Nasıl çalışır: Microsoft Entra self servis parola sıfırlama
Microsoft Entra self servis parola sıfırlama (SSPR), kullanıcılara yönetici veya yardım masası katılımı olmadan parolalarını değiştirme veya sıfırlama olanağı sağlar. Bir kullanıcının hesabı kilitliyse veya parolasını unutursa, engelini kaldırmak ve işe geri dönmek için istemleri izleyebilir. Bu özellik, kullanıcı cihazında veya uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. Microsoft Entra Id'de SSPR'yi etkinleştirme ve yapılandırma hakkında bu video önerilir.
Önemli
Bu kavramsal makalede, bir yöneticiye self servis parola sıfırlamanın nasıl çalıştığı açıklanmaktadır. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.
BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.
Parola sıfırlama işlemi nasıl çalışır?
Bir kullanıcı SSPR portalını kullanarak parolasını sıfırlayabilir veya değiştirebilir. Öncelikle istenen kimlik doğrulama yöntemlerini kaydetmiş olmaları gerekir. Bir kullanıcı SSPR portalına eriştiğinde, Microsoft Entra Id platformu aşağıdaki faktörleri dikkate alır:
- Sayfa nasıl yerelleştirilmelidir?
- Kullanıcı hesabı geçerli mi?
- Kullanıcı hangi kuruluşa üye?
- Kullanıcının parolası nerede yönetilir?
Kullanıcı bir uygulamadan veya sayfadan hesabınıza erişemiyor bağlantısını seçtiğinde veya doğrudan https://aka.ms/sspradresine gittiğinde, SSPR portalında kullanılan dil aşağıdaki seçeneklere bağlıdır:
- Varsayılan olarak, tarayıcı yerel ayarı SSPR'yi uygun dilde görüntülemek için kullanılır. Parola sıfırlama deneyimi, Microsoft 365'in desteklediği dillerle yerelleştirilir.
- Belirli bir yerelleştirilmiş dilde SSPR'ye bağlanmak istiyorsanız, gerekli yerel ayar ile birlikte parola sıfırlama URL'sinin sonuna ekleyin
?mkt=.- Örneğin, İspanyolca es-us yerel ayarını belirtmek için kullanınhttps://passwordreset.microsoftonline.com/?mkt=es-us
?mkt=es-us- .
- Örneğin, İspanyolca es-us yerel ayarını belirtmek için kullanınhttps://passwordreset.microsoftonline.com/?mkt=es-us
SSPR portalı gerekli dilde görüntülendikten sonra kullanıcıdan bir kullanıcı kimliği girmesi ve bir captcha geçirmesi istenir. Microsoft Entra Id artık aşağıdaki denetimleri yaparak kullanıcının SSPR'yi kullanabileceğini doğrular:
- Kullanıcının SSPR'yi etkinleştirdiğini denetler.
- Kullanıcı SSPR için etkinleştirilmemişse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.
- Kullanıcının hesaplarında yönetici ilkesine uygun olarak tanımlanmış doğru kimlik doğrulama yöntemlerine sahip olduğunu denetler.
- İlke yalnızca bir yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az biri için tanımlanmış uygun verilere sahip olup olmadığını denetleyin.
- Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlaması için yöneticisine başvurması tavsiye edilir.
- İlke iki yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az ikisi için tanımlanmış uygun verilere sahip olup olmadığını denetleyin.
- Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlaması için yöneticisine başvurması tavsiye edilir.
- Kullanıcıya bir Azure yönetici rolü atanırsa, güçlü iki kapılı parola ilkesi zorlanır. Daha fazla bilgi için bkz. Yönetici istrator reset policy differences.
- İlke yalnızca bir yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az biri için tanımlanmış uygun verilere sahip olup olmadığını denetleyin.
- Kullanıcının parolasının şirket içinde yönetilip yönetilmediğini denetler. Örneğin, Microsoft Entra kiracısı federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlemesi kullanıyorsa:
- SSPR geri yazma yapılandırılırsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcının kimliğini doğrulamasına ve parolasını sıfırlamasına izin verilir.
- SSPR geri yazma dağıtılmazsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.
Önceki tüm denetimler başarıyla tamamlanırsa, kullanıcıya parolasını sıfırlama veya değiştirme işlemi boyunca yol gösterilir.
Not
SSPR, parola sıfırlama işleminin bir parçası olarak kullanıcılara e-posta bildirimleri gönderebilir. Bu e-postalar, birkaç bölgede etkin-etkin modda çalışan SMTP geçiş hizmeti kullanılarak gönderilir.
SMTP geçiş hizmetleri e-posta gövdesini alır ve işler, ancak depolamaz. Müşteri tarafından sağlanan bilgileri içerebilecek SSPR e-postasının gövdesi SMTP geçiş hizmeti günlüklerinde depolanmaz. Günlükler yalnızca protokol meta verilerini içerir.
SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:
Kullanıcıların oturum açarken kaydolmasını gerektir
Microsoft Entra Id kullanarak herhangi bir uygulamada oturum açmak için modern kimlik doğrulaması veya web tarayıcısı kullanan bir kullanıcının SSPR kaydını tamamlamasını zorunlu tutma seçeneğini etkinleştirebilirsiniz. Bu iş akışı aşağıdaki uygulamaları içerir:
- Microsoft 365
- Microsoft Entra yönetim merkezi
- Erişim Paneli
- Federasyon uygulamaları
- Microsoft Entra Id kullanan özel uygulamalar
Kayıt gerektirmediğinizde, kullanıcılar oturum açma sırasında istenmez, ancak el ile kaydolabilir. Kullanıcılar Erişim Paneli Profil sekmesinin altındaki Parola sıfırlamaya kaydol bağlantısını ziyaret https://aka.ms/ssprsetup edebilir veya seçebilir.
! [Microsoft Entra yönetim merkezinde SSPR için kayıt seçenekleri] [Kayıt]
Not
Kullanıcılar iptal et'i seçerek veya pencereyi kapatarak SSPR kayıt portalını kapatabilir. Ancak, kayıt işlemlerini tamamlayana kadar her oturum açtıklarında kaydolmaları istenir.
SSPR'ye kaydolmaya yönelik bu kesme, kullanıcının zaten oturum açmışsa bağlantısını kesmez.
Kimlik doğrulama bilgilerini yeniden doğrulama
Kimlik doğrulama yöntemlerinin parolalarını sıfırlaması veya değiştirmesi gerektiğinde doğru olduğundan emin olmak için, kullanıcıların bilgileri kayıtlı bilgilerini belirli bir süre sonra onaylamasını zorunlu kılabilirsiniz. Bu seçenek yalnızca Kullanıcıların oturum açarken kaydolmasını gerektir seçeneğini etkinleştirdiğinizde kullanılabilir.
Bir kullanıcıdan kayıtlı yöntemlerinin 0 ila 730 gün olduğunu onaylamasını isteyen geçerli değerler. Bu değeri 0 olarak ayarlamak, kullanıcıların kimlik doğrulama bilgilerini asla onaylamalarının istenmeyeceğini gösterir. Birleşik kayıt deneyimini kullanırken, kullanıcıların bilgilerini yeniden onaylamadan önce kimliklerini onaylamaları gerekir.
Kimlik doğrulama yöntemleri
Bir kullanıcı SSPR için etkinleştirildiğinde en az bir kimlik doğrulama yöntemi kaydetmesi gerekir. Kullanıcılarınızın ihtiyaç duyduklarında bir yönteme erişememesi durumunda daha fazla esnekliğe sahip olması için iki veya daha fazla kimlik doğrulama yöntemi seçmenizi kesinlikle öneririz. Daha fazla bilgi için bkz . Kimlik doğrulama yöntemleri nelerdir?.
SSPR için aşağıdaki kimlik doğrulama yöntemleri kullanılabilir:
- Mobil uygulama bildirimi
- Mobil uygulama kodu
- E-posta
- Cep telefonu
- Office telefonu (yalnızca ücretli abonelikleri olan kiracılar için kullanılabilir)
- Güvenlik soruları
Kullanıcılar parolalarını yalnızca yöneticinin etkinleştirdiği bir kimlik doğrulama yöntemi kaydettiyse sıfırlayabilir.
Uyarı
Azure yönetici rollerine atanan hesapların, ilke farklılıklarını sıfırlama Yönetici bölümünde tanımlanan yöntemleri kullanması gerekir.
! [Microsoft Entra yönetim merkezinde kimlik doğrulama yöntemleri seçimi] [Kimlik Doğrulaması]
Gerekli kimlik doğrulama yöntemlerinin sayısı
Bir kullanıcının parolasını sıfırlamak veya kilidini açmak için sağlaması gereken kullanılabilir kimlik doğrulama yöntemlerinin sayısını yapılandırabilirsiniz. Bu değer bir veya iki olarak ayarlanabilir.
Kullanıcılar birden çok kimlik doğrulama yöntemi kaydedebilir ve kaydetmelidir. Kullanıcıların ihtiyaç duyduklarında bir yönteme erişememesi durumunda daha fazla esnekliğe sahip olmaları için iki veya daha fazla kimlik doğrulama yöntemini kaydetmeleri kesinlikle önerilir.
Bir kullanıcı SSPR'yi kullanmaya çalıştığında kayıtlı en az sayıda gerekli yönteme sahip değilse, bir yöneticinin parolasını sıfırlamasını istemeye yönlendiren bir hata sayfası görür. SSPR'ye kayıtlı mevcut kullanıcılarınız varsa ve bu kullanıcılar bu özelliği kullanamıyorsa, gereken yöntem sayısını birden ikiye artırıp artırmadığınıza dikkat edin. Daha fazla bilgi için kimlik doğrulama yöntemlerini değiştirme bölümüne bakın.
Mobil uygulama ve SSPR
Microsoft Authenticator uygulaması gibi bir mobil uygulamayı parola sıfırlama yöntemi olarak kullanırken, bir kuruluş merkezi Kimlik Doğrulama yöntemleri ilkesine geçirilmemişse aşağıdaki noktalar geçerlidir:
- Yöneticiler parola sıfırlamak için tek bir yöntem kullanılmasını gerektirdiğinde, doğrulama kodu tek seçenektir.
- Yöneticiler parola sıfırlamak için iki yöntem kullanılmasını gerektirdiğinde, kullanıcılar diğer etkin yöntemlere ek olarak bildirim veya doğrulama kodunu da kullanabilir.
| Sıfırlama için gereken yöntemlerin sayısı | Bir | İki |
|---|---|---|
| Kullanılabilir mobil uygulama özellikleri | Kod | Kod veya Bildirim |
Kullanıcılar mobil uygulamalarını adresine https://aka.ms/mfasetupveya konumundaki birleşik güvenlik bilgileri kaydına https://aka.ms/setupsecurityinfokaydedebilir.
Önemli
Yalnızca bir yöntem gerektiğinde Kimlik Doğrulayıcı uygulaması tek kimlik doğrulama yöntemi olarak seçilemiyorsa. Benzer şekilde, Authenticator uygulaması ve iki yöntem gerektiğinde yalnızca bir ek yöntem seçilemez.
Authenticator uygulamasını içeren SSPR ilkelerini bir yöntem olarak yapılandırırken, bir yöntem gerektiğinde en az bir ek yöntem seçilmeli ve iki yöntem yapılandırılırken en az iki ek yöntem seçilmelidir.
Kimlik doğrulama yöntemlerini değiştirme
Sıfırlama veya kilidinin açılması için yalnızca bir gerekli kimlik doğrulama yöntemi olan bir ilkeyle başlarsanız ve bunu iki yöntemle değiştirirseniz ne olur?
| Kayıtlı yöntem sayısı | Gerekli yöntem sayısı | Sonuç |
|---|---|---|
| 1 veya daha fazla | 1 | Sıfırlama veya kilidini açabilme |
| 1 | 2 | Sıfırlanamıyor veya kilidi açılamıyor |
| 2 veya daha fazla | 2 | Sıfırlama veya kilidini açabilme |
Kullanılabilir kimlik doğrulama yöntemlerinin değiştirilmesi de kullanıcılar için sorunlara neden olabilir. Bir kullanıcının kullanabileceği kimlik doğrulama yöntemi türlerini değiştirirseniz, kullanıcıların SSPR'yi kullanabilecekleri en düşük veri miktarına sahip değilse istemeden durdurabilirsiniz.
Aşağıdaki örnek senaryoyu düşünün:
- Özgün ilke, gereken iki kimlik doğrulama yöntemiyle yapılandırılır. Yalnızca ofis telefon numarasını ve güvenlik sorularını kullanır.
- Yