Plánování nasazení samoobslužného resetování hesla Azure Active Directory
Důležité
Tento plán nasazení nabízí pokyny a osvědčené postupy pro nasazení Azure AD samoobslužného resetování hesla (SSPR).
Pokud jste koncový uživatel a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/sspr.
Samoobslužné resetování hesla (SSPR) je funkce Azure Active Directory (AD), která uživatelům umožňuje resetovat hesla bez kontaktování pracovníků IT, aby vám pomohli. Uživatelé se mohou rychle odblokovat a pokračovat v práci bez ohledu na to, kde jsou nebo kdy jsou. Díky tomu, že zaměstnancům umožníte odblokovat sami sebe, může vaše organizace snížit neproduktivní dobu a vysoké náklady na podporu u nejběžnějších problémů souvisejících s heslem.
SSPR má následující klíčové funkce:
- Samoobslužná služba umožňuje koncovým uživatelům resetovat hesla, jejichž platnost vypršela nebo nevypršela, aniž by se obrátili na správce nebo technickou podporu.
- Zpětný zápis hesla umožňuje správu místních hesel a řešení uzamčení účtu prostřednictvím cloudu.
- Sestavy aktivit správy hesel poskytují správcům přehled o aktivitě resetování hesel a registraci, ke kterým dochází ve své organizaci.
V tomto průvodci nasazením se dozvíte, jak naplánovat a pak otestovat zavedení samoobslužného resetování hesla.
Pokud chcete rychle zobrazit samoobslužné resetování hesla v akci, vraťte se, abyste porozuměli dalším aspektům nasazení:
Další informace o SSPR
Přečtěte si další informace o SSPR. Podívejte se, jak funguje: Azure AD samoobslužné resetování hesla.
Klíčové výhody
Mezi klíčové výhody povolení samoobslužného resetování hesla patří:
Správa nákladů SSPR snižuje náklady na podporu IT tím, že uživatelům umožňuje resetovat hesla samostatně. Snižuje také náklady na ztrátu času kvůli ztraceným heslům a uzamčením.
Intuitivní uživatelské prostředí Poskytuje intuitivní jednorázový proces registrace uživatelů, který uživatelům umožňuje resetovat hesla a odblokovat účty na vyžádání z libovolného zařízení nebo umístění. SSPR umožňuje uživatelům rychleji pracovat a být produktivnější.
Flexibilita a zabezpečení SSPR umožňuje podnikům přístup k zabezpečení a flexibilitě, kterou poskytuje cloudová platforma. Správci můžou změnit nastavení tak, aby vyhovovala novým požadavkům na zabezpečení, a tyto změny zavádět uživatelům bez narušení přihlašování.
Robustní auditování a sledování využití Organizace může zajistit, aby obchodní systémy zůstaly zabezpečené, zatímco uživatelé resetují svá vlastní hesla. Robustní protokoly auditu obsahují informace o jednotlivých krocích procesu resetování hesla. Tyto protokoly jsou k dispozici z rozhraní API a umožňují uživateli importovat data do systému siEM (Security Incident and Event Monitoring) podle vlastního výběru.
Licencování
Azure Active Directory je licencovaný pro jednotlivé uživatele, což znamená, že každý uživatel vyžaduje odpovídající licenci pro funkce, které používají. Pro samoobslužné resetování hesla doporučujeme licencování na základě skupin.
Pokud chcete porovnat edice a funkce a povolit licencování na základě skupin nebo uživatelů, podívejte se na licenční požadavky pro Azure AD samoobslužné resetování hesla.
Další informace o cenách najdete v tématu Azure Active Directory ceny.
Požadavky
Funkční tenant Azure AD, který má přiřazenou alespoň zkušební licenci. V případě potřeby si ho vytvořte zdarma.
Účet s oprávněními globálního správce
Školicí materiály
Architektura řešení
Následující příklad popisuje architekturu řešení resetování hesel pro běžná hybridní prostředí.
