在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設
自助密碼重設 (SSPR) 使 Microsoft Entra ID 中的使用者能夠變更或重設其密碼,而無需系統管理員或技術支援中心介入。 一般情況下,使用者會在另一個裝置上開啟網頁瀏覽器,以存取 SSPR 入口網站。 若要改善執行 Windows 7、8、8.1、10 和 11 的電腦體驗,您可以允許使用者在 Windows 登入畫面重設其密碼。
重要
本教學課程說明管理員如何為企業中的 Windows 裝置啟用 SSPR。
如果您的 IT 小組尚未啟用從您的 Windows 裝置使用 SSPR 的功能,或您在進行單一登入時遇到問題,請與您的技術服務人員聯繫以取得其他協助。
一般限制
從 Windows 登入畫面使用 SSPR 具有下列限制:
- 目前不支援從遠端桌面或 Hyper-V 增強工作階段進行密碼重設。
- 已知某些協力廠商認證提供者會導致此功能發生問題。
- 已知透過修改 EnableLUA 登錄機碼 \(英文\) 來停用 UAC 會造成問題。
- 此功能不適用於已部署 802.1x 網路驗證及使用 [在使用者登入前立即執行] 選項的網路。 針對已部署 802.1x 網路驗證的網路,建議您使用機器驗證來啟用此功能。
- 已加入 Microsoft Entra 混合式的電腦必須網路連線且可看見網域控制站,才能使用新的密碼並更新快取的認證。 這表示裝置必須位於組織的內部網路,或是位於能透過網路存取內部部署網域控制站的 VPN。
- 如果使用映像,請在執行 sysprep 之前,先確定已針對內建的 Administrator 清除 Web 快取,然後才執行 CopyProfile 步驟。 如需有關此步驟的詳細資訊,請參閱使用自訂預設使用者設定檔時效能不佳 \(機器翻譯\) 支援文章。
- 已知下列設定會影響在 Windows 10 裝置上使用及重設密碼的能力:
- 如果鎖定螢幕通知已關閉,[重設密碼] 將無法運作。
- HideFastUserSwitching 設定為已啟用或 1
- DontDisplayLastUserName 設定為已啟用或 1
- NoLockScreen 設定為已啟用或 1
- BlockNonAdminUserInstall 設定為已啟用或 1
- EnableLostMode 已設定於裝置上
- Explorer.exe 會取代為自訂殼層
- 互動式登入:需要將智慧卡設定為已啟用或 1
- 下列三個特定設定的組合,可能會導致此功能無法正常運作。
- 互動式登入:不需要 CTRL+ALT+DEL = 停用 (僅適用於 Windows 10 1710 版和更早版本)
- [DisableLockScreenAppNotifications] = 1 或 [已啟用]
- Windows SKU 為家用版本
注意
這些限制也適用於裝置鎖定畫面的 Windows Hello 企業版 PIN 重設。
Windows 11 和 Windows 10 密碼重設
若要設定 Windows 11 或 Windows 10 裝置在登入畫面的 SSPR,請參閱下列先決條件和設定步驟。
Windows 11 和 Windows 10 的先決條件
- 以至少驗證原則管理員身分登入 Microsoft Entra 系統管理中心,並啟用 Microsoft Entra 自助式密碼重設。
- 使用者必須註冊 SSPR 才能在 https://aka.ms/ssprsetup 使用此功能
- 除了從 Windows 登入畫面使用 SSPR,所有使用者都必須先提供驗證連絡人資訊,才能重設其密碼。
- 網路 Proxy 需求:
- 針對
passwordreset.microsoftonline.com
和ajax.aspnetcdn.com
開啟連接埠 443 - Windows 10 裝置需要用來執行 SSPR 之暫時 defaultuser1 帳戶的機器層級 Proxy 設定或限定的 Proxy 設定 (如需詳細資料,請參閱疑難排解一節)。
- 針對
- 至少執行 2018 年 4 月更新版 (v1803) 的 Windows 10,且裝置必須是:
- 已加入 Microsoft Entra
- 已加入 Microsoft Entra 混合式
