Déployer la réinitialisation de mot de passe en libre-service Azure ADDeploy Azure AD self-service password reset

La réinitialisation de mot de passe en libre-service (SSPR) est une fonctionnalité d’Azure Active Directory qui permet aux employés de réinitialiser leurs mots de passe sans devoir contacter le personnel informatique.Self-service password reset (SSPR) is an Azure Active Directory feature that enables employees to reset their passwords without needing to contact IT staff. Les employés doivent s’inscrire ou être inscrits à ce service avant de l’utiliser.Employees must register for or be registered for self-service password reset before using the service. Pendant l’inscription, l’employé choisit une ou plusieurs méthodes d’authentification activées par son organisation.During registration, the employee chooses one or more authentication methods enabled by their organization.

SSPR permet aux employés de rapidement débloquer leur compte et de continuer à travailler, quels que soient l’heure ou l’endroit où ils se trouvent.SSPR enables employees to quickly get unblocked and continue working no matter where they are or the time of day. En permettant aux utilisateurs de débloquer leur compte eux-mêmes, votre organisation peut réduire les pertes de productivité et les coûts de support élevés pour les problèmes les plus courants liés aux mots de passe.By allowing users to unblock themselves, your organization can reduce the non-productive time and high support costs for most common password-related issues.

Aidez les utilisateurs à s’inscrire rapidement en déployant SSPR parallèlement à une autre application ou service dans votre organisation.Help users get registered quickly by deploying SSPR alongside another application or service in your organization. Cette action génère un grand nombre de connexions et booste les inscriptions.This action will generate a large volume of sign-ins and will drive registration.

Avant de déployer SSPR, les organisations ont tout intérêt à déterminer le nombre d’appels reçus par le support technique concernant la réinitialisation de mot de passe au fil du temps et le coût moyen de chaque appel.Before deploying SSPR, organizations may want to determine how many password reset related help desk calls happen over time and the average cost of each call. Elles peuvent utiliser ces données après le déploiement pour connaître la valeur ajoutée de SSPR.They can use this data post deployment to show the value SSPR is bringing to your organization.

Fonctionnement de SSPRHow SSPR works

  1. Lorsqu’un utilisateur tente de réinitialiser un mot de passe, il doit valider la méthode d’authentification précédemment inscrite pour prouver son identité.When a user attempts to reset a password, they must verify their previously registered authentication method or methods to prove their identity.
  2. Ensuite, l’utilisateur entre un nouveau mot de passe.Then the user enters a new password.
    1. Pour les utilisateurs cloud uniquement, le nouveau mot de passe est stocké dans Azure Active Directory.For cloud-only users, the new password is stored in Azure Active Directory. Pour plus d’informations, consultez l’article Fonctionnement de SSPR.For more information, see the article How SSPR works.
    2. Pour les utilisateurs hybrides, le mot de passe est réécrit en local sur Active Directory via le service Azure AD Connect.For hybrid users, the password is written back to the on-premises Active Directory via the Azure AD Connect service. Pour plus d’informations, consultez l’article Fonctionnement de la réécriture du mot de passe.For more information, see the article What is password writeback.

Considérations relatives aux licencesLicensing considerations

Azure Active Directory fonctionne sur la base d’une licence unique par utilisateur, c’est-à-dire que chaque utilisateur doit disposer d’une licence appropriée pour les fonctionnalités qu’il utilise.Azure Active Directory is license per-user meaning each user has to have an appropriate license for the features they utilize.

  • La réinitialisation de mot de passe en libre-service pour les utilisateurs cloud uniquement est disponible avec Azure AD Basic ou une version supérieure.Self-service password reset for cloud-only users is available with Azure AD Basic or above.
  • La réinitialisation de mot de passe en libre-service avec écriture différée en local pour les environnements hybrides nécessite Azure AD Premium P1 ou supérieur.Self-service password reset with on-premises writeback for hybrid environments requires Azure AD Premium P1 or above.

