Jak to działa: Samoobsługowe resetowania hasła usługi Microsoft Entra
Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła bez udziału administratora lub pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft.
Ważne
W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe resetowanie haseł. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.
Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.
Jak działa proces resetowania hasła?
Użytkownik może zresetować lub zmienić swoje hasło przy użyciu portalu samoobsługowego resetowania hasła. Muszą najpierw zarejestrować żądane metody uwierzytelniania. Gdy użytkownik uzyskuje dostęp do portalu samoobsługowego resetowania hasła, platforma Microsoft Entra ID uwzględnia następujące czynniki:
- Jak powinna być zlokalizowana strona?
- Czy konto użytkownika jest prawidłowe?
- Do jakiej organizacji należy użytkownik?
- Gdzie jest zarządzane hasło użytkownika?
Gdy użytkownik wybierze link Nie można uzyskać dostępu do konta z aplikacji lub strony lub przechodzi bezpośrednio do https://aka.ms/ssprwitryny , język używany w portalu samoobsługowego resetowania hasła jest oparty na następujących opcjach:
- Domyślnie ustawienia regionalne przeglądarki są używane do wyświetlania samoobsługowego resetowania hasła w odpowiednim języku. Środowisko resetowania hasła jest zlokalizowane w tych samych językach, które obsługuje platforma Microsoft 365.
- Jeśli chcesz połączyć się z samoobsługowym resetowaniem hasła w określonym zlokalizowanym języku, dołącz
?mkt=adres URL resetowania hasła wraz z wymaganymi ustawieniami regionalnymi.- Aby na przykład określić hiszpańskie ustawienia regionalne es-us, użyj polecenia -
?mkt=es-ushttps://passwordreset.microsoftonline.com/?mkt=es-us .
- Aby na przykład określić hiszpańskie ustawienia regionalne es-us, użyj polecenia -
Po wyświetleniu portalu samoobsługowego resetowania hasła w wymaganym języku użytkownik zostanie poproszony o wprowadzenie identyfikatora użytkownika i przekazanie captcha. Identyfikator Entra firmy Microsoft sprawdza teraz, czy użytkownik może używać samoobsługowego resetowania hasła, wykonując następujące testy:
- Sprawdza, czy użytkownik ma włączone samoobsługowe resetowanie hasła.
- Jeśli użytkownik nie jest włączony dla samoobsługowego resetowania hasła, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.
- Sprawdza, czy użytkownik ma odpowiednie metody uwierzytelniania zdefiniowane na swoim koncie zgodnie z zasadami administratora.
- Jeśli zasady wymagają tylko jednej metody, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej jednej metody uwierzytelniania włączonej przez zasady administratora.
- Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
- Jeśli zasady wymagają dwóch metod, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej dwóch metod uwierzytelniania włączonych przez zasady administratora.
- Jeśli metody uwierzytelniania nie są skonfigurowane, użytkownik powinien skontaktować się z administratorem w celu zresetowania hasła.
- Jeśli do użytkownika przypisano rolę administratora platformy Azure, wymuszane są silne zasady haseł z dwiema bramami. Aby uzyskać więcej informacji, zobacz różnice zasad resetowania Administracja istratora.
- Jeśli zasady wymagają tylko jednej metody, sprawdź, czy użytkownik ma odpowiednie dane zdefiniowane dla co najmniej jednej metody uwierzytelniania włączonej przez zasady administratora.
- Sprawdza, czy hasło użytkownika jest zarządzane lokalnie, na przykład jeśli dzierżawa firmy Microsoft Entra korzysta z federacyjnego, uwierzytelniania przekazywanego lub synchronizacji skrótów haseł:
- Jeśli funkcja zapisywania zwrotnego samoobsługowego resetowania hasła jest skonfigurowana i hasło użytkownika jest zarządzane lokalnie, użytkownik może kontynuować uwierzytelnianie i resetowanie hasła.
- Jeśli zapisywanie zwrotne samoobsługowego resetowania hasła nie zostało wdrożone, a hasło użytkownika jest zarządzane lokalnie, użytkownik zostanie poproszony o skontaktowanie się z administratorem w celu zresetowania hasła.
Jeśli wszystkie poprzednie testy zostały ukończone pomyślnie, użytkownik przeprowadzi się przez proces resetowania lub zmieniania hasła.