Popis pracovního postupu
Pokud chcete resetovat heslo, uživatelé přejdou na portál pro resetování hesla. Musí ověřit dříve zaregistrovanou metodu ověřování nebo metody, aby prokázali svoji identitu. Pokud úspěšně resetují heslo, zahájí proces resetování.
U uživatelů jen pro cloud ukládá samoobslužné resetování hesla nové heslo v Azure AD.
V případě hybridních uživatelů služba SSPR zapíše heslo do místní služby Active Directory prostřednictvím služby Azure AD Připojení.
Poznámka: Pro uživatele, kteří mají zakázanou synchronizaci hodnot hash hesel (PHS), ukládá SSPR hesla pouze v místní službě Active Directory.
Osvědčené postupy
Uživatelům můžete pomoct rychle zaregistrovat nasazením SSPR spolu s další oblíbenou aplikací nebo službou v organizaci. Tato akce vygeneruje velký objem přihlášení a bude řídit registraci.
Před nasazením samoobslužného resetování hesla se můžete rozhodnout určit číslo a průměrné náklady na každé volání resetování hesla. Pomocí tohoto data po nasazení můžete zobrazit hodnotu SSPR, která organizaci přináší.
Kombinovaná registrace pro SSPR a Azure AD Multi-Factor Authentication
Poznámka
Od 15. srpna 2020 budou všichni noví tenanti Azure AD automaticky povoleni pro kombinovanou registraci. Tenanti vytvořená po tomto datu nebudou moct využívat starší pracovní postupy registrace. Po 30. září 2022 se všechny stávající tenanty Azure AD automaticky povolí pro kombinovanou registraci.
Doporučujeme, aby organizace používaly kombinované registrační prostředí pro Azure AD Multi-Factor Authentication a samoobslužné resetování hesla (SSPR). SSPR umožňuje uživatelům resetovat heslo bezpečným způsobem pomocí stejných metod, které používají pro Azure AD Multi-Factor Authentication. Kombinovaná registrace je jedním krokem pro koncové uživatele. Abyste se ujistili, že rozumíte funkcím a prostředím koncových uživatelů, podívejte se na koncepty kombinované registrace bezpečnostních informací.
Je důležité informovat uživatele o nadcházejících změnách, požadavcích na registraci a všech potřebných uživatelských akcích. Poskytujeme komunikační šablony a uživatelskou dokumentaci k přípravě uživatelů na nové prostředí a pomáháme zajistit úspěšné zavedení. Odešlete uživatelům https://myprofile.microsoft.com registraci výběrem odkazu Bezpečnostní informace na této stránce.
Plánování projektu nasazení
Při určování strategie pro toto nasazení ve vašem prostředí zvažte potřeby vaší organizace.
Zapojení správných zúčastněných stran
Když technologické projekty selžou, obvykle to dělají kvůli neshodě očekávání ohledně dopadu, výsledků a zodpovědností. Abyste se vyhnuli těmto nástrahám, ujistěte se, že jste zapojeni do správných zúčastněných stran a že role účastníků v projektu jsou dobře srozumitelné tím, že zdokumentují zúčastněné strany a jejich vstupy a závazky k projektu.
Požadované role správce
| Obchodní role/osoba | Azure AD role (v případě potřeby) |
|---|---|
| Helpdesk úrovně 1 | Správce hesel |
| Helpdesk úrovně 2 | Správce uživatelů |
| Správce SSPR | Globální správce |
Plánování pilotního nasazení
Doporučujeme, aby počáteční konfigurace SSPR byla v testovacím prostředí. Začněte pilotní skupinou tím, že povolíte SSPR pro podmnožinu uživatelů ve vaší organizaci. Podívejte se na osvědčené postupy pro pilotní nasazení.
Pokud chcete vytvořit skupinu, podívejte se, jak vytvořit skupinu a přidat členy do Azure Active Directory.
