Tutorial: Memungkinkan pengguna untuk membuka kunci akun mereka atau mereset kata sandi menggunakan reset kata sandi layanan mandiri Azure Active Directory

Reset kata sandi mandiri (SSPR) Azure Active Directory (Azure AD) memberi pengguna kemampuan untuk mengubah atau mereset kata sandi mereka, tanpa keterlibatan administrator atau pusat bantuan. Jika akun pengguna terkunci atau mereka lupa kata sandinya, mereka dapat mengikuti petunjuk untuk membukanya sendiri dan kembali bekerja. Kemampuan ini mengurangi intensitas panggilan pusat bantuan dan hilangnya produktivitas saat pengguna tidak dapat masuk ke perangkat atau aplikasi mereka. Kami merekomendasikan video tentang Cara mengaktifkan dan mengonfigurasi SSPR di Azure AD. Kami juga memiliki video untuk administrator TI tentang menyelesaikan enam pesan kesalahan pengguna akhir yang paling umum dengan SSPR.

Penting

Tutorial ini menunjukkan administrator cara mengaktifkan reset kata sandi layanan mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi layanan mandiri dan perlu kembali ke akun Anda, buka halaman reset kata sandi Microsoft Online.

Jika tim IT Anda belum mengaktifkan kemampuan untuk mereset kata sandi Anda sendiri, hubungi helpdesk Anda untuk bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengaktifkan reset kata sandi layanan mandiri untuk sekelompok pengguna Azure AD
  • Menyiapkan metode autentikasi dan opsi pendaftaran
  • Menguji proses SSPR sebagai pengguna

Video tutorial

Anda juga dapat mengikuti video terkait: Cara mengaktifkan dan mengonfigurasi SSPR di Azure AD.

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

  • Penyewa Azure AD yang berfungsi dengan setidaknya satu lisensi azure AD gratis atau uji coba diaktifkan. Di layanan Gratis, SSPR hanya berfungsi untuk pengguna cloud di Azure AD. Perubahan kata sandi didukung di layanan Gratis, tetapi reset kata sandi tidak.
    • Untuk tutorial selanjutnya dalam seri ini, Anda memerlukan Azure AD Premium P1 atau lisensi uji coba untuk penulisan kata sandi lokal.
    • Jika diperlukan, buat akun Azure secara gratis.
  • Akun dengan hak istimewa Administrator Global.
  • Pengguna non-administrator dengan kata sandi yang Anda kenal, seperti testuser. Anda akan menguji pengalaman SSPR pengguna akhir menggunakan akun ini dalam tutorial ini.
  • Grup tempat pengguna non-administrator adalah anggota, menyukai SSPR-Test-Group. Anda akan mengaktifkan SSPR untuk grup ini dalam tutorial ini.

Mengaktifkan reset kata sandi mandiri

Azure AD memungkinkan Anda mengaktifkan SSPR untuk pengguna yang Tidak Ada, Dipilih, atau Semua. Kemampuan granular ini memungkinkan Anda memilih subkumpulan pengguna untuk menguji proses pendaftaran SSPR dan alur kerja. Ketika Anda merasa nyaman dengan prosesnya dan waktunya tepat untuk mengkomunikasikan persyaratan dengan sekumpulan pengguna yang lebih luas, Anda dapat memilih sekelompok pengguna diaktifkan untuk SSPR. Atau, Anda dapat mengaktifkan SSPR untuk semua orang di penyewa Azure AD.

Catatan

Saat ini, Anda hanya dapat mengaktifkan satu grup Azure AD untuk SSPR menggunakan portal Microsoft Azure. Sebagai bagian dari penerapan SSPR yang lebih luas, Azure AD mendukung grup berlapis.

Dalam tutorial ini, siapkan SSPR untuk sekumpulan pengguna dalam grup pengujian. Gunakan SSPR-Test-Group dan sediakan grup Azure AD Anda sendiri jika diperlukan:

  1. Masuk ke portal Microsoft Azure menggunakan akun dengan izin administrator global.

  2. Cari dan pilih Azure Active Directory, lalu pilih Reset kata sandi dari menu di sisi kiri.

  3. Dari halaman Properti, pada opsi Reset kata sandi layanan mandiri diaktifkan, klik Dipilih.

  4. Jika grup Anda tidak terlihat, pilih Tidak ada grup yang dipilih, telusuri dan pilih grup Azure AD Anda, seperti SSPR-Test-Group, lalu klik Pilih.

