Microsoft Entra 混合式

使用 Microsoft Intune 啟用 Windows 11 和 Windows 10

若要啟用從登入畫面進行 SSPR 的功能，使用 Microsoft Intune 部署組態變更是最具彈性的方法。 Microsoft Intune 可讓您將組態變更部署至您所定義的特定機器群組。 必須完成裝置的 Microsoft Intune 註冊，才能使用此方法。

在 Microsoft Intune 中建立裝置設定原則

1. 登入 Microsoft Intune 系統管理中心。

2. 移至 [裝置組態]>[設定檔]，接著選取 [+ 建立設定檔]，以建立新的裝置組態設定檔

   • 針對 [平台] 選擇 [Windows 10 及更新版本]
   • 針對設定檔類型，選擇 [範本]，然後選取下方的 [自訂範本]

3. 選取 [建立]，然後為設定檔提供有意義的名稱，例如「Windows 11 登入畫面的 SSPR」

   選擇性地提供有意義的設定檔描述，接著選取 [下一步]。

4. 在 [組態設定] 下，選取 [新增] 並提供下列 OMA-URI 設定，以啟用重設密碼連結：

   • 提供有意義的名稱，以說明正在進行的設定，例如「新增 SSPR 連結」。
   • 選擇性提供有意義的設定描述。
   • OMA URI 設為 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • 資料類型 設為 整數
   • 值 設為 1

   選取 [新增]，然後選取 [下一步]。

5. 該原則可以指派給特定的使用者、裝置或群組。 將所需的設定檔指派給您的環境，最好是先測試裝置的群組，然後選取 [下一步]。

   如需詳細資訊，請參閱在 Microsoft Intune 中指派使用者和裝置設定檔。

6. 設定您的環境所需的適用性規則，例如「當作業系統版本為 Windows 10 企業版時指派設定檔」，請選取 [下一步]。

7. 檢查您的設定檔，然後選取 [建立]。

使用登錄啟用 Windows 11 和 Windows 10

若要使用登錄機碼啟用登入畫面上的 SSPR，請完成下列步驟：

1. 使用系統管理認證登入 Windows PC。

2. 按下 Windows + R 以開啟 [執行] 對話方塊，然後以系統管理員身分執行 regedit

3. 設定下列登錄機碼：

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

針對 Windows 11 和 Windows 10 密碼重設進行疑難排解

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題，Microsoft Entra 稽核記錄會包含發生密碼重設的 IP 位址和 ClientType 相關資訊，如下列範例輸出所示：

當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時，將會建立稱為 defaultuser1 的低權限暫時帳戶。 此帳戶用來保護密碼重設程序。

帳戶本身會有隨機產生的密碼，此密碼會根據組織密碼原則進行驗證，而不會在裝置登入時顯示，並會在使用者重設其密碼之後自動移除。 可能會存在多個 defaultuser 設定檔，但您可以放心忽略。

Windows 密碼重設的 Proxy 設定

在密碼重設期間，SSPR 會建立暫時的本機使用者帳戶以連線至 https://passwordreset.microsoftonline.com/n/passwordreset。 當 Proxy 設定為使用者驗證時，它可能會失敗，並「發生錯誤。請稍後再試一次。」這是因為本機使用者帳戶未獲授權使用已驗證的 Proxy。

在此情況下，您可以使用下列其中一種因應措施：

• 設定全電腦 Proxy 設定，而此設定未相依於已登入機器的使用者類型。 例如，您可以針對工作站啟用群組原則 [為每台電腦建立 Proxy 設定 - 而不是每個使用者]。

• 如果您修改預設帳戶的登錄範本，則也可以針對 SSPR 使用每一使用者 Proxy 設定。 命令如下所示：

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• 有任何項目中斷與 URL https://passwordreset.microsoftonline.com/n/passwordreset 的連線時，也可能會發生「發生錯誤」錯誤。 例如，如果防毒軟體在工作站上執行，但未排除 URL passwordreset.microsoftonline.com、ajax.aspnetcdn.com 和 ocsp.digicert.com，則可能會發生此錯誤。 暫時停用此軟體，以測試問題是否已解決。

