Руководство по Включение самостоятельного сброса пароля для разблокировки учетных записей или сброса паролей пользователями в Azure Active Directory

Самостоятельный сброс пароля (SSPR) в Azure Active Directory (AAD) позволяет пользователям изменить или сбросить пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована службой Azure AD или пользователь забыл пароль, он сможет выполнить разблокировку и вернуться к работе, выполнив несложные инструкции. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео для раздела Включение и настройка SSPR в Azure AD. Кроме того, у нас есть видео для ИТ-администраторов, где показано, как обрабатывать шесть распространенных сообщений об ошибках пользователей, связанных с SSPR.

Важно!

В этом учебнике описано, как администратор может включить самостоятельный сброс пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу Сброс пароля Microsoft Online.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

Из этого руководства вы узнаете, как выполнить следующие задачи:

  • Включение самостоятельного сброса пароля для группы пользователей AAD.
  • Настройка методов проверки подлинности и параметров регистрации
  • Тестирование процесса SSPR в качестве пользователя.

Предварительные требования

Для завершения работы с этим учебником требуются следующие ресурсы и разрешения:

  • Работающий клиент Azure AD, для которого включена по меньшей мере бесплатная или пробная лицензия Azure AD. На уровне "Бесплатный" SSPR работает только для пользователей облака в Azure AD. На уровне "Бесплатный" поддерживается изменение пароля, но не его сброс.
    • В последующих руководствах этой серии для локального компонента обратной записи паролей вам потребуется лицензия Azure AD Premium P1 или пробная лицензия.
    • При необходимости создайте бесплатно учетную запись Azure.
  • Учетная запись с привилегиями глобального администратора.
  • Пользователь без прав администратора, пароль которого вам известен, например testuser. В этом учебнике вы протестируете работу пользователей с SSPR, используя данную учетную запись.
  • Группа, в которую входит пользователь без прав администратора, например SSPR-Test-Group. В этом учебнике вы включите SSPR для данной группы.

Включение самостоятельного сброса пароля

AAD позволяет включить SSPR для никого, выбранных или всех пользователей. Эта детальная возможность позволяет выбрать подмножество пользователей для тестирования процесса регистрации и рабочего процесса SSPR. Если процесс для вас удобен и сейчас вы можете обеспечить соблюдение требований для более широкого набора пользователей, можно выбрать группу пользователей и включить для нее SSPR. Вы также можете включить SSPR для всех пользователей в клиенте AAD.

Примечание

В настоящее время для SSPR можно включить только для одной группы Azure AD с помощью портала Azure. Для более широкого развертывания SSPR служба Azure AD поддерживает вложенные группы.

В этом учебнике SSPR настраивается для набора пользователей в тестовой группе. Используйте группу SSPR-Test-Group и укажите свою собственную группу Azure AD, если это необходимо:

  1. Войдите на портал Azure, используя учетную запись с правами глобального администратора.

  2. Найдите и выберите Azure Active Directory, а затем раздел Сброс пароля в меню слева.

  3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля щелкните Выбор группы.

  4. Найдите и выберите свою группу AAD, например SSPR-Test-Group, а затем щелкните Выбрать.

    Выбор группы на портале Azure для включения самостоятельного сброса пароля

  5. Чтобы включить SSPR для выбранных пользователей, щелкните Сохранить.

Выбор методов проверки подлинности и настройка параметров регистрации

Когда пользователям необходимо разблокировать учетные записи или сбросить пароли, им предлагается другой метод подтверждения. Этот дополнительный фактор проверки подлинности гарантирует, что Azure AD завершил только утвержденные события SSPR. Вы можете выбрать методы проверки подлинности, которые следует разрешить, на основе сведений о регистрации, предоставляемых пользователем.

  1. На странице Методы проверки подлинности в меню слева задайте для параметра Число способов, необходимых для сброса значение 1.

    Чтобы повысить безопасность, можно увеличить число методов проверки подлинности, необходимых для SSPR.

  2. Выберите Способы, доступные пользователям, которые ваша организация собирается разрешить. Для работы с этим руководством установите флажки, чтобы включить следующие методы:

    • Уведомление мобильного приложения
    • Код мобильного приложения
    • Электронная почта
    • Мобильный телефон;

    Можно включить другие методы проверки подлинности, такие как Рабочий телефон или Контрольные вопросы, в соответствии с бизнес-требованиями.

  3. Чтобы применить методы проверки подлинности, щелкните Сохранить.

Чтобы пользователи могли разблокировать учетную запись или сбросить пароль, сначала они должны зарегистрировать свои контактные данные. Azure AD использует эти контактные данные для разных методов проверки подлинности, настроенных на предыдущих этапах.

Администратор может вручную указать эти контактные данные, или пользователи могут посетить портал регистрации и предоставить сведения. В этом руководстве вы настроите службу Azure AD, чтобы она запрашивала регистрацию у пользователей при следующем входе в систему.

  1. На странице Регистрация в меню слева выберите значение Да для параметра Требовать регистрацию пользователей при входе.

  2. Для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности выберите 180.

    Важно, чтобы контактные данные сохранялись в актуальном состоянии. Если контактная информация устарела, при запуске события SSPR, возможно, пользователь не сможет разблокировать учетную запись или сбросить пароль.

  3. Чтобы применить параметры регистрации, щелкните Сохранить.

Настройка уведомлений и изменение настроек

Чтобы информировать пользователей об операциях с учетной записью, можно настроить Azure AD на отправку электронных уведомлений о возникновении событий SSPR. Эти уведомления могут охватывать как обычные учетные записи пользователей, так и учетные записи администраторов. Для учетных записей администраторов это уведомление обеспечивает другой уровень осведомленности о сбросе пароля привилегированной учетной записи администратора с использованием SSPR. Azure AD будет уведомлять всех глобальных администраторов, когда кто-то использует SSPR в учетной записи администратора.