Pour plus d’informations sur les licences, consultez la page des tarifs Azure Active Directory.More information about licensing can be found on the Azure Active Directory pricing page

Activer une inscription combinée pour SSPR et MFAEnable combined registration for SSPR and MFA

Microsoft recommande aux organisations d’activer l’expérience combinée d’inscription à SSPR et MFA (authentification multifacteur).Microsoft recommends that organizations enable the combined registration experience for SSPR and multi-factor authentication. Lorsque vous activez cette expérience d’inscription combinée, les utilisateurs ne doivent sélectionner qu’une fois leurs informations d’inscription pour activer ces deux fonctionnalités.When you enable this combined registration experience, users need only select their registration information once to enable both features.

Inscription d’informations de sécurité combinée

L’expérience d’inscription combinée n’oblige pas les organisations à activer SSPR et Azure MFA.The combined registration experience does not require organizations to enable both SSPR and Azure Multi-Factor Authentication to use. L’inscription combinée fournit aux organisations une meilleure expérience utilisateur par rapport aux composants individuels traditionnels.The combined registration experience provides organizations a better user experience compared to the traditional individual components. Vous trouverez plus d’informations sur l’inscription combinée dans l’article Inscription d’informations de sécurité combinée (préversion).More information about combined registration, and how to enable, can be found in the article Combined security information registration (preview)

Planifier la configurationPlan the configuration

Les paramètres suivants sont requis pour activer SSPR avec les valeurs recommandées.The following settings are required to enable SSPR along with recommended values.

DomaineArea ParamètreSetting ValeurValue
Propriétés SSPRSSPR Properties Réinitialisation de mot de passe en libre-service activéeSelf-service password reset enabled Groupe sélectionné pour le projet pilote / Tous pour la productionSelected group for pilot / All for production
Méthodes d’authentificationAuthentication methods Méthodes d’authentification requises pour l’inscriptionAuthentication methods required to register Toujours 1 de plus que nécessaire pour la réinitialisationAlways 1 more than required for reset
Méthodes d’authentification requises pour la réinitialisationAuthentication methods required to reset Une ou deuxOne or two
InscriptionRegistration Obliger les utilisateurs à s’inscrire durant la connexion ?Require users to register when signing in OUIYes
Nombre de jours avant que les utilisateurs ne soient invités à reconfirmer leurs informations d’authentificationNumber of days before users are asked to re-confirm their authentication information 90 à 180 jours90 – 180 days
NotificationsNotifications Notifier les utilisateurs lors des réinitialisations de mot de passe ?Notify users on password resets OUIYes
Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe ?Notify all admins when other admins reset their password OUIYes
PersonnalisationCustomization Personnaliser le lien du support techniqueCustomize helpdesk link OUIYes
URL ou adresse e-mail personnalisée du support techniqueCustom helpdesk email or URL Adresse e-mail ou site du support techniqueSupport site or email address
Intégration localeOn-premises integration Écriture différée des mots de passe dans AD en localWrite back passwords to on-premises AD OUIYes
Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passeAllow users to unlock account without resetting password OUIYes

Recommandations pour les propriétés SSPRSSPR properties recommendations

Lorsque vous activez la réinitialisation de mot de passe en libre-service, choisissez un groupe de sécurité à utiliser pendant la phase pilote.When enabling Self-service password reset, choose a security group to be used during the pilot.

Lorsque vous prévoyez d’étendre le service, nous vous recommandons d’utiliser l’option Tous afin de renforcer SSPR pour tous les membres de l’organisation.When you plan to launch the service more broadly, we recommend using the All option to enforce SSPR for everyone in the organization. Si vous ne pouvez pas définir la valeur Tous, sélectionnez le groupe de sécurité Azure AD approprié ou le groupe AD synchronisé avec Azure AD.If you cannot set to all, select the appropriate Azure AD Security group or AD group synced to Azure AD.

Méthodes d’authentificationAuthentication methods

Définissez les méthodes d’authentification requises pour l’inscription ; il doit y en avoir au moins une de plus que le nombre requis pour la réinitialisation.Set Authentication methods required to register to at least one more than the number required to reset. Plus vous en définissez, plus les utilisateurs ont de flexibilité lorsqu’ils doivent réinitialiser leur mot de passe.Allowing multiple gives users flexibility when they need to reset.

Définissez le nombre de méthodes requises pour la réinitialisation sur un niveau approprié pour votre organisation.Set Number of methods required to reset to a level appropriate to your organization. Le plus simple est d’en choisir une seule, tandis que deux peuvent améliorer l’état de la sécurité.One requires the least friction, while two may increase your security posture.