使用 Microsoft Intune 啟用 Windows 11 和 Windows 10
若要啟用從登入畫面進行 SSPR 的功能,使用 Microsoft Intune 部署組態變更是最具彈性的方法。 Microsoft Intune 可讓您將組態變更部署至您所定義的特定機器群組。 必須完成裝置的 Microsoft Intune 註冊,才能使用此方法。
在 Microsoft Intune 中建立裝置設定原則
移至 [裝置組態]>[設定檔],接著選取 [+ 建立設定檔],以建立新的裝置組態設定檔
- 針對 [平台] 選擇 [Windows 10 及更新版本]
- 針對設定檔類型,選擇 [範本],然後選取下方的 [自訂範本]
選取 [建立],然後為設定檔提供有意義的名稱,例如「Windows 11 登入畫面的 SSPR」
選擇性地提供有意義的設定檔描述,接著選取 [下一步]。
在 [組態設定] 下,選取 [新增] 並提供下列 OMA-URI 設定,以啟用重設密碼連結:
- 提供有意義的名稱,以說明正在進行的設定,例如「新增 SSPR 連結」。
- 選擇性提供有意義的設定描述。
- OMA URI 設為
./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
- 資料類型 設為 整數
- 值 設為 1
選取 [新增],然後選取 [下一步]。
該原則可以指派給特定的使用者、裝置或群組。 將所需的設定檔指派給您的環境,最好是先測試裝置的群組,然後選取 [下一步]。
如需詳細資訊,請參閱在 Microsoft Intune 中指派使用者和裝置設定檔。
設定您的環境所需的適用性規則,例如「當作業系統版本為 Windows 10 企業版時指派設定檔」,請選取 [下一步]。
檢查您的設定檔,然後選取 [建立]。
使用登錄啟用 Windows 11 和 Windows 10
若要使用登錄機碼啟用登入畫面上的 SSPR,請完成下列步驟:
使用系統管理認證登入 Windows PC。
按下 Windows + R 以開啟 [執行] 對話方塊,然後以系統管理員身分執行 regedit
設定下列登錄機碼:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount "AllowPasswordReset"=dword:00000001
針對 Windows 11 和 Windows 10 密碼重設進行疑難排解
如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,Microsoft Entra 稽核記錄會包含發生密碼重設的 IP 位址和 ClientType 相關資訊,如下列範例輸出所示:
當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時,將會建立稱為 defaultuser1
的低權限暫時帳戶。 此帳戶用來保護密碼重設程序。
帳戶本身會有隨機產生的密碼,此密碼會根據組織密碼原則進行驗證,而不會在裝置登入時顯示,並會在使用者重設其密碼之後自動移除。 可能會存在多個 defaultuser
設定檔,但您可以放心忽略。
Windows 密碼重設的 Proxy 設定
在密碼重設期間,SSPR 會建立暫時的本機使用者帳戶以連線至 https://passwordreset.microsoftonline.com/n/passwordreset
。 當 Proxy 設定為使用者驗證時,它可能會失敗,並「發生錯誤。請稍後再試一次。」這是因為本機使用者帳戶未獲授權使用已驗證的 Proxy。
在此情況下,您可以使用下列其中一種因應措施:
設定全電腦 Proxy 設定,而此設定未相依於已登入機器的使用者類型。 例如,您可以針對工作站啟用群組原則 [為每台電腦建立 Proxy 設定 - 而不是每個使用者]。
如果您修改預設帳戶的登錄範本,則也可以針對 SSPR 使用每一使用者 Proxy 設定。 命令如下所示:
reg load "hku\Default" "C:\Users\Default\NTUSER.DAT" reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f reg unload "hku\Default"
