在 Windows 登錄螢幕上啟用 Microsoft Entra 自助密碼重置

通過在 Microsoft Entra ID 中使用自助式密碼重置 （SSPR），使用者可以更改或重置其密碼，而無需管理員或支持人員參與。 使用者通常會在另一部裝置上開啟網頁瀏覽器，以存取 SSPR 入口網站。 要改善運行 Windows 7、8、8.1、10 和 11 的電腦上的體驗，您可以允許使用者在 Windows 登錄螢幕上重置其密碼。

本文向管理員介紹如何為企業中的 Windows 設備啟用 SSPR。

如果您的 IT 團隊尚未啟用從 Windows 裝置使用 SSPR 的功能，或者您在登錄時遇到問題，請聯繫您的支援人員以獲取更多説明。

一般限制

下列限制適用於從 Windows 登入畫面使用 SSPR：

• 目前無法從遠端桌面或 Hyper-V 增強型會話中重設密碼。

• 已知某些非 Microsoft 憑據提供程式會導致此功能出現問題。

• 已知通過修改 EnableLUA 註冊表項 來禁用用戶帳戶控制會導致問題。

• 此功能不適用於部署了 802.1x 網路身份驗證和選項 Perform immediately before user logon （在使用者登錄前立即執行） 的網路。 對於部署了802.1x網路身份驗證的網路，我們建議您使用計算機身份驗證來啟用此功能。

• Microsoft Entra 已加入混合的計算機必須與域控制器建立網路連接，才能使用新密碼並更新緩存的憑據。 設備必須位於組織的內部網路上，或者位於具有對本地域控制器的網路訪問許可權的虛擬專用網路上。 如果 SSPR 是唯一的要求，則不需要到域控制器的網路連接線路。

• 如果使用映像，請確保在運行 sysprep 之前為內置管理員清除 Web 快取，然後再執行該 CopyProfile 步驟。 有關更多資訊，請參閱 使用自定義預設使用者配置檔時性能不佳。

• 已知以下設定會干擾在 Windows 10 裝置上使用和重置密碼的能力：

  • 如果鎖定畫面通知已關閉，重設密碼 將無法運作。
  • HideFastUserSwitching 設置為 Enabled 或 1。
  • DontDisplayLastUserName 設置為 Enabled 或 1。
  • NoLockScreen 設置為 Enabled 或 1。
  • BlockNonAdminUserInstall 設置為 Enabled 或 1。
  • EnableLostMode 設置於設備上。
  • Explorer.exe 被替換為自定義外殼。
  • 互動式登錄：需要智慧卡 設置為 「已啟用」 或 1。

• 下列三個特定設定的組合可能會導致此功能無法運作。

  • 互動式登錄：不需要 CTRL+ALT+DEL 設置為 已禁用 （僅適用於 Windows 10 版本 1710 及更早版本） 。
  • DisableLockScreenAppNotifications 設置為 Enabled 或 1。
  • Windows 版本是家庭版。

注意

這些限制也適用於裝置鎖定畫面中的 Windows Hello 企業版 PIN 重設。

Windows 11 和 Windows 10 密碼重設

要在登錄螢幕上為 SSPR 配置 Windows 11 或 Windows 10 設備，請查看以下先決條件和配置步驟。

Windows 11 和 Windows 10 必要條件

• 至少以身份驗證策略管理員身份登錄到 Microsoft Entra 管理中心，並啟用 Microsoft Entra SSPR。
• 用戶必須先註冊 SSPR，然後才能在 Windows 登錄螢幕上使用此功能。
  • 所有使用者都必須提供身份驗證聯繫資訊，然後才能重置其密碼，這並不是從 Windows 登錄螢幕使用 SSPR 所獨有的。
• 網路 Proxy 需求：
  • 連接埠 443 到 passwordreset.microsoftonline.com 和 ajax.aspnetcdn.com.
  • Windows 10 設備需要用於執行 SSPR 的臨時 defaultuser1 帳戶的系統級別代理配置或特定範圍的代理配置。 如需詳細資訊，請參閱 疑難解答一 節。
• 至少執行 Windows 10 版本 2018 年 4 月更新 （v1803），且裝置必須是：
  • Microsoft Entra 加入。
  • 已加入 Microsoft Entra 混合配置。