  1. На странице Уведомления в меню слева настройте следующие параметры.

    • Для параметра Уведомлять пользователей о сбросе пароля выберите Да.
    • Для параметра Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли установите Да.
  2. Чтобы применить настройки уведомлений, щелкните Сохранить.

Если пользователям требуется дополнительная помощь по процессу SSPR, можно настроить ссылку "Обратитесь к администратору". Пользователь может использовать эту ссылку при регистрации SSPR, когда снимает блокировку с учетной записи или сбрасывает пароль. Чтобы гарантировать, что пользователи получат необходимую поддержку, настоятельно рекомендуется предоставить электронную почту или URL-адрес нестандартной службы технической поддержки.

  1. На странице Настройка в меню слева задайте для параметра Настроить ссылку на службу технической поддержки значение Да.
  2. В поле Адрес электронной почты или URL-адрес нестандартной службы технической поддержки укажите адрес электронной почты или URL-адрес веб-страницы, с помощью которых пользователи смогут получить дополнительную поддержку от вашей организации, например https://support.contoso.com/
  3. Чтобы применить настроенную ссылку, выберите Сохранить.

Тестирование самостоятельного сброса пароля

После включения и настройки SSPR протестируйте процесс SSPR с пользователем, который входит в группу, выбранную в предыдущем разделе, например Test-SSPR-Group. В следующем примере используется учетная запись testuser. Укажите собственную учетную запись пользователя. Она входит в группу, для которой включен SSPR в первом разделе этого учебника.

Примечание

При тестировании самостоятельного сброса пароля используйте учетную запись без прав администратора. По умолчанию Azure AD активирует самостоятельный сброс пароля для администраторов. Для сброса своих паролей им нужно использовать два метода проверки подлинности. Дополнительные сведения см. в разделе Различия политики сброса администратора.

  1. Чтобы просмотреть процесс регистрации вручную, откройте новое окно браузера в приватном режиме или режиме инкогнито и перейдите по адресу https://aka.ms/ssprsetup. Azure AD направит пользователей на этот портал регистрации при их следующем входе.

  2. Войдите, используя данные тестового пользователя без прав администратора, например testuser, и зарегистрируйте свою контактную информацию для методов проверки подлинности.

  3. После завершения щелкните Все правильно и закройте окно браузера.

  4. Откройте новое окно браузера в анонимном или приватном режиме и перейдите по адресу https://aka.ms/sspr.

  5. Введите данные учетной записи тестового пользователя без прав администратора, например testuser, символы из CAPTCHA, а затем нажмите кнопку Далее.

    Ввод сведений учетной записи пользователя для сброса пароля

  6. Выполните шаги подтверждения для сброса пароля. По завершении вы получите уведомление по электронной почте о том, что пароль сброшен.

Очистка ресурсов

В следующем учебнике этой серии описывается настройка компонента обратной записи паролей. Эта функция записывает изменения паролей в ходе SSPR в AAD обратно в локальную среду AD. Если вы хотите продолжить работу с этой серией учебников, чтобы настроить компонент обратной записи паролей, не отключайте SSPR сейчас.

Если вы больше не хотите использовать настройки SSPR, которые вы выполнили в рамках этого учебника, установите для состояния SSPR значение Нет, выполнив следующие действия:

  1. Войдите на портал Azure.
  2. Найдите и выберите Azure Active Directory, а затем раздел Сброс пароля в меню слева.
  3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля выберите значение Нет.
  4. Чтобы применить изменения SSPR, щелкните Сохранить.

Часто задаваемые вопросы

В этом разделе описываются распространенные вопросы от администраторов и пользователей, которые пытаются выполнить самостоятельный сброс пароля:

  • Почему федеративным пользователям необходимо ждать до 2 минут после появления сообщения Ваш пароль сброшен, прежде чем использовать пароли, синхронизированные из локальной среды?

    Для федеративных пользователей, пароли которых синхронизированы, источником полномочий для паролей является локальная среда. В результате SSPR обновляет только локальные пароли. Обратная синхронизация хэша паролей в Azure AD запланирована на каждые 2 минуты.

  • Когда недавно созданный пользователь, профиль которого предварительно заполняется данными SSPR, например телефоном и электронной почтой, посещает страницу регистрации SSPR, в заголовке страницы появляется сообщение Не теряйте доступ к своей учетной записи! . Почему другие пользователи, у которых нет предварительно заполненных данных SSPR, видят это сообщение?

    Пользователь, который видит сообщение Не теряйте доступ к вашей учетной записи! , является членом SSPR / объединенных регистрационных групп, настроенных для арендатора. Пользователи, которые не видят сообщение Не теряйте доступ к вашей учетной записи! , не входят в SSPR / объединенные группы регистрации.

  • Во время процесса SSPR и сброса пароля для некоторых пользователей не отображается индикатор надежности пароля. С чем это связано?

    Пользователи, которые не видят статус пароля "Слабый/Надежный", имеют синхронизированный компонент обратной записи паролей. И, поскольку SSPR не может определить политику паролей в локальной среде клиента, ей также не удастся проверить пароль на надежность или слабость.

Дальнейшие действия

В этом учебнике вы включили самостоятельный сброс пароля в AAD для выбранной группы пользователей. Вы ознакомились с выполнением следующих задач:

  • Включение самостоятельного сброса пароля для группы пользователей AAD.
  • Настройка методов проверки подлинности и параметров регистрации
  • Тестирование процесса SSPR в качестве пользователя.