Uwaga
Samoobsługowe resetowanie hasła może wysyłać powiadomienia e-mail do użytkowników w ramach procesu resetowania hasła. Te wiadomości e-mail są wysyłane przy użyciu usługi przekazywania SMTP, która działa w trybie aktywny-aktywny w kilku regionach.
Usługi przekazywania SMTP odbierają i przetwarzają treść wiadomości e-mail, ale nie przechowują jej. Treść wiadomości e-mail samoobsługowego resetowania hasła, która może potencjalnie zawierać informacje podane przez klienta, nie jest przechowywana w dziennikach usługi przekazywania SMTP. Dzienniki zawierają tylko metadane protokołu.
Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku:
Wymagaj od użytkowników zarejestrowania się podczas logowania
Możesz włączyć opcję, aby wymagać od użytkownika ukończenia rejestracji samoobsługowego resetowania hasła, jeśli używa nowoczesnego uwierzytelniania lub przeglądarki internetowej do logowania się do dowolnych aplikacji przy użyciu identyfikatora Entra firmy Microsoft. Ten przepływ pracy obejmuje następujące aplikacje:
- Microsoft 365
- Centrum administracyjne Microsoft Entra
- Panel dostępu
- Aplikacje federacyjne
- Aplikacje niestandardowe korzystające z identyfikatora Entra firmy Microsoft
Jeśli rejestracja nie jest wymagana, użytkownicy nie są monitowani podczas logowania, ale mogą ręcznie się zarejestrować. Użytkownicy mogą odwiedzić https://aka.ms/ssprsetup lub wybrać link Zarejestruj się do resetowania hasła na karcie Profil w Panel dostępu.
! [Opcje rejestracji samoobsługowego resetowania hasła w centrum administracyjnym firmy Microsoft] [Rejestracja]
Uwaga
Użytkownicy mogą odrzucić portal rejestracji samoobsługowego resetowania hasła, wybierając pozycję Anuluj lub zamykając okno. Jednak użytkownik jest monitowany o zarejestrowanie się za każdym razem, gdy zaloguje się do momentu ukończenia rejestracji.
To przerwanie rejestrowania na potrzeby samoobsługowego resetowania hasła nie powoduje przerwania połączenia użytkownika, jeśli już się zalogował.
Ponowne potwierdzanie informacji o uwierzytelnianiu
Aby upewnić się, że metody uwierzytelniania są poprawne, gdy są potrzebne do zresetowania lub zmiany hasła, możesz wymagać od użytkowników potwierdzenia zarejestrowanych informacji po upływie określonego czasu. Ta opcja jest dostępna tylko w przypadku włączenia opcji Wymagaj od użytkowników rejestracji podczas logowania .
Prawidłowe wartości monitowania użytkownika o potwierdzenie zarejestrowanych metod to od 0 do 730 dni. Ustawienie tej wartości na 0 oznacza, że użytkownicy nigdy nie są proszeni o potwierdzenie informacji uwierzytelniania. W przypadku korzystania z połączonego środowiska rejestracji użytkownicy będą musieli potwierdzić swoją tożsamość przed ponownym potwierdzeniem swoich informacji.
Metody uwierzytelniania
Gdy użytkownik jest włączony dla samoobsługowego resetowania hasła, musi zarejestrować co najmniej jedną metodę uwierzytelniania. Zdecydowanie zalecamy wybranie co najmniej dwóch metod uwierzytelniania, aby użytkownicy mieli większą elastyczność, jeśli nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują. Aby uzyskać więcej informacji, zobacz Co to są metody uwierzytelniania?.
Dla samoobsługowego resetowania hasła są dostępne następujące metody uwierzytelniania:
- Powiadomienie aplikacji mobilnej
- Kod aplikacji mobilnej
- Poczta e-mail
- Telefon komórkowy
- Telefon pakietu Office (dostępny tylko dla dzierżaw z subskrypcjami płatnymi)
- Pytania zabezpieczające
Użytkownicy mogą zresetować swoje hasło tylko wtedy, gdy zarejestrowali metodę uwierzytelniania włączoną przez administratora.
Ostrzeżenie
Do używania metod zdefiniowanych w sekcji Administracja istrator różnice zasad resetowania są wymagane konta przypisane przez administratora platformy Azure.
! [Wybór metod uwierzytelniania w centrum administracyjnym firmy Microsoft Entra] [Uwierzytelnianie]
Wymagana liczba metod uwierzytelniania
Możesz skonfigurować liczbę dostępnych metod uwierzytelniania, które użytkownik musi podać, aby zresetować lub odblokować hasło. Tę wartość można ustawić na jedną lub dwie.
Użytkownicy mogą i powinni rejestrować wiele metod uwierzytelniania. Zdecydowanie zaleca się, aby użytkownicy rejestrowali co najmniej dwie metody uwierzytelniania, dzięki czemu mają większą elastyczność w przypadku, gdy nie będą mogli uzyskać dostępu do jednej metody, gdy jej potrzebują.
Jeśli użytkownik nie ma minimalnej liczby wymaganych metod zarejestrowanych podczas próby użycia samoobsługowego resetowania hasła, zostanie wyświetlona strona błędu kierująca ich do żądania zresetowania hasła przez administratora. Pamiętaj, aby zwiększyć liczbę metod wymaganych od jednej do dwóch, jeśli istniejący użytkownicy zarejestrowali się na potrzeby samoobsługowego resetowania hasła, a następnie nie mogą korzystać z tej funkcji. Aby uzyskać więcej informacji, zobacz następującą sekcję, aby zmienić metody uwierzytelniania.
Aplikacja mobilna i samoobsługowe resetowanie hasła
W przypadku korzystania z aplikacji mobilnej jako metody resetowania hasła, takiej jak aplikacja Microsoft Authenticator, należy wziąć pod uwagę następujące kwestie, jeśli organizacja nie przeprowadziła migracji do scentralizowanych zasad metod uwierzytelniania:
- Jeśli administratorzy wymagają użycia jednej metody do zresetowania hasła, kod weryfikacyjny jest jedyną dostępną opcją.
- Jeśli administratorzy wymagają użycia dwóch metod do zresetowania hasła, użytkownicy mogą używać powiadomień LUB kodu weryfikacyjnego oprócz innych metod, które są włączone.
| Liczba metod wymaganych do zresetowania | Jeden | Dwa |
|---|---|---|
| Dostępne funkcje aplikacji mobilnej | Kod | Kod lub powiadomienie |
Użytkownicy mogą zarejestrować swoją aplikację mobilną na stronie https://aka.ms/mfasetuplub w połączonej rejestracji informacji zabezpieczających pod adresem https://aka.ms/setupsecurityinfo.
Ważne
Jeśli nie można wybrać aplikacji Authenticator jako jedynej metody uwierzytelniania, gdy wymagana jest tylko jedna metoda. Podobnie nie można wybrać aplikacji Authenticator i tylko jednej dodatkowej metody w przypadku wymagania dwóch metod.
Podczas konfigurowania zasad samoobsługowego resetowania hasła, które obejmują aplikację Authenticator jako metodę, należy wybrać co najmniej jedną dodatkową metodę, gdy jest wymagana jedna metoda, a co najmniej dwie dodatkowe metody należy wybrać podczas konfigurowania dwóch metod.
Zmienianie metod uwierzytelniania
Jeśli zaczniesz od zasad, które mają tylko jedną wymaganą metodę uwierzytelniania do zresetowania lub odblokowania zarejestrowane i zmienisz je na dwie metody, co się stanie?
| Liczba zarejestrowanych metod | Wymagana liczba metod | Result |
|---|---|---|
| Co najmniej 1 | 1 | Możliwość resetowania lub odblokowywania |
| 1 | 2 | Nie można zresetować lub odblokować |
| 2 lub więcej | 2 | Możliwość resetowania lub odblokowywania |
Zmiana dostępnych metod uwierzytelniania może również powodować problemy dla użytkowników. Jeśli zmienisz typy metod uwierzytelniania, których użytkownik może użyć, możesz przypadkowo uniemożliwić użytkownikom korzystanie z samoobsługowego resetowania hasła, jeśli nie mają dostępnej minimalnej ilości danych.
Rozważmy następujący scenariusz przykładowy:
- Oryginalne zasady są konfigurowane przy użyciu dwóch wymaganych metod uwierzytelniania. Używa tylko numeru telefonu biurowego i pytań zabezpieczających.
- Administrator zmienia zasady tak, aby nie używał już pytań zabezpieczających, ale zezwala na korzystanie z telefonu komórkowego i alternatywnej poczty e-mail.
- Użytkownicy bez wypełnionych pól telefonu komórkowego lub alternatywnej poczty e-mail nie mogą teraz resetować swoich haseł.