Consultez la présentation des méthodes d’authentification pour obtenir plus d’informations sur les méthodes d'authentification disponibles pour SSPR, les questions de sécurité prédéfinies et la création de questions de sécurité personnalisées.See What are authentication methods for detailed information on which authentication methods are available for SSPR, pre-defined security questions, and how to create customized security questions.

Paramètres d’inscriptionRegistration settings

Définissez l’option Obliger les utilisateurs à s’inscrire durant la connexion sur Oui.Set Require users to register when signing in to Yes. Ce paramètre signifie que les utilisateurs sont obligés de s’inscrire durant la connexion, garantissant ainsi leur protection.This setting means that the users are forced to register when signing in, ensuring that all users are protected.

Définissez le nombre de jours avant que les utilisateurs soient invités à reconfirmer leurs informations d’authentification sur une valeur comprise entre 90 et 180 jours, sauf si votre organisation dispose d’une entreprise exige une période plus courte.Set Number of days before users are asked to re-confirm their authentication information to between 90 and 180 days, unless your organization has a business need for a shorter time frame.

Paramètres de notificationsNotifications settings

Configurer les paramètres Notifier les utilisateurs lors des réinitialisations de mot de passe et Notifier tous les administrateurs quand d’autres administrateurs réinitialisent leur mot de passe sur Oui.Configure both the Notify users on password resets and the Notify all admins when other admins reset their password to Yes. En sélectionnant Oui pour les deux paramètres, vous augmentez la sécurité en vous assurant que les utilisateurs soient informés lorsque leur mot de passe est réinitialisé, et que tous les administrateurs soient avertis lorsqu’un administrateur modifie un mot de passe.Selecting Yes on both increases security by ensuring that users are aware when their password has been reset, and that all admins are aware when an admin changes a password. Si les utilisateurs ou les administrateurs reçoivent une notification et qu’ils ne sont pas à l’origine de la modification, ils peuvent signaler immédiatement une violation de sécurité potentielle.If users or admins receive such a notification and they have not initiated the change, they can immediately report a potential security breach.

PersonnalisationCustomization

Il est essentiel de personnaliser l’adresse e-mail ou URL du support technique pour garantir les utilisateurs qui rencontrent des problèmes puissent obtenir rapidement de l’aide.It’s critical to customize the helpdesk email or URL to ensure users who experience problems can quickly get help. Définissez cette option sur une page web ou une adresse e-mail de support technique courante que vos utilisateurs connaissent.Set this option to a common helpdesk email address or web page that your users are familiar with.

Intégration localeOn-premises integration

Si vous avez un environnement hybride, vérifiez que l’option Écriture différée des mots de passe dans AD en local est définie sur Oui.If you have a hybrid environment, ensure that Write back passwords to on-premises AD is set to Yes. Définissez également l’option Autoriser les utilisateurs à déverrouiller leur compte sans réinitialiser leur mot de passe sur Oui, car cela leur laisse davantage de flexibilité.Also set the Allow users to unlock account without resetting password to Yes, as it gives them more flexibility.

Modification/réinitialisation des mots de passe des administrateursChanging/Resetting passwords of administrators

Les comptes d’administrateur sont des comptes spéciaux avec des autorisations élevées.Administrator accounts are special accounts with elevated permissions. Pour les sécuriser, les restrictions suivantes s’appliquent à la modification des mots de passe des administrateurs :To secure them, the following restrictions apply to changing passwords of administrators:

  • Les administrateurs d’entreprise en local ou les administrateurs de domaine ne peuvent pas réinitialiser leur mot de passe via SSPR.On-premises enterprise administrators or domain administrators cannot reset their password through SSPR. Ils peuvent uniquement modifier leur mot de passe dans leur environnement local.They can only change their password in their on-premises environment. Par conséquent, nous vous recommandons de ne pas synchroniser les comptes d’administrateur AD locaux avec Azure AD.Thus, we recommend not syncing on-prem AD admin accounts to Azure AD.
  • Un administrateur ne peut pas utiliser les questions/réponses secrètes comme méthode pour réinitialiser le mot de passe.An administrator cannot use secret Questions & Answers as a method to reset password.

Environnements avec plusieurs systèmes de gestion de l’identitéEnvironments with multiple identity management systems

S’il existe plusieurs systèmes de gestion de l’identité dans un environnement tel que les gestionnaires d’identité locaux (par exemple, Oracle AM, SiteMinder ou d’autres systèmes), il faudra peut-être synchroniser les mots de passe écrits dans Active Directory avec les autres systèmes à l’aide d’un outil tel que le service de notification de modification de mot de passe (PCNS) avec Microsoft Identity Manager (MIM).If there are multiple identity management systems within an environment such as on-premises identity managers like Oracle AM, SiteMinder, or other systems, then passwords written to Active Directory may need to be synchronized to the other systems using a tool like the Password Change Notification Service (PCNS) with Microsoft Identity Manager (MIM). Pour plus d’informations sur ce scénario plus complexe, consultez l’article Déployer le service de notification de modification de mot de passe MIM sur un contrôleur de domaine.To find information on this more complex scenario, see the article Deploy the MIM Password Change Notification Service on a domain controller.

Planifier le déploiement et le support de SSPRPlan deployment and support for SSPR

Impliquer les parties prenantes appropriéesEngage the right stakeholders

Lorsque des projets technologiques échouent, cela est généralement dû à des attentes qui ne correspondent pas à l’impact, aux résultats et aux responsabilités réels.When technology projects fail, they typically do so due to mismatched expectations on impact, outcomes, and responsibilities. Pour éviter ces pièges, veillez à impliquer les parties prenantes appropriées et à ce qu’elles comprennent bien leurs rôles dans le projet. Pour ce faire, dressez une liste de leurs contributions et de leurs responsabilités.To avoid these pitfalls, ensure that you are engaging the right stakeholders, and that stakeholder roles in the project are well understood by documenting the stakeholders and their project input and accountability.

Plan de communicationCommunications plan

La communication est essentielle à la réussite de tout nouveau service.Communication is critical to the success of any new service. Communiquez de façon proactive avec les utilisateurs sur l’utilisation du service et la manière d’obtenir de l’aide si quelque chose ne fonctionne pas comme prévu.Proactively communicate with your users how to use the service and what they can do to get help if something doesn’t work as expected. Consultez les documents sur le déploiement de la réinitialisation de mot de passe en libre-service dans le centre de téléchargement Microsoft. Vous y trouverez des suggestions pour planifier votre stratégie de communication avec les utilisateurs finaux.Review the Self-service password reset rollout materials on the Microsoft download center for ideas on how to plan your end-user communication strategy.

Plan de testTesting plan

Pour vous assurer que le déploiement fonctionne comme prévu, vous devez prévoir un ensemble de cas de test pour valider l’implémentation.To ensure that your deployment works as expected, you should plan out a set of test cases you will use to validate the implementation. Le tableau suivant inclut quelques scénarios de test utiles que vous pouvez utiliser pour documenter les résultats attendus par votre organisation en fonction de vos stratégies.The following table includes some useful test scenarios you can use to document your organizations expected results based on your policies.

Cas métierBusiness case Résultat attenduExpected result
Le portail SSPR est accessible à partir du réseau d’entrepriseSSPR portal is accessible from within the corporate network Déterminé par votre organisationDetermined by your organization
Le portail SSPR est accessible en dehors du réseau d’entrepriseSSPR portal is accessible from outside the corporate network Déterminé par votre organisationDetermined by your organization
Réinitialiser le mot de passe utilisateur à partir du navigateur lorsque l’utilisateur n’est pas activé pour la réinitialisation de mot de passeReset user password from browser when user is not enabled for password reset L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passeUser is not able to access the password reset flow
Réinitialiser le mot de passe utilisateur à partir du navigateur lorsque l’utilisateur n’est pas inscrit pour la réinitialisation de mot de passeReset user password from browser when user has not registered for password reset L’utilisateur n’est pas en mesure d’accéder aux flux de réinitialisation de mot de passeUser is not able to access the password reset flow
L’utilisateur se connecte lorsque l’inscription à la réinitialisation de mot de passe est appliquéeUser signs in when password reset registration is enforced L’utilisateur est invité à inscrire ses informations de sécuritéUser is prompted to register security information
L’utilisateur se connecte lorsque l’inscription à la réinitialisation de mot de passe est terminéeUser signs in when password reset registration has been completed L’utilisateur n’est pas invité à inscrire ses informations de sécuritéUser is not prompted to register security information
Le portail SSPR est accessible lorsque l’utilisateur ne dispose pas d’une licenceSSPR portal is accessible when the user does not have a license AccessibleIs accessible
Réinitialiser le mot de passe utilisateur à partir de l’écran de verrouillage d’appareil Windows 10 AADJ ou H+AADJ une fois que l’utilisateur est inscritReset user password from Windows 10 AADJ or H+AADJ device lock screen after user has registered L’utilisateur peut réinitialiser le mot de passeUser can reset password
Les données d’utilisation et d’inscription SSPR sont disponibles pour les administrateurs quasiment en temps réelSSPR registration and usage data are available to administrators in near real time Disponible via les journaux d’auditIs available via audit logs

Plan de supportSupport plan

Bien que SSPR ne crée généralement pas de problèmes pour l’utilisateur, il est important d’avoir un personnel préparé à gérer les éventuels soucis.While SSPR does not typically create user issues, it is important to have support staff prepared to deal with issues that may arise.

Même si un administrateur peut modifier ou réinitialiser le mot de passe des utilisateurs finaux via le portail Azure AD, il est préférable de résoudre le problème via un processus de support en libre-service.While an administrator can change or reset the password for end users through the Azure AD portal, it is better to help resolve the issue via a self-service support process.

Dans la section du guide opérationnel de ce document, créez une liste de cas de support et de leurs causes probables, et indiquez comment résoudre ces problèmes.In the operational guide section of this document, create a list of support cases and their likely causes, and create a guide for resolution.

Audit et création de rapportsAuditing and reporting

Après le déploiement, de nombreuses organisations souhaitent savoir comment ou si la réinitialisation de mot de passe en libre-service (SSPR) est réellement utilisée.After deployment, many organizations want to know how or if self-service password reset (SSPR) is really being used. La fonctionnalité de création de rapports fournie par Azure Active Directory (Azure AD) vous aide à répondre aux questions à l’aide de rapports prédéfinis.The reporting feature that Azure Active Directory (Azure AD) provides helps you answer questions by using prebuilt reports.

Les journaux d’audit pour l’inscription et la réinitialisation de mot de passe sont disponibles pendant 30 jours.Audit logs for registration and password reset are available for 30 days. Par conséquent, si l’audit de sécurité au sein d’une entreprise nécessite une rétention plus longue, les journaux doivent être exportés et utilisés dans un outil SIEM comme Azure Sentinel, Splunk ou ArcSight.Therefore, if security auditing within a corporation requires longer retention, the logs need to be exported and consumed into a SIEM tool such as Azure Sentinel, Splunk, or ArcSight.

Dans un tableau, comme celui ci-dessous, documentez le calendrier de sauvegarde, le système et les parties responsables.In a table, like the one below, document the backup schedule, the system, and the responsible parties. Vous n’aurez peut-être pas besoin de sauvegardes séparées pour les audits et les rapports, mais vous devez disposer d’une sauvegarde distincte à partir de laquelle récupérer les données en cas de problème.You may not need separate auditing and reporting backups, but you should have a separate backup from which you can recover from an issue.

Fréquence de téléchargementFrequency of download Système cibleTarget system Partie responsableResponsible party
Sauvegarde d’auditAuditing backup
Sauvegarde de rapportReporting backup
Sauvegarde de récupération d'urgenceDisaster recovery backup

ImplémentationImplementation

L’implémentation s’effectue en trois étapes :Implementation occurs in three stages:

  • Configurer les utilisateurs et les licencesConfigure users and licenses
  • Configure Azure AD SSPR pour l’inscription et le libre-serviceConfigure Azure AD SSPR for registration and self-service
  • Configurer Azure AD Connect pour la réécriture du mot de passeConfigure Azure AD Connect for password writeback

Communiquer le changementCommunicate the change

Commencez l’implémentation du plan de communication que vous avez développé durant la phase de planification.Begin implementation of the communications plan that you developed in the planning phase.

