Изменить

Часто задаваемые вопросы о самостоятельном сбросе пароля

  • Вопросы и ответы

Ниже приведены некоторые наиболее часто задаваемые вопросы и ответы о самостоятельном сбросе пароля.

Если у вас есть общий вопрос об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля (SSPR), который не ответил здесь, вы можете обратиться за помощью к сообществу на странице вопросов Microsoft Q&A для идентификатора Microsoft Entra ID. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.

Данная статья состоит из следующих разделов:

  • Вопросы о регистрации данных для сброса паролей
  • Вопросы о сбросе паролей
  • Вопросы об изменении паролей
  • Вопросы об отчетах по управлению паролями
  • Вопросы об обратной записи паролей

Регистрация данных для сброса паролей

Могут ли пользователи регистрировать свои собственные данные для сброса паролей?

Да. Если функция сброса пароля активирована и у пользователя есть лицензия, он может перейти на портал регистрации данных для сброса паролей (https://aka.ms/ssprsetup) и зарегистрировать свои собственные данные для проверки подлинности. Пользователь также может зарегистрироваться с помощью панели доступа (https://myapps.microsoft.com). Для регистрации через панель доступа необходимо выбрать изображение профиля, щелкнуть Профиль, а затем — Регистрация для сброса пароля.

Если включить объединенную регистрацию, пользователи могут одновременно регистрироваться как для SSPR, так и для многофакторной проверки подлинности Microsoft Entra.

Если включить сброс пароля для группы, а затем понадобится включить сброс пароля для всех пользователей, придется ли повторно регистрировать пользователей?

№ Для пользователей, которые заполнили данные для проверки подлинности, повторная регистрация не требуется.

Могу ли я определять данные для сброса паролей от имени пользователей?

Да, это можно сделать с помощью Microsoft Entra Подключение, PowerShell, Центра администрирования Microsoft Entra или Центр администрирования Microsoft 365. Дополнительные сведения см. в разделе "Данные" для самостоятельного сброса пароля Microsoft Entra.

Могу ли я синхронизировать данные для контрольных вопросов из локальной среды?

Нет, на сегодняшний день это невозможно.

Могут ли пользователи зарегистрировать данные так, чтобы другие пользователи эти данные не видели?

Да. Когда пользователь регистрирует данные на портале регистрации для сброса паролей, эти данные сохраняются в специальных частных полях, которые могут просматривать только глобальные администраторы и сам пользователь.

Нужно ли пользователям регистрировать данные, чтобы сбрасывать пароли?

№ Если вы от их имени укажете достаточно сведений для проверки подлинности, пользователям не придется регистрировать эти сведения самостоятельно. Для работы функции сброса паролей требуется, чтобы правильно отформатированные данные хранились в соответствующих полях каталога.

Могу ли я от имени пользователей синхронизировать или указывать данные в полях "Телефон для проверки подлинности", "Адрес электронной почты для проверки подлинности" и "Дополнительный телефон для проверки подлинности"?

Поля, которые может настраивать глобальный администратор, определены в статье о требованиях к данным SSPR.

Как на портале регистрации определяется, что именно нужно показывать для того или иного пользователя?

На портале регистрации данных для сброса паролей отображаются только те данные, которые вы настроили для пользователей. Эти параметры находятся в разделе "Политика сброса пароля пользователя" на вкладке "Настройка каталога". Например, если вы не включите вопросы безопасности, пользователи не смогут зарегистрировать этот параметр.

Когда пользователь считается зарегистрированным?

Пользователь считается зарегистрированным для SSPR, если он зарегистрировал по крайней мере количество методов, необходимых для сброса пароля, заданного в Центре администрирования Microsoft Entra.

Сброс пароля

Есть ли ограничения на количество попыток сброса пароля за короткий промежуток времени?

Да. В системе сброса пароля есть несколько функций защиты от несанкционированного использования.

Пользователи могут попытаться проверить свои данные (например, номер телефона), но если за пять попыток в течение 24-часового периода они не могут подтвердить свою личность, они будут заблокированы на 24 часа.

Пользователи могут попытаться проверить номер телефона, приложение проверки подлинности, отправить текстовое сообщение или проверить вопросы безопасности и ответы только пять раз в течение часа, прежде чем они заблокированы в течение 24 часов.

Пользователи могут сделать не более десяти попыток отправки сообщения электронной почты в течение десяти минут, после чего эта возможность блокируется на 24 часа.

Счетчики сбрасываются, когда пользователь сбрасывает свой пароль.

Сколько времени я должен ждать, чтобы получить сообщение электронной почты, текстовое сообщение или телефонный звонок от сброса пароля?

Сообщения электронной почты, текстовые сообщения и телефонные звонки должны поступать в минуту. Обычно через 5–20 секунд. Если в течение этого времени ничего не произошло, выполните приведенные ниже действия:

  • Проверьте папку нежелательной почты.
  • Проверьте правильность номера телефона или адреса электронной почты, на который вы ожидаете получить уведомление.
  • Убедитесь, что данные для проверки подлинности в каталоге имеют правильный формат, например +1 4255551234 или user@contoso.com.

Какие языки поддерживает система сброса пароля?

Пользовательский интерфейс сброса пароля, текстовые сообщения и голосовые звонки локализованы на одних и том же языках, которые поддерживаются в Microsoft 365.

Если я настрою фирменную символику своей организации на вкладке настроек каталога, где именно появится эта символика?

Логотип вашей организации будет отображаться на портале сброса паролей. Вы также сможете настроить ссылку для связи с администратором, указав нужный вам электронный или URL-адрес. Все сообщения электронной почты, отправляемые порталом для сброса паролей, будут содержать логотип вашей организации, ее фирменные цвета, название в тексте сообщения и настроенное в параметрах имя в поле отправителя.

Куда именно нужно направлять пользователей для сброса паролей?

Ознакомьтесь с предложениями в статье о развертывании самостоятельного сброса пароля.

Могу ли я пользоваться этой страницей на мобильном устройстве?

Да. Эта страница работает на мобильных устройствах.

Поддерживается ли разблокировка учетных записей локальной службы Active Directory, когда пользователи сбрасывают свой пароль?

Да. Когда пользователь сбрасывает пароль, если обратная запись паролей была развернута через Microsoft Entra Подключение, учетная запись пользователя автоматически разблокируется при сбросе пароля.

Как интегрировать функцию сброса паролей прямо в интерфейс входа на компьютер пользователя?

Если вы являетесь клиентом Microsoft Entra ID P1 или P2, вы можете установить Microsoft Identity Manager без дополнительных затрат и развернуть локальное решение для сброса пароля.

Могу ли я настроить разные контрольные вопросы для разных языковых стандартов?

Нет, на сегодняшний день это невозможно.

Сколько контрольных вопросов можно настроить для проверки подлинности?

Вы можете настроить до 20 пользовательских вопросов безопасности в Центре администрирования Microsoft Entra.

Какова допустимая длина контрольных вопросов?

Контрольные вопросы должны содержать от 3 до 200 знаков.

Какова допустимая длина ответов на контрольные вопросы?

Ответы должны содержать от 3 до 40 знаков.

Можно ли использовать одинаковые ответы для разных контрольных вопросов?

Нет, одинаковые ответы для разных контрольных вопросов использовать нельзя.

Может ли пользователь зарегистрировать несколько одинаковых контрольных вопросов?

№ Если пользователь зарегистрировал определенный вопрос, он не сможет его еще раз зарегистрировать.

Можно ли задать минимальное количество контрольных вопросов для регистрации и сброса?

Да, можно задать одно ограничение для регистрации, а другое — для сброса. Может требоваться от трех до пяти контрольных вопросов для регистрации и столько же для сброса.

Я настроила политику, чтобы пользователи использовали вопросы безопасности для сброса, но администраторы Azure, кажется, настроены по-другому.**

Это ожидаемое поведение. По умолчанию для любой роли администратора Azure корпорация Майкрософт применяет строгую политику сброса паролей, разрешающую два способа ввода. Эта политика запрещает администраторам использовать вопросы безопасности. Дополнительные сведения об этой политике можно найти в политиках паролей и ограничениях в статье идентификатора Microsoft Entra.

Если пользователь зарегистрировал больше вопросов, чем необходимо для сброса, какие именно контрольные вопросы выбираются при сбросе?

Из общего числа контрольных вопросов, которые зарегистрировал пользователь, в случайном порядке выбираются N вопросов, где N — количество вопросов, необходимое для выполнения сброса. Например, если пользователь зарегистрировал пять контрольных вопросов, но для сброса пароля требуется только три, тогда в случайном порядке из пяти вопросов выбираются только три. Если пользователь неправильно отвечает, вопросы выбираются еще раз. Это позволяет предотвратить подбор ответов.

Сколько времени допустимы одноразовые секретные коды электронной почты и текстового сообщения?

Длительность сеанса сброса пароля — 15 минут. С начала операции сброса пароля у пользователя есть 15 минут на выполнение этой операции. Одноразовые секретные коды действительны в течение 5 минут во время сеанса сброса пароля.

Можно ли заблокировать пользователям возможность сброса пароля?

Да. Если вы используете группу для включения SSPR, то можно удалить отдельного пользователя из этой группы, и он не сможет сбросить пароль. Если пользователь является глобальным администратором, то он сохраняет возможность сбрасывать пароль, и это невозможно отключить.

Изменение пароля

Где пользователи могут изменять свои пароли?

Пользователи могут изменять пароли в любом расположении с изображением или значком своего профиля, например в верхнем правом углу на портале Office 365 или на панели доступа. Пользователи могут изменять пароли на странице профиля "Панель доступа". Пользователям также может быть предложено автоматически изменить пароли на странице входа в Microsoft Entra, если срок действия паролей истек. Наконец, пользователи могут перейти на портал изменений паролей Microsoft Entra непосредственно, если они хотят изменить свои пароли.

Могут ли мои пользователи получать уведомления на портале Office по истечении срока действия локального пароля?

Да. Это возможно при использовании служб федерации Active Directory (AD FS). Если вы используете AD FS, следуйте инструкциям в статье по отправке утверждений политики паролей с помощью служб AD FS. Если вы используете синхронизацию хэша паролей, тогда вы не сможете это настроить. Мы не синхронизируем политики паролей из локальных каталогов, поэтому мы не можем публиковать уведомления об истечении срока действия в облачных интерфейсах. В любом случае также возможно уведомлять пользователей, что срок действия их паролей скоро завершится, с помощью PowerShell.

Можно ли заблокировать пользователям возможность изменения пароля?

Для облачных пользователей эта возможность не блокируется. Для локальных пользователей можно включить параметр Запретить смену пароля пользователем. Выбранные пользователи не смогут изменить свой пароль.

Отчеты об управлении паролями

Через какое время данные отображаются в отчетах об управлении паролями?

Обычно данные появляются в отчетах об управлении паролями в течение 5–10 минут. Но иногда на это может уйти до одного часа.

Как отфильтровать отчеты об управлении паролями?

Отчеты можно фильтровать, выбрав значок маленькой лупы справа от заголовков столбцов в верхней части отчета. Для более сложной фильтрации откройте отчет в программе Excel и создайте сводную таблицу.

Каково максимальное число событий, которые хранятся в отчетах об управлении паролями?

В отчетах об управлении паролями хранится до 75 000 событий сброса паролей или событий регистрации сброса паролей за последние 30 дней. Мы работаем над тем, чтобы увеличить это количество.

Какой промежуток времени охватывают отчеты об управлении паролями?

Отчеты об управлении паролями включают операции за последние 30 дней. Сейчас, если вам нужно вести архив этих данных, их можно периодически скачивать и сохранять в отдельном месте.

Есть ли максимальное количество строк, которые могут отображаться в отчетах об управлении паролями?

Да. Каждый отчет может вмещать не более 75 000 строк — как в пользовательском интерфейсе, так и в скачанном файле.

Есть ли API для доступа к данным сброса паролей или регистрации данных отчетов?

Да, эти сведения можно получить из отчета о действиях способов проверки подлинности или API для получения действия по сбросу пароля. Можно также использовать API журналов аудита и отфильтровать их по событиям SSPR.

Компонент обратной записи паролей

Что происходит во время обратной записи паролей?

В статье Практическое руководство. Настройка компонента обратной записи паролей описано, что происходит при включении обратной записи паролей и как данные перемещаются через систему обратно в локальную среду.

Как быстро происходит обратная запись паролей? Существует ли задержка синхронизации, как при синхронизации хэша паролей?

Обратная запись паролей происходит мгновенно. Для этого используется синхронный конвейер, принцип работы которого принципиально отличается от синхронизации хэша паролей. При обратной записи паролей пользователи сразу узнают о результате сброса или смены пароля. Среднее время успешной операции обратной записи не превышает 500 мс.

Если локальная учетная запись отключена, повлияет ли это на учетную запись или доступ к облаку?

Если локальный идентификатор отключен, ваш облачный идентификатор и доступ также будут отключены в следующем интервале синхронизации через Microsoft Entra Подключение. По умолчанию синхронизация выполняется каждые 30 минут.

Если локальная учетная запись ограничена локальной политикой паролей Active Directory, будет ли эта политика распространяться на функцию SSPR при изменении пароля?

Да. Функция SSPR руководствуется локальной политикой паролей Active Directory. Эта политика включает стандартную политику паролей домена Active Directory, а также любые определенные детальные политики паролей, назначенные пользователю.

Для каких типов учетных записей работает обратная запись паролей?

Обратная запись паролей работает для учетных записей пользователей, синхронизированных с локальная служба Active Directory с идентификатором Microsoft Entra, включая федеративный, хэш паролей, синхронизированный и сквозной аутентификации пользователей.

Соблюдает ли компонент обратной записи паролей политики, применяемые к паролям в моем домене?

Да. Компонент обратной записи паролей соблюдает настройки срока действия пароля, журнала, сложности, фильтров и другие ограничения, установленные для паролей в локальном домене.

Защищен ли компонент обратной записи паролей? Насколько можно быть уверенным, что меня не взломают?

Да, компонент обратной записи паролей защищен. Дополнительные сведения о нескольких уровнях безопасности, реализованных в службе обратной записи паролей, см. в подразделе Модель безопасности обратной записи паролей раздела Обзор обратной записи паролей.

Следующие шаги