Jak to funguje: Samoobslužné resetování hesla v Azure AD

samoobslužné resetování hesla (SSPR) Azure Active Directory (Azure AD) umožňuje uživatelům změnit nebo resetovat svoje heslo bez zásahu správce ani helpdesku. Pokud je účet uživatele uzamčený nebo zapomněl heslo, může postupovat podle výzev ke zrušení odblokování a opětovnému získání práce. Tato možnost omezuje volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Doporučujeme toto video o tom, jak povolit a nakonfigurovat SSPR ve službě Azure AD.

Důležité

Tento koncepční článek vysvětluje správce, jak funguje Samoobslužné resetování hesla. Pokud už jste koncoví uživatelé zaregistrovali pro Samoobslužné resetování hesla a potřebujete se zpátky do svého účtu, pokračujte na https://aka.ms/sspr .

Pokud váš IT tým nepovolil možnost resetovat si vlastní heslo, obraťte se na helpdesk a získáte další pomoc.

Jak proces resetování hesla funguje?

Uživatel může resetovat nebo změnit heslo pomocí portálu SSPR. Musí nejdřív zaregistrovat požadované metody ověřování. Když uživatel přistupuje k portálu SSPR, platforma Azure bere v úvahu následující faktory:

  • Jak má být stránka lokalizována?
  • Je uživatelský účet platný?
  • Jakou organizaci uživatel patří?
  • Kde je spravované heslo uživatele?
  • Má uživatel licenci používat tuto funkci?

Když uživatel vybere odkaz bez přístupu k účtu z aplikace nebo stránky nebo přejde přímo na , jazyk použitý na portálu SSPR je založený na následujících možnostech:

  • Ve výchozím nastavení se k zobrazení SSPR v příslušném jazyku používá národní prostředí prohlížeče. prostředí pro resetování hesla je lokalizované do stejného jazyka, který Microsoft 365 podporuje.
  • Pokud chcete odkazovat na SSPR v konkrétním lokalizovaném jazyce, připojte se ?mkt= ke konci adresy URL pro resetování hesla spolu s požadovaným národním prostředím.

Po zobrazení portálu SSPR v požadovaném jazyce se uživateli zobrazí výzva k zadání ID uživatele a předání CAPTCHA. Azure AD teď ověřuje, že uživatel může používat SSPR, a to provedením následujících kontrol:

  • Kontroluje, jestli má uživatel povolený SSPR a má přiřazenou licenci Azure AD.
    • Pokud uživatel není povolený pro SSPR nebo nemá přiřazenou licenci, uživatel se vyzve, aby se obrátil na správce, aby resetoval heslo.
  • Kontroluje, zda má uživatel správné metody ověřování definované na svém účtu v souladu se zásadami správce.
    • Pokud zásada vyžaduje jenom jednu metodu, ověřte, že má uživatel definovaná příslušná data alespoň pro jednu z metod ověřování povolených zásadami správce.
      • Pokud metody ověřování nejsou nakonfigurované, uživatel se doporučuje požádat správce, aby heslo resetoval.
    • Pokud zásada vyžaduje dvě metody, ověřte, že má uživatel definovaná příslušná data pro alespoň dvě metody ověřování povolené zásadami správce.
      • Pokud metody ověřování nejsou nakonfigurované, uživatel se doporučuje požádat správce, aby heslo resetoval.
    • Pokud se uživateli přiřadí role správce Azure, vynutily se zásady silného hesla dvou bran. Další informace najdete v tématu rozdíly v zásadách resetování správců.
  • Zkontroluje, jestli je uživatelské heslo spravované místně, například pokud tenant Azure AD používá federované, předávací ověřování nebo synchronizaci hodnot hash hesel:
    • Pokud je nakonfigurován zpětný zápis SSPR a heslo uživatele je spravováno místně, uživatel může pokračovat v ověřování a resetování hesla.
    • Pokud není zpětný zápis SSPR nasazený a heslo uživatele je spravované místně, uživateli se zobrazí výzva, aby se obrátil na správce, aby resetoval heslo.

Pokud se všechny předchozí kontroly úspěšně dokončí, uživatel se provede procesem resetování nebo změnou hesla.

Poznámka

SSPR může posílat e-mailová oznámení uživatelům v rámci procesu resetování hesla. Tyto e-maily se odesílají pomocí předávací služby SMTP, která funguje v režimu aktivní-aktivní napříč několika oblastmi.

Služba SMTP relay přijímá a zpracovává tělo e-mailu, ale neukládá ji. Tělo SSPR e-mailu, které může potenciálně obsahovat informace poskytnuté zákazníkem, není uloženo v protokolech služby SMTP relay. Protokoly obsahují pouze metadata protokolu.

Pokud chcete začít pracovat s SSPR, dokončete následující kurz:

Vyžadovat, aby se uživatelé zaregistrovali při přihlášení

Můžete povolit, aby uživatel vyžadoval dokončení registrace SSPR, pokud používá moderní ověřování nebo webový prohlížeč pro přihlášení k jakýmkoli aplikacím pomocí Azure AD. Tento pracovní postup obsahuje následující aplikace:

  • Microsoft 365
  • portál Azure
  • Přístupový panel
  • Federované aplikace
  • Vlastní aplikace s využitím Azure AD

Pokud nepotřebujete registraci, nebudou se uživatelé během přihlašování vyzváni, ale můžou se zaregistrovat ručně. Uživatelé můžou na https://aka.ms/ssprsetup přístupovém panelu přejít nebo vybrat odkaz https://aka.ms/ssprsetup na kartě profil .

Registration options for SSPR in the Azure portal

Poznámka

Uživatelé můžou zavřít portál pro registraci SSPR tak, že vyberete Zrušit nebo zavřít okno. Jsou ale vyzváné k registraci pokaždé, když se přihlásí, dokud nedokončí jejich registraci.

Toto přerušení, které se má zaregistrovat pro SSPR, neruší připojení uživatele, pokud už se přihlásilo.

Znovu potvrdit ověřovací informace

Aby bylo zajištěno, že metody ověřování jsou správné, když jsou potřeba k resetování nebo změně hesla, můžete vyžadovat, aby uživatelé po uplynutí určité doby ověřili informace zaregistrované v informacích. Tato možnost je k dispozici pouze v případě, že povolíte možnost vyžadovat registraci uživatelů při přihlášení .

Platné hodnoty pro vyzvání uživatele k potvrzení registrovaných metod jsou od 0 do 730 dnů. Nastavením hodnoty 0 znamená, že uživatelé nebudou nikdy požádáni o potvrzení ověřovacích informací. Při použití kombinovaného prostředí pro registraci bude nutné před potvrzením svých informací ověřit jejich identitu.

Metody ověřování

Když je uživatel povolený pro SSPR, musí zaregistrovat aspoň jednu metodu ověřování. Důrazně doporučujeme, abyste vybrali dvě nebo více metod ověřování, aby uživatelé měli větší flexibilitu v případě, že k jedné metodě nezískají přístup, když ji potřebují. Další informace najdete v tématu co jsou metody ověřování?.

Pro SSPR jsou k dispozici následující metody ověřování:

  • Oznámení v mobilní aplikaci
  • Kód mobilní aplikace
  • E-mail
  • Mobilní telefon
  • Office telefon (k dispozici pouze pro klienty s placenými předplatnými)
  • Bezpečnostní otázky

Uživatelé mohou resetovat heslo pouze v případě, že zaregistrovali metodu ověřování, kterou správce povolil.

Upozornění

Účty přiřazené rolím správce Azure se vyžadují k použití metod definovaných v části Správce zásady resetování zásad.

Authentication methods selection in the Azure portal

Vyžaduje se počet požadovaných metod ověřování.

Můžete nakonfigurovat počet dostupných metod ověřování, které uživatel musí zadat pro resetování nebo odemknutí hesla. Tuto hodnotu můžete nastavit buď na jednu , nebo na dvě.

Uživatelé mohou a by měli registrovat více metod ověřování. Opět doporučujeme, aby uživatelé zaregistrovali dvě nebo více metod ověřování, aby měli větší flexibilitu v případě, že k jedné metodě nezískají přístup, když ji potřebují.

Pokud uživatel nemá při pokusu o použití SSPR zaregistrovaný minimální počet požadovaných metod, zobrazí se mu chybová stránka, která je směruje, aby požádala správce o resetování hesla. Pokud jste pro SSPR zaregistrovali existující uživatele a nemůžete použít tuto funkci, pečlivě se ujistěte, že zvýšíte počet metod vyžadovaných od jedné až dvou. Další informace naleznete v následující části ke změně metod ověřování.

Mobilní aplikace a SSPR

při použití mobilní aplikace jako metody pro resetování hesla, jako je například aplikace Microsoft Authenticator, platí následující požadavky:

  • Když správci vyžadují, aby se k resetování hesla použila jedna metoda, je jako jediná dostupná možnost ověřovací kód.
  • Když správci použijí k resetování hesla dvě metody, uživatelé budou moci kromě jakýchkoli dalších povolených metod použít také oznámení nebo ověřovací kód.
Počet metod požadovaných k resetování Jednu Dvě
Dostupné funkce mobilní aplikace Kód Kód nebo oznámení

Uživatelé nemají možnost zaregistrovat si mobilní aplikaci při registraci pro samoobslužné resetování hesla z https://aka.ms/ssprsetup . Uživatelé si mohou mobilní aplikaci zaregistrovat na adrese nebo v kombinované https://aka.ms/mfasetup registraci bezpečnostních údajů na adrese https://aka.ms/setupsecurityinfo .

Důležité

Aplikaci Authenticator vybrat jako jedinou metodu ověřování, pokud se vyžaduje jenom jedna metoda. Podobně nelze vybrat Authenticator aplikaci a pouze jednu další metodu, pokud vyžadujete dvě metody.

Při konfiguraci zásad SSPR, které zahrnují aplikaci Authenticator jako metodu, by měla být vybrána alespoň jedna další metoda, pokud je vyžadována jedna metoda, a při konfiguraci dvou metod by měly být vybrány alespoň dvě další metody.

Tento požadavek je proto, že aktuální prostředí registrace SSPR nezahrnuje možnost registrace ověřovací aplikace. Možnost registrace ověřovací aplikace je součástí nového kombinovaného prostředí registrace.

Povolení zásad, které používají jenom aplikaci Authenticator (pokud se vyžaduje jedna metoda) nebo aplikace Authenticator a jenom jedna další metoda (pokud jsou vyžadovány dvě metody), může vést k zablokování registrace uživatelů do SSPR, dokud nebudou nakonfigurovaní tak, aby mohli používat nové kombinované registrační prostředí.

Změna metod ověřování

Co se stane, když začnete se zásadou, která má zaregistrovanou jenom jednu požadovanou metodu ověřování pro resetování nebo odemknutí a změníte ji na dvě metody?

Počet registrovaných metod Požadovaný počet metod Výsledek
1 nebo více 1 Možnost resetování nebo odemknutí
1 2 Nelze resetovat nebo odemknout
2 nebo více 2 Možnost resetování nebo odemknutí

Změna dostupných metod ověřování může také způsobit uživatelům problémy. Pokud změníte typy metod ověřování, které uživatel může použít, můžete nechtěně uživatelům zabránit v používání SSPR, pokud nemají k dispozici minimální množství dat.

Představte si následující příklad scénáře:

  1. Původní zásady jsou nakonfigurované se dvěma požadovanými metodami ověřování. Používá jenom telefonní číslo do kanceláře a bezpečnostní otázky.
  2. Správce změní zásady tak, aby už bezpečnostní otázky nebyly, ale povolí použití mobilního telefonu a alternativního e-mailu.
  3. Uživatelé bez vyplněných polí mobilního telefonu nebo alternativního e-mailu si teď nedají resetovat hesla.

Oznámení

SSPR umožňuje konfigurovat oznámení pro uživatele i správce identit, aby se zlepšilo povědomí o událostech hesel.

Upozornit uživatele na resetování hesla

Pokud je tato možnost nastavená na Ano,dostanou uživatelé při resetování hesla e-mail s oznámením, že se jejich heslo změnilo. E-mail se prostřednictvím portálu SSPR odesílá na jejich primární a alternativní e-mailové adresy uložené ve službě Azure AD. Na událost resetování není upozorněn nikdo jiný.

Upozornit všechny správce, když jiní správci resetují svá hesla

Pokud je tato možnost nastavená na Ano,dostanou všichni ostatní správci Azure e-mail na primární e-mailovou adresu uloženou v Azure AD. E-mail jim oznámí, že jiný správce změnil heslo pomocí SSPR.

Představte si následující příklad scénáře:

  • V prostředí jsou čtyři správci.
  • Správce A resetuje heslo pomocí SSPR.
  • Správci B,Ca D dostanou e-mail s upozorněním na resetování hesla.

Místní integrace

Pokud máte hybridní prostředí, můžete azure AD nakonfigurovat tak, aby Připojení události změny hesla zpět ze služby Azure AD do místního adresáře.

Validating password writeback is enabled and working

Azure AD zkontroluje vaše aktuální hybridní připojení a poskytne jednu z následujících zpráv v Azure Portal:

  • Váš místní klient zpětného zápisu je v provozu.
  • Služba Azure AD je online a je připojená k místnímu klientovi zpětného zápisu. Vypadá to ale, že nainstalovaná verze služby Azure AD Připojení je aktuální. Zvažte upgrade služby Azure AD Připojení, abyste měli nejnovější funkce připojení a důležité opravy chyb.
  • Bohužel nemůžeme zkontrolovat stav vašeho místního klienta zpětného zápisu, protože nainstalovaná verze služby Azure AD Připojení je aktuální. Upgradujte službu Azure AD Připojení, abyste mohli zkontrolovat stav připojení.
  • Bohužel to vypadá, že se teď nemůžeme připojit k vašemu místnímu klientovi zpětného zápisu. Vyřešte potíže Připojení Azure AD a obnovte připojení.
  • Bohužel se nemůžeme připojit k vašemu místnímu klientovi pro zpětný zápis, protože zpětný zápis hesla není správně nakonfigurovaný. Nakonfigurujte zpětný zápis hesla pro obnovení připojení.
  • Bohužel to vypadá, že se teď nemůžeme připojit k vašemu místnímu klientovi zpětného zápisu. Může to být způsobeno dočasnými problémy na naší konece. Pokud problém přetrvává, vyřešte potíže se službou Azure AD Připojení a obnovte připojení.

Pokud chcete začít se zpětným zápisem SSPR, proveďte následující kurz:

Zápis hesel do místního adresáře

Zpětný zápis hesla můžete povolit pomocí Azure Portal. Zpětný zápis hesla můžete také dočasně zakázat, aniž byste museli znovu konfigurovat službu Azure AD Připojení.

  • Pokud je možnost nastavená na Ano,je povolený zpětný zápis. Federovaní uživatelé, kteří se synchronizují s předávkovaným ověřováním nebo hodnotou hash hesel, si mohou resetovat hesla.
  • Pokud je možnost nastavená na Ne,zpětný zápis je zakázaný. Federovaní uživatelé, kteří se synchronizují s předávkovaným ověřováním nebo hodnotou hash hesel, si nejdou resetovat hesla.

Povolit uživatelům odemknutí účtů bez resetování hesla

Ve výchozím nastavení Azure AD odemkne účty při resetování hesla. Pokud chcete zajistit flexibilitu, můžete uživatelům povolit odemknutí místních účtů bez nutnosti resetování hesla. Pomocí tohoto nastavení tyto dvě operace oddělte.

  • Pokud je nastavená na Ano,uživatelé mají možnost resetovat heslo a odemknout účet nebo odemknout svůj účet, aniž by museli resetovat heslo.
  • Pokud je tatomožnost nastavená na Ne, uživatelé budou moct provést kombinované resetování hesla a operaci odemknutí účtu.

Filtry hesel místní služby Active Directory

SSPR provádí ekvivalent resetování hesla iniciované správcem ve službě Active Directory. Pokud k vynucení vlastních pravidel hesel používáte filtr hesel třetích stran a vyžadujete, aby se tento filtr hesel zaškrtl během samoobslužného resetování hesla Azure AD, ujistěte se, že je řešení filtru hesel jiného výrobce nakonfigurované tak, aby se na něj ve scénáři resetování hesel správce vztahuje. Ochrana hesel Azure AD pro Active Directory Domain Services je ve výchozím nastavení podporovaná.

Resetování hesla pro uživatele B2B

Resetování a změna hesla jsou plně podporovány ve všech konfiguracích B2B (Business-to-Business). Resetování hesla uživatele B2B se podporuje v následujících třech případech:

  • Uživatelé z partnerské organizace s existujícím tenantem Azure AD:Pokud organizace, se kterou spolupracujete, má existujícího tenanta Azure AD, respektujeme všechny zásady resetování hesel, které jsou v tomto tenantovi povolené. Aby resetování hesla fungovalo, partnerská organizace musí jenom zajistit, aby bylo povolené SSPR Azure AD. Za zákazníky se neúčtují Microsoft 365 poplatky.
  • Uživatelé, kteří se zaregistrují prostřednictvím samoobslužné registrace: Pokud organizace, se kterou spolupracujete, použila k přihlášení do tenanta funkci samoobslužné registrace, umožňujeme jim resetovat heslo e-mailem, který zaregistrovali.
  • Uživatelé B2B:Všichni noví uživatelé B2B, kteří byli vytvořeni pomocí nových funkcí Azure AD B2B, si také mohou resetovat hesla e-mailem, který zaregistrovali během procesu pozvání.

Pokud chcete tento scénář otestovat, přejděte na https://passwordreset.microsoftonline.com stránku s jedním z těchto partnerských uživatelů. Pokud mají definovaný alternativní e-mail nebo ověřovací e-mail, resetování hesla funguje podle očekávání.

Poznámka

Účty Microsoft, které mají udělený přístup hosta k vašemu tenantovi Azure AD, například z Hotmail.com, Outlook.com nebo jiných osobních e-mailových adres, nebudou moct používat SSPR služby Azure AD. Musí si resetovat heslo pomocí informací uvedených v článku Kdy se nemůžete přihlásit ke svému účet Microsoft článku.

Další kroky

Pokud chcete začít používat SSPR, proveďte následující kurz:

V následujících článcích najdete další informace o resetování hesla prostřednictvím Azure AD: