Планирование развертывания самостоятельного сброса пароля Azure Active Directory

Важно!

В данном плане развертывания представлены инструкции и рекомендации по развертыванию самостоятельного сброса пароля Azure AD (SSPR).

Если вам как конечному пользователю требуется вернуть доступ к своей учетной записи, перейдите на страницу https://aka.ms/sspr .

Самостоятельный сброс пароля (SSPR) — это функция Azure Active Directory (AD), которая позволяет пользователям сбрасывать пароли без обращения за помощью в службу ИТ-поддержки. Пользователи могут быстро разблокировать свою учетную запись и продолжить работу, где бы они ни находились и в любое время суток. Предоставив сотрудникам возможность самостоятельной разблокировки своих учетных записей, ваша организация может сократить время простоя и сэкономить на поддержке при решении большинства распространенных проблем, связанных с паролями.

SSPR отличается следующими основными преимуществами:

  • Возможности самообслуживания позволяют конечным пользователям сбрасывать свои пароли с истекшим или неистекшим сроком действия, не обращаясь к администратору или в службу технической поддержки за помощью.
  • Компонент обратной записи паролей позволяет управлять локальными паролями и устранять блокировку учетных записей в облаке.
  • Отчеты по операциям управления паролями позволяют администраторам лучше понять ситуацию с регистрацией и сбросом паролей в организации.

В этом руководстве по развертыванию показано, как спланировать и затем протестировать развертывание SSPR.

Чтобы быстро посмотреть SSPR в деле, а затем вернуться к анализу дополнительных рекомендаций по развертыванию, нажмите кнопку ниже:

Подробнее об SSPR

Узнайте подробнее об SSPR. Ознакомьтесь с разделом Как это работает. Самостоятельный сброс пароля.

Основные преимущества

Основные преимущества активации SSPR:

  • Управление затратами. SSPR сокращает затраты на поддержку, позволяя пользователям сбрасывать пароли самостоятельно. Это также позволяет сэкономить драгоценное время, которое специалисты поддержки тратят на восстановление потерянных паролей и разблокировку учетных записей.

  • Интуитивно понятный пользовательский интерфейс. Интуитивно понятный однократный процесс регистрации пользователей позволяет сбрасывать пароли и разблокировывать учетные записи по запросу с любого устройства или из любого расположения. SSPR позволяет пользователям быстро приступить к работе и повысить свою производительность.

  • Гибкость и безопасность. SSPR помогает предприятиям обеспечить безопасность и гибкость, которые предлагает облачная платформа. Администраторы могут изменять параметры в соответствии с новыми требованиями к безопасности и развертывать эти изменения для пользователей, не нарушив процесс входа в систему.

  • Широкие возможности аудита и отслеживания использования. Организация может обеспечить безопасность бизнес-систем во время сброса пользователями своих паролей. В информативных журналах аудита представлены сведения о каждом шаге процесса сброса пароля. Эти журналы доступны из API, и с их помощью пользователь может импортировать данные в требуемую систему управления информационной безопасностью и событиями безопасности (SIEM).

Лицензирование

Azure Active Directory лицензируется отдельно для каждого пользователя. Это означает, что каждому пользователю требуется соответствующая лицензия для работы с функциями, которые они используют. Для SSPR рекомендуется групповое лицензирование.

Сравнение выпусков и функции для выбора группового или индивидуального лицензирование см. в разделе Требования к лицензированию самостоятельного сброса пароля в Azure AD.

Дополнительные сведения о расценках см. в разделе Цены Azure Active Directory.

Предварительные требования

  • Рабочий клиент Azure AD с как минимум включенной бесплатной пробной лицензией. Создайте ее бесплатно, если нужно.

  • Учетная запись с правами глобального администратора.

Учебные ресурсы

Ресурсы Ссылка и описание
Видео Предоставление пользователям более эффективной масштабируемости ИТ
Что такое самостоятельный сброс пароля?
Развертывание самостоятельного сброса пароля
Как включить и настроить SSPR в Azure AD
Порядок настройки самостоятельного сброса пароля для пользователей в Azure AD
Инструкции по [подготовке пользователей к] регистрации [их] сведений о безопасности для Azure Active Directory
Онлайн-курсы Управление удостоверениями в Microsoft Azure Active Directory. Используйте SSPR для предоставления пользователям современного и защищенного процесса управления паролями. См. раздел "Управление пользователями и группами Azure Active Directory".
Платные курсы Pluralsight Проблемы управления удостоверениями и доступом. Узнайте подробнее о проблемах IAM и безопасности, которые следует учитывать в вашей организации. См. раздел "Другие методы проверки подлинности".
Начало работы с пакетом Microsoft Enterprise Mobility Suite. Ознакомьтесь с рекомендациями по расширению локальных ресурсов в облаке способом, обеспечивающим проверку подлинности, авторизацию, шифрование и защищенную мобильную среду. См. раздел "Настройка дополнительных функций Microsoft Azure Active Directory Premium".
Учебники Выполнение пилотного развертывания самостоятельного сброса пароля Azure AD
Руководство. Включение компонента обратной записи паролей
Сброс пароля Azure AD на экране входа Windows 10
ВОПРОСЫ И ОТВЕТЫ Вопросы и ответы об управлении паролями

Архитектура решения

В следующем примере описывается архитектура решения для сброса пароля для распространенных гибридных сред.

Схема архитектуры решения

Описание рабочего процесса

Для сброса паролей пользователям следует перейти на портал сброса паролей. Они должны подтвердить зарегистрированные ранее методы проверки подлинности для подтверждения своей личности. При успешном сбросе пароля начинается процесс сброса.

  • Для облачных пользователей SSPR сохраняет новый пароль в Azure AD.

  • Для гибридных пользователей SSPR записывает пароль в локальную среду Active Directory посредством службы Azure AD Connect.

Примечание. Для пользователей, у которых отключена синхронизация хэша паролей (PHS), SSPR хранит пароли только в локальной среде Active Directory.

Рекомендации

Вы можете помочь пользователям быстро зарегистрироваться, развернув SSPR вместе с другим популярным приложением или службой в организации. Это позволит увеличить количество операций входа в систему и будет стимулировать регистрацию.

Перед развертыванием SSPR можно определить количество операций сброса пароля и стоимость каждой из них. Вы можете использовать эти данные после развертывания, чтобы показать преимущества SSPR для организации.

Включение объединенной регистрации для SSPR и MFA

Корпорация Майкрософт рекомендует организациям включить объединенную регистрацию для SSPR и многофакторной проверки подлинности. Если включена объединенная регистрация, пользователям необходимо только один раз выбрать сведения о регистрации, чтобы включить обе функции.

Объединенная регистрация не требует, чтобы организации включали и SSPR, и многофакторную проверку подлинности Azure AD. Объединенная регистрация обеспечивает более удобный пользовательский интерфейс. Дополнительные сведения см. в разделе Объединенная регистрация сведений о безопасности.

Планирование проекта развертывания

Учитывайте потребности организации при определении стратегии развертывания в вашей среде.

Привлечение соответствующих заинтересованных лиц

Причиной неудач технических проектов обычно являются неоправданные ожидания относительно влияния, результатов и обязанностей. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете соответствующих заинтересованных лиц и их роли в проекте очевидны. Задокументируйте заинтересованных лиц и их вклад в проект для подотчетности.

Требуемые роли администратора

Бизнес-роль/лицо Роль Azure AD (при необходимости)
Служба технической поддержки уровня 1 Администратор паролей
Служба технической поддержки уровня 2 Администратор пользователей
Администратор SSPR Глобальный администратор.