Konfigurace plánu
K povolení SSPR spolu s doporučenými hodnotami se vyžadují následující nastavení.
| Plošný | Nastavení | Hodnota |
|---|---|---|
| Vlastnosti SSPR | Samoobslužné resetování hesla povolené | Vybraná skupina pro pilotní nasazení / Vše pro produkční prostředí |
| Metody ověřování | Metody ověřování vyžadované k registraci | Vždy 1 více, než je vyžadováno pro resetování |
| Metody ověřování vyžadované k resetování | Jedna nebo dvě | |
| Registrace | Při přihlášení vyžadovat registraci uživatelů | Yes |
| Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací | 90 – 180 dní | |
| Oznámení | Upozornit uživatele na resetování hesla | Yes |
| Upozornit všechny správce na resetování hesla jiného správce | Yes | |
| Přizpůsobení | Přizpůsobení odkazu helpdesku | Yes |
| Vlastní e-mail nebo adresa URL helpdesku | Web podpory nebo e-mailová adresa | |
| Místní integrace | Zápis hesel do místní služby AD | Yes |
| Povolit uživatelům odemknout účet bez resetování hesla | Yes |
Vlastnosti SSPR
Při povolování SSPR zvolte v pilotním prostředí příslušnou skupinu zabezpečení.
- Pokud chcete vynutit registraci SSPR pro všechny, doporučujeme použít možnost Vše .
- V opačném případě vyberte příslušnou Azure AD nebo skupinu zabezpečení AD.
Metody ověřování
Pokud je povolený SSPR, uživatelé můžou resetovat heslo jenom v případě, že mají data obsažená v metodách ověřování, které povolil správce. Mezi metody patří telefon, oznámení aplikace Authenticator, bezpečnostní otázky atd. Další informace najdete v tématu Co jsou metody ověřování?.
Doporučujeme následující nastavení metody ověřování:
Nastavte metody ověřování potřebné k registraci alespoň jednoho čísla potřebného k resetování. Povolení více ověřování poskytuje uživatelům flexibilitu, když potřebují resetovat.
Nastavte počet metod potřebných k resetování na úroveň odpovídající vaší organizaci. Jeden vyžaduje nejmenší tření, zatímco dva můžou zvýšit stav zabezpečení.
Poznámka: Uživatel musí mít nakonfigurované metody ověřování v zásadách hesel a omezeních v Azure Active Directory.
Nastavení registrace
Nastavte možnost Vyžadovat, aby se uživatelé při přihlašování k ano zaregistrovali. Toto nastavení vyžaduje, aby se uživatelé při přihlašování zaregistrovali a zajistili, že jsou všichni uživatelé chráněni.
Nastavte počet dní, než se uživatelům zobrazí výzva k potvrzení ověřovacích údajů na dobu 90 až 180 dnů, pokud vaše organizace nemá obchodní potřebu kratšího časového rámce.
Nastavení oznámení
Nakonfigurujte uživatele s oznámením o resetování hesel a upozorněte všechny správce, když ostatní správci resetují heslo na Ano. Výběrem možnosti Ano v obou případech zvýšíte zabezpečení tím, že zajistíte, aby uživatelé věděli, kdy se jejich heslo resetuje. Zajišťuje také, aby všichni správci věděli, když správce změní heslo. Pokud uživatelé nebo správci obdrží oznámení a nesicializovali změnu, můžou okamžitě nahlásit potenciální problém se zabezpečením.
Nastavení přizpůsobení
Je důležité přizpůsobit e-mail helpdesku nebo adresu URL, aby uživatelé, kteří mají problémy, mohli okamžitě získat pomoc. Tuto možnost nastavte na běžnou e-mailovou adresu helpdesku nebo webovou stránku, kterou vaši uživatelé znají.
Další informace najdete v tématu Přizpůsobení funkcí Azure AD pro samoobslužné resetování hesla.
Zpětný zápis hesla
Zpětný zápis hesla je povolený pomocí Azure AD Připojení a zapisuje resetování hesel v cloudu zpět do existujícího místního adresáře v reálném čase. Další informace najdete v tématu Co je zpětný zápis hesla?
Doporučujeme následující nastavení:
- Ujistěte se, že je pro zápis hesel do místní služby AD nastavená hodnota Ano.
- Nastavte možnost Povolit uživatelům odemknout účet bez resetování hesla na ano.
Ve výchozím nastavení Azure AD odemkne účty, když provede resetování hesla.
Nastavení hesla správce
Účty správce mají zvýšená oprávnění. Místní podnikoví nebo doménoví správci nemůžou resetovat hesla prostřednictvím SSPR. Místní účty správců mají následující omezení:
- může změnit heslo pouze v místním prostředí.
- k resetování hesla nikdy nepoužívejte tajné otázky a odpovědi.
Doporučujeme nesynchronizovat místní účty správce služby Active Directory s Azure AD.
Prostředí s více systémy správy identit
Některá prostředí mají několik systémů pro správu identit. Místní správci identit, jako je Oracle AM a SiteMinder, vyžadují synchronizaci s AD pro hesla. Můžete to provést pomocí nástroje, jako je služba PCNS (Password Change Notification Service) s Microsoft Identity Manager (MIM). Pokud chcete najít informace o tomto složitějším scénáři, přečtěte si článek Nasazení služby oznámení o změně hesla MIM na řadiči domény.
Plánování testování a podpory
V každé fázi nasazení z počátečních pilotních skupin prostřednictvím celé organizace zajistěte, aby výsledky byly podle očekávání.
Plánování testování
Pokud chcete zajistit, aby nasazení fungovalo podle očekávání, naplánujte sadu testovacích případů pro ověření implementace. K posouzení testovacích případů potřebujete testovacího uživatele bez oprávnění správce s heslem. Pokud potřebujete vytvořit uživatele, přečtěte si téma Přidání nových uživatelů do Azure Active Directory.
Následující tabulka obsahuje užitečné testovací scénáře, které můžete použít k dokumentování očekávaných výsledků organizace na základě vašich zásad.
| Obchodní případ | Očekávané výsledky |
|---|---|
| Portál SSPR je přístupný z podnikové sítě. | Určuje vaše organizace |
| Portál SSPR je přístupný mimo podnikovou síť. | Určuje vaše organizace |
| Resetování uživatelského hesla z prohlížeče, pokud uživatel není povolený pro resetování hesla | Uživatel nemá přístup k toku resetování hesla |
| Resetování uživatelského hesla z prohlížeče, pokud uživatel není zaregistrovaný pro resetování hesla | Uživatel nemá přístup k toku resetování hesla |
| Uživatel se přihlásí při vynucení registrace resetování hesla. | Zobrazí uživateli výzvu k registraci bezpečnostních informací. |
| Uživatel se přihlásí při dokončení registrace resetování hesla. | Zobrazí uživateli výzvu k registraci bezpečnostních informací. |
| Portál SSPR je přístupný, když uživatel nemá licenci | Je přístupná |
| Resetování uživatelského hesla z Windows 10 Azure AD připojené nebo hybridní Azure AD zamykací obrazovky zařízení | Uživatel může resetovat heslo |
| Registrace a data o využití SSPR jsou k dispozici správcům téměř v reálném čase. | Je k dispozici prostřednictvím protokolů auditu. |
Můžete se také podívat na dokončení pilotního nasazení samoobslužného resetování hesla Azure AD. V tomto kurzu povolíte pilotní zavedení SSPR ve vaší organizaci a otestujete pomocí účtu bez oprávnění správce.
Plánování podpory
I když SSPR obvykle nevytváří problémy uživatelů, je důležité připravit pracovníky podpory na řešení problémů, které mohou nastat. I když správce může resetovat heslo pro koncové uživatele prostřednictvím portálu Azure AD, je lepší tento problém vyřešit prostřednictvím procesu samoobslužné podpory.