Windows 7、8 及 8.1 密碼重設

若要設定 Windows 7、8 或 8.1 裝置在登入畫面的 SSPR，請參閱下列必要條件和設定步驟。

Windows 7、8 及 8.1 先決條件

• 以至少驗證原則管理員身分登入 Microsoft Entra 系統管理中心，並啟用 Microsoft Entra 自助式密碼重設。
• 使用者必須註冊 SSPR 才能在 https://aka.ms/ssprsetup 使用此功能
  • 除了從 Windows 登入畫面使用 SSPR，所有使用者都必須先提供驗證連絡人資訊，才能重設其密碼。
• 網路 Proxy 需求：
  • 針對 passwordreset.microsoftonline.com 開啟連接埠 443
• 已修補的 Windows 7 或 Windows 8.1 作業系統。
• 已使用傳輸層安全性 (TLS) 登錄設定中所找到的指南啟用 TLS 1.2。
• 如果您的電腦上已啟用多個協力廠商認證提供者，使用者會在登入畫面上看到多個使用者設定檔。

警告

必須啟用 TLS 1.2，而不能只是設定為自動交涉。

安裝

針對 Windows 7、8 和 8.1，必須在電腦上安裝小型元件，才能在登入畫面上啟用 SSPR。 若要安裝此 SSPR 元件，請完成下列步驟：

1. 下載適用於所要啟用 Windows 版本的安裝程式。

   您可以在 Microsoft 下載中心 (https://aka.ms/sspraddin) 取得軟體安裝程式

2. 登入要安裝的電腦，並執行安裝程式。

3. 安裝之後，強烈建議您重新開機。

4. 重新開機之後，在登入畫面上選擇使用者，接著選取 [忘記密碼？] 以起始密碼重設工作流程。

5. 完成工作流程，遵循螢幕上的步驟來重設密碼。

無訊息安裝

您可以使用下列命令，在無提示的情況下安裝或解除安裝 SSPR 元件：

• 若要進行無訊息安裝，請使用命令 "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• 若要進行無訊息解除安裝，請使用命令 "msiexec /x SsprWindowsLogon.PROD.msi /qn"

對 Windows 7、8 及 8.1 密碼重設進行疑難排解

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題，電腦和 Microsoft Entra ID 中將會記錄事件。 Microsoft Entra 事件包含發生密碼重設的 IP 位址和 ClientType 相關資訊，如下列範例輸出所示：

如果需要額外的記錄，則可變更電腦上的登錄機碼來啟用詳細資訊記錄。 僅使用下列登錄機碼值，以啟用詳細資訊記錄以供疑難排解：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• 若要啟用詳細資訊記錄，請建立 REG_DWORD: "EnableLogging"，並將其設定為 1。
• 若要停用詳細資訊記錄，請將 REG_DWORD: "EnableLogging" 變更為 0。
• 在來源 AADPasswordResetCredentialProvider 底下的 [應用程式] 事件記錄中檢閱偵錯記錄。

使用者看到的內容

針對 Windows 裝置設定 SSPR 之後，對使用者而言有哪些改變？ 他們如何得知可在登入畫面重設其密碼？ 下列範例螢幕擷取畫面顯示使用者透過 SSPR 重設其密碼的其他選項：

當使用者嘗試登入時，便會看到 [重設密碼] 或 [忘記密碼] 連結，該連結可在登入畫面上開啟自助式密碼重設體驗。 這項功能可讓使用者重設其密碼，而不需使用另一個裝置來存取網頁瀏覽器。

如需使用此功能的使用者詳細資訊，請參閱重設公司或學校密碼

下一步

若要簡化使用者註冊體驗，您可以預先填入 SSPR 的使用者驗證連絡人資訊。