    Select a group in the Azure portal to enable for self-service password reset

  5. Untuk mengaktifkan SSPR untuk pengguna yang dipilih, pilih Simpan.

Menyiapkan metode autentikasi dan opsi pendaftaran

Ketika pengguna perlu membuka kunci akun mereka atau mengatur ulang kata sandi mereka, mereka akan diminta dengan metode konfirmasi lain. Faktor autentikasi tambahan ini memastikan bahwa Azure AD hanya menyelesaikan peristiwa SSPR yang disetujui. Anda dapat memilih metode autentikasi mana yang diizinkan, berdasarkan informasi pendaftaran yang disediakan pengguna.

  1. Dari menu di sisi kiri halaman Metode Autentikasi, atur Jumlah metode yang diperlukan untuk mereset ke 2.

    Untuk meningkatkan keamanan, Anda dapat meningkatkan jumlah metode autentikasi yang diperlukan untuk SSPR.

  2. Pilih Metode yang tersedia untuk pengguna yang akan diizinkan oleh organisasi Anda. Untuk tutorial ini, centang kotak untuk mengaktifkan metode berikut:

    • Pemberitahuan aplikasi seluler
    • Kode aplikasi seluler
    • Email
    • Ponsel

    Anda bisa mengaktifkan metode autentikasi lainnya, seperti Telepon kantor atau Pertanyaan keamanan, jika diperlukan agar sesuai dengan persyaratan bisnis Anda.

  3. Untuk menerapkan metode autentikasi, pilih Simpan.

Sebelum pengguna dapat membuka kunci akun mereka atau mengatur ulang kata sandi, mereka harus mendaftarkan informasi kontak mereka. Azure AD menggunakan informasi kontak ini untuk berbagai metode autentikasi yang diatur di langkah-langkah sebelumnya.

Administrator dapat menyediakan informasi kontak ini secara manual, atau pengguna dapat mengunjungi portal pendaftaran untuk memberikan informasi itu sendiri. Dalam tutorial ini, menyiapkan Azure AD untuk meminta pengguna untuk melakukan pendaftaran saat mereka masuk pada kesempatan lain.

  1. Dari menu di sisi kiri halaman Pendaftaran, pilih Ya untuk Mengharuskan pengguna mendaftar saat masuk.

  2. Atur Jumlah hari sebelum pengguna diminta untuk mengonfirmasi ulang informasi autentikasi mereka ke 180.

    Penting untuk menjaga informasi kontak tetap terbarui. Jika ada informasi kontak yang tidak terbarui saat peristiwa SSPR dimulai, pengguna mungkin tidak dapat membuka kunci akun mereka atau mengatur ulang kata sandi mereka.

  3. Untuk menerapkan pengaturan pendaftaran, pilih Simpan.

Menyiapkan pemberitahuan dan kustomisasi

Untuk memberi tahu pengguna tentang aktivitas akun, Anda bisa menyiapkan Azure AD untuk mengirim pemberitahuan email saat peristiwa SSPR berlangsung. Notifikasi ini dapat mencakup akun pengguna reguler dan akun admin. Untuk akun admin, pemberitahuan ini memberikan tambahan kesadaran ketika kata sandi akun administrator istimewa direset menggunakan SSPR. Azure AD akan memberi tahu semua admin global saat seseorang menggunakan SSPR di akun admin.

  1. Dari menu di sisi kiri halaman Pemberitahuan, siapkan opsi berikut:

    • Atur opsi Beri tahu pengguna mengenai pengaturan ulang kata sandi ke Ya.
    • Atur Beri tahu semua admin saat admin lain mereset kata sandi mereka ke Ya.
  2. Untuk menerapkan preferensi notifikasi, pilih Simpan.

Jika pengguna memerlukan bantuan lebih lanjut terkait proses SSPR, Anda dapat menyesuaikan tautan "Hubungi administrator Anda". Pengguna dapat memilih tautan ini dalam proses pendaftaran SSPR dan ketika mereka membuka kunci akun mereka atau mengatur ulang kata sandi mereka. Untuk memastikan bahwa pengguna Anda mendapatkan dukungan yang diperlukan, kami sangat menyarankan agar Anda menyediakan email atau URL bantuan teknis kustom.

  1. Dari menu di sisi kiri halaman Kustomisasi, atur Link kustomisasi helpdesk ke Ya.
  2. Di bidang Email atau URL meja bantuan khusus, berikan alamat email atau URL laman web tempat pengguna dapat memperoleh bantuan lebih lanjut dari organisasi Anda, seperti https://support.contoso.com/
  3. Untuk menerapkan link kustom, pilih Simpan.

Untuk pengaturan ulang kata sandi mandiri

Dengan SSPR diaktifkan dan disiapkan, uji proses SSPR dengan pengguna yang merupakan bagian dari grup yang Anda pilih di bagian sebelumnya, seperti Test-SSPR-Group. Contoh berikut menggunakan akun testuser. Sediakan akun pengguna Anda sendiri. Ini adalah bagian dari grup yang Anda aktifkan untuk SSPR di bagian pertama tutorial ini.

Catatan

Saat Anda menguji reset kata sandi layanan mandiri, gunakan akun non-administrator. Secara default, Azure AD memungkinkan reset kata sandi layanan mandiri untuk admin. Mereka diharuskan menggunakan dua metode autentikasi untuk mereset kata sandi mereka. Untuk informasi selengkapnya, lihat Perbedaan kebijakan reset administrator.

  1. Untuk melihat proses pendaftaran manual, buka jendela peramban baru dalam mode InPrivate atau penyamaran, dan ramban ke https://aka.ms/ssprsetup. Azure AD akan mengarahkan pengguna ke portal pendaftaran ini saat mereka masuk pada lain kesempatan.

  2. Masuk dengan pengguna uji non-administrator, seperti testuser, dan daftarkan informasi kontak metode autentikasi Anda.

  3. Setelah selesai, pilih tombol bertanda Terlihat bagus dan tutup jendela browser.

  4. Buka jendela browser baru dalam mode InPrivate atau penyamaran dan telusuri ke https://aka.ms/sspr.

  5. Masukkan informasi akun pengguna uji non-administrator Anda, seperti testuser, karakter dari CAPTCHA, lalu pilih Berikutnya.

    Enter user account information to reset the password

  6. Ikuti langkah-langkah verifikasi untuk mereset kata sandi Anda. Setelah selesai, Anda akan menerima pemberitahuan email bahwa kata sandi Anda direset.

Membersihkan sumber daya

Dalam tutorial selanjutnya dalam seri ini, Anda akan mengatur kata sandi writeback. Fitur ini menulis perubahan kata sandi dari Azure AD SSPR kembali ke lingkungan AD lokal. Jika Anda ingin melanjutkan seri tutorial ini untuk mengatur kata sandi writeback, jangan nonaktifkan SSPR sekarang.

Jika Anda tidak lagi ingin menggunakan fungsionalitas SSPR yang telah Anda siapkan sebagai bagian dari tutorial ini, atur status SSPR ke Tidak Ada menggunakan langkah-langkah berikut:

  1. Masuk ke portal Azure.
  2. Cari dan pilih Azure Active Directory, lalu pilih Reset kata sandi dari menu di sisi kiri.
  3. Dari halaman Properti, pada opsi Reset kata sandi layanan mandiri diaktifkan, pilih Tidak Ada.
  4. Untuk menerapkan perubahan SSPR, pilih Simpan.

Tanya Jawab Umum

Bagian ini menjelaskan pertanyaan umum dari administrator dan pengguna akhir yang mencoba SSPR:

  • Mengapa pengguna federasi menunggu hingga 2 menit setelah mereka melihat kata sandi Anda telah direset sebelum mereka dapat menggunakan kata sandi yang disinkronkan dari lokal?

    Untuk pengguna federasi yang kata sandinya disinkronkan, sumber otoritas untuk kata sandi ada di tempat. Akibatnya, SSPR hanya memperbarui kata sandi di tempat. Sinkronisasi hash kata sandi kembali ke Azure AD dijadwalkan untuk setiap 2 menit.

  • Ketika pengguna yang baru dibuat yang diisi dengan data SSPR sebelumnya seperti telepon dan email mengunjungi halaman pendaftaran SSPR, Jangan kehilangan akses ke akun Anda akan muncul sebagai judul halaman. Mengapa pengguna lain yang memiliki data SSPR yang diisi sebelumnya tidak melihat pesan?

    Pengguna yang melihat Jangan kehilangan akses ke akun Anda! adalah anggota SSPR/grup pendaftaran gabungan yang dikonfigurasi untuk penyewa. Pengguna yang tidak melihat Jangan kehilangan akses ke akun Anda! bukan bagian dari SSPR/grup pendaftaran gabungan.

  • Ketika beberapa pengguna melalui proses SSPR dan mengatur ulang kata sandi mereka, mengapa mereka tidak melihat indikator kekuatan kata sandi?

    Pengguna yang tidak melihat indikator kekuatan kata sandi lemah /kuat telah mengaktifkan penulisan balik kata sandi yang disinkronkan. Karena SSPR tidak dapat menentukan kebijakan kata sandi lingkungan lokal pelanggan, SSPR tidak dapat memvalidasi kekuatan atau kelemahan kata sandi.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan pengaturan ulang kata sandi layanan mandiri Azure AD untuk sekelompok pengguna yang dipilih. Anda mempelajari cara untuk:

  • Mengaktifkan reset kata sandi layanan mandiri untuk sekelompok pengguna Azure AD
  • Menyiapkan metode autentikasi dan opsi pendaftaran
  • Menguji proses SSPR sebagai pengguna