Варианты развертывания самостоятельного сброса паролей

Важно!

В сентябре 2022 г. корпорация Майкрософт объявила о прекращении поддержки сервера Многофакторной идентификации Azure. Начиная с 30 сентября 2024 г. развертывания сервера Многофакторной идентификации Azure больше не будут обслуживать запросы многофакторной проверки подлинности (MFA). Клиенты сервера Многофакторной идентификации Azure должны запланировать переход на использование пользовательских поставщиков MFA с MIM SSPR или Microsoft Entra SSPR вместо MIM SSPR.

Для новых клиентов, имеющих лицензию на Microsoft Entra ID P1 или P2, мы рекомендуем использовать Microsoft Entra самостоятельный сброс пароля, чтобы обеспечить взаимодействие с конечным пользователем. Microsoft Entra самостоятельного сброса пароля предоставляет пользователю возможность сброса собственного пароля как с веб-интерфейсом, так и с windows, а также поддерживает многие из возможностей MIM, включая альтернативную электронную почту и шлюзы Q&A. При развертывании Microsoft Entra самостоятельного сброса пароля можно настроить Microsoft Entra Connect для обратной записи новых паролей в AD DS, а службу уведомлений об изменении паролей MIM можно использовать для пересылки паролей в другие системы, например на сервер каталогов другого поставщика. Для развертывания MIM для управления паролями не требуется развертывать службу MIM или портал регистрации SSPR и портал сброса SSPR. Вместо этого можно выполнить следующие действия.

• Во-первых, если вам нужно отправлять пароли в каталоги, отличные от Microsoft Entra ID и AD DS, разверните синхронизацию MIM с соединителями для доменные службы Active Directory и любых дополнительных целевых систем, настройте MIM для управления паролями и разверните службу уведомлений о смене паролей.
• Затем, если вам нужно отправить пароли в каталоги, отличные от Microsoft Entra идентификатора, настройте Microsoft Entra Connect для записи новых паролей в AD DS.
• При необходимости можно предварительно зарегистрировать пользователей.
• Наконец, разверните Microsoft Entra самостоятельного сброса пароля для конечных пользователей.

Для существующих клиентов, которые ранее развернули Forefront Identity Manager (FIM) для самостоятельного сброса пароля и имеют лицензию на Microsoft Entra id P1 или P2, рекомендуется запланировать переход на Microsoft Entra самостоятельного сброса пароля. Вы можете перевести пользователей на Microsoft Entra самостоятельного сброса пароля без необходимости повторной регистрации, синхронизируя или задавая с помощью PowerShell альтернативный адрес электронной почты или номер мобильного телефона пользователя. После того как пользователи будут зарегистрированы для Microsoft Entra самостоятельного сброса пароля, портал сброса паролей FIM может быть выведен из эксплуатации.

Для клиентов, которые еще не развернули Microsoft Entra самостоятельного сброса пароля для своих пользователей, MIM также предоставляет порталы самостоятельного сброса паролей. По сравнению с FIM MIM 2016 включает в себя следующие возможности.

• Портал сброса паролей Self-Service MIM и экран входа в Windows позволяют пользователям разблокировать свои учетные записи без изменения паролей.

• В MIM добавлен новый шлюз проверки подлинности — "Телефонный шлюз". Это позволяет выполнять проверку подлинности пользователей по телефону через службу многофакторной проверки подлинности Microsoft Entra.

Сборки версии MIM 2016 до версии 4.5.26.0 полагались на то, что клиент скачивает устаревший пакет SDK, а существующие развертывания должны перейти на использование MIM SSPR с пользовательским поставщиком MFA или Microsoft Entra самостоятельного сброса пароля. Новые развертывания должны использовать настраиваемый поставщик MFA или Microsoft Entra самостоятельного сброса пароля.

Развертывание портала сброса паролей MIM Self-Service с помощью настраиваемого поставщика для многофакторной проверки подлинности

В следующем разделе описывается развертывание портала самостоятельного сброса пароля MIM с помощью поставщика для многофакторной проверки подлинности. Эти действия необходимы только для клиентов, которые не используют Microsoft Entra самостоятельного сброса пароля для своих пользователей.

С помощью MFA пользователи проходят проверку подлинности через внешнего поставщика, чтобы проверить свою личность при попытке восстановить доступ к учетной записи и ресурсам. Проверку подлинности можно выполнять с помощью SMS или по телефону Чем строже проверка подлинности, тем выше уверенность в том, что учетная запись действительно принадлежит пользователю, который пытается получить доступ. Пройдя проверку подлинности, пользователь может выбрать новый пароль на замену старому.

Необходимые условия для настройки самостоятельной разблокировки учетной записи и сброса пароля с использованием MFA

В этом разделе предполагается, что вы скачали Microsoft Identity Manager 2016, службу синхронизации MIM, службу MIM и портал MIM и завершили его развертывание, включая следующие компоненты и службы:

• Windows Server 2008 R2 или более поздней версии установлена на сервере Active Directory, включая доменные службы AD и контроллер домена с назначенным доменом (домен организации).

• Групповая политика, определенная для блокирования учетных записей

• Служба синхронизации MIM 2016 установлена и запущена на сервере, присоединенном к домену AD.

• Портал & службы MIM 2016, включая портал регистрации SSPR и портал сброса SSPR, устанавливаются и запускаются на сервере (могут размещаться совместно с синхронизацией).

• Служба синхронизации MIM настроена для синхронизации удостоверений AD-MIM, в том числе:

  • Настройка агента управления Active Directory (ADMA) для подключения к AD DS и возможности импорта данных удостоверения из службы Active Directory и экспорта в нее.

  • Настройка агента управления MIM (MIM MA) для подключения к базе данных службы FIM и возможности импорта данных удостоверения из базы данных FIM и экспорта их в нее.

  • Настройка правил синхронизации на портале MIM для синхронизации данных пользователей и выполнения действий на основе синхронизации в службе MIM.

• Надстройки MIM 2016 & расширения, включая интегрированный клиент входа Windows SSPR, развертываются на сервере или на отдельном клиентском компьютере.

Если вы используете Microsoft Entra многофакторной проверки подлинности, для этого сценария требуются клиентские лицензии MIM для пользователей, а также подписка для Microsoft Entra многофакторной проверки подлинности.

Подготовка MIM к работе с MFA

Настройка службы MIM Sync для поддержки сброса паролей и разблокирования учетных записей. Дополнительные сведения см. в статьях Installing the FIM Add-ins and Extensions (Установка надстроек и расширений FIM), Installing FIM SSPR (Установка SSPR для FIM), SSPR Authentication Gates (Шлюзы проверки подлинности SSPR) и в SSPR Test Lab Guide (Руководство по лаборатории тестирования SSPR).

Настройка телефонного шлюза или шлюза одноразового пароля по SMS

1. Запустите интернет-Обозреватель и перейдите на портал MIM, пройдите проверку подлинности от имени администратора MIM, а затем щелкните Рабочие процессы на панели навигации слева.

   

2. Установите флажок Рабочий процесс сброса пароля AuthN.

   

3. Откройте вкладку Действия и прокрутите вниз до команды Добавить действие.

4. Выберите Шлюз телефона или Шлюз SMS с одноразовым паролем , нажмите кнопку Выбрать , а затем нажмите кнопку ОК.

   Примечание

   При использовании другого поставщика, который создает сам одноразовый пароль, убедитесь, что указанное выше поле длины совпадает с длиной, созданной поставщиком MFA. Для сервера Многофакторной идентификации Azure эта длина должна составлять 6. Сервер Многофакторной идентификации Azure также создает собственный текст сообщения, поэтому sms-сообщение игнорируется.