Pokud chcete týmu podpory umožnit úspěch, můžete vytvořit nejčastější dotazy na základě otázek, které obdržíte od uživatelů. Tady je pár příkladů:
| Scénáře | Description |
|---|---|
| Uživatel nemá k dispozici žádné registrované metody ověřování. | Uživatel se pokouší resetovat heslo, ale nemá žádné metody ověřování, které jsou k dispozici (příklad: opustil svůj mobilní telefon doma a nemá přístup k e-mailu). |
| Uživatel nedostává text nebo hovor v kanceláři nebo na mobilním telefonu | Uživatel se pokouší ověřit svoji identitu prostřednictvím textu nebo volání, ale nepřichází s textem nebo voláním. |
| Uživatel nemá přístup k portálu pro resetování hesla | Uživatel chce resetovat heslo, ale není povolený pro resetování hesla a nemůže získat přístup k stránce pro aktualizaci hesel. |
| Uživatel nemůže nastavit nové heslo | Uživatel dokončí ověření během toku resetování hesla, ale nemůže nastavit nové heslo. |
| Uživatel na Windows 10 zařízení nevidí odkaz resetovat heslo | Uživatel se pokouší resetovat heslo ze zamykací obrazovky Windows 10, ale zařízení se buď nepřipojilo k Azure AD, nebo Microsoft Endpoint Manager zásady zařízení nejsou povolené. |
Vrácení zpět plánu
Vrácení nasazení zpět:
pro jednoho uživatele odeberte uživatele ze skupiny zabezpečení.
pro skupinu odeberte skupinu z konfigurace SSPR.
Pro všechny zakažte SSPR pro tenanta Azure AD.
Nasazení samoobslužného resetování hesla
Před nasazením se ujistěte, že jste provedli následující kroky:
Určila odpovídající nastavení konfigurace.
Identifikovali uživatele a skupiny pro pilotní a produkční prostředí.
Nastavení konfigurace pro registraci a samoobslužnou službu
Pokud máte hybridní prostředí, nakonfigurujete zpětný zápis hesla.
Teď jste připraveni nasadit SSPR!
Podrobné pokyny ke konfiguraci následujících oblastí najdete v tématu Povolení samoobslužného resetování hesla .
Povolení SSPR v Windows
U počítačů se systémem Windows 7, 8, 8.1 a 10 můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows
Správa SSPR
Azure AD může poskytovat další informace o výkonu SSPR prostřednictvím auditů a sestav.
Sestavy aktivit správy hesel
Předdefinované sestavy na Azure Portal můžete použít k měření výkonu SSPR. Pokud máte správnou licenci, můžete také vytvářet vlastní dotazy. Další informace najdete v tématu Možnosti vytváření sestav pro správu hesel Azure AD
Poznámka
Musíte být globálním správcem a musíte se rozhodnout, aby se tato data shromáždila pro vaši organizaci. Pokud se chcete přihlásit, musíte navštívit kartu Vytváření sestav nebo protokoly auditu na webu Azure Portal aspoň jednou. Do té doby se data neshromažďuje pro vaši organizaci.
Protokoly auditu pro registraci a resetování hesel jsou k dispozici po dobu 30 dnů. Pokud auditování zabezpečení ve vaší společnosti vyžaduje delší uchovávání, je potřeba protokoly exportovat a využívat do nástroje SIEM, jako je Microsoft Sentinel, Splunk nebo ArcSight.
Metody ověřování – Využití a Přehledy
Využití a přehledy umožňují pochopit, jak ve vaší organizaci fungují metody ověřování pro funkce, jako je Azure AD MFA a SSPR. Tato funkce vytváření sestav poskytuje vaší organizaci prostředky k pochopení toho, jaké metody se registrují a jak je používat.
Řešení potíží
Informace o řešení potíží s samoobslužným resetováním hesla
Nejčastější dotazy ke správě hesel
Užitečná dokumentace
Další kroky
Pokud chcete začít nasazovat SSPR, přečtěte si téma Povolení samoobslužného resetování hesla Azure AD