有任何項目中斷與 URL
https://passwordreset.microsoftonline.com/n/passwordreset
的連線時,也可能會發生「發生錯誤」錯誤。 例如,如果防毒軟體在工作站上執行,但未排除 URLpasswordreset.microsoftonline.com
、ajax.aspnetcdn.com
和ocsp.digicert.com
,則可能會發生此錯誤。 暫時停用此軟體,以測試問題是否已解決。
Windows 7、8 及 8.1 密碼重設
若要設定 Windows 7、8 或 8.1 裝置在登入畫面的 SSPR,請參閱下列必要條件和設定步驟。
Windows 7、8 及 8.1 先決條件
- 以至少驗證原則管理員身分登入 Microsoft Entra 系統管理中心,並啟用 Microsoft Entra 自助式密碼重設。
- 使用者必須註冊 SSPR 才能在 https://aka.ms/ssprsetup 使用此功能
- 除了從 Windows 登入畫面使用 SSPR,所有使用者都必須先提供驗證連絡人資訊,才能重設其密碼。
- 網路 Proxy 需求:
- 針對
passwordreset.microsoftonline.com
開啟連接埠 443
- 針對
- 已修補的 Windows 7 或 Windows 8.1 作業系統。
- 已使用傳輸層安全性 (TLS) 登錄設定中所找到的指南啟用 TLS 1.2。
- 如果您的電腦上已啟用多個協力廠商認證提供者,使用者會在登入畫面上看到多個使用者設定檔。
警告
必須啟用 TLS 1.2,而不能只是設定為自動交涉。
安裝
針對 Windows 7、8 和 8.1,必須在電腦上安裝小型元件,才能在登入畫面上啟用 SSPR。 若要安裝此 SSPR 元件,請完成下列步驟:
下載適用於所要啟用 Windows 版本的安裝程式。
您可以在 Microsoft 下載中心 (https://aka.ms/sspraddin) 取得軟體安裝程式
登入要安裝的電腦,並執行安裝程式。
安裝之後,強烈建議您重新開機。
重新開機之後,在登入畫面上選擇使用者,接著選取 [忘記密碼?] 以起始密碼重設工作流程。
完成工作流程,遵循螢幕上的步驟來重設密碼。
無訊息安裝
您可以使用下列命令,在無提示的情況下安裝或解除安裝 SSPR 元件:
- 若要進行無訊息安裝,請使用命令 "msiexec /i SsprWindowsLogon.PROD.msi /qn"
- 若要進行無訊息解除安裝,請使用命令 "msiexec /x SsprWindowsLogon.PROD.msi /qn"
對 Windows 7、8 及 8.1 密碼重設進行疑難排解
如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,電腦和 Microsoft Entra ID 中將會記錄事件。 Microsoft Entra 事件包含發生密碼重設的 IP 位址和 ClientType 相關資訊,如下列範例輸出所示:
如果需要額外的記錄,則可變更電腦上的登錄機碼來啟用詳細資訊記錄。 僅使用下列登錄機碼值,以啟用詳細資訊記錄以供疑難排解:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
- 若要啟用詳細資訊記錄,請建立
REG_DWORD: "EnableLogging"
,並將其設定為 1。 - 若要停用詳細資訊記錄,請將
REG_DWORD: "EnableLogging"
變更為 0。 - 在來源 AADPasswordResetCredentialProvider 底下的 [應用程式] 事件記錄中檢閱偵錯記錄。
使用者看到的內容
針對 Windows 裝置設定 SSPR 之後,對使用者而言有哪些改變? 他們如何得知可在登入畫面重設其密碼? 下列範例螢幕擷取畫面顯示使用者透過 SSPR 重設其密碼的其他選項:
當使用者嘗試登入時,便會看到 [重設密碼] 或 [忘記密碼] 連結,該連結可在登入畫面上開啟自助式密碼重設體驗。 這項功能可讓使用者重設其密碼,而不需使用另一個裝置來存取網頁瀏覽器。
如需使用此功能的使用者詳細資訊,請參閱重設公司或學校密碼
下一步
若要簡化使用者註冊體驗,您可以預先填入 SSPR 的使用者驗證連絡人資訊。