Принцип работы. Самостоятельный сброс пароля в Microsoft Entra

  • Мақала

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra.

Внимание

Из этой теоретической статьи администратор узнает, как работает функция самостоятельного сброса пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

Как работает процесс сброса паролей?

Пользователь может сбросить или изменить пароль с помощью портала SSPR. Сначала он должен зарегистрировать нужные методы проверки подлинности. Когда пользователь обращается к порталу SSPR, платформа Идентификатора Microsoft Entra учитывает следующие факторы:

  • язык страницы;
  • допустимость учетной записи;
  • организация, к которой принадлежит пользователь;
  • параметры управления паролем пользователя;

Когда пользователь нажимает на ссылку Не удается получить доступ к своей учетной записи в приложении или на странице, либо когда он переходит непосредственно к https://aka.ms/sspr, язык, используемый на портале SSPR, выбирается с учетом следующих параметров:

  • По умолчанию язык, на котором портал SSPR отображается для пользователя, определяется по языковому стандарту браузера. Эта функция сброса пароля переведена на все языки, поддерживаемые Microsoft 365.
  • Если вы хотите создать ссылку, при переходе по которой порта SSPR будет отображаться на определенном языке, добавьте ?mkt= в конец URL-адреса сброса пароля вместе с требуемым языковым стандартом.

После отображения портала SSPR на требуемом языке пользователю будет предложено ввести идентификатор пользователя и подтвердить, что он не робот. Идентификатор Microsoft Entra теперь проверяет, что пользователь может использовать SSPR, выполнив следующие проверка:

  • Проверяет, что у пользователя включена функция SSPR.
    • Если у пользователя эта функция не включена, то для сброса своего пароля ему предлагается обратиться к администратору.
  • Проверяет наличие у пользователя соответствующих методов проверки подлинности, определенных в его учетной записи в соответствии с политикой администратора.
    • Если политика требует только один метод, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для одного из методов проверки подлинности, разрешенных политикой администратора.
      • Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
    • Если политика требует два метода, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для двух методов проверки подлинности, разрешенных политикой администратора.
      • Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
    • Если пользователю назначается роль администратора Azure, применяется строгая двухфакторная политика паролей. Дополнительные сведения см. в разделе Различия политики сброса администратора.
  • Проверяет, управляет ли пароль пользователя локальной средой, например, если клиент Microsoft Entra использует федеративную, сквозную проверку подлинности или синхронизацию хэша паролей:
    • Если обратная запись самостоятельного сброса пароля настроена, а управление паролем пользователя осуществляется локально, то пользователю разрешается продолжить проверку подлинности и сбросить свой пароль.
    • Если обратная запись самостоятельного сброса пароля не развернута, а управление паролем пользователя осуществляется локально, то пользователю предлагается обратиться к администратору для сброса своего пароля.

Если все предыдущие проверки успешно выполнены, пользователь проходит через процесс сброса или изменения пароля.

Примечание.

Функция самостоятельного сброса пароля может отправлять пользователям уведомления по электронной почте в рамках процесса сброса пароля. Эти сообщения отправляются с помощью службы ретранслятора SMTP, работающей в режиме "активный — активный" в нескольких регионах.

Службы ретранслятора SMTP получают и обрабатывают текст сообщений электронной почты, но не сохраняют его. Текст сообщения электронной почты от функции самостоятельного сброса пароля, который потенциально может содержать сведения, предоставленные клиентом, не хранится в журналах службы ретранслятора SMTP. В журналах содержатся только метаданные протокола.

Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.

Руководство. Включение функции самостоятельного сброса пароля (SSPR)

Запрос регистрации пользователей при входе

Вы можете включить параметр, чтобы пользователь мог завершить регистрацию SSPR, если используется современная проверка подлинности или веб-браузер для входа в любые приложения с помощью идентификатора Microsoft Entra. К этому рабочему процессу относятся следующие приложения:

  • Microsoft 365
  • Центр администрирования Microsoft Entra
  • Панель доступа
  • федеративные приложения;
  • Пользовательские приложения с помощью идентификатора Microsoft Entra

Если регистрация не требуется, пользователи не получают запрос во время входа в систему, но они могут выполнить регистрацию вручную. Пользователи могут открыть страницу https://aka.ms/ssprsetup или перейти по ссылке на вкладкеПрофиль на панели доступа.

