Włączanie samoobsługowego resetowania hasła firmy Microsoft na ekranie logowania systemu Windows

  • Artykuł

Samoobsługowe resetowanie hasła (SSPR) daje użytkownikom w usłudze Microsoft Entra ID możliwość zmiany lub zresetowania hasła bez udziału administratora ani działu pomocy technicznej. Zazwyczaj użytkownicy otwierają przeglądarkę internetową na innym urządzeniu, aby uzyskać dostęp do portalu samoobsługowego resetowania hasła. Aby ulepszyć środowisko na komputerach z systemem Windows 7, 8, 8.1, 10 i 11, można umożliwić użytkownikom resetowanie hasła na ekranie logowania systemu Windows.

Example Windows login screens with SSPR link shown

Ważne

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła dla urządzeń z systemem Windows w przedsiębiorstwie.

Jeśli twój zespół IT nie włączył możliwości korzystania z samoobsługowego resetowania hasła z urządzenia z systemem Windows lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ogólne ograniczenia

Następujące ograniczenia dotyczą korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows:

  • Resetowanie hasła nie jest obecnie obsługiwane z poziomu pulpitu zdalnego ani sesji rozszerzonych funkcji Hyper-V.
  • Niektórzy dostawcy poświadczeń innych firm są znani, aby powodować problemy z tą funkcją.
  • Wyłączenie kontroli dostępu użytkownika za pomocą modyfikacji klucza rejestru EnableLUA jest znane z przyczyn problemów.
  • Ta funkcja nie działa w przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x i opcją "Wykonaj bezpośrednio przed logowaniem użytkownika". W przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x zaleca się użycie uwierzytelniania maszynowego w celu włączenia tej funkcji.
  • Przyłączone hybrydy maszyny firmy Microsoft Entra muszą mieć widok łączności sieciowej do kontrolera domeny, aby używać nowego hasła i aktualizować buforowane poświadczenia. Oznacza to, że urządzenia muszą znajdować się w sieci wewnętrznej organizacji lub sieci VPN z dostępem sieciowym do lokalnego kontrolera domeny.
  • Jeśli używasz obrazu, przed uruchomieniem programu sysprep upewnij się, że pamięć podręczna sieci Web jest czyszczone dla wbudowanego Administracja istratora przed wykonaniem kroku CopyProfile. Więcej informacji na temat tego kroku można znaleźć w artykule pomocy technicznej Performance poor when using custom default user profile (Wydajność słaba w przypadku korzystania z niestandardowego domyślnego profilu użytkownika).
  • Znane są następujące ustawienia zakłócające możliwość używania i resetowania haseł na urządzeniach z systemem Windows 10:
    • Jeśli powiadomienia ekranu blokady są wyłączone, resetowanie hasła nie będzie działać.
    • Ustawienie HideFastUserSwitching jest włączone lub 1
    • Parametr DontDisplayLastUserName jest ustawiony na wartość włączoną lub 1
    • Ustawienie NoLockScreen jest włączone lub 1
    • BlockNon Administracja UserInstall jest ustawiona na wartość włączoną lub 1
    • Pozycja EnableLostMode jest ustawiona na urządzeniu
    • Plik Explorer.exe został zastąpiony niestandardową powłoką
    • Logowanie interakcyjne: pozycja Wymagaj, aby karta inteligentna została włączona lub 1
  • Kombinacja następujących trzech ustawień może spowodować, że ta funkcja nie będzie działać.
    • Logowanie interakcyjne: nie wymagaj kombinacji klawiszy CTRL+ALT+DEL = Wyłączone (tylko dla systemu Windows 10 w wersji 1710 i starszych)
    • DisableLockScreenAppNotifications = 1 lub Włączone
    • Jednostka SKU systemu Windows jest wersją główną

Uwaga

Te ograniczenia dotyczą również resetowania numeru PIN Windows Hello dla firm z ekranu blokady urządzenia.

Resetowanie hasła w systemach Windows 11 i Windows 10

Aby skonfigurować urządzenie z systemem Windows 11 lub Windows 10 dla samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z następującymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemów Windows 11 i Windows 10

  • Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej zasady uwierzytelniania Administracja istrator i włącz samoobsługowe resetowanie haseł firmy Microsoft.
  • Użytkownicy muszą zarejestrować się w funkcji samoobsługowego resetowania hasła przed użyciem tej funkcji pod adresem https://aka.ms/ssprsetup
    • Nie jest unikatowy do korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows, wszyscy użytkownicy muszą podać informacje kontaktowe uwierzytelniania, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com i ajax.aspnetcdn.com
    • Urządzenia z systemem Windows 10 wymagają konfiguracji serwera proxy na poziomie komputera lub konfiguracji serwera proxy o określonym zakresie dla tymczasowego konta domyślnego użytkownika1 używanego do wykonywania samoobsługowego resetowania hasła (zobacz sekcję Rozwiązywanie problemów, aby uzyskać więcej szczegółów).
  • Uruchom co najmniej system Windows 10 w wersji z kwietnia 2018 r. Update (wersja 1803), a urządzenia muszą być:
    • Dołączono do usługi Microsoft Entra
    • Przyłączono hybrydową usługę Microsoft Entra

Włączanie dla systemów Windows 11 i Windows 10 przy użyciu usługi Microsoft Intune

Wdrażanie zmiany konfiguracji w celu włączenia samoobsługowego resetowania hasła na ekranie logowania przy użyciu usługi Microsoft Intune jest najbardziej elastyczną metodą. Usługa Microsoft Intune umożliwia wdrożenie zmiany konfiguracji w określonej grupie zdefiniowanych maszyn. Ta metoda wymaga rejestracji urządzenia w usłudze Microsoft Intune.

Tworzenie zasad konfiguracji urządzenia w usłudze Microsoft Intune

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Utwórz nowy profil konfiguracji urządzenia, przechodząc do pozycji Profile konfiguracji>urządzeń, a następnie wybierz pozycję + Utwórz profil

    • W polu Platforma wybierz system Windows 10 lub nowszy
    • W polu Typ profilu wybierz pozycję Szablony, a następnie wybierz szablon niestandardowy poniżej

  3. Wybierz pozycję Utwórz, a następnie podaj zrozumiałą nazwę profilu, taką jak logowanie przy użyciu samoobsługowego resetowania hasła na ekranie systemu Windows 11

    Opcjonalnie podaj znaczący opis profilu, a następnie wybierz pozycję Dalej.

  4. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj i podaj następujące ustawienie OMA-URI, aby włączyć link resetowania hasła:

    • Podaj zrozumiałą nazwę, aby wyjaśnić, co robi ustawienie, na przykład Dodaj link samoobsługowego resetowania hasła.
    • Opcjonalnie podaj zrozumiały opis ustawienia.
    • Ustaw pozycję OMA-URI na wartość ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Ustaw pozycję Typ danych na Liczba całkowita
    • Ustaw pozycję Wartość na 1

    Wybierz pozycję Dodaj, a następnie przycisk Dalej.

  5. Zasady można przypisać do określonych użytkowników, urządzeń lub grup. Przypisz profil zgodnie z potrzebami dla środowiska, najlepiej najpierw do grupy testowej urządzeń, a następnie wybierz pozycję Dalej.

    Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune.

  6. Skonfiguruj reguły stosowania zgodnie z potrzebami środowiska, takie jak Przypisywanie profilu, jeśli wersja systemu operacyjnego to Windows 10 Enterprise, a następnie wybierz przycisk Dalej.

  7. Przejrzyj swój profil, a następnie wybierz pozycję Utwórz.

Włączanie dla systemów Windows 11 i Windows 10 przy użyciu rejestru

Aby włączyć samoobsługowe resetowanie hasła na ekranie logowania przy użyciu klucza rejestru, wykonaj następujące kroki:

  1. Zaloguj się na komputerze z systemem Windows przy użyciu poświadczeń administracyjnych.

  2. Naciśnij klawisze Windows + R, aby otworzyć okno dialogowe Uruchom, a następnie uruchom polecenie regedit jako administrator

  3. Ustaw poniższy klucz rejestru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Rozwiązywanie problemów z resetowaniem hasła w systemach Windows 11 i Windows 10

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, dziennik inspekcji firmy Microsoft Entra zawiera informacje o adresie IP i typie klienta , w którym wystąpiło resetowanie hasła, jak pokazano w poniższych przykładowych danych wyjściowych:

Example Windows 7 password reset in the Microsoft Entra audit log

Gdy użytkownicy zresetują swoje hasło z ekranu logowania urządzenia z systemem Windows 11 lub 10, zostanie utworzone konto defaultuser1 tymczasowe o niskim poziomie uprawnień. To konto jest używane, aby zapewnić bezpieczeństwo procesu resetowania hasła.

Samo konto ma losowo wygenerowane hasło, które jest weryfikowane względem zasad haseł organizacji, nie jest wyświetlane na potrzeby logowania urządzenia i jest automatycznie usuwane po zresetowaniu hasła przez użytkownika. Istnieje wiele defaultuser profilów, ale można je bezpiecznie zignorować.

Konfiguracje serwera proxy na potrzeby resetowania hasła systemu Windows

Podczas resetowania hasła samoobsługowe resetowanie hasła tworzy tymczasowe konto użytkownika lokalnego w celu nawiązania połączenia z usługą https://passwordreset.microsoftonline.com/n/passwordreset. Gdy serwer proxy jest skonfigurowany do uwierzytelniania użytkownika, może zakończyć się niepowodzeniem z powodu błędu "Wystąpił problem. Spróbuj ponownie później". Dzieje się tak, ponieważ konto użytkownika lokalnego nie ma autoryzacji do korzystania z uwierzytelnioowanego serwera proxy.

W takim przypadku można użyć jednego z następujących obejść:

  • Skonfiguruj ustawienie serwera proxy dla całej maszyny, które nie zależy od typu zalogowanego użytkownika na maszynie. Można na przykład włączyć ustawienia serwera proxy zasad grupy dla poszczególnych maszyn (a nie dla użytkownika) dla stacji roboczych.

  • Możesz również użyć konfiguracji serwera proxy dla samoobsługowego resetowania hasła, jeśli zmodyfikujesz szablon rejestru dla konta domyślnego. Polecenia są następujące:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Błąd "Wystąpił problem" może również wystąpić, gdy wszystko przerywa łączność z adresem URL https://passwordreset.microsoftonline.com/n/passwordreset. Na przykład ten błąd może wystąpić, gdy oprogramowanie antywirusowe działa na stacji roboczej bez wykluczeń adresów URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comi ocsp.digicert.com. Wyłącz to oprogramowanie tymczasowo, aby sprawdzić, czy problem został rozwiązany, czy nie.

Resetowanie hasła systemu Windows 7, 8 i 8.1

Aby skonfigurować urządzenie z systemem Windows 7, 8 lub 8.1 dla samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z poniższymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemu Windows 7, 8 i 8.1

  • Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej zasady uwierzytelniania Administracja istrator i włącz samoobsługowe resetowanie haseł firmy Microsoft.
  • Użytkownicy muszą zarejestrować się w funkcji samoobsługowego resetowania hasła przed użyciem tej funkcji pod adresem https://aka.ms/ssprsetup
    • Nie jest unikatowy do korzystania z samoobsługowego resetowania hasła na ekranie logowania systemu Windows, wszyscy użytkownicy muszą podać informacje kontaktowe uwierzytelniania, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com
  • Poprawiono system operacyjny Windows 7 lub Windows 8.1.
  • Protokół TLS 1.2 jest włączony, korzystając ze wskazówek zawartych w ustawieniach rejestru protokołu Transport Layer Security (TLS).
  • Jeśli na maszynie jest włączony więcej niż jeden dostawca poświadczeń innej firmy, użytkownicy zobaczą więcej niż jeden profil użytkownika na ekranie logowania.

Ostrzeżenie

Protokół TLS 1.2 musi być włączony, a nie tylko ustawiony na automatyczne negocjowanie.

Zainstaluj

W przypadku systemu Windows 7, 8 i 8.1 na komputerze musi być zainstalowany mały składnik, aby włączyć samoobsługowe resetowanie hasła na ekranie logowania. Aby zainstalować ten składnik samoobsługowego resetowania hasła, wykonaj następujące kroki:

  1. Pobierz odpowiedni instalator dla wersji systemu Windows, którą chcesz włączyć.

    Instalator oprogramowania jest dostępny w Centrum pobierania Microsoft pod adresem https://aka.ms/sspraddin

  2. Zaloguj się do komputera, na którym chcesz zainstalować, i uruchom instalatora.

  3. Po zakończeniu instalacji zdecydowanie zaleca się ponowne uruchomienie.

  4. Po ponownym uruchomieniu na ekranie logowania wybierz użytkownika i wybierz pozycję "Nie pamiętam hasła", aby zainicjować przepływ pracy resetowania hasła.

  5. Wykonaj przepływ pracy zgodnie z instrukcjami wyświetlanymi na ekranie, aby zresetować hasło.

Example Windows 7 clicked

Instalacja dyskretna

Składnik samoobsługowego resetowania hasła można zainstalować lub odinstalować bez monitów przy użyciu następujących poleceń:

  • W przypadku instalacji dyskretnej użyj polecenia "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • W przypadku odinstalowywania dyskretnego użyj polecenia "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Rozwiązywanie problemów z resetowaniem hasła w systemach Windows 7, 8 i 8.1

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, zdarzenia są rejestrowane zarówno na maszynie, jak i w identyfikatorze Microsoft Entra. Zdarzenia entra firmy Microsoft zawierają informacje o adresie IP i typie klienta, w którym wystąpiło resetowanie hasła, jak pokazano w następujących przykładowych danych wyjściowych:

Example Windows 7 password reset in the Microsoft Entra audit log

Jeśli wymagane jest dodatkowe rejestrowanie, można zmienić klucz rejestru na maszynie, aby włączyć pełne rejestrowanie. Włącz pełne rejestrowanie na potrzeby rozwiązywania problemów tylko przy użyciu następującej wartości klucza rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Aby włączyć pełne rejestrowanie, utwórz element REG_DWORD: "EnableLogging"i ustaw go na 1.
  • Aby wyłączyć pełne rejestrowanie, zmień wartość REG_DWORD: "EnableLogging" na 0.
  • Przejrzyj rejestrowanie debugowania w dzienniku zdarzeń aplikacji w obszarze źródłowym AADPasswordResetCredentialProvider.

Co widzą użytkownicy

W przypadku skonfigurowania samoobsługowego resetowania hasła dla urządzeń z systemem Windows jakie zmiany wprowadzono dla użytkownika? Skąd użytkownicy będą wiedzieć, że mogą zresetować swoje hasło na ekranie logowania? Poniższe przykładowe zrzuty ekranu przedstawiają dodatkowe opcje resetowania hasła przez użytkownika przy użyciu samoobsługowego resetowania hasła:

Example Windows 7 and 10 login screens with SSPR link shown

Gdy użytkownicy próbują się zalogować, zobaczą link Resetuj hasło lub Nie pamiętam hasła , który otwiera środowisko samoobsługowego resetowania hasła na ekranie logowania. Ta funkcja umożliwia użytkownikom zresetowanie hasła bez konieczności uzyskiwania dostępu do przeglądarki internetowej przy użyciu innego urządzenia.

Więcej informacji na temat korzystania z tej funkcji można znaleźć w temacie Resetowanie hasła służbowego

Następne kroki

Aby uprościć środowisko rejestracji użytkownika, możesz wstępnie wypełnić informacje kontaktowe uwierzytelniania użytkownika dla samoobsługowego resetowania hasła.