Vérifier que les groupes sont créés et remplisEnsure groups are created and populated

Consultez la section sur la planification des méthodes d'authentification par mot de passe. Veillez à ce que les groupes de l’implémentation pilote ou de production soient disponibles, et vérifiez que tous les utilisateurs appropriés sont ajoutés aux groupes.Reference the Planning password authentication methods section and ensure the group(s) for the pilot or production implementation are available, and all appropriate users are added to the groups.

Appliquer les licencesApply licenses

Les groupes que vous vous apprêtez à implémenter doivent avoir la licence Premium Azure AD.The groups you are going to implement must have the Azure AD premium license assigned to them. Vous pouvez attribuer des licences directement au groupe ou utiliser des stratégies de licence existantes (par exemple, via PowerShell ou en fonction du groupe).You can assign licenses directly to the group, or you can use existing license policies such as through PowerShell or Group-Based Licensing.

Vous trouverez plus d’informations sur l’attribution de licences à des groupes d’utilisateurs dans l’article Affecter des licences aux utilisateurs par appartenance aux groupes dans Azure Active Directory.Information about assigning licenses to groups of users can be found in the article, Assign licenses to users by group membership in Azure Active Directory.

Configurer SSPRConfigure SSPR

Activer les groupes pour SSPREnable groups for SSPR

  1. Accédez au portail Azure avec un compte administrateur.Access the Azure portal with an administrator account.
  2. Sélectionnez Tous les services et, dans la zone de texte Filtre, saisissez Azure Active Directory, puis sélectionnez Azure Active Directory.Select All Services, and in the Filter box, type Azure Active Directory, and then select Azure Active Directory.
  3. Dans le panneau Active Directory, sélectionnez Réinitialisation de mot de passe.On the Active Directory blade, select Password reset.
  4. Dans le volet Propriétés, choisissez Sélectionné.In the properties pane, select Selected. Si vous souhaitez activer tous les utilisateurs, sélectionner Tout.If you want all users enabled, Select All.
  5. Dans le panneau Stratégie de réinitialisation de mot de passe par défaut, saisissez le nom du premier groupe, sélectionnez-le et cliquez sur Sélectionner en bas de l’écran, puis sélectionnez Enregistrer en haut de l’écran.In the Default password reset policy blade, type the name of the first group, select it, and then click Select at the bottom of the screen, and select Save at the top of the screen.
  6. Répétez ce processus pour chaque groupe.Repeat this process for each group.

Configurer les méthodes d’authentificationConfigure the authentication methods

Consultez votre planification à la section Planification des méthodes de l’authentification par mot de passe de ce document.Reference your planning from the Planning Password Authentication Methods section of this document.

  1. Sélectionnez Inscription et, sous Demander à l’utilisateur de s’inscrire lors de la connexion, sélectionnez Oui. Ensuite, définissez le nombre de jours avant l’expiration, puis sélectionnez Enregistrer.Select Registration, under Require user to register when signing in, select Yes, and then set the number of days before expiration, and then select Save.
  2. Sélectionnez Notification et configurez les paramètres selon votre plan, puis sélectionnez Enregistrer.Select Notification, and configure per your plan, and then select Save.
  3. Sélectionnez Personnalisation et configurez les paramètres selon votre plan, puis sélectionnez Enregistrer.Select Customization, and configure per your plan, and then select Save.
  4. Sélectionnez Intégration locale et configurez les paramètres selon votre plan, puis sélectionnez Enregistrer.Select On-premises integration, and configure per your plan, and then select Save.

Activer SSPR sous WindowsEnable SSPR in Windows

Les appareils Windows 10 exécutant la version 1803 ou une version supérieure et qui sont joints à Azure AD ou joints à Azure AD hybride peuvent réinitialiser leurs mots de passe sur l’écran de connexion Windows.Windows 10 devices running version 1803 or higher that are either Azure AD joined or hybrid Azure AD joined can reset their passwords at the Windows login screen. Vous trouverez les informations et les étapes nécessaires pour configurer cette fonctionnalité dans l’article Réinitialisation du mot de passe Azure AD depuis l’écran de connexion.Information and steps to configure this capability can be found in the article Azure AD password reset from the login screen

Configuration de l’écriture différée du mot de passeConfigure password writeback

Les étapes requises pour configurer l’écriture différée de mot de passe pour votre organisation sont disponibles dans l’article Procédure : Configuration de l’écriture différée du mot de passe.Steps to configure password writeback for your organization can be found in the article How-to: Configure password writeback.

Gérer SSPRManage SSPR

Rôles requis pour gérer les fonctionnalités associées à la réinitialisation de mot de passe en libre-service.Required roles to manage features associated with self-service password reset.

Rôle métier/personnageBusiness role/persona Rôle Azure AD (si nécessaire)Azure AD Role (if necessary)
Support technique de niveau 1Level 1 Helpdesk Administrateur de mots de passePassword administrator
Support technique de niveau 2Level 2 Helpdesk Administrateur d’utilisateursUser administrator
Administrateur SSPRSSPR Administrator Administrateur généralGlobal administrator

Ses scénarios de supportSupport scenarios

Pour garantir le succès de votre équipe de support technique, vous pouvez créer une FAQ en fonction des questions que vous recevez de la part des utilisateurs.To enable your support team success, you can create an FAQ based on questions you receive from your users. Le tableau suivant contient des scénarios courants de support.The following table contains common support scenarios.

ScénariosScenarios DescriptionDescription
L’utilisateur ne dispose pas de méthodes d’authentification inscrites.User does not have any registered authentication methods available Un utilisateur essaie de se réinitialiser son mot de passe, mais aucune des méthodes d’authentification qu’il a inscrites n’est disponible (par exemple, il a laissé son téléphone portable à la maison et ne peut pas accéder à ses e-mails).A user is trying to reset their password but does not have any of the authentication methods that they registered available (Example: they left their cell phone at home and can’t access email)
L’utilisateur ne reçoit pas un SMS ou un appel sur son téléphone mobile ou professionnel.User is not receiving a text or call on their office or mobile phone Un utilisateur tente de confirmer son identité par SMS ou via un appel, mais ne reçoit pas le SMS/l’appel.A user is trying to verify their identity via text or call but is not receiving a text/call.
L’utilisateur n’a pas accès au portail de réinitialisation de mot de passe.User cannot access the password reset portal Un utilisateur souhaite réinitialiser son mot de passe, mais n’est pas activé pour la réinitialisation de mot de passe. Par conséquent, il ne peut pas accéder à la page pour mettre à jour les mots de passe.A user wants to reset their password but is not enabled for password reset and therefore cannot access the page to update passwords.
L’utilisateur ne peut pas définir un nouveau mot de passe.User cannot set a new password Un utilisateur termine la vérification pendant le flux de réinitialisation de mot de passe, mais ne peut pas définir un nouveau mot de passe.A user completes verification during the password reset flow but cannot set a new password.
L’utilisateur ne voit pas de lien Réinitialiser le mot de passe sur un appareil Windows 10.User does not see a Reset Password link on a Windows 10 device Un utilisateur tente de réinitialiser le mot de passe à partir de l’écran de verrouillage Windows 10, mais l’appareil n’est pas joint à Azure AD, ou la stratégie d’appareil Intune n’est pas activée.A user is trying to reset password from the Windows 10 lock screen, but the device is either not joined to Azure AD, or the Intune device policy is not enabled

Vous pouvez également inclure les informations suivantes pour la résolution de problèmes supplémentaires.You may also want to include information such as the following for additional troubleshooting.

  • Groupes activés pour SSPR.Which groups are enabled for SSPR.
  • Méthodes d’authentification configurées.Which authentication methods are configured.
  • Stratégies d’accès associées au réseau d’entreprise.The access policies related to on or of the corporate network.
  • Étapes de résolution des problèmes pour les scénarios courants.Troubleshooting steps for common scenarios.

Vous pouvez également consulter notre documentation en ligne sur la résolution des problèmes de mot de passe en libre-service pour connaître les étapes générales des scénarios SSPR courants.You can also refer to our online documentation on troubleshooting self-service password reset to understand general troubleshooting steps for the most common SSPR scenarios.

Étapes suivantesNext steps