opcje wdrażania resetowania haseł Self-Service

Ważne

We wrześniu 2022 r. firma Microsoft ogłosiła wycofanie serwera Usługi Azure Multi-Factor Authentication. Od 30 września 2024 r. wdrożenia serwera usługi Azure Multi-Factor Authentication nie będą już obsługiwać żądań uwierzytelniania wieloskładnikowego (MFA). Klienci serwera usługi Azure Multi-Factor Authentication powinni planować przejście do usługi zamiast używania niestandardowych dostawców uwierzytelniania wieloskładnikowego z samoobsługowym resetowaniem hasła programu MIM lub Microsoft Entra samoobsługowego resetowania hasła zamiast samoobsługowego resetowania hasła programu MIM.

W przypadku nowych klientów, którzy mają licencję na identyfikator Microsoft Entra P1 lub P2, zalecamy użycie funkcji samoobsługowego resetowania hasła Microsoft Entra w celu zapewnienia środowiska użytkownika końcowego. Microsoft Entra samoobsługowe resetowanie hasła zapewnia zarówno środowisko internetowe, jak i zintegrowane z systemem Windows dla użytkownika w celu zresetowania własnego hasła i obsługuje wiele tych samych funkcji co program MIM, w tym alternatywne wiadomości e-mail i bramy Q&A. Podczas wdrażania Microsoft Entra samoobsługowego resetowania haseł można skonfigurować Microsoft Entra Connect, aby zapisywać nowe hasła w usługach AD DS, a usługa powiadamiania o zmianie hasła programu MIM może służyć do przekazywania haseł do innych systemów, takich jak serwer katalogowy innego dostawcy. Wdrażanie programu MIM na potrzeby zarządzania hasłami nie wymaga wdrożenia usługi MIM ani samoobsługowego resetowania haseł ani portali rejestracji programu MIM. Zamiast tego możesz wykonać następujące kroki:

• Najpierw, jeśli musisz wysłać hasła do katalogów innych niż identyfikator Microsoft Entra i usług AD DS, wdróż synchronizację programu MIM z łącznikami w celu Active Directory Domain Services i wszelkich dodatkowych systemów docelowych, skonfiguruj program MIM do zarządzania hasłami i wdróż usługę powiadamiania o zmianie hasła.
• Następnie, jeśli musisz wysłać hasła do katalogów innych niż identyfikator Microsoft Entra, skonfiguruj Microsoft Entra Connect do zapisywania nowych haseł w usługach AD DS.
• Opcjonalnie możesz wstępnie zarejestrować użytkowników.
• Na koniec należy wdrożyć Microsoft Entra samoobsługowego resetowania hasła do użytkowników końcowych.

W przypadku istniejących klientów, którzy wcześniej wdrożyli program Forefront Identity Manager (FIM) na potrzeby samoobsługowego resetowania haseł i mają licencję na Microsoft Entra IDENTYFIKATOR P1 lub P2, zalecamy zaplanowanie przejścia na Microsoft Entra samoobsługowego resetowania haseł. Możesz przenieść użytkowników końcowych do Microsoft Entra samoobsługowego resetowania hasła bez konieczności ich ponownego rejestrowania, przez synchronizację lub ustawienie za pomocą programu PowerShell alternatywnego adresu e-mail użytkownika lub numeru telefonu komórkowego. Po zarejestrowaniu użytkowników w celu Microsoft Entra samoobsługowego resetowania hasła można zlikwidować portal resetowania haseł programu FIM.

W przypadku klientów, którzy nie wdrożyli jeszcze Microsoft Entra samoobsługowego resetowania haseł dla swoich użytkowników, program MIM udostępnia również portale samoobsługowego resetowania haseł. W porównaniu z programem FIM program MIM 2016 zawiera następujące zmiany:

• Self-Service portalu resetowania haseł i ekranu logowania systemu Windows programu MIM umożliwiają użytkownikom odblokowywanie kont bez zmieniania haseł.

• Nowa brama uwierzytelniania, Phone Gate, została dodana do programu MIM. Umożliwia to uwierzytelnianie użytkowników za pośrednictwem połączenia telefonicznego za pośrednictwem usługi uwierzytelniania wieloskładnikowego Microsoft Entra.

Kompilacje wersji programu MIM 2016 do wersji 4.5.26.0 polegały na kliencie w celu pobrania zestawu SDK, który został przestarzały, a istniejące wdrożenia powinny przejść do korzystania z samoobsługowego resetowania hasła programu MIM z niestandardowym dostawcą uwierzytelniania wieloskładnikowego lub Microsoft Entra samoobsługowego resetowania hasła. Nowe wdrożenia powinny używać niestandardowego dostawcy usługi MFA lub Microsoft Entra samoobsługowego resetowania hasła.

Wdrażanie portalu resetowania haseł Self-Service programu MIM przy użyciu dostawcy niestandardowego na potrzeby uwierzytelniania wieloskładnikowego

W poniższej sekcji opisano sposób wdrażania portalu samoobsługowego resetowania haseł programu MIM przy użyciu dostawcy na potrzeby uwierzytelniania wieloskładnikowego. Te kroki są niezbędne tylko dla klientów, którzy nie korzystają z Microsoft Entra samoobsługowego resetowania hasła dla swoich użytkowników.

W przypadku uwierzytelniania wieloskładnikowego użytkownicy uwierzytelniają się za pośrednictwem dostawcy zewnętrznego, aby zweryfikować swoją tożsamość podczas próby odzyskania dostępu do konta i zasobów. Uwierzytelnianie jest dokonywane przy użyciu usługi SMS lub połączeń telefonicznych. Im silniejsze uwierzytelnianie, tym większa pewność, że osoba usiłująca odzyskać dostęp jest rzeczywistym użytkownikiem będącym właścicielem danej tożsamości. Po uwierzytelnieniu użytkownik może wybrać nowe hasło, które zastąpi stare hasło.

Wymagania wstępne związane z konfigurowaniem samoobsługowego odblokowywania kont i resetowania haseł przy użyciu usługi MFA

W tej sekcji założono, że pobrano i ukończono wdrożenie synchronizacji programu MIM z Microsoft Identity Manager 2016 r., usługi MIM i portalu MIM, w tym następujących składników i usług:

• System Windows Server 2008 R2 lub nowszy został skonfigurowany jako serwer usługi Active Directory, łącznie z Usługami domenowymi w usłudze Active Directory i kontrolerem domeny z wyznaczoną domeną (domena „firmowa”).

• Zdefiniowano zasady grupy dla blokowania kont.

• Usługa synchronizacji programu MIM 2016 (Sync) jest zainstalowana i uruchomiona na serwerze przyłączonym do domeny usługi AD.

• Portal & usług programu MIM 2016, w tym portal rejestracji samoobsługowego resetowania hasła i portal resetowania samoobsługowego resetowania hasła, są instalowane i uruchomione na serwerze (może być współlokowane z usługą Sync)

• Usługa synchronizacji programu MIM jest skonfigurowana z synchronizacją tożsamości usługi AD programu MIM, w tym:

  • Konfigurowanie agenta zarządzania Active Directory Management Agent (ADMA) zapewniającego łączność z usługami AD DS oraz możliwość importowania danych tożsamości z usługi Active Directory i eksportowania ich do tej usługi.

  • Konfigurowanie agenta zarządzania programu MIM (MIM MA) zapewniającego łączność z bazą danych usługi FIM oraz możliwość importowania danych tożsamości z bazy danych usługi FIM i eksportowania ich do tej bazy.

  • Konfigurowanie reguł synchronizacji w portalu MIM, zezwalających na synchronizację danych użytkowników i ułatwiających działania oparte na synchronizacji w usłudze MIM.

• Dodatki programu MIM 2016 & rozszerzenia, w tym zintegrowanego klienta logowania systemu Windows samoobsługowego resetowania hasła systemu Windows, są wdrażane na serwerze lub na osobnym komputerze klienckim.

Jeśli używasz Microsoft Entra uwierzytelniania wieloskładnikowego, ten scenariusz wymaga posiadania list CALS programu MIM dla użytkowników, a także subskrypcji na potrzeby uwierzytelniania wieloskładnikowego Microsoft Entra.

Przygotowywanie programu MIM do pracy z usługą MFA

Skonfiguruj synchronizację programu MIM do obsługi resetowania haseł i odblokowywania kont. Aby uzyskać więcej informacji, zobacz Instalowanie dodatków i rozszerzeń usługi FIM, Instalowanie funkcji SSPR usługi FIM, Bramy uwierzytelniania SSPR i Przewodnik po laboratorium testowym funkcji SSPR.

Konfigurowanie bramy telefonicznej lub bramy SMS haseł jednorazowych

1. Uruchom program Internet Explorer i przejdź do portalu programu MIM, uwierzytelniając się jako administrator programu MIM, a następnie kliknij pozycję Przepływy pracy na pasku nawigacyjnym po lewej stronie.

   

2. Zaznacz pole wyboru Przepływ pracy AuthN w zakresie resetowania hasła.

   

3. Kliknij kartę Działania, a następnie przewiń w dół do pozycji Dodaj działanie.

4. Wybierz pozycję Phone Gate lub One-Time Password SMS Gate kliknij pozycję Wybierz , a następnie kliknij przycisk OK.

   Uwaga

   Jeśli korzystasz z innego dostawcy, który generuje hasło jednorazowe, upewnij się, że pole długości skonfigurowane powyżej ma taką samą długość, jak to, które zostało wygenerowane przez dostawcę uwierzytelniania wieloskładnikowego. Ta długość musi wynosić 6 dla serwera usługi Azure Multi-Factor Authentication. Serwer usługi Azure Multi-Factor Authentication generuje również własny tekst wiadomości, dzięki czemu wiadomość SMS jest ignorowana.

Użytkownicy w organizacji mogą teraz rejestrować się w celu resetowania haseł. W trakcie tego procesu będą oni wprowadzać swoje numery telefonów służbowych lub komórkowych, aby umożliwić systemowi ustanawianie połączeń telefonicznych z nimi (lub wysyłanie do nich wiadomości SMS).

Rejestrowanie użytkowników w celu resetowania haseł

1. Użytkownik uruchomi przeglądarkę internetową i przejdzie do portalu rejestracji resetowania haseł programu MIM. (Zazwyczaj ten portal będzie skonfigurowany z uwierzytelnianiem systemu Windows). W portalu użytkownicy muszą ponownie podać swoją nazwę użytkownika i hasło w celu potwierdzenia ich tożsamości.

   Będą oni monitowani o przejście do portalu rejestracji haseł i uwierzytelnienie się przy użyciu nazwy użytkownika i hasła.

2. W polu Numer telefonu lub Telefon komórkowy muszą wprowadzić kod kraju, spację i numer telefonu, a następnie kliknąć przycisk Dalej.

   

   

Czy takie rozwiązanie jest odpowiednie dla Twoich użytkowników?

Po skonfigurowaniu i uruchomieniu wszystkich składników można zapoznać się z procedurami resetowania haseł przez użytkowników, którzy po powrocie z urlopu nie pamiętają swoich danych uwierzytelniania.

Istnieją dwa sposoby resetowania hasła i odblokowania konta przez użytkownika (użycie ekranu logowania systemu Windows lub portalu samoobsługowego).

Instalując dodatki i rozszerzenia programu MIM na komputerze przyłączonym do domeny i połączonym za pośrednictwem sieci organizacji z usługą MIM, użytkownicy mogą odzyskać zapomniane hasło na ekranie logowania do komputera. Poniższe kroki objaśniają ten proces:

Resetowanie hasła zintegrowane z logowaniem do komputera z systemem Windows

1. Jeśli użytkownik wprowadzi nieprawidłowe hasło kilka razy, na ekranie logowania będzie mieć możliwość kliknięcia pozycji Problemy podczas logowania? .

   

   Kliknięcie tego linku powoduje wyświetlenie ekranu resetowania hasła programu MIM, na którym można zmienić swoje hasło lub odblokować konto.

   

2. Użytkownik zostanie przekierowany do strony uwierzytelniania. Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem.

3. W tle dzieje się tak, że dostawca uwierzytelniania wieloskładnikowego następnie umieszcza połączenie telefoniczne z numerem, który użytkownik podał, gdy ten użytkownik zarejestrował się w usłudze.

4. Gdy użytkownik odpowie na telefon, może zostać poproszony o interakcję, na przykład w celu naciśnięcia klawisza funta # na telefonie. Następnie użytkownik klika przycisk Dalej w portalu.

   Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

   Uwaga

   Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

5. Po pomyślnym uwierzytelnieniu użytkownik będzie mógł skorzystać z dwóch opcji: odblokowanie konta i zachowanie bieżącego hasła lub skonfigurowanie nowego hasła.

6. Następnie użytkownik musi wprowadzić nowe hasło dwa razy, aby zresetować hasło.

Dostęp z portalu samoobsługowego

1. Użytkownicy mogą otworzyć przeglądarkę sieci Web, przejść do portalu resetowania haseł i wprowadzić swoją nazwę użytkownika, a następnie kliknąć przycisk Dalej.

   Jeśli skonfigurowano usługę MFA, zostanie wykonane połączenie telefoniczne z użytkownikiem. W tle dzieje się tak, że Microsoft Entra uwierzytelnianie wieloskładnikowe, a następnie umieszcza połączenie telefoniczne pod numerem, który użytkownik udzielił podczas tworzenia konta w usłudze.

   Gdy użytkownik odbierze połączenie, będzie monitowany o naciśnięcie przycisku # na klawiaturze telefonu. Następnie użytkownik klika przycisk Dalej w portalu.

2. Jeśli zostaną skonfigurowane również inne bramy, użytkownik będzie monitowany o podanie dodatkowych informacji na następnych ekranach.

   Uwaga

   Jeśli użytkownik nie będzie cierpliwy i kliknie przycisk Dalej przed naciśnięciem przycisku #, uwierzytelnianie nie powiedzie się.

3. Użytkownik będzie musiał wybrać, czy chce zresetować swoje hasło, czy odblokować swoje konto. Jeśli zdecyduje się odblokować swoje konto, konto zostanie odblokowane.

   

4. Po pomyślnym uwierzytelnieniu użytkownik otrzyma dwie opcje, aby zachować bieżące hasło lub ustawić nowe hasło.

5. 

6. Jeśli użytkownik wybierze opcję resetowania hasła, będzie musiał wpisać nowe hasło dwa razy i kliknąć przycisk Dalej, aby zmienić hasło.