使用 Intune 為 Windows 11 和 Windows 10 啟用

使用 Intune 部署配置更改以從 Windows 登錄螢幕啟用 SSPR 是最靈活的方法。 使用 Intune，可以將設定更改部署到您定義的特定電腦組。 此方法需要將設備註冊到 Intune。

在 Intune 中創建設備配置策略

1. 登入 Microsoft Intune 系統管理中心。

2. 轉到 設備設定檔> ，然後選擇 + 建立設定檔 ，創建新的設備設定檔：

   • 針對 [平臺]，選擇 [Windows 10 及更新版本]。
   • 對於 配置檔類型，選擇範本，然後選擇自定義範本。

3. 選擇「創建」，然後為配置檔提供一個有意義的名稱，例如 Windows 11 登錄螢幕 SSPR。

   您可以選擇性地為個人資料提供一個有意義的描述，然後選擇 下一步。

4. 在 [組態設定]下，選取 [[新增]，並提供下列 OMA-URI 設定以啟用重設密碼連結：

   • 輸入一個有意義的名稱來說明設置的作用，例如 Add SSPR link （添加 SSPR 連結）。
   • （可選）輸入有意義的設置說明。
   • 將 OMA-URI 設定為 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
   • 將 數據類型 設置為 整數。
   • 將 Value （值 ） 設定為 1。

   選取新增，然後選取下一步。

5. 您可以將策略分配給特定使用者、設備或組。 為您的環境指定您想要的配置檔。 最佳做法是先將其分配給測試設備組，然後選擇 Next。

   如需詳細資訊，請參閱 在 Microsoft Intune 中指派使用者和裝置的設定檔。

6. 配置您想要的環境適用性規則，例如 如果作業系統版本為 Windows 10 企業版，指派設定檔，然後選擇 下一步。

7. 查看您的個人資料，然後選擇 Create （創建）。

使用註冊表為 Windows 11 和 Windows 10 啟用

若要使用註冊表項在 Windows 登錄螢幕上啟用 SSPR，請執行以下步驟：

1. 使用管理憑據登錄到 Windows 電腦。

2. 選擇 Windows + R 以打開 Run 對話框，然後以管理員身份運行 regedit 。

3. 設定下列登錄機碼：

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

排查 Windows 11 和 Windows 10 密碼重置問題

如果在從 Windows 登錄螢幕使用 SSPR 時遇到問題，Microsoft Entra 審核日誌將包含有關 IP 位址和 ClientType密碼重置發生位置的資訊，如以下示例輸出所示。

當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時，會建立稱為 defaultuser1 的低許可權暫存帳戶。 此帳戶是用來保護密碼重設程式的安全。

帳戶本身有一個隨機生成的密碼，該密碼根據組織的密碼策略進行驗證。 密碼不會在設備登錄時顯示，並且在使用者重置密碼後會自動刪除。 可能存在多個 defaultuser 配置檔，但您可以放心地忽略它們。

Windows 密碼重設的 Proxy 設定

在密碼重設期間，SSPR 會建立暫時的本機用戶帳戶，以連線到 https://passwordreset.microsoftonline.com/n/passwordreset。 為使用者身份驗證配置代理時，它可能會失敗，並顯示錯誤“出錯了。 請稍後再試。出現此錯誤的原因是本地使用者帳戶無權使用經過身份驗證的代理。

在這種情況下，請使用以下解決方法之一：

• 配置計算機範圍的代理設置，該設置不依賴於登錄到計算機的用戶類型。 例如，您可以針對工作站啟用組策略 讓每部計算機進行 Proxy 設定，而不是個別使用者。

• 如果修改預設帳戶的登錄範本，您還可以為每位使用者設置代理配置以支持 SSPR。 這些命令是：

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• 當任何因素中斷與 URL https://passwordreset.microsoftonline.com/n/passwordreset 的連線時，錯誤「發生了錯誤」也可能發生。 例如，當防病毒軟體在工作站上運行而沒有排除 URL passwordreset.microsoftonline.com、 ajax.aspnetcdn.com和 ocsp.digicert.com時，可能會發生此錯誤。 暫時停用此軟體以測試問題是否已解決。

Windows 7、8 和 8.1 密碼重設

要在 Windows 登錄螢幕上為 SSPR 配置 Windows 7、8 或 8.1 設備，請查看以下先決條件和配置步驟。

Windows 7、8 和 8.1 必要條件

• 至少以身份驗證策略管理員身份登錄到 Microsoft Entra 管理中心，並啟用 Microsoft Entra SSPR。
• 用戶必須先在 Windows 登錄螢幕上 註冊 SSPR，然後才能使用此功能。
  • 所有使用者都必須提供身份驗證聯繫資訊，然後才能重置其密碼，這並不是從 Windows 登錄螢幕使用 SSPR 所獨有的。
• 網路 Proxy 需求：
  • 連接埠 443 到 passwordreset.microsoftonline.com.
• 已修補的 Windows 7 或是 Windows 8.1 作業系統。
• 按照 傳輸層安全性 （TLS） 註冊表設置中的指導啟用 TLS 1.2。
• 如果您的電腦上啟用了多個非 Microsoft 認證提供程式，則使用者將在 Windows 登錄螢幕上看到多個使用者配置檔。

警告

必須啟用 TLS 1.2，而不僅僅是設置為自動協商。

安裝 SSPR 元件

對於 Windows 7、8 和 8.1，必須在電腦上安裝一個小組件，才能在 Windows 登錄螢幕上啟用 SSPR。 若要安裝此 SSPR 元件，請執行以下步驟：

1. 下載適用於您要啟用的 Windows 版本的相應安裝程式。

   軟體安裝程式可從 Microsoft 下載中心獲取。

2. 登錄到要安裝的計算機，然後運行安裝程式。

3. 安裝后，我們建議您執行重啟。

4. 重新啟動后，在 Windows 登錄螢幕上，選擇一個使用者，然後選擇 Forgot password （忘記密碼？） 以啟動密碼重置工作流程。

5. 請遵循步驟重設密碼。

   

無提示安裝

若要在沒有提示的情況下安裝或卸載 SSPR 元件，請使用下列命令：

• 沒有提示安裝：使用 msiexec /i SsprWindowsLogon.PROD.msi /qn。
• 沒有訊息卸載：使用 msiexec /x SsprWindowsLogon.PROD.msi /qn。

針對 Windows 7、8 和 8.1 密碼重設進行疑難解答

如果您在從 Windows 登入畫面使用 SSPR 時發生問題，則會在機器和 Microsoft Entra ID 中記錄事件。 Microsoft Entra 事件包含 IP 位址的相關資訊，以及 ClientType 發生密碼重設的參數。

如果需要更多記錄，請變更計算機上的登錄機碼以啟用詳細信息記錄。 僅為了進行疑難排解而啟用詳細記錄，使用下列登錄機碼值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• 若要啟用詳細信息記錄，請建立 REG_DWORD: "EnableLogging" 並將其設定為 1。
• 若要停用詳細信息記錄，請將 變更 REG_DWORD: "EnableLogging" 為 0。
• 在來源 AADPasswordResetCredentialProvider底下的Application事件記錄檔中檢閱偵錯記錄。

使用者會看到什麼？

針對 Windows 裝置設定 SSPR 後，使用者有哪些變更？ 他們如何知道他們可以在登入畫面上重設密碼？ 下列範例螢幕快照顯示使用者使用SSPR重設其密碼的其他選項。

當使用者嘗試登入時，他們會看到在登入畫面上開啟 SSPR 體驗的 [ 重設密碼 ] 或 [ 忘記密碼 ] 連結。 現在使用者可以重設其密碼，而不需要使用其他裝置來存取網頁瀏覽器。

如需如何使用這項功能的詳細資訊，請參閱 重設公司或學校密碼。

相關內容

為了簡化使用者註冊體驗，您可以 預先填入 SSPR 的使用者驗證連絡資訊。