! [Параметры регистрации для SSPR в Центре администрирования Microsoft Entra] [Регистрация]

Примечание.

Пользователи могут закрыть портал регистрации для самостоятельного сброса пароля, выбрав Отмена или закрыв окно. Но каждый раз при входе они будут получать запрос на регистрацию, пока не выполнят ее.

Это прерывание для регистрации в SSPR не нарушает подключение пользователя, если он уже выполнил вход.

Повторный ввод данных проверки подлинности

Чтобы убедиться в правильности методов проверки подлинности, когда необходимо сбросить или изменить пароль, можно потребовать от пользователей подтвердить зарегистрированную информацию по истечении определенного периода времени. Это возможно только, если включить параметр Требовать регистрации пользователей при входе.

Допустимые значения, по которым пользователю предлагается подтвердить свои зарегистрированные методы, находятся в диапазоне от 0 до 730 дней. Если установить этому параметру значение 0, пользователям не будет предлагаться подтвердить данные проверки подлинности. При использовании Объединенных возможностей регистрации пользователи должны подтвердить свою личность, прежде чем повторно подтвердить свои данные.

методы проверки подлинности;

Если для пользователя включена функция самостоятельного сброса пароля, он должен зарегистрировать по крайней мере один метод проверки подлинности. Мы настоятельно рекомендуем выбрать два или больше методов проверки подлинности, чтобы у пользователей было больше возможностей на случай, если они не смогут получить доступ к одному из методов. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.

Для SSPR доступны следующие методы проверки подлинности.

  • Уведомление мобильного приложения
  • Код мобильного приложения
  • Эл. почта
  • Мобильный телефон
  • Рабочий телефон (доступно только для клиентов с платными подписками)
  • Контрольные вопросы:

Пользователи смогут сбросить пароль, только если они зарегистрировали метод проверки подлинности, который включил администратор.

Предупреждение

Для учетных записей, которым назначены роли администратора Azure, необходимо использовать методы, описанные в разделе о различиях в политиках сброса паролей для роли администратора.

! [Выбор методов проверки подлинности в Центре администрирования Microsoft Entra] [проверка подлинности]

Необходимое количество методов проверки подлинности

Можно настроить количество имеющихся методов проверки подлинности, которые должен использовать пользователь, чтобы сбросить или разблокировать свой пароль. Для этого параметра можно задать значение один или два.

Пользователи могут, и им рекомендуется это сделать, зарегистрировать несколько методов проверки подлинности. Мы настоятельно рекомендуем выбрать два или больше методов проверки подлинности, чтобы у пользователей было больше возможностей на случай, если они не смогут получить доступ к одному из методов.

Если при попутке использовать самостоятельный сброс пароля количество методов проверки подлинности не соответствует минимально установленному значению, отобразится страница ошибки со ссылкой, по которой можно отправить запрос администратору на сброс пароля. Увеличьте количество требуемых методов с одного до двух, если у вас есть пользователи, зарегистрированные для самостоятельного сброса пароля, иначе они не смогут использовать эту функцию. Дополнительные сведения см. в разделе Изменение методов проверки подлинности.

Мобильное приложение и самостоятельный сброс пароля

При использовании мобильного приложения в качестве метода сброса пароля, например приложения Microsoft Authenticator, применяются следующие рекомендации, если организация не перенесена в политику централизованных методов проверки подлинности:

  • Когда администраторы требуют использовать один метод для сброса пароля, применение кода проверки является единственным доступным вариантом.
  • Если администраторам требуются два метода, пользователи смогут сбросить пароль с помощью уведомления ИЛИ с помощью кода проверки в дополнение к любым другим включенным методам.
Число требуемых методов для сброса Единица Два
Доступные функции мобильного приложения Код Код или уведомление

Вместо этого они смогут зарегистрировать мобильное приложение по адресу https://aka.ms/mfasetup или в службе регистрации сведений о безопасности по адресу https://aka.ms/setupsecurityinfo.