Планирование информирования

Информирование важно для успеха любой новой службы. Следует заблаговременно сообщать пользователям, как изменится их взаимодействие с системой, когда это произойдет и как получить поддержку в случае возникновения проблем. Ознакомьтесь с материалами по самостоятельному сбросу пароля в центре загрузки Майкрософт, чтобы узнать, как спланировать стратегию взаимодействия с конечными пользователями.

Планирование пилотного проекта

Разработку первоначальной конфигурации SSPR рекомендуется выполнять в тестовой среде. Начните с пилотной группы, включив SSPR для подмножества пользователей в организации. Ознакомьтесь с рекомендациями по пилотным проектам.

Сведения о том, как создать группу, см. в статье Создание группы и добавление в нее пользователей в Azure Active Directory.

Планирование конфигурации

Для включения SSPR вместе с рекомендуемыми значениями требуется настроить следующие параметры.

Область Параметр Значение
Свойства SSPR "Разрешен самостоятельный сброс пароля" Выбранная группа для пилотного проекта/Все для рабочей среды
Методы аутентификации "Методы проверки подлинности, необходимые для регистрации" Всегда на 1 больше, чем требуется для сброса
"Методы проверки подлинности, необходимые для сброса" Один или два
Регистрация "Требовать регистрацию пользователей при входе" Да
"Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности" 90–180 дней
Уведомления "Уведомлять пользователей о сбросе пароля" Да
"Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли". Да
Настройка "Настроить ссылку на службу технической поддержки" Да
"Адрес электронной почты или URL-адрес нестандартной службы технической поддержки" "Сайт или адрес электронной почты службы поддержки"
Интеграция с локальной средой "Обратная запись паролей в локальную среду AD" Да
"Разрешить пользователям разблокировать учетные записи без сброса пароля" Да

Свойства SSPR

При включении SSPR выберите соответствующую группу безопасности в пилотной среде.

  • Чтобы применить регистрацию SSPR для всех, рекомендуется использовать параметр Все.
  • В противном случае выберите соответствующую группу безопасности Azure AD или AD.

Методы проверки подлинности

Если включена функция SSPR, пользователи смогут сбросить пароль, только если у них есть необходимые данные для методов проверки подлинности, которые включил администратор. К таким методам относятся телефон, уведомление приложения Microsoft Authenticator, контрольные вопросы и т. д. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.

Мы рекомендуем использовать следующие параметры метода проверки подлинности:

  • Для параметра Методы проверки подлинности, необходимые для регистрации укажите не менее чем на один метод больше, чем требуется для сброса. Использование нескольких методов проверки подлинности обеспечивает гибкость при необходимости сброса пароля.

  • Для параметра Число требуемых способов сброса укажите соответствующий уровень для своей организации. Один метод обеспечивает большее удобство, тогда так два метода позволят повысить уровень защиты.

Примечание. У пользователя должны быть настроены методы проверки подлинности в разделе Политики и ограничения для паролей в Azure Active Directory.

Параметры регистрации

Для параметра Требовать регистрацию пользователей при входе выберите Да. Данный параметр позволяет указать, что пользователям необходимо зарегистрироваться при входе. Это обеспечивает защиту всех пользователей.

Для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности выберите значение от 90 до 180 дней, если только в организации не применяется более короткий промежуток времени.

Параметры уведомлений

Для параметров Уведомлять пользователей о сбросе пароля и Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли выберите значение Да. Выбор значения Да для обоих параметров позволяет повысить безопасность, гарантируя, что пользователи будут осведомлены о сбросе пароля. Это также гарантирует, что все администраторы будут знать, когда один из них изменяет пароль. Если пользователи или администраторы получают уведомление, однако они не инициировали изменение, они могут немедленно сообщить о возможной ошибке безопасности.

Параметры настройки

Крайне важно указать адрес электронной почты или URL-адрес службы технической поддержки, чтобы пользователи, у которых возникли проблемы, могли немедленно получить помощь. Задайте для этого параметра общий адрес электронной почты службы поддержки или веб-страницу, которые знакомы пользователям.

Подробнее см. в разделе Настройка функции самостоятельного сброса пароля в Azure AD.

Обратная запись паролей

Компонент обратной записи паролей — это функция Azure AD Connect. С ее помощью можно записывать сведения об операциях сброса паролей, выполненных в облаке, в имеющийся локальный каталог в режиме реального времени. Дополнительные сведения см. в разделе Что такое компонент обратной записи паролей?

Рекомендуются следующие настройки:

  • Убедитесь, что параметру Обратная запись паролей в локальную среду AD присвоено значение Да.
  • Присвойте параметру Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.

По умолчанию Azure AD разблокирует учетные записи при выполнении сброса пароля.

Настройка пароля администратора

Учетные записи администратора имеют повышенные разрешения. Локальные администраторы предприятия или домена не могут сбрасывать свои пароли через SSPR. Локальные учетные записи администратора имеют следующие ограничения:

  • пароль можно изменить только в локальной среде;
  • в качестве метода сброса пароля невозможно использовать контрольные вопросы.

Рекомендуется не синхронизировать локальные учетные записи администратора Active Directory с Azure AD.

Среды с несколькими системами управления удостоверениями

В некоторых средах имеется несколько систем управления удостоверениями. Для локальных диспетчеров удостоверений, таких как Oracle AM и SiteMinder, требуется синхронизация с AD для паролей. Это можно сделать с помощью такого средства, как служба уведомлений о смене паролей (PCNS) с Microsoft Identity Manager (MIM). Сведения об этом более сложном сценарии см. в статье Развертывание службы уведомлений о смене паролей MIM на контроллере домена.

Планирование тестирования и поддержки

На каждом этапе развертывания, от начальных пилотных групп до масштабов всей организации, необходимо убедиться, что результаты соответствуют ожиданиям.

Планирование тестирования

Чтобы убедиться, что развертывание работает должным образом, спланируйте набор тестовых случаев для проверки реализации. Для оценки тестовых случаев необходим тестовый пользователь без прав администратора с паролем. Инструкции по добавлению пользователя см. в статье Добавление или удаление пользователей в Azure Active Directory.

В следующей таблице содержатся полезные сценарии тестирования, которые можно использовать для документирования ожидаемых результатов в организациях на основе политик.

Бизнес-ситуация Ожидаемые результаты
Портал SSPR доступен в корпоративной сети Определяется организацией
Портал SSPR доступен за пределами корпоративной сети Определяется организацией
Сброс пароля пользователя в браузере, когда для пользователя отключена возможность сброса пароля Пользователь не может получить доступ к потоку сброса пароля
Сброс пароля пользователя в браузере, когда пользователь не зарегистрирован для сброса пароля Пользователь не может получить доступ к потоку сброса пароля
Пользователь входит в систему, когда принудительно выполняет регистрацию для сброса пароля Пользователю предлагается зарегистрировать сведения о безопасности
Пользователь входит в систему после завершения регистрации для сброса пароля Пользователю предлагается зарегистрировать сведения о безопасности
Портал SSPR доступен, если у пользователя нет лицензии Портал доступен
Сброс пароля пользователя на экране блокировки устройства Windows 10, присоединенного к среде Azure AD или гибридной среде Azure AD Пользователь может сбросить пароль
Данные о регистрации и использовании SSPR доступны администраторам почти в реальном времени Доступно через журналы аудита

Вы также можете ознакомиться с руководством Выполнение пилотного развертывания самостоятельного сброса пароля Azure AD. В нем описано включение пилотного развертывания SSPR в организации и тестирование его с помощью учетной записи без прав администратора.

Планирование поддержки

Несмотря на то, что у пользователей обычно не возникают проблемы с SSPR, важно подготовить персонал поддержки для решения проблем, которые могут возникнуть. Администратор может сбросить пароль для конечных пользователей на портале Azure AD, однако эту проблему лучше решить с помощью процесса самостоятельной поддержки.

Чтобы обеспечить успешную работу группы поддержки, можно создать раздел с вопросами, полученными от пользователей, и ответами на них. Вот несколько таких случаев.

Сценарии Описание
У пользователя нет зарегистрированных методов проверки подлинности Пользователь пытается сбросить свой пароль, однако у него нет доступных методов проверки подлинности, которые были зарегистрированы (например, пользователь оставил мобильный телефон дома и не может получить доступ к электронной почте).
Пользователь не получает SMS или вызовы на свой служебный или мобильный телефон Пользователь пытается подтвердить свою личность с помощью SMS или вызова, однако у него отсутствует такая возможность.
Пользователь не может получить доступ к порталу сброса пароля Пользователю необходимо сбросить пароль, однако он не включил сброс пароля и не может получить доступ к странице для обновления паролей.
Пользователь не может задать новый пароль Пользователь проходит проверку подлинности во время потока сброса пароля, но не может задать новый пароль.
Пользователь не видит ссылку для сброса пароля на устройстве Windows 10 Пользователь пытается сбросить пароль на экране блокировки Windows 10, однако устройство либо не присоединено к Azure AD, либо политика устройств Intune не включена.

Планирование отката

Порядок отката развертывания:

  • для одного пользователя — удалите пользователя из группы безопасности;

  • для группы — удалите группу из конфигурации SSPR;

  • для всех — отключите SSPR для клиента Azure AD.

Развертывание SSPR

Перед развертыванием убедитесь, что выполнены следующие действия.

  1. Создан и выполняется план взаимодействия.

  2. Определены соответствующие параметры конфигурации.

  3. Определены пользователи и группы для пилотной и рабочей сред.

  4. Определены параметры конфигурации для регистрации и самообслуживания.

  5. Настроен компонент обратной записи паролей при наличии гибридной среды.

Теперь все готово для развертывания SSPR!

Пошаговые инструкции по настройке следующих параметров см. в разделе Включение самостоятельного сброса пароля.

  1. Методы аутентификации

  2. Параметры регистрации

  3. Параметры уведомлений

  4. Параметры настройки

  5. Интеграция с локальной средой

Включение SSPR в Windows

На компьютерах под управлением Windows 7, 8, 8.1 и 10 можно разрешить пользователям сбрасывать пароль на экране входа в Windows.

Управление SSPR

Azure AD может предоставить дополнительные сведения о работе SSPR с помощью аудита и отчетов.

Отчеты о действиях по управлению паролями

Для измерения эффективности SSPR можно использовать готовые отчеты на портале Azure. При наличии соответствующей лицензии можно также создавать пользовательские запросы. Дополнительные сведения см. в статье Создание отчетов об управлении паролями в Azure AD.

Примечание

Вы должны иметь права глобального администратора и указать, что эти данные необходимо собирать для вашей организации. Чтобы дать согласие, необходимо по крайней мере один раз посетить вкладку "Отчеты" или просмотреть журналы аудита на портале Azure. До этого момента данные не будут собираться для вашей организации.

Журналы аудита для регистрации и сброса пароля доступны в течение 30 дней. Если сведения об аудите безопасности в вашей организации хранятся более длительный период, необходимо экспортировать и использовать журналы в средстве SIEM, например Azure Sentinel, Splunk или ArcSight.

Снимок экрана: создание отчетов о SSPR

Методы проверки подлинности — использование и аналитика

Использование и аналитика позволяют понять, насколько эффективно в вашей организации работают методы аутентификации для таких функций, как Azure AD MFA и SSPR. С помощью этой возможности создания отчетов ваша организация может получить понимание того, какие методы регистрируются и как их использовать.

Диагностика

Полезная документация

Дальнейшие действия