Povolení samoobslužného resetování hesla Azure Active Directory na přihlašovací obrazovce Windows

Samoobslužné resetování hesla (SSPR) umožňuje uživatelům Azure Active Directory (Azure AD) měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Uživatelé obvykle otevřou webový prohlížeč na jiném zařízení pro přístup k portálu SSPR. Pokud chcete zlepšit prostředí na počítačích s Windows 7, 8, 8.1 a 10, můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows.

Example Windows 7 and 10 login screens with SSPR link shown

Důležité

Tento kurz ukazuje správce, jak povolit samoobslužné resetování hesla pro Windows zařízení v podniku.

Pokud váš IT tým nepovolil možnost používat SSPR z vašeho Windows zařízení nebo máte problémy při přihlašování, obraťte se na helpdesk a požádejte o další pomoc.

Obecná omezení

Následující omezení platí pro použití samoobslužného resetování hesla z přihlašovací obrazovky Windows:

  • Resetování hesla se v současné době nepodporuje ze vzdálené plochy ani z vylepšených relací Hyper-V.
  • Někteří poskytovatelé přihlašovacích údajů třetích stran znají problémy s touto funkcí.
  • Zakázání řízení uživatelských klíčů prostřednictvím změny klíče registru EnableLUA je známo, že způsobují problémy.
  • Tato funkce nefunguje pro sítě s nasazeným ověřováním sítě 802.1x a možností Provést bezprostředně před přihlášením uživatele. Pro sítě s nasazeným ověřováním sítě 802.1x doporučujeme k povolení této funkce použít ověřování počítače.
  • Aby bylo možné používat nové heslo a aktualizovat přihlašovací údaje uložené v mezipaměti, musí mít počítače připojené k hybridním Azure AD připojeným počítačům přístup k síti. To znamená, že zařízení musí být buď v interní síti organizace, nebo v síti VPN s přístupem k místnímu řadiči domény.
  • Pokud používáte image, před spuštěním nástroje Sysprep se ujistěte, že je webová mezipaměť před provedením kroku CopyProfile vymazána před integrovaným správcem. Další informace o tomto kroku najdete v článku podpory o nízkém výkonu při použití vlastního výchozího profilu uživatele.
  • V následujících nastaveních je známo, že koliduje s možností používat a resetovat hesla na Windows 10 zařízeních:
    • Pokud zásady v Windows 10 vyžadují Ctrl+Alt+Del, resetování hesla nebude fungovat.
    • Pokud jsou oznámení zamykací obrazovky vypnutá, resetování hesla nebude fungovat.
    • HideFastUserSwitching je nastaven na povoleno nebo 1
    • Vlastnost DontDisplayLastUserName je nastavená na povolenou nebo 1.
    • Obrazovka NoLockScreen je nastavená na povolenou nebo 1.
    • BlockNonAdminUserInstall je nastavený na povoleno nebo 1.
    • EnableLostMode je nastaven na zařízení.
    • Explorer.exe se nahradí vlastním prostředím.
    • Interaktivní přihlášení: Vyžadování čipové karty je nastavené na povolenou nebo 1
  • Kombinace následujících specifických tří nastavení může způsobit, že tato funkce nebude fungovat.
    • Interaktivní přihlášení: Nevyžaduje ctrl+ALT+DEL = Zakázáno
    • DisableLockScreenAppNotifications = 1 nebo Enabled
    • SKU Windows je edice Home

Poznámka

Tato omezení platí také pro Windows Hello pro firmy resetování KÓDU PIN ze zamykací obrazovky zařízení.

Windows 10 resetování hesla

Pokud chcete nakonfigurovat Windows 10 zařízení pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

požadavky na Windows 10

  • Správce musí Azure AD z Azure Portal povolit samoobslužné resetování hesla.
  • Uživatelé se musí před použitím této funkce zaregistrovat pro SSPR na adrese https://aka.ms/ssprsetup
    • Není jedinečné pro použití samoobslužného resetování hesla na přihlašovací obrazovce Windows, musí všichni uživatelé zadat kontaktní údaje pro ověření, aby mohli resetovat heslo.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com a ajax.aspnetcdn.com
    • Windows 10 zařízení vyžadují konfiguraci proxy serveru na úrovni počítače nebo konfiguraci proxy serveru s vymezeným oborem pro dočasný účet výchozího uživatele1, který se používá k provádění SSPR (další podrobnosti najdete v části Řešení potíží).
  • Spusťte alespoň Windows 10, verzi z dubna 2018 Update (v1803) a zařízení musí být:
    • Azure AD připojeno
    • Připojeno k hybridnímu Azure AD

Povolení pro Windows 10 pomocí Microsoft Endpoint Manager

Nasazením změny konfigurace povolte samoobslužné resetování hesla z přihlašovací obrazovky pomocí Microsoft Endpoint Manager je nejflexibilnější metoda. Microsoft Endpoint Manager umožňuje nasadit změnu konfigurace do konkrétní skupiny počítačů, které definujete. Tato metoda vyžaduje Microsoft Endpoint Manager registraci zařízení.

Vytvoření zásad konfigurace zařízení v Microsoft Endpoint Manager

  1. Přihlaste se k Azure Portal a vyberte Endpoint Manager.

  2. Vytvořte nový konfigurační profil zařízení tak, že přejdete do části DeviceconfigurationProfiles> a pak vyberete + Vytvořit profil.

    • Pro platformu zvolte Windows 10 a novější.
    • Jako typ profilu zvolte Vlastní.
  3. Vyberte Vytvořit a zadejte smysluplný název profilu, například Windows 10 přihlašovací obrazovce SSPR.

    Volitelně zadejte smysluplný popis profilu a pak vyberte Další.

  4. V části Nastavení konfigurace vyberte Přidat a zadejte následující nastavení OMA-URI, abyste povolili odkaz pro resetování hesla:

    • Zadejte smysluplný název, který vysvětluje, co nastavení dělá, například přidat odkaz na SSPR.
    • Volitelně zadejte smysluplný popis nastavení.
    • Identifikátor OMA-URI nastavte na ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset.
    • Datový typ nastavte na Integer.
    • Jako Hodnota nastavte 1.

    Vyberte Přidat a pak Další.

  5. Zásady je možné přiřadit konkrétním uživatelům, zařízením nebo skupinám. Přiřaďte profil podle potřeby pro své prostředí, ideálně testovací skupině zařízení a pak vyberte Další.

    Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení v Microsoft Microsoft Endpoint Manager.

  6. Nakonfigurujte pravidla použitelnosti podle potřeby pro vaše prostředí, například přiřadit profil, pokud je edice operačního systému Windows 10 Enterprise, a pak vyberte Další.

  7. Zkontrolujte svůj profil a pak vyberte Vytvořit.

Povolení pro Windows 10 pomocí registru

Pokud chcete povolit SSPR na přihlašovací obrazovce pomocí klíče registru, proveďte následující kroky:

  1. Přihlaste se k počítači Windows pomocí přihlašovacích údajů správce.

  2. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit a pak spusťte regedit jako správce.

  3. Nastavíte následující klíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

Řešení potíží s resetováním hesla Windows 10

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, protokol auditu Azure AD obsahuje informace o IP adrese a typu clientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

Example Windows 7 password reset in the Azure AD Audit log

Když si uživatelé resetují heslo z přihlašovací obrazovky Windows 10 zařízení, vytvoří se dočasný účet defaultuser1 s nízkými oprávněními. Tento účet slouží k zabezpečení procesu resetování hesla.

Samotný účet má náhodně vygenerované heslo, které se ověřuje v zásadách hesel organizace, nezobrazuje se pro přihlášení k zařízení a po resetování hesla uživatele se automaticky odebere. Může existovat více defaultuser profilů, ale můžete je bezpečně ignorovat.

Konfigurace proxy serveru pro Windows resetování hesla

Během resetování hesla vytvoří SSPR dočasný místní uživatelský účet pro připojení .https://passwordreset.microsoftonline.com/n/passwordreset Pokud je proxy server nakonfigurovaný pro ověřování uživatelů, může selhat s chybou Něco se nepovedlo. Zkuste to prosím znovu později." Důvodem je to, že místní uživatelský účet nemá oprávnění používat ověřený proxy server.

V tomto případě můžete použít jedno z následujících alternativních řešení:

  • Nakonfigurujte nastavení proxy serveru na úrovni počítače, které nezávisí na typu uživatele přihlášeného k počítači. Můžete například povolit Zásady skupiny Nastavit nastavení proxy serveru pro jednotlivé počítače (nikoli pro jednotlivé uživatele) pro pracovní stanice.

  • Pokud upravíte šablonu registru pro výchozí účet, můžete také použít konfiguraci proxy serveru Per-User pro SSPR. Příkazy jsou následující:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • K chybě "Něco se nepovedlo" může dojít také v případě, že dojde k přerušení připojení k adrese URL https://passwordreset.microsoftonline.com/n/passwordreset. K této chybě může například dojít, když antivirový software běží na pracovní stanici bez vyloučení adres URL passwordreset.microsoftonline.com, ajax.aspnetcdn.coma ocsp.digicert.com. Zakažte tento software dočasně a otestujte, jestli je problém vyřešený nebo ne.

Windows 7, 8 a 8.1 resetování hesla

Pokud chcete nakonfigurovat zařízení s Windows 7, 8 nebo 8.1 pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

požadavky Windows 7, 8 a 8.1

  • Správce musí Azure AD z Azure Portal povolit samoobslužné resetování hesla.
  • Uživatelé se musí před použitím této funkce zaregistrovat pro SSPR na adrese https://aka.ms/ssprsetup
    • Není jedinečné pro použití samoobslužného resetování hesla na přihlašovací obrazovce Windows, musí všichni uživatelé zadat kontaktní údaje pro ověření, aby mohli resetovat heslo.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com
  • Oprava operačního systému Windows 7 nebo Windows 8.1
  • Protokol TLS 1.2 je povolený pomocí pokynů v nastavení registru TLS (Transport Layer Security).
  • Pokud je na vašem počítači povolené více než jeden poskytovatel přihlašovacích údajů třetí strany, zobrazí se uživatelům na přihlašovací obrazovce více než jeden profil uživatele.

Upozornění

Protokol TLS 1.2 musí být povolený, nikoli pouze pro automatické vyjednávání.

Instalace

Pro Windows 7, 8 a 8.1 musí být na počítači nainstalována malá komponenta, aby bylo možné SSPR povolit na přihlašovací obrazovce. Pokud chcete nainstalovat tuto komponentu SSPR, proveďte následující kroky:

  1. Stáhněte si odpovídající instalační program pro verzi Windows chcete povolit.

    Instalační program softwaru je k dispozici na webu Microsoft Download Center na adrese https://aka.ms/sspraddin

  2. Přihlaste se k počítači, na kterém chcete nainstalovat, a spusťte instalační program.

  3. Po instalaci se důrazně doporučuje restartování.

  4. Po restartování zvolte na přihlašovací obrazovce uživatele a výběrem možnosti Zapomenuté heslo spusťte pracovní postup resetování hesla.

  5. Dokončete pracovní postup podle kroků na obrazovce a resetujte heslo.

Example Windows 7 clicked

Bezobslužná instalace

Komponentu SSPR je možné nainstalovat nebo odinstalovat bez výzvy pomocí následujících příkazů:

  • Pro bezobslužnou instalaci použijte příkaz msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Pro bezobslužnou odinstalaci použijte příkaz msiexec /x SsprWindowsLogon.PROD.msi /qn.

Řešení potíží s resetováním hesla Windows 7, 8 a 8.1

Pokud máte problémy s používáním samoobslužného resetování hesla z přihlašovací obrazovky Windows, protokolují se události na počítači i v Azure AD. Azure AD události zahrnují informace o IP adrese a typu ClientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

Example Windows 7 password reset in the Azure AD Audit log

Pokud je vyžadováno další protokolování, je možné změnit klíč registru na počítači, aby se povolilo podrobné protokolování. Povolte podrobné protokolování pouze pro účely řešení potíží s použitím následující hodnoty klíče registru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Pokud chcete povolit podrobné protokolování, vytvořte a REG_DWORD: "EnableLogging"nastavte ho na 1.
  • Pokud chcete podrobné protokolování zakázat, změňte hodnotu REG_DWORD: "EnableLogging" 0.

Co vidí uživatelé

Jaké změny pro uživatele mají nakonfigurované samoobslužné resetování hesla pro vaše zařízení Windows? Jak se dozví, že své heslo můžou resetovat na přihlašovací obrazovce? Následující ukázkové snímky obrazovky ukazují další možnosti resetování hesla uživatele pomocí samoobslužného resetování hesla:

Example Windows 7 and 10 login screens with SSPR link shown

Když se uživatelé pokusí přihlásit, zobrazí se jim odkaz pro resetování hesla nebo zapomenuté heslo , který otevře samoobslužné resetování hesla na přihlašovací obrazovce. Tato funkce umožňuje uživatelům resetovat své heslo, aniž by museli použít jiné zařízení pro přístup k webovému prohlížeči.

Další informace pro uživatele, kteří tuto funkci používají, najdete v tématu Resetování pracovního nebo školního hesla.

Další kroky

Chcete-li zjednodušit prostředí registrace uživatelů, můžete předem vyplnit kontaktní údaje pro ověřování uživatelů pro SSPR.