Notifications
Aby zwiększyć świadomość zdarzeń haseł, samoobsługowe resetowanie hasła umożliwia konfigurowanie powiadomień zarówno dla użytkowników, jak i administratorów tożsamości.
Czy powiadamiać użytkowników o resetowaniu hasła?
Jeśli ta opcja ma wartość Tak, użytkownicy resetują swoje hasło, otrzymają wiadomość e-mail z powiadomieniem o zmianie hasła. Wiadomość e-mail jest wysyłana za pośrednictwem portalu samoobsługowego resetowania hasła do ich podstawowych i alternatywnych adresów e-mail przechowywanych w identyfikatorze Entra firmy Microsoft. Jeśli nie zdefiniowano żadnego podstawowego lub alternatywnego adresu e-mail samoobsługowego resetowania hasła, spróbuje wysłać powiadomienie e-mail za pośrednictwem głównej nazwy użytkownika (UPN). Nikt inny nie jest powiadamiany o zdarzeniu resetowania.
Powiadamianie wszystkich administratorów o zresetowaniu haseł przez innych administratorów
Jeśli ta opcja ma wartość Tak, administratorzy globalni Administracja istratorzy otrzymają wiadomość e-mail na podstawowy adres e-mail przechowywany w identyfikatorze Firmy Microsoft Entra. Wiadomość e-mail powiadamia o tym, że inny administrator zmienił hasło przy użyciu samoobsługowego resetowania hasła.
Uwaga
Powiadomienia e-mail z usługi samoobsługowego resetowania hasła będą wysyłane z następujących adresów na podstawie chmury platformy Azure, z którą pracujesz:
- Publiczne: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure Chiny 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- Platforma Azure dla instytucji rządowych USA: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Jeśli zaobserwujesz problemy podczas odbierania powiadomień, sprawdź ustawienia spamu.
Jeśli chcesz, aby administratorzy niestandardowi otrzymywali wiadomości e-mail z powiadomieniami, użyj dostosowań samoobsługowego resetowania hasła i skonfiguruj niestandardowy link do pomocy technicznej lub wiadomość e-mail.
Integracja lokalna
Jeśli masz środowisko hybrydowe, możesz skonfigurować aplikację Microsoft Entra Połączenie, aby zapisywać zdarzenia zmiany hasła z powrotem z identyfikatora Entra firmy Microsoft do katalogu lokalnego.
! [Sprawdzanie poprawności zapisywania zwrotnego haseł jest włączone dla identyfikatora Entra firmy Microsoft do integracji lokalnej] [Zapis zwrotny]
Identyfikator firmy Microsoft Entra sprawdza bieżącą łączność hybrydową i udostępnia jeden z następujących komunikatów w centrum administracyjnym firmy Microsoft Entra:
- Lokalny klient zapisywania zwrotnego jest uruchomiony.
- Identyfikator Entra firmy Microsoft jest w trybie online i jest połączony z lokalnym klientem zapisywania zwrotnego. Wygląda jednak na to, że zainstalowana wersja programu Microsoft Entra Połączenie jest nieaktualna. Rozważ uaktualnienie usługi Microsoft Entra Połączenie, aby upewnić się, że masz najnowsze funkcje łączności i ważne poprawki błędów.
- Niestety nie można sprawdzić stanu lokalnego klienta zapisywania zwrotnego, ponieważ zainstalowana wersja programu Microsoft Entra Połączenie jest nieaktualna. Uaktualnij usługę Microsoft Entra Połączenie, aby móc sprawdzić stan połączenia.
- Niestety wygląda na to, że nie możemy teraz nawiązać połączenia z lokalnym klientem zapisywania zwrotnego. Rozwiązywanie problemów z usługą Microsoft Entra Połączenie w celu przywrócenia połączenia.
- Niestety nie można nawiązać połączenia z lokalnym klientem zapisywania zwrotnego, ponieważ zapisywanie zwrotne haseł nie zostało prawidłowo skonfigurowane. Skonfiguruj zapisywanie zwrotne haseł w celu przywrócenia połączenia.
- Niestety wygląda na to, że nie możemy teraz nawiązać połączenia z lokalnym klientem zapisywania zwrotnego. Może to być spowodowane tymczasowymi problemami na naszym końcu. Jeśli problem będzie się powtarzać, rozwiąż problemy z Połączenie firmy Microsoft, aby przywrócić połączenie.
Aby rozpocząć pracę z zapisywaniem zwrotnym samoobsługowego resetowania hasła, wykonaj czynności opisane w następującym samouczku:
Zapisywanie haseł w katalogu lokalnym
Funkcję zapisywania zwrotnego haseł można włączyć przy użyciu centrum administracyjnego firmy Microsoft Entra. Możesz również tymczasowo wyłączyć funkcję zapisywania zwrotnego haseł bez konieczności ponownego konfigurowania Połączenie firmy Microsoft.
- Jeśli opcja jest ustawiona na Tak, funkcja zapisywania zwrotnego jest włączona. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł mogą resetować swoje hasła.
- Jeśli opcja jest ustawiona na Nie, funkcja zapisywania zwrotnego jest wyłączona. Zsynchronizowani użytkownicy federacyjni, uwierzytelniania przekazywanego lub skrótu haseł nie mogą resetować swoich haseł.
Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła
Domyślnie identyfikator Entra firmy Microsoft odblokowuje konta podczas wykonywania resetowania hasła. Aby zapewnić elastyczność, możesz zezwolić użytkownikom na odblokowanie kont lokalnych bez konieczności resetowania hasła. Użyj tego ustawienia, aby oddzielić te dwie operacje.
- Jeśli jest ustawiona wartość Tak, użytkownicy mają możliwość zresetowania hasła i odblokowania konta lub odblokowania konta bez konieczności resetowania hasła.
- Jeśli jest ustawiona wartość Nie, użytkownicy będą mogli wykonać tylko połączoną operację resetowania hasła i odblokowywania konta.
Filtry haseł lokalnej usługi Active Directory
Samoobsługowe resetowanie hasła wykonuje odpowiednik resetowania hasła zainicjowanego przez administratora w usłudze Active Directory. Jeśli używasz filtru haseł innej firmy do wymuszania niestandardowych reguł haseł i wymagasz, aby ten filtr haseł był sprawdzany podczas samoobsługowego resetowania haseł przez firmę Microsoft Entra, upewnij się, że rozwiązanie filtru haseł innej firmy jest skonfigurowane do zastosowania w scenariuszu resetowania hasła administratora. Ochrona haseł firmy Microsoft dla usług domena usługi Active Directory jest domyślnie obsługiwana.
Resetowanie hasła dla użytkowników B2B
Resetowanie i zmiana hasła są w pełni obsługiwane we wszystkich konfiguracjach biznesowych (B2B). Resetowanie hasła użytkownika B2B jest obsługiwane w następujących trzech przypadkach:
- Użytkownicy z organizacji partnerskiej z istniejącą dzierżawą firmy Microsoft Entra: jeśli organizacja, z którą współpracujesz, ma istniejącą dzierżawę firmy Microsoft Entra, przestrzegamy zasad resetowania haseł w tej dzierżawie. Aby resetowanie hasła działało, organizacja partnerska musi upewnić się, że włączono funkcję samoobsługowego resetowania hasła firmy Microsoft. Dla klientów platformy Microsoft 365 nie są naliczane dodatkowe opłaty.
- Użytkownicy, którzy rejestrują się za pomocą rejestracji samoobsługowej: jeśli organizacja, z którą współpracujesz, korzystała z funkcji rejestracji samoobsługowej w celu uzyskania dostępu do dzierżawy, pozwolimy im zresetować hasło przy użyciu zarejestrowanej wiadomości e-mail .
- Użytkownicy B2B: każdy nowy użytkownik B2B utworzony przy użyciu nowych funkcji firmy Microsoft Entra B2B może również zresetować swoje hasła za pomocą poczty e-mail zarejestrowanej podczas procesu zapraszania.
Aby przetestować ten scenariusz, przejdź do https://passwordreset.microsoftonline.com jednego z tych użytkowników partnerskich. Jeśli masz zdefiniowaną alternatywną wiadomość e-mail lub wiadomość e-mail z uwierzytelnianiem, resetowanie hasła działa zgodnie z oczekiwaniami.
Uwaga
Konta Microsoft, którym udzielono dostępu gościa do dzierżawy microsoft Entra, na przykład z Hotmail.com, Outlook.com lub innych osobistych adresów e-mail, nie mogą używać samoobsługowego resetowania hasła firmy Microsoft. Muszą zresetować swoje hasło, korzystając z informacji znajdujących się w artykule Kiedy nie możesz zalogować się do konta Microsoft.
Następne kroki
Aby rozpocząć pracę z samoobsługowym resetowaniem hasła, wykonaj czynności opisane w następującym samouczku: