Self-Service wdrażania resetowania hasła

W przypadku nowych klientów, którzy mają licencje na Azure Active Directory — wersja Premium usługi, zalecamy korzystanie z samoobsługowego resetowania hasła usługi Azure AD w celu zapewnienia obsługi użytkownika końcowego. Samoobsługowe resetowanie haseł w usłudze Azure AD zapewnia użytkownikowi zarówno zintegrowane środowisko internetowe, jak i zintegrowane z usługą Windows, w celu resetowania własnego hasła, oraz obsługuje wiele takich samych możliwości jak usługa MIM, w tym alternatywne bramy poczty e-mail i bramy pytań i & odpowiedzi. Podczas wdrażania samoobsługowego resetowania haseł usługi Azure AD usługa Azure AD Połączenie obsługuje zapisywanie nowych haseł w usłudze AD DS, ausługa powiadamiania o zmianie hasła usługi MIM może służyć do przekazywania haseł do innych systemów, takich jak serwer katalogowy innego dostawcy. Wdrażanie MIM do zarządzania hasłami nie wymaga wdrożenia portalu samoobsługowego resetowania haseł ani portali rejestracji usługi MIM Service ani MIM. Zamiast tego możesz wykonać następujące kroki:

  • Najpierw, jeśli musisz wysłać hasła do katalogów innych niż usługi Azure AD i AD DS, wdeń usługę MIM Sync z łącznikami do usługi Active Directory Domain Services i wszelkich dodatkowych systemów docelowych, skonfiguruj usługę MIM do zarządzania hasłami i wd wdrażają usługę powiadamiania o zmianie hasła.
  • Następnie, jeśli musisz wysłać hasła do katalogów innych niż usługa Azure AD, skonfiguruj usługę Azure AD Połączenie na potrzeby zapisywania nowych haseł w usłudze AD DS.
  • Opcjonalnie możesz wstępnie zarejestrować użytkowników.
  • Na koniec wdów samoobsługowe resetowaniehasła w usłudze Azure AD dla użytkowników końcowych.

W przypadku istniejących klientów, którzy wcześniej wdrożyli program Forefront Identity Manager (FIM) na potrzeby samoobsługowego resetowania haseł i mają licencję na usługę Azure Active Directory — wersja Premium, zalecamy zaplanowanie przejścia do samoobsługowego resetowania hasła w usłudze Azure AD. Możesz zmienić użytkowników końcowych na samoobsługowe resetowanie haseł usługi Azure AD bez konieczności ponownej rejestracji, synchronizując lub ustawiając w programie PowerShell alternatywny adres e-mail lub numer telefonu komórkowego użytkownika w programie PowerShell. Po zarejestrowaniu użytkowników w celu samoobsługowego resetowania haseł w usłudze Azure AD portal resetowania haseł programu FIM można zlikwidować.

W przypadku klientów, którzy nie wdrożyli jeszcze samoobsługowego resetowania haseł usługi Azure AD dla swoich użytkowników, usługa MIM udostępnia również portale samoobsługowego resetowania haseł. W porównaniu do fim, MIM 2016 obejmuje następujące zmiany:

  • Portal MIM Self-Service resetowania hasła i Windows logowania umożliwiają użytkownikom odblokowywanie kont bez zmieniania haseł.
  • Dodano nową bramę uwierzytelniania Telefon Gate do MIM. Umożliwia to uwierzytelnianie użytkowników za pośrednictwem połączenia telefonicznego Microsoft Azure usługi Multi-Factor Authentication (MFA).

MIM 2016 to wersja 4.5.26.0, która polegała na pobraniu przez klienta zestawu Azure Multi-Factor Authentication Software Development Kit (Azure MFA SDK). Ten zestaw SDK jest przestarzały, a klienci powinni przejść na usługę przy użyciu samoobsługowego resetowania hasła usługi MIM z usługą Azure MFA Server lub funkcji samoobsługowego resetowania hasła usługi Azure AD. W tym artykule opisano sposób aktualizowania wdrożenia MIM portalu samoobsługowego resetowania hasła i konfiguracji usługi PAM przy użyciu usługi Azure Serwer Multi-Factor Authentication do uwierzytelniania wieloskładnikowego.

Wdrażanie portalu MIM Self-Service resetowania haseł przy użyciu usługi Azure MFA do uwierzytelniania wieloskładnikowego

W poniższej sekcji opisano sposób wdrażania MIM portalu samoobsługowego resetowania hasła przy użyciu usługi Azure MFA do uwierzytelniania wieloskładnikowego. Te kroki są niezbędne tylko w przypadku klientów, którzy nie korzystali z samoobsługowego resetowania haseł usługi Azure AD dla swoich użytkowników.

Microsoft Azure Multi-Factor Authentication jest usługą uwierzytelniania, która wymaga weryfikowania prób zalogowania się przez użytkowników przy użyciu aplikacji mobilnej, połączenia telefonicznego lub wiadomości tekstowej. Jest ona dostępna do użycia z usługą Microsoft Azure Active Directory oraz jako usługa dla aplikacji w chmurze i lokalnych aplikacji przedsiębiorstw.

Usługa Azure MFA zapewnia dodatkowy mechanizm uwierzytelniania wspierający istniejące procesy uwierzytelniania, takie jak proces używany przez program MIM w przypadku pomocy związanej z logowaniem użytkowników korzystających z samoobsługi.

Usługa Azure MFA umożliwia uwierzytelnianie i weryfikację tożsamości użytkowników, którzy usiłują odzyskać dostęp do swoich kont i zasobów. Uwierzytelnianie jest dokonywane przy użyciu usługi SMS lub połączeń telefonicznych. Im silniejsze uwierzytelnianie, tym większa pewność, że osoba usiłująca odzyskać dostęp jest rzeczywistym użytkownikiem będącym właścicielem danej tożsamości. Po uwierzytelnieniu użytkownik może wybrać nowe hasło, które zastąpi stare hasło.

Wymagania wstępne związane z konfigurowaniem samoobsługowego odblokowywania kont i resetowania haseł przy użyciu usługi MFA

W tej sekcji założono, że pobrano i ukończono wdrażanie składników usług Microsoft Identity Manager MIM Sync, MIM Servicei MIM Portal, w tym następujących składników i usług:

  • System Windows Server 2008 R2 lub nowszy został skonfigurowany jako serwer usługi Active Directory, łącznie z Usługami domenowymi w usłudze Active Directory i kontrolerem domeny z wyznaczoną domeną (domena „firmowa”).

  • Zdefiniowano zasady grupy dla blokowania kont.

  • Usługa synchronizacji programu MIM 2016 (Sync) jest zainstalowana i uruchomiona na serwerze przyłączonym do domeny usługi AD.

  • Usługa i portal programu MIM 2016, w tym portal rejestracji SSPR i portal resetowania SSPR, są zainstalowane i uruchomione na serwerze (mogą znajdować się w tej samej lokalizacji, w której znajduje się usługa synchronizacji).

  • Usługa synchronizacji programu MIM jest skonfigurowana z synchronizacją tożsamości usługi AD programu MIM, w tym:

    • Konfigurowanie agenta zarządzania Active Directory Management Agent (ADMA) zapewniającego łączność z usługami AD DS oraz możliwość importowania danych tożsamości z usługi Active Directory i eksportowania ich do tej usługi.

    • Konfigurowanie agenta zarządzania programu MIM (MIM MA) zapewniającego łączność z bazą danych usługi FIM oraz możliwość importowania danych tożsamości z bazy danych usługi FIM i eksportowania ich do tej bazy.

    • Konfigurowanie reguł synchronizacji w portalu MIM, zezwalających na synchronizację danych użytkowników i ułatwiających działania oparte na synchronizacji w usłudze MIM.

  • Dodatki i rozszerzenia programu MIM 2016, łącznie ze zintegrowanym klientem logowania systemu Windows dla funkcji SSPR, zostały wdrożone na serwerze lub oddzielnym komputerze klienckim.

W tym scenariuszu wymagane jest MIM dla użytkowników oraz subskrypcji usługi Azure MFA.

Przygotowanie programu MIM do pracy z uwierzytelnianiem wieloskładnikowym

Skonfiguruj synchronizację programu MIM do obsługi resetowania haseł i odblokowywania kont. Aby uzyskać więcej informacji, zobacz Instalowanie dodatków i rozszerzeń usługi FIM, Instalowanie funkcji SSPR usługi FIM, Bramy uwierzytelniania SSPR i Przewodnik po laboratorium testowym funkcji SSPR.

Aktualizowanie pliku konfiguracji

Uwaga

Ta sekcja została oparta na wcześniejszych wskazówkach dotyczących korzystania z pliku ZIP dostarczonego przez zestaw SDK usługi Azure MFA. Zamiast tego skorzystaj ze wskazówek w artykule na temat sposobu korzystania z usługi Azure Serwer Multi-Factor Authentication.

  1. Zaloguj się do komputera z zainstalowaną usługą MIM jako użytkownik, który zainstalował program MIM.

  2. Utwórz nowy folder katalogu znajdujący się poniżej katalogu, w którym zainstalowano usługę MIM, takim jak C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Korzystając z Eksploratora Windows, przejdź do folderu \pf\certs pliku ZIP pobranego w poprzedniej sekcji, a następnie skopiuj plik cert_key.p12 do nowego katalogu.

  4. W pliku zip zestawu SDK w folderze \pfotwórz plik pf_auth.cs.

  5. Znajdź trzy następujące parametry: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.

    Obraz kodu pliku pf_auth.cs

  6. W folderze C:\Program Files\Microsoft Forefront Identity Manager\2010\Service otwórz następujący plik: MfaSettings.xml.

  7. Skopiuj wartości z parametrów LICENSE_KEY, GROUP_KEY, CERT_PASSWORD w pliku pf_aut.cs do odpowiednich elementów xml w pliku MfaSettings.xml.

  8. W pliku zip zestawu SDK, z folderu \pf\certs wyodrębnij plik cert_key.p12 i wprowadź pełną ścieżkę do niego w pliku MfaSettings.xml do elementu xml .

  9. W elemencie <username> wprowadź dowolną nazwę użytkownika.

  10. W elemencie <DefaultCountryCode> wprowadź swój domyślny kod kraju. Ten kod będzie przypisywany do numerów telefonów zarejestrowanych dla użytkowników bez kodu kraju. Jeśli użytkownik ma międzynarodowy kod kraju, musi on zostać uwzględniony w zarejestrowanym numerze telefonu.

  11. Zapisz plik MfaSettings.xml z taką samą nazwą w tej samej lokalizacji.

Konfigurowanie bramy telefonicznej lub bramy SMS haseł jednorazowych

  1. Uruchom Internet Explorer i przejdź do witryny MIM Portal, uwierzytelniaj się jako administrator MIM, a następnie kliknij pozycję Przepływy pracy na pasku nawigacyjnym po lewej stronie.

    Obraz nawigacji w portalu MIM

  2. Zaznacz pole wyboru Przepływ pracy AuthN w zakresie resetowania hasła.

    Obraz przepływów pracy w portalu MIM

  3. Kliknij kartę Działania, a następnie przewiń w dół do pozycji Dodaj działanie.

  4. Wybierz Telefon Gate lubOne-Time Password SMS Gate, kliknij pozycję Wybierz, a następnie kliknij przycisk OK.

Uwaga: jeśli używasz Azure MFA Server lub innego dostawcy, który generuje hasło tylko raz, upewnij się, że skonfigurowane powyżej pole długości ma taką samą długość jak pole wygenerowane przez dostawcę usługi MFA. Ta długość musi być 6 dla Azure MFA Server. Azure MFA Server generuje również własny tekst wiadomości, więc wiadomość SMS jest ignorowana.

Użytkownicy w organizacji mogą teraz rejestrować się w celu resetowania haseł. W trakcie tego procesu będą oni wprowadzać swoje numery telefonów służbowych lub komórkowych, aby umożliwić systemowi ustanawianie połączeń telefonicznych z nimi (lub wysyłanie do nich wiadomości SMS).

Rejestrowanie użytkowników w celu resetowania haseł

  1. Użytkownik uruchomi przeglądarkę internetową i przejdź do portalu rejestracji resetowania MIM hasła. (Zazwyczaj ten portal będzie skonfigurowany z uwierzytelnianiem systemu Windows). W portalu użytkownicy muszą ponownie podać swoją nazwę użytkownika i hasło w celu potwierdzenia ich tożsamości.

    Będą oni monitowani o przejście do portalu rejestracji haseł i uwierzytelnienie się przy użyciu nazwy użytkownika i hasła.

  2. W Telefon Numer telefonu lub Numer Telefon urządzeń przenośnych muszą wprowadzić kod kraju, spację i numer telefonu, a następnie kliknąć przycisk Dalej.

    Obraz weryfikacji telefonu w portalu MIM

    Obraz weryfikacji telefonu komórkowego w portalu MIM

Czy takie rozwiązanie jest odpowiednie dla Twoich użytkowników?

Po skonfigurowaniu i uruchomieniu wszystkich składników można zapoznać się z procedurami resetowania haseł przez użytkowników, którzy po powrocie z urlopu nie pamiętają swoich danych uwierzytelniania.

Istnieją dwa sposoby resetowania hasła i odblokowania konta przez użytkownika (użycie ekranu logowania systemu Windows lub portalu samoobsługowego).

Instalując dodatki i rozszerzenia programu MIM na komputerze przyłączonym do domeny i połączonym za pośrednictwem sieci organizacji z usługą MIM, użytkownicy mogą odzyskać zapomniane hasło na ekranie logowania do komputera. Poniższe kroki objaśniają ten proces:

Resetowanie hasła zintegrowane z logowaniem do komputera z systemem Windows

  1. Jeśli użytkownik wprowadzi nieprawidłowe hasło kilka razy, na ekranie logowania będzie mieć możliwość kliknięcia opcji Problemy z logowaniem? .

    Obraz ekranu logowania

    Kliknięcie tego linku powoduje wyświetlenie ekranu resetowania hasła programu MIM, na którym można zmienić swoje hasło lub odblokować konto.

    Obraz resetowania hasła programu MIM

  2. Użytkownik zostanie przekierowany do strony uwierzytelniania. Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem.

  3. Działając w tle, usługa Azure MFA nawiązuje następnie połączenie telefoniczne z numerem podanym podczas tworzenia konta usługi.

  4. Gdy użytkownik odbierze połączenie, będzie monitowany o naciśnięcie przycisku # na klawiaturze telefonu. Następnie użytkownik klika przycisk Dalej w portalu.

    Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

    Uwaga

    Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

  5. Po pomyślnym uwierzytelnieniu użytkownik będzie mógł skorzystać z dwóch opcji: odblokowanie konta i zachowanie bieżącego hasła lub skonfigurowanie nowego hasła.

  6. Następnie użytkownik musi wprowadzić nowe hasło dwa razy, aby zresetować hasło.

Dostęp z portalu samoobsługowego

  1. Użytkownicy mogą otworzyć przeglądarkę sieci Web, przejść do portalu resetowania haseł i wprowadzić swoją nazwę użytkownika, a następnie kliknąć przycisk Dalej.

    Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem. Działając w tle, usługa Azure MFA nawiązuje następnie połączenie telefoniczne z numerem podanym podczas tworzenia konta usługi.

    Jeśli użytkownik odbierze połączenie, będzie monitowany o naciśnięcie przycisku # na klawiaturze telefonu. Następnie użytkownik klika przycisk Dalej w portalu.

  2. Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

    Uwaga

    Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

  3. Użytkownik będzie musiał wybrać, czy chce zresetować hasło, czy odblokować konto. Jeśli użytkownik wybierze opcję odblokowania konta, jego konto zostanie odblokowane.

    Obraz odblokowania konta (asystent logowania programu MIM)

  4. Po pomyślnym uwierzytelnieniu użytkownik będzie mógł skorzystać z dwóch opcji: zachowanie bieżącego hasła lub ustawienie nowego hasła.

  5. Obraz pomyślnie odblokowanego konta programu MIM

  6. Jeśli użytkownik wybierze opcję resetowania hasła, będzie musiał wpisać nowe hasło dwa razy i kliknąć przycisk Dalej, aby zmienić hasło.