Viktigt

På grund av ett meddelande om utfasning av Azure Multi-Factor Authentication SDK.Due to the announcement of Deprecation of Azure Multi-Factor Authentication Software Development Kit. Azure MFA SDK ska ha stöd för befintliga kunder fram till datumet för tillbakadragandet av 14 November 2018.The Azure MFA SDK will be supported for existing customers up until the retirement date of November 14, 2018. Nya kunder och aktuella kunder kommer inte att hämta SDK längre via den klassiska Azure-portalen.New customers and current customers will be unable to download SDK anymore via the Azure classic portal. Om du vill hämta du behöver nå ut till Azure kundsupport för att ta emot dina autentiseringsuppgifter för MFA-paketet.To download you will need to reach out to Azure customer support to receive your generated MFA Service Credentials package.
Utvecklingsgruppen Microsoft arbetar på Planering av MFA ändringar genom att integrera med MFA-serverns SDK. Detta tas med i kommande snabbkorrigeringen i tidig 2018.The Microsoft development team is working on planning changes to the MFA by integrating with MFA Server SDK.This will be included in upcoming hotfix in early 2018.

Arbeta med självbetjäning för återställning av lösenordWorking with Self-Service Password Reset

Microsoft Identity Manager 2016 innehåller ytterligare funktioner för återställning av lösenord via självbetjäning.Microsoft Identity Manager 2016 provides additional functionality to the Self Service Password Reset feature. Den här funktionen har förbättrats med flera viktiga funktioner:This functionality has been enhanced with several important features:

  • Portalen för självbetjäning för återställning av lösenord och Windows inloggningssida ger nu användarna möjlighet att låsa upp sina konton utan att ändra lösenord eller kontakta support.The Self-Service Password Reset portal and Windows Log In screen now let users unlock their accounts without changing their passwords or calling support administrators. Det finns många legitima orsaker till att användare spärras, som att de anger ett gammalt lösenord, använder en dator eller ett tangentbord med fel språk inställt eller att de försöker logga in på en delad arbetsstation där någon annan redan är inloggad.Users can get locked out of their accounts for many legitimate reasons, like if they enter an old password, use bilingual computers and have the keyboard set to the wrong language, or attempt to log into a shared workstation already open to someone else's account.

  • En ny autentiseringsgate, telefonporten, har lagts till.A new authentication gate, Phone Gate, was added. Den ger möjlighet till användarautentisering via ett telefonsamtal.This enables user authentication via telephone call.

  • Det finns numera även stöd för tjänsten Microsoft Azure Multi-Factor Authentication (MFA)Support has been added for Microsoft Azure Multi-Factor Authentication (MFA) service. Den kan användas antingen för den befintliga SMS-gaten för engångslösenord eller den nya telefonporten.This can be used for either the existing SMS One-Time-Password Gate or the new Phone Gate.

Azure för multifaktorautentiseringAzure for Multi-Factor Authentication

Microsoft Azure Multi-Factor Authentication är en autentiseringstjänst där användare måste bekräfta sina inloggningsförsök via en mobilapp, ett telefonsamtal eller SMS.Microsoft Azure Multi-Factor Authentication is an authentication service that requires users to verify their sign-in attempts with a mobile app, phone call, or text message. Den är tillgänglig för användning med Microsoft Azure Active Directory och som en tjänst för molnprogram och lokala företagsprogram.It is available to use with Microsoft Azure Active Directory, and as a service for cloud and on-prem enterprise applications.

Azure MFA ger en extra autentiseringsmetod som kan förstärka befintliga autentiseringsprocesser, t.ex. den som utförs av MIM för hjälp vid inloggning via självbetjäning.Azure MFA provides an additional authentication mechanism that can reinforce existing authentication processes, such as the one carried out by MIM for self-service login assistance.

När Azure MFA används autentiseras användare i systemet för att verifiera deras identitet när de försöker att komma åt sina konton och sina resurser.When using Azure MFA, users authenticate with the system in order to verify their identity while trying to regain access to their account and resources. Autentisering kan genomföras via SMS eller telefon.Authentication can be via SMS or via telephone call. Ju starkare autentisering, desto troligare är det att den som begär åtkomst verkligen är den användare som äger identiteten.The stronger the authentication, the higher the confidence that the person trying to gain access is indeed the real user who owns the identity. Användaren kan välja ett nytt lösenord för att ersätta det gamla när autentiseringen är klar.Once authenticated, the user can choose a new password to replace the old one.

Krav för att konfigurera upplåsning och lösenordsåterställning för självbetjäningskonton med MFAPrerequisites to set up self-service account unlock and password reset using MFA

Det här avsnittet förutsätter att du har hämtat och slutfört distributionen av Microsoft Identity Manager 2016, inklusive följande komponenter och tjänster:This section assumes that you have downloaded and completed the deployment of the Microsoft Identity Manager 2016, including the following components and services:

  • En Windows Server 2008 R2 eller senare som har konfigurerats som en Active Directory-server med AD-domäntjänster och domänkontrollant som har en angiven domän (en företagsdomän)A Windows Server 2008 R2 or later has been set up as an Active Directory server including AD Domain Services and Domain Controller with a designated domain (a “corporate” domain)

  • En grupprincip har definierats för kontoutelåsningA Group Policy is defined for Account lockout

  • Synkroniseringstjänsten (Synk) för MIM 2016 har installerats och körs på en server som är domänansluten till AD-domänenMIM 2016 Synchronization Service (Sync) is installed and running on a server that is domain-joined to the AD domain

  • MIM 2016-tjänstens & portaler, inklusive SSPR-portalen för registrering och SSPR-portalen för återställning, är installerade och körs på en server (kan samordnas genom Synk)MIM 2016 Service & Portal including the SSPR Registration Portal and the SSPR Reset Portal, are installed and running on a server (could be co-located with Sync)

  • MIM-synkronisering har konfigurerats för AD-MIM-identitetssynkronisering, inklusive:MIM Sync is configured for AD-MIM identity synchronization, including:

    • Konfigurering av hanteringsagenten för Active Directory (ADMA) för anslutning till AD DS och möjlighet att importera identitetsdata från, och exportera dem till, Active Directory.Configuring the Active Directory Management Agent (ADMA) for connectivity to AD DS and capability to import identity data from and export it to Active Directory.

    • Konfigurering av MIM Management Agent (MIM MA) för anslutning till FIM-tjänstdatabasen och möjlighet att importera identitetsdata från, och exportera dem till, FIM-databasen.Configuring the MIM Management Agent (MIM MA) for connectivity to FIM Service DB and capability to import identity data from and export it to the FIM database.

    • Konfigurering av synkroniseringsregler i MIM-portalen för att tillåta synkronisering av användardata och förenkla synkroniseringsbaserade aktiviteter i MIM-tjänsten.Configuring Synchronization Rules in the MIM Portal to allow user data synchronization and facilitate sync-based activities in the MIM Service.

  • MIM 2016-tillägg och förlängningar, inklusive den klient som är integrerad med SSPR för Windows-inloggning, distribueras på servern eller på en separat klientdator.MIM 2016 Add-ins & Extensions including the SSPR Windows Login integrated client is deployed on the server or on a separate client computer.

Förbereda MIM för integrering med multifaktorautentiseringPrepare MIM to work with multi-factor authentication

Konfigurera MIM-synkronisering för att ge stöd för funktionerna lösenordsåterställning och kontoupplåsning.Configure MIM Sync to Support Password Reset and Account Unlock Functionality. Mer information finns i Installera FIM-tillägg och förlängningar, Installera FIM SSPR, SSPR-autentiseringsgater och SSPR Test Lab-guideFor more information, see Installing the FIM Add-ins and Extensions, Installing FIM SSPR, SSPR Authentication Gates and the SSPR Test Lab Guide

I nästa avsnitt ställer du in Azure MFA-leverantören i Microsoft Azure Active Directory.In the next section, you will set up your Azure MFA provider in Microsoft Azure Active Directory. Som en del av detta genererar du en fil som innehåller de autentiseringsuppgifter MFA kräver för att kunna kontakta Azure MFA.As part of this, you’ll generate a file that includes the authentication material which MFA requires to be able to contact Azure MFA. För att kunna fortsätta behöver du ett Azure-abonnemang.In order to proceed, you will need an Azure subscription.

Registrera din leverantör av multifaktorautentiseringstjänsten i AzureRegister your multi-factor authentication provider in Azure

  1. Gå till Azures klassiska portal och logga in som administratör för ett Azure-abonnemang.Go to the Azure classic portal and sign in as an Azure subscription administrator.

  2. Klicka på Ny längst ned till vänster.In the bottom left hand corner, click New.

  3. Klicka på Apptjänster > Active Directory > Leverantör av multifaktorautent. > Snabbregistrering.Click App Services > Active Directory > Multi-Factor Auth Provider > Quick Create.

Azure portaler snabbt skapa bild av MFA

  1. I fältet Namn anger du SSPRMFA och klickar sedan på Skapa.In the Name field enter SSPRMFA, then click Create.

Bild av MFA i Azure-portalen

  1. Klicka på Active Directory på den klassiska portalmenyn i Azure och klicka sedan på fliken Leverantör av multifaktorautent. .Click Active Directory in the Azure classic portal menu, and then click the Multi-Factor Auth Providers tab.

  2. Klicka på SSPRMFA och sedan på Hantera längst ner på skärmen.Click on SSPRMFA and then click Manage at the bottom of the screen.

    Hanteringsikon för Azure-portalen

  3. I vänsterpanelen i det nya fönstret, under Konfigurera klickar du på Inställningar.In the new window, on the left panel under Configure, click on Settings.

  4. Under bedrägeriförsök, avmarkera ** Blockera användare när bedrägeri rapporteras.Under Fraud Alert, uncheck **Block user when fraud is reported. Syftet med detta är att förhindra att hela tjänsten spärras.This is done in order to prevent blocking the entire service.

  5. I det Azure Multi-Factor Authentication-fönster som öppnas klickar du på SDK under Hämtade filer på menyn till vänster.In the Azure Multi-Factor Authentication window that opens, click SDK under Downloads in the menu at the left.

  6. Klicka på länken Hämta i ZIP-kolumnen för filen med språket SDK för ASP.net 2.0 C#.Click the Download link in the ZIP column for the file with language SDK for ASP.net 2.0 C#.

    ZIP-filsbild för hämtning i Azure MFA

  7. Kopiera den skapade ZIP-filen till alla system där MIM-tjänsten är installerad.Copy the resulting ZIP file to each system where MIM Service is installed. Observera att ZIP-filen innehåller nyckeluppgifter som används vid autentisering via Azure MFA-tjänsten.Please be aware that the ZIP file contains keying material which is used to authenticate to the Azure MFA service.

Uppdatera konfigurationsfilenUpdate the configuration file

  1. Logga in på datorn där MIM-tjänsten finns installerad som den användare som installerade MIM.Sign into the computer where MIM Service is installed, as the user who installed MIM.

  2. Skapa en ny katalogmapp direkt under den katalog där MIM-tjänsten installerades, t.ex. C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.Create a new directory folder located below the directory where the MIM Service was installed, such as C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts.

  3. Använd Windows Explorer och navigera till mappen \pf\certs i ZIP-filen som hämtades i föregående avsnitt och kopiera filen cert_key.p12 till den nya katalogen.Using Windows Explorer, navigate into the \pf\certs folder of the ZIP file downloaded in the previous section, and copy the file cert_key.p12 to the new directory.

  4. Gå till mappen \pf i SDK-zipfilen och öppna filen pf_auth.cs.In the SDK zip file, in the folder \pf, open the file pf_auth.cs.

  5. Leta upp de här tre parametrarna: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.Find these three parameters: LICENSE_KEY, GROUP_KEY, CERT_PASSWORD.

    pf_auth.cs code image

  6. I C:\Program Files\Microsoft Forefront Identity Manager\2010\Service öppnar du filen: MfaSettings.xml.In C:\Program Files\Microsoft Forefront Identity Manager\2010\Service, open the file: MfaSettings.xml.

  7. Kopiera värdena från LICENSE_KEY, GROUP_KEY, CERT_PASSWORD-parametrarna i filen pf_aut.cs till deras respektive xml-element i filen MfaSettings.xml.Copy the values from the LICENSE_KEY, GROUP_KEY, CERT_PASSWORD parameters in the pf_aut.cs file into their respective xml elements in the MfaSettings.xml file.

  8. Extrahera filen cert_key.p12 under \pf\certs i SDK-zipfilen och ange den fullständiga sökvägen till den i <CertFilePath> xml-elementet i filen MfaSettings.xml.In the SDK zip file, under \pf\certs, extract the file cert_key.p12 and enter the full path to it in the MfaSettings.xml file into the <CertFilePath> xml element.

  9. Ange ett valfritt användarnamn i elementet <username>.In the <username> element enter any username.

  10. Ange din standardlandskod i elementet <DefaultCountryCode>.In the <DefaultCountryCode> element enter your default country code. Om telefonnummer registreras för användare utan landskod kommer de tilldelas denna landskod.In case phone-numbers are registered for users without a country code, this is the country code they will get. Om en användare har en internationell landskod ska denna inkluderas i det registrerade telefonnumret.In case a user has an international country code, it has to be included in the registered phone number.

  11. Spara filen MfaSettings.xml med samma namn och på samma plats.Save the MfaSettings.xml file with the same name in the same location.

Konfigurera telefonporten eller SMS-gaten för engångslösenordConfigure the Phone gate or the One-Time Password SMS Gate

  1. Starta Internet Explorer och navigera till MIM-portalen, autentisera dig som MIM-administratör och klicka sedan på Arbetsflöden i det vänstra navigeringsfältet.Launch Internet Explorer and navigate to the MIM Portal, authenticating as the MIM administrator, then click on Workflows in the left hand navigation bar.

    Bild av navigering i MIM-portalen

  2. Markera Återställning av lösenord för AuthN-arbetsflöde.Check Password Reset AuthN Workflow.

    Bild av Arbetsflöden i MIM-portalen

  3. Klicka på fliken Aktiviteter och bläddra till Lägg till aktivitet.Click on the Activities tab and then scroll down to Add Activity.

  4. Välj Telefonport eller SMS-gate för engångslösenord, klicka på Välj och sedan på OK.Select Phone Gate or One-Time Password SMS Gate click Select and then OK.

Användare i din organisation kan nu registrera sig för att få sina lösenord återställda.Users in your organization can now register for password reset. Som en del av denna process får de ange sitt telefonnummer till arbetet eller sitt mobiltelefonnummer så att systemet vet hur det ska ringa upp dem (eller skicka SMS).During this process, they will enter their work phone number or mobile phone number so the system knows how to call them (or send them SMS messages).

Registrera användare för lösenordsåterställningRegister users for password reset

  1. En användare kommer att starta en webbläsare och navigera till MIM återställa Lösenordsregistreringsportal.A user will launch a web browser and navigate to the MIM Password Reset Registration Portal. (Normalt konfigureras den här portalen med Windows-autentisering).(Typically this portal will be configured with Windows authentication). I portalen får de uppge sitt användarnamn och lösenord igen för att bekräfta sin identitet.Within the portal, they will provide their username and password again to confirm their identity.

    De måste gå till portalen för lösenordsregistrering och autentiseras med sitt användarnamn och lösenordThey need to enter the Password Registration Portal and authenticate using their username and password.

  2. I fältet Telefonnummer eller Mobiltelefon anger de en landskod, mellanslag och sedan telefonnumret och klickar på Nästa.In the Phone Number or Mobile Phone field, they have to enter a country code, a space, and the phone number and click Next.

    Bild av MIM telefonverifiering

    Bild av MIM mobiltelefonsverifiering

Hur fungerar det för användarna?How does it work for your users?

Nu när allting har konfigurerats och körs kanske du vill se vilken procedur användarna får gå igenom om de återställer sitt lösenord strax innan en ledighet och upptäcker att de glömt sitt lösenord när de kommer tillbaka från ledigheten.Now that everything is configured and it’s running, you might want to know what your users are going to have to go through when they reset their passwords right before a vacation and come back only to realize that they completely forgot their passwords.

Användare kan komma åt funktionerna för lösenordsåterställning och kontoupplåsning på två sätt, antingen genom Windows inloggningssida eller via självbetjäningsportalen.There are two ways a user can use the password reset and account unlock functionality, either from the Windows sign-in screen, or from the self-service portal.

Genom att installera MIM-tillägg och -förlängningar på en domänansluten dator som är ansluten till MIM-tjänsten via din organisations nätverk, kan användare återställa ett lösenord de har glömt från platsen för inloggning till skrivbordsmiljön.By installing the MIM Add-ins and Extensions on a domain joined computer connected over your organizational network to the MIM Service, users can recover from a forgotten password at the desktop login experience. Följande steg hjälper dig genom processen.The following steps will walk you through the process.

Windows lösenordsåterställning vid inloggning till skrivbordsmiljönWindows desktop login integrated password reset

  1. Om användarna anger fel lösenord flera gånger kan de klicka på Problem att logga in?If your user enters the wrong password several times, in the sign-in screen, they will have the option to click Problems logging in? ..

    Bild av inloggningssidan

    Genom att klicka på den här länken kommer de vidare till sidan för MIM lösenordsåterställning där de kan ändra sitt lösenord eller låsa upp sitt konto.Clicking this link will take them to the MIM Password Reset screen where they can change their password or unlock their account.

    Bild av MIM lösenordsåterställning

  2. Användaren styrs till att autentiseras.The user will be directed to authenticate. Om MFA har konfigurerats får användaren ett telefonsamtal.If MFA was configured, the user will receive a phone call.

  3. I bakgrunden är vad som händer att Azure MFA platser ett telefonsamtal till det nummer användaren gav när de registrerat dig för tjänsten.In the background, what’s happening is that Azure MFA then places a phone call to the number the user gave when they signed up for the service.

  4. Användare som svarar i telefonen blir ombedda att trycka på fyrkant, #, på telefonen.When a user answers the phone, they will be asked to press the pound key # on the phone. Användaren klickar sedan på Nästa i portalen.Then the user clicks Next in the portal.

    Om du även konfigurerar andra portar uppmanas användaren att ange mer information på de efterföljande sidorna.If you set up other gates as well, the user will be asked to provide more information in subsequent screens.

    Anteckning

    Autentiseringen misslyckas om användare råkar trycka på Nästa innan de har tryckt på fyrkant, #.If the user is impatient and clicks Next before pressing the pound key #, authentication fails.

  5. Efter en lyckad autentisering får användaren två alternativ, antingen att låsa upp kontot och behålla det nuvarande lösenordet eller att ange ett nytt lösenord.After successful authentication, the user will be given two options, either unlock the account and keep the current password or to set a new password.

  6. Användaren får sedan ange sitt nya lösenord två gånger och lösenordet återställs.Then the user has to enter a new password twice, and the password is reset.

Åtkomst från självbetjäningsportalenAccess from the self-service portal

  1. Användaren kan öppna en webbläsare, navigera till portalen för återställning av lösenord, ange sitt lösenord och klicka på Nästa.Users can open a web browser, navigate to the Password Reset Portal and enter their username and click Next.

    Om MFA har konfigurerats får användaren ett telefonsamtal.If MFA was configured, the user will receive a phone call. I bakgrunden är vad som händer att Azure MFA platser ett telefonsamtal till det nummer användaren gav när de registrerat dig för tjänsten.In the background, what’s happening is that Azure MFA then places a phone call to the number the user gave when they signed up for the service.

    Användare som svarar i telefonen uppmanas att trycka på fyrkant, #, på telefonen.When a user answers the phone, he will be asked to press the pound key # on the phone. Användaren klickar sedan på Nästa i portalen.Then the user clicks Next in the portal.

  2. Om du även konfigurerar andra portar uppmanas användaren att ange mer information på de efterföljande sidorna.If you set up other gates as well, the user will be asked to provide more information in subsequent screens.

    Anteckning

    Autentiseringen misslyckas om användare råkar trycka på Nästa innan de har tryckt på fyrkant, #.If the user is impatient and clicks Next before pressing the pound key #, authentication fails.

  3. Användaren måste välja mellan att återställa sitt lösenord eller låsa upp kontot.The user will have to choose if he wants to reset his password or unlock his account. Om han eller hon väljer att låsa upp sitt konto, blir kontot upplåst.If he chooses to unlock his account, the account will be unlocked.

    Bild av MIM inloggningsassistent för kontoupplåsning

  4. Efter en lyckad autentisering har användaren två alternativ: antingen att behålla det nuvarande lösenordet eller ange ett nytt.After successful authentication, the user will be given two options, either to keep his current password or to set a new password.

  5. Bild av lyckad kontoupplåsning

  6. Om användare väljer att återställa sitt lösenord måste de skriva in sitt nya lösenord två gånger och klicka på Nästa för att ändra lösenordet.If the user chooses to reset their password, they will have to type in a new password twice and click Next to change the password.

    Bild av MIM inloggningsassistent för lösenordsåterställning