Внимание

Если приложение Authenticator не может быть выбрано в качестве единственного метода проверки подлинности, если требуется только один метод. Аналогично, приложение Authenticator и только один дополнительный метод нельзя выбрать, если требуется два метода.

При настройке политик самостоятельного сброса пароля, в которых приложение Authenticator указано в качестве метода, необходимо выбрать по крайней мере один дополнительный метод, если требуется один метод, а при настройке двух методов необходимо выбрать не менее двух дополнительных методов.

Изменение методов проверки подлинности

Что случится, если начать с политики, в которой зарегистрирован только один обязательный метод проверки подлинности для сброса или разблокировки, а затем изменить его на два?

Число зарегистрированных методов Число обязательных методов Результат
1 или более 1 Есть возможность сброса или разблокировки
1 2 Нет возможности сброса или разблокировки
минимум 2 2 Есть возможность сброса или разблокировки

Изменение доступных методов проверки подлинности также может вызвать проблемы для пользователей. Если изменить типы методов проверки подлинности, которые доступны пользователю, то можно непреднамеренно заблокировать ему возможность использовать SSPR. Это произойдет, если у пользователя не будет минимального объема доступных данных.

Рассмотрим следующий сценарий в качестве примера:

  1. Настроена исходная политика с двумя методами проверки подлинности. Она использует только номер рабочего телефона и контрольные вопросы.
  2. Администратор изменяет политику таким образом, чтобы больше не использовались контрольные вопросы, а использовались номер мобильного телефона и запасной адрес электронной почты.
  3. Пользователи, у которых не заполнены поля мобильного телефона или запасного адреса электронной почты, не могут сбрасывать свои пароли.

Notifications

Чтобы улучшить осведомленность о событиях, связанных с паролями, функция самостоятельного сброса пароля позволяет настраивать уведомления как для пользователей, так и для администраторов удостоверений.

"Уведомлять пользователей о сбросе пароля"

Если для этого параметра задать значение Да, пользователи, сбрасывающие пароль, получат письмо, в котором указано, что пароль изменен. Электронная почта отправляется через портал SSPR на их основные и альтернативные адреса электронной почты, хранящиеся в идентификаторе Microsoft Entra. Если основной или альтернативный адрес электронной почты не определен, SSPR попытается отправить уведомление по электронной почте с помощью имени участника-пользователя (UPN). Больше это уведомление никому не отправляется.

"Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли"

Если этот параметр имеет значение "Да", глобальные Администратор istrator получают сообщение электронной почты основной адрес электронной почты, хранящиеся в идентификаторе Microsoft Entra. В сообщении будет указано, что другой администратор изменил пароль с помощью SSPR.

Примечание.

Уведомления по электронной почте из службы SSPR будут отправляться со следующих адресов на основе облака Azure, с которым вы работаете:

  • Общедоступная: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com21Vianetonlineservicesteam@21vianet.com
  • Azure для государственных организаций США: msonlineservicesteam@azureadnotifications.usmsonlineservicesteam@microsoftonline.us

Если при получении уведомлений возникают проблемы, проверьте параметры спама.

Если вы хотите, чтобы пользовательские администраторы получали уведомления по электронной почте, используйте настройки SSPR и настройте настраиваемую ссылку службы технической поддержки или электронную почту.

Локальная интеграция

Если у вас есть гибридная среда, вы можете настроить Microsoft Entra Подключение для записи событий изменения пароля обратно с идентификатора Microsoft Entra в локальный каталог.

! [Проверка обратной записи паролей включена для идентификатора Microsoft Entra в локальную интеграцию] [Обратная запись]

Идентификатор Microsoft Entra проверка текущее гибридное подключение и предоставляет одно из следующих сообщений в Центре администрирования Microsoft Entra:

  • Локальный клиент обратной записи запущен и работает.
  • Идентификатор Microsoft Entra находится в сети и подключен к локальному клиенту обратной записи. Однако она выглядит так, как установленная версия Microsoft Entra Подключение устарела. Рассмотрите возможность обновления Microsoft Entra Подключение, чтобы обеспечить наличие последних функций подключения и важных исправлений ошибок.
  • К сожалению, мы не можем проверка состояние локального клиента обратной записи, так как установленная версия Microsoft Entra Подключение устарела. Обновите microsoft Entra Подключение, чтобы проверка состояние подключения.
  • "Сейчас не удается подключиться к локальному клиенту обратной записи. Устранение неполадок с microsoft Entra Подключение для восстановления подключения.
  • "Не удается подключиться к локальному клиенту обратной записи, так как обратная запись пароля не настроена. Настройте обратную запись пароля, чтобы восстановить подключение".
  • "Сейчас не удается подключиться к локальному клиенту обратной записи. Возможно, дело во временных проблемах с нашей стороны. Если проблема сохранится, устранение неполадок с Microsoft Entra Подключение для восстановления подключения.

Чтобы приступить к работе с обратной записью SSPR, ознакомьтесь со следующим руководством.

Руководство. Включение обратной записи самостоятельного сброса пароля (SSPR)

"Включить обратную запись паролей в локальный каталог"

Вы можете включить обратную запись паролей с помощью Центра администрирования Microsoft Entra. Вы также можете временно отключить обратную запись паролей, не перенастроив Microsoft Entra Подключение.

  • Если для параметра задано значение Да, обратная запись включена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей могут сбрасывать свои пароли.
  • Если параметр имеет значение Нет, обратная запись отключена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей не могут сбрасывать свои пароли.

Разрешить пользователям разблокировать учетные записи без сброса пароля

По умолчанию идентификатор Microsoft Entra разблокирует учетные записи при выполнении сброса пароля. Для обеспечения гибкости можно разрешить пользователям разблокировать свои локальные учетные записи без необходимости сбрасывать свои пароли. Используйте данный параметр, чтобы разделить эти две операции.

  • Если выбрано значение Да, пользователи могут сбросить пароль и разблокировать учетную запись или разблокировать учетную запись без сброса пароля.
  • Если значение — Нет, пользователи могут разблокировать учетную запись только после сброса пароля.

Фильтры паролей локальной службы Active Directory

Функция самостоятельного сброса пароля выполняет в Active Directory действие, эквивалентное сбросу пароля, инициированного администратором. Если вы используете сторонний фильтр паролей для применения пользовательских правил паролей и требуется, чтобы этот фильтр паролей был проверка во время самостоятельного сброса пароля Microsoft Entra, убедитесь, что стороннее решение фильтра паролей настроено для применения в сценарии сброса пароля администратора. Защита паролей Microsoft Entra для служб домен Active Directory поддерживается по умолчанию.

Сброс пароля для пользователей B2B

Сброс и изменение пароля полностью поддерживается во всех конфигурациях B2B. Сброс паролей для пользователей B2B поддерживается в трех случаях:

  • Пользователи из партнерской организации с существующим клиентом Microsoft Entra: если у вашей организации есть существующий клиент Microsoft Entra, мы уважаем все политики сброса пароля в этом клиенте. Чтобы сброс пароля работал, организации-партнеру необходимо просто убедиться, что microsoft Entra SSPR включен. Дополнительная плата не взимается с клиентов Microsoft 365.
  • Пользователи, зарегистрировавшиеся с помощью функции самостоятельной регистрации. Если организация, с которой вы вступили в партнерские отношения, использует функцию самостоятельной регистрации для входа в клиент, мы позволим ее пользователям сбросить пароль, указав зарегистрированный адрес электронной почты.
  • Пользователи B2B: все новые пользователи B2B, созданные с помощью новых возможностей Microsoft Entra B2B, также могут сбросить пароли с помощью электронной почты, зарегистрированной во время процесса приглашения.

Чтобы протестировать данный сценарий, перейдите на сайт https://passwordreset.microsoftonline.com под одним из этих пользователей-партнеров. Если они определили дополнительный адрес электронной почты или адрес электронной почты для проверки подлинности, сброс паролей будет работать должным образом.

Примечание.

Учетные записи Майкрософт, которым предоставлен гостевой доступ к клиенту Microsoft Entra, например из Hotmail.com, Outlook.com или других личных адресов электронной почты, не могут использовать Microsoft Entra SSPR. Им потребуется сбросить свой пароль, как описано в статье Не удается войти в учетную запись Майкрософт.

Следующие шаги

Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.

Руководство. Включение функции самостоятельного сброса пароля (SSPR)