Kurz: Umožněte uživatelům odemknout účet nebo resetovat heslo pomocí samoobslužného resetování hesla Azure Active Directory

samoobslužné resetování hesla (SSPR) Azure Active Directory (Azure AD) umožňuje uživatelům změnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud Azure AD uzamkne účet uživatele nebo zapomene heslo, může postupovat podle pokynů, aby se odblokovaly a vrátily se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Doporučujeme toto video o povolení a konfiguraci SSPR v Azure AD. Máme také video pro správce IT o řešení šesti nejběžnějších chybových zpráv koncových uživatelů pomocí SSPR.

Důležité

Tento kurz ukazuje správce, jak povolit samoobslužné resetování hesla. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na stránku pro resetování hesla Microsoft Online .

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc technickou podporu.

Co se v tomto kurzu naučíte:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Azure AD
  • Nastavení metod ověřování a možností registrace
  • Testování procesu samoobslužného resetování hesla jako uživatele

Videokurz

Můžete také sledovat související video: Jak povolit a nakonfigurovat SSPR v Azure AD.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Azure AD s povolenou bezplatnou nebo zkušební licencí Azure AD. Na úrovni Free funguje samoobslužné resetování hesla jenom pro cloudové uživatele v Azure AD. Změna hesla se podporuje na úrovni Free, ale resetování hesla není.
    • Pro pozdější kurzy v této sérii budete potřebovat Azure AD Premium P1 nebo zkušební licenci pro zpětný zápis hesla v místním prostředí.
    • V případě potřeby si zdarma vytvořte účet Azure.
  • Účet s oprávněními globálního správce .
  • Uživatel bez oprávnění správce s heslem, které znáte, například testuser. V tomto kurzu otestujete prostředí samoobslužného resetování hesla koncového uživatele pomocí tohoto účtu.
  • Skupina, ve které uživatel bez oprávnění správce je členem skupiny SSPR-Test-Group. V tomto kurzu povolíte samoobslužné resetování hesla pro tuto skupinu.

Povolení samoobslužného resetování hesel

Azure AD umožňuje povolit samoobslužné resetování hesla pro žádné, vybrané nebo všechny uživatele. Tato podrobná schopnost umožňuje zvolit podmnožinu uživatelů, kteří budou testovat proces registrace A pracovní postup samoobslužného resetování hesla. Pokud jste s procesem spokojeni a čas je správný ke komunikaci požadavků s širší sadou uživatelů, můžete vybrat skupinu uživatelů, která se má povolit SSPR. Nebo můžete povolit samoobslužné resetování hesla pro všechny uživatele v tenantovi Azure AD.

Poznámka

V současné době můžete povolit pouze jednu skupinu Azure AD pro samoobslužné resetování hesla pomocí Azure Portal. V rámci širšího nasazení SSPR podporuje Azure AD vnořené skupiny.

V tomto kurzu nastavte samoobslužné resetování hesla pro sadu uživatelů v testovací skupině. Podle potřeby použijte skupinu SSPR-Test-Group a podle potřeby zadejte vlastní skupinu Azure AD:

  1. Přihlaste se k Azure Portal pomocí účtu s oprávněními globálního správce.

  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně vyberte Resetování hesla.

  3. Na stránce Vlastnosti v části Možnost Samoobslužné resetování hesla povolená zvolte Vybraná.

  4. Pokud vaše skupina není viditelná, zvolte Žádné vybrané skupiny, vyhledejte a vyberte skupinu Azure AD, například SSPR-Test-Group, a pak zvolte Vybrat.

    Select a group in the Azure portal to enable for self-service password reset

  5. Pokud chcete povolit samoobslužné resetování hesla pro vybrané uživatele, vyberte Uložit.

Výběr metod ověřování a možností registrace

Když uživatelé potřebují odemknout svůj účet nebo resetovat heslo, zobrazí se jim výzva k zadání jiné metody potvrzení. Tento dodatečný ověřovací faktor zajišťuje, že Služba Azure AD dokončila pouze schválené události SSPR. Na základě informací o registraci, které uživatel poskytne, můžete zvolit, které metody ověřování chcete povolit.