Теперь пользователи в вашей организации могут регистрироваться для сброса пароля. Для этого пользователи должны будут указать номер рабочего или мобильного телефона, чтобы система могла позвонить им (или отправить СМС-сообщение).

Регистрация пользователей для сброса пароля

1. Пользователь запускает веб-браузер и переходит на портал регистрации для сброса пароля в службе MIM. (Обычно этот портал настраивается с помощью проверки подлинности Windows.) На портале пользователь указывает имя пользователя и пароль, чтобы подтвердить свою личность.

   Пользователи должны посетить портал регистрации паролей и пройти проверку подлинности с помощью своих имени пользователя и пароля.

2. В поле Номер телефона или Мобильный телефон необходимо ввести код страны, пробел и номер телефона, а затем нажать кнопку Далее.

   

   

Как это работает для пользователей?

Теперь, когда все настроено и запущено, вам может быть интересно, что приходится делать пользователю, если он сбросить свой пароль прямо перед отпуском, а затем вернется и поймет, что совсем забыл его.

Пользователь может сбросить пароль и разблокировать учетную запись двумя способами: на экране входа Windows или на портале самообслуживания.

После установки надстроек и расширений службы MIM на компьютере домена, который подключен через сеть организации к службе MIM, пользователи могут восстанавливать забытый пароль с рабочего стола своего компьютера. Следующие действия позволяют завершить указанный процесс.

Интегрированный сброс пароля через рабочий стол Windows

1. Если пользователь введет неправильный пароль несколько раз, на экране входа у него будет возможность щелкнуть Проблемы при входе в систему? .

   

   Эта ссылка ведет на экран сброса пароля MIM, где можно изменить пароль и разблокировать учетную запись.

   

2. Пользователь будет направлен на проверку подлинности. Если настроена многофакторная проверка подлинности, пользователь получит телефонный звонок.

3. В фоновом режиме поставщик MFA затем выполняет телефонный звонок на номер, который пользователь дал при регистрации в службе.

4. Когда пользователь отвечает на телефон, ему может быть предложено взаимодействовать, например, нажать на телефоне фунт-клавишу #. Затем пользователь нажимает на портале кнопку Далее.

   Если также настроить остальные шлюзы, пользователю будет предложено предоставить дополнительные сведения на последующих экранах.

   Примечание

   Если пользователь поспешит и нажмет кнопку Далее, предварительно не нажав кнопку #, то произойдет сбой проверки подлинности.

5. После успешной проверки подлинности пользователю будет предложено два варианта: разблокировать учетную запись, сохранив текущий пароль, или задать новый.

6. Затем пользователь должен ввести новый пароль дважды, после чего выполняется сброс пароля.

Доступ с портала самообслуживания

1. Пользователи могут открыть веб-браузер, перейти на портал сброса паролей, ввести имя пользователя и нажать кнопку Далее.

   Если настроена многофакторная проверка подлинности, пользователь получит телефонный звонок. В фоновом режиме происходит то, что Microsoft Entra многофакторной проверки подлинности, а затем выполняет телефонный звонок по номеру, который пользователь дал при регистрации в службе.

   Когда пользователь отвечает на звонок, ему будет предложено нажать на телефоне клавишу #. Затем пользователь нажимает на портале кнопку Далее.

2. Если также настроить остальные шлюзы, пользователю будет предложено предоставить дополнительные сведения на последующих экранах.

   Примечание

   Если пользователь поспешит и нажмет кнопку Далее, предварительно не нажав кнопку #, то произойдет сбой проверки подлинности.

3. Пользователю придется выбрать, нужно ли сбросить пароль или разблокировать свою учетную запись. Если пользователь решит разблокировать свою учетную запись, она будет разблокирована.

   

4. После успешной проверки подлинности пользователю будет предоставлено два варианта: сохранить текущий пароль или задать новый пароль.

5. 

6. Если пользователь выберет сброс пароля, потребуется ввести новый пароль дважды и нажать кнопку Далее, чтобы изменить пароль.