在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設

自助式密碼重設 (SSPR) 可讓使用者在 Microsoft Entra 識別碼中變更或重設其密碼,而不需要系統管理員或技術支援中心介入。 使用者通常會在另一部裝置上開啟網頁瀏覽器,以存取 SSPR 入口網站 。 若要改善執行 Windows 7、8、8.1、10 和 11 的電腦體驗,您可以讓使用者在 Windows 登入畫面上重設其密碼。

Example Windows login screens with SSPR link shown

重要

本教學課程說明系統管理員如何在企業中啟用 Windows 裝置的 SSPR。

如果您的 IT 小組尚未啟用從 Windows 裝置使用 SSPR 的能力,或在登入期間發生問題,請連絡技術服務人員以取得其他協助。

一般限制

下列限制適用于從 Windows 登入畫面使用 SSPR:

  • 遠端桌面或 Hyper-V 增強會話目前不支援密碼重設。
  • 已知某些協力廠商認證提供者會造成這項功能的問題。
  • 已知透過修改 EnableLUA 登錄機碼 停用 UAC 會導致問題。
  • 此功能不適用於已部署 802.1x 網路驗證的網路,以及 [在使用者登入前立即執行] 選項。 針對已部署 802.1x 網路驗證的網路,建議使用電腦驗證來啟用此功能。
  • Microsoft Entra 混合式聯結電腦必須具有網域控制站的網路連線能力,才能使用新的密碼和更新快取的認證。 這表示裝置必須位於組織的內部網路或具有內部部署網域控制站網路存取權的 VPN 上。
  • 如果使用映射,在執行 sysprep 之前,請先確定執行 CopyProfile 步驟之前,會先清除內建管理員istrator 的 Web 快取。 如需此步驟的詳細資訊,請參閱使用自訂預設使用者設定檔 時效能不佳的支援文章
  • 已知下列設定會干擾 Windows 10 裝置上使用和重設密碼的能力:
    • 如果鎖定畫面通知已關閉, 重設密碼 將無法運作。
    • HideFastUserSwitching 設定為已啟用或 1
    • DontDisplayLastUserName 設定為已啟用或 1
    • NoLockScreen 設定為已啟用或 1
    • BlockNon管理員UserInstall 設定為已啟用或 1
    • EnableLostMode 是在裝置上設定
    • Explorer.exe 會取代為自訂殼層
    • 互動式登入:需要將智慧卡設定為已啟用或 1
  • 下列三個特定設定的組合可能會導致此功能無法運作。
    • 互動式登入:不需要 CTRL+ALT+DEL = 已停用 (僅適用于 Windows 10 版本 1710 和更早版本)
    • DisableLockScreenAppNotifications = 1 或 Enabled
    • Windows SKU 是家用版

注意

這些限制也適用于從裝置鎖定畫面Windows Hello 企業版 PIN 重設。

Windows 11 和 Windows 10 密碼重設

若要在登入畫面上設定 SSPR 的 Windows 11 或 Windows 10 裝置,請檢閱下列必要條件和設定步驟。

Windows 11 和 Windows 10 必要條件

  • 以至少驗證 原則管理員istrator 登入 Microsoft Entra 系統管理中心 ,並 啟用 Microsoft Entra 自助式密碼重設
  • 使用者必須先註冊 SSPR,才能在 使用此功能 https://aka.ms/ssprsetup
    • 並非從 Windows 登入畫面使用 SSPR 的唯一,所有使用者都必須提供驗證連絡人資訊,才能重設其密碼。
  • 網路 Proxy 需求:
    • 埠 443 到 passwordreset.microsoftonline.comajax.aspnetcdn.com
    • Windows 10 裝置需要用於執行 SSPR 之暫時預設使用者1 帳戶的電腦層級 Proxy 設定或範圍 Proxy 設定(如需詳細資訊,請參閱 疑難排解 一節)。
  • 至少執行 Windows 10 版本 2018 年 4 月更新 (v1803),且裝置必須是:
    • 已加入 Microsoft Entra
    • 已加入 Microsoft Entra 混合式

使用 Microsoft Intune 啟用 Windows 11 和 Windows 10

使用 Microsoft Intune 從登入畫面部署組態變更以啟用 SSPR 是最具彈性的方法。 Microsoft Intune 可讓您將設定變更部署到您定義的特定電腦群組。 此方法需要裝置的 Microsoft Intune 註冊。

在 Microsoft Intune 中建立裝置設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置組態設定檔] 以建立新的裝置組態 > 設定檔 ,然後選取 [+ 建立設定檔]

    • 針對 [平臺 ] 選擇 [Windows 10 及更新版本]
    • 針對 [ 配置檔案類型 ],選擇 [範本],然後選取下方的 [自訂範本]
  3. 選取 [建立 ],然後為設定檔提供有意義的名稱,例如 Windows 11 登入畫面 SSPR

    或者,提供有意義的設定檔描述,然後選取 [ 下一步 ]。

  4. 在 [組態設定] 底 下,選取 [ 新增 ],並提供下列 OMA-URI 設定以啟用重設密碼 連結:

    • 提供有意義的名稱來說明設定的用途,例如 新增 SSPR 連結
    • 選擇性地提供有意義的設定描述。
    • OMA-URI 設定為 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • 資料類型設定為 Integer
    • 設定為 1 的值

    選取 [新增 ],然後 選取 [下一步 ]。

  5. 原則可以指派給特定使用者、裝置或群組。 視需要將設定檔指派給環境,最好先將設定檔指派給一組測試裝置,然後選取 [ 下一步 ]。

    如需詳細資訊,請參閱 在 Microsoft Intune 中指派使用者和裝置設定檔。

  6. 視您的環境需要設定適用性規則,例如在作業系統版本Windows 10 企業版時 指派設定檔,然後選取 [ 下一步 ]。

  7. 檢閱您的設定檔,然後選取 [ 建立 ]。

使用登錄啟用 Windows 11 和 Windows 10

若要使用登錄機碼在登入畫面上啟用 SSPR,請完成下列步驟:

  1. 使用系統管理認證登入 Windows 電腦。

  2. Windows + R 開啟 [ 執行 ] 對話方塊,然後以系統管理員身分執行 regedit

  3. 設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

針對 Windows 11 和 Windows 10 密碼重設進行疑難排解

如果您從 Windows 登入畫面使用 SSPR 時發生問題,Microsoft Entra 稽核記錄會包含發生密碼重設之 IP 位址和 ClientType 的相關資訊,如下列範例輸出所示:

Example Windows 7 password reset in the Microsoft Entra audit log

當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時,會建立名為 defaultuser1 的低許可權暫存帳戶。 此帳戶是用來保護密碼重設程式的安全。

帳戶本身有隨機產生的密碼,會根據組織密碼原則進行驗證、不會顯示裝置登入,而且會在使用者重設其密碼之後自動移除。 多個 defaultuser 設定檔可能存在,但可以安全地忽略。

Windows 密碼重設的 Proxy 設定

在密碼重設期間,SSPR 會建立暫時的本機使用者帳戶以連線到 https://passwordreset.microsoftonline.com/n/passwordreset 。 將 Proxy 設定為使用者驗證時,可能會失敗並出現錯誤 「發生錯誤。請稍後再試一次。 這是因為本機使用者帳戶未獲授權使用已驗證的 Proxy。

在此情況下,您可以使用下列其中一個因應措施:

  • 設定不相依于登入電腦之使用者的全電腦 Proxy 設定。 例如,您可以針對工作站啟用群組原則 [對每部電腦進行 Proxy 設定,而不是個別使用者 ]。

  • 如果您修改預設帳戶的登錄範本,也可以使用 SSPR 的個別使用者 Proxy 組態。 命令如下所示:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • 當任何專案中斷 URL https://passwordreset.microsoftonline.com/n/passwordreset 的連線時,也會發生「發生錯誤」 錯誤 。 例如,當防毒軟體在工作站上執行時,可能會發生此錯誤,而不會排除 URL passwordreset.microsoftonline.comajax.aspnetcdn.comocsp.digicert.com 的排除專案。 暫時停用此軟體以測試問題是否已解決。

Windows 7、8 和 8.1 密碼重設

若要在登入畫面上設定 SSPR 的 Windows 7、8 或 8.1 裝置,請檢閱下列必要條件和設定步驟。

Windows 7、8 和 8.1 必要條件

  • 以至少驗證 原則管理員istrator 登入 Microsoft Entra 系統管理中心 ,並 啟用 Microsoft Entra 自助式密碼重設
  • 使用者必須先註冊 SSPR,才能在 使用此功能 https://aka.ms/ssprsetup
    • 並非從 Windows 登入畫面使用 SSPR 的唯一,所有使用者都必須提供驗證連絡人資訊,才能重設其密碼。
  • 網路 Proxy 需求:
    • 埠 443 至 passwordreset.microsoftonline.com
  • 已修補 Windows 7 或 Windows 8.1 作業系統。
  • 使用傳輸層安全性 (TLS) 登錄設定 中找到 的指引來啟用 TLS 1.2。
  • 如果您的電腦上已啟用多個協力廠商認證提供者,使用者會在登入畫面上看到多個使用者設定檔。

警告

必須啟用 TLS 1.2,而不只是設定為自動交涉。

安裝

針對 Windows 7、8 和 8.1,必須在電腦上安裝小型元件,才能在登入畫面上啟用 SSPR。 若要安裝此 SSPR 元件,請完成下列步驟:

  1. 下載您想要啟用之 Windows 版本的適當安裝程式。

    軟體安裝程式位於 Microsoft 下載中心 https://aka.ms/sspraddin

  2. 登入您要安裝的電腦,然後執行安裝程式。

  3. 安裝之後,強烈建議重新開機。

  4. 重新開機之後,在登入畫面上選擇使用者,然後選取 [忘記密碼?] 來起始密碼重設工作流程。

  5. 請依照螢幕上的步驟完成工作流程,以重設密碼。

Example Windows 7 clicked

無訊息安裝

您可以使用下列命令來安裝或卸載 SSPR 元件,而不需提示:

  • 針對無訊息安裝,請使用 「msiexec /i SsprWindowsLogon.PROD.msi /qn」 命令
  • 針對無提示卸載,請使用 「msiexec /x SsprWindowsLogon.PROD.msi /qn」 命令

針對 Windows 7、8 和 8.1 密碼重設進行疑難排解

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,則會在機器和 Microsoft Entra ID 中記錄事件。 Microsoft Entra 事件包含發生密碼重設之 IP 位址和 ClientType 的相關資訊,如下列範例輸出所示:

Example Windows 7 password reset in the Microsoft Entra audit log

如果需要額外的記錄,可以變更電腦上的登錄機碼,以啟用詳細資訊記錄。 僅使用下列登錄機碼值啟用詳細資訊記錄以進行疑難排解:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • 若要啟用詳細資訊記錄,請建立 REG_DWORD: "EnableLogging" ,並將它設定為 1。
  • 若要停用詳細資訊記錄,請將 變更 REG_DWORD: "EnableLogging" 為 0。
  • 在來源 AADPasswordResetCredentialProvider 底下的 [應用程式] 事件記錄中檢閱偵錯記錄。

使用者看到的內容

針對您的 Windows 裝置設定 SSPR 後,使用者有哪些變更? 他們如何知道他們可以在登入畫面重設密碼? 下列範例螢幕擷取畫面顯示使用者使用 SSPR 重設其密碼的其他選項:

Example Windows 7 and 10 login screens with SSPR link shown

當使用者嘗試登入時,他們會在登入畫面看到 [ 重設密碼 ] 或 [忘記密碼] 連結,以開啟自助式密碼 重設體驗。 此功能可讓使用者重設其密碼,而不需要使用其他裝置來存取網頁瀏覽器。

如需有關使用此功能的使用者詳細資訊,請參閱重 設公司或學校密碼

下一步

為了簡化使用者註冊體驗,您可以 預先填入 SSPR 的使用者驗證連絡資訊。