  1. V nabídce na levé straně stránky Metody ověřování nastavte počet metod potřebných k resetování na 2.

    Pokud chcete zlepšit zabezpečení, můžete zvýšit počet metod ověřování vyžadovaných pro SSPR.

  2. Zvolte metody, které mají uživatelé, které vaše organizace chce povolit. Pro účely tohoto kurzu zaškrtněte políčka, abyste povolili následující metody:

    • Oznámení mobilní aplikace
    • Kód mobilní aplikace
    • E-mail
    • Mobilní telefon

    Podle potřeby můžete povolit další metody ověřování, jako jsou Office otázky týkající se telefonu nebo zabezpečení, aby vyhovovaly vašim obchodním požadavkům.

  3. Pokud chcete použít metody ověřování, vyberte Uložit.

Aby uživatelé mohli odemknout svůj účet nebo resetovat heslo, musí si zaregistrovat své kontaktní údaje. Azure AD používá tyto kontaktní informace pro různé metody ověřování nastavené v předchozích krocích.

Správce může tyto kontaktní informace zadat ručně, nebo uživatelé můžou přejít na registrační portál a poskytnout si tyto informace sami. V tomto kurzu nastavte Službu Azure AD tak, aby uživatelům při příštím přihlášení zobrazila výzvu k registraci.

  1. V nabídce na levé straně stránky Registrace vyberte Možnost Ano pro Vyžadovat, aby se uživatelé při přihlašování zaregistrovali.

  2. Nastavte Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací na 180.

    Je důležité udržovat kontaktní údaje v aktualizovaném stavu. Pokud při spuštění události SSPR existuje zastaralé kontaktní informace, nemusí být uživatel schopen odemknout svůj účet nebo resetovat heslo.

  3. Pokud chcete použít nastavení registrace, vyberte Uložit.

Nastavení oznámení a přizpůsobení

Aby uživatelé měli přehled o aktivitě účtu, můžete nastavit Azure AD tak, aby posílala e-mailová oznámení, když dojde k události SSPR. Tato oznámení můžou zahrnovat běžné uživatelské účty i účty správců. U účtů správců toto oznámení poskytuje další vrstvu povědomí o resetování hesla účtu privilegovaného správce pomocí SSPR. Azure AD upozorní všechny globální správce, když někdo použije SSPR na účtu správce.

  1. V nabídce na levé straně stránky Oznámení nastavte následující možnosti:

    • Nastavte možnost Upozornit uživatele na resetování hesel? Na hodnotu Ano.
    • Nastavte možnost Upozornit všechny správce, když ostatní správci resetují heslo? Na Ano.
  2. Pokud chcete použít předvolby oznámení, vyberte Uložit.

Pokud uživatelé potřebují další pomoc s procesem samoobslužného resetování hesla, můžete přizpůsobit odkaz "Kontaktovat správce". Uživatel může vybrat tento odkaz v procesu registrace SSPR a po odemknutí účtu nebo resetování hesla. Pokud chcete zajistit, aby vaši uživatelé získali potřebnou podporu, doporučujeme zadat vlastní e-mail nebo adresu URL helpdesku.

  1. V nabídce na levé straně stránky Přizpůsobení nastavte odkaz Přizpůsobit helpdesk na Ano.
  2. Do pole Vlastní e-mail nebo adresa URL helpdesku zadejte e-mailovou adresu nebo adresu URL webové stránky, kde můžou vaši uživatelé získat další pomoc od vaší organizace, například https://support.contoso.com/
  3. Pokud chcete použít vlastní odkaz, vyberte Uložit.

Testování samoobslužného resetování hesla

S povoleným a nastaveným SSPR otestujte proces SSPR s uživatelem, který je součástí skupiny, kterou jste vybrali v předchozí části, například Test-SSPR-Group. Následující příklad používá účet testuser . Zadejte vlastní uživatelský účet. Je součástí skupiny, kterou jste povolili pro SSPR v první části tohoto kurzu.

Poznámka

Při testování samoobslužného resetování hesla použijte účet bez oprávnění správce. Azure AD ve výchozím nastavení umožňuje samoobslužné resetování hesla pro správce. K resetování hesla musí použít dvě metody ověřování. Další informace najdete v tématu Rozdíly v zásadách resetování správce.

  1. Chcete-li zobrazit proces ruční registrace, otevřete nové okno prohlížeče v režimu InPrivate nebo anonymní režim a přejděte na https://aka.ms/ssprsetup. Azure AD při příštím přihlášení přesměruje uživatele na tento registrační portál.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser, a zaregistrujte kontaktní údaje metod ověřování.

  3. Po dokončení vyberte tlačítko s označením Vypadá dobře a zavřete okno prohlížeče.

  4. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přejděte na adresu https://aka.ms/sspr.

  5. Zadejte informace o účtu uživatele bez oprávnění správce, jako je testuser, znaky z CAPTCHA a pak vyberte Další.

    Enter user account information to reset the password

  6. Pokud chcete resetovat heslo, postupujte podle pokynů k ověření. Po dokončení obdržíte e-mailové oznámení o resetování hesla.

Vyčištění prostředků

V pozdějším kurzu v této sérii nastavíte zpětný zápis hesla. Tato funkce zapisuje změny hesla ze služby Azure AD SSPR zpět do místního prostředí AD. Pokud chcete pokračovat v této sérii kurzů a nastavit zpětný zápis hesla, nezakažujte SSPR teď.

Pokud už nechcete používat funkci samoobslužného resetování hesla, kterou jste nastavili v rámci tohoto kurzu, nastavte stav samoobslužného resetování hesla na Hodnotu Žádné pomocí následujícího postupu:

  1. Přihlaste se k webu Azure Portal.
  2. Vyhledejte a vyberte Azure Active Directory a pak v nabídce na levé straně vyberte Resetování hesla.
  3. Na stránce Vlastnosti vyberte v části Možnost Samoobslužné resetování hesla povolenou možnost Žádné.
  4. Pokud chcete použít změnu samoobslužného resetování hesla, vyberte Uložit.

Nejčastější dotazy

Tato část vysvětluje běžné dotazy správců a koncových uživatelů, kteří zkouší samoobslužné resetování hesla:

  • Proč federovaní uživatelé počkají až 2 minuty, než se jim zobrazí resetování hesla , než budou moct používat hesla synchronizovaná z místního prostředí?

    Pro federované uživatele, jejichž hesla jsou synchronizována, je zdroj autority pro hesla místní. V důsledku toho SSPR aktualizuje jenom místní hesla. Synchronizace hodnot hash hesel zpět do Služby Azure AD je naplánovaná každých 2 minut.

  • Když nově vytvořený uživatel, který je předem vyplněný daty SSPR, jako je telefon a e-mail, navštíví registrační stránku SSPR, nezobrazí se přístup k vašemu účtu! zobrazí se jako název stránky. Proč se zpráva nezobrazuje jiným uživatelům, kteří mají předem vyplněná data SSPR?

    Uživatel, který uvidí , že nepřijde o přístup k vašemu účtu! je členem skupin SSPR nebo kombinovaných registračních skupin, které jsou nakonfigurované pro tohoto tenanta. Uživatelé, kteří nevidí, nepřijdou o přístup k vašemu účtu! nebyli součástí skupin samoobslužného resetování hesla nebo kombinované registrace.

  • Když někteří uživatelé procházejí procesem samoobslužného resetování hesla a resetují si heslo, proč nevidí indikátor síly hesla?

    Uživatelé, kteří nevidí slabou/silnou sílu hesla, mají povolenou synchronizaci zpětného zápisu hesla. Vzhledem k tomu, že samoobslužné resetování hesla nemůže určit zásady hesel místního prostředí zákazníka, nemůže ověřit sílu ani slabinu hesla.

Další kroky

V tomto kurzu jste povolili samoobslužné resetování hesla Azure AD pro vybranou skupinu uživatelů. Naučili jste se:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Azure AD
  • Nastavení metod ověřování a možností registrace
  • Testování procesu samoobslužného resetování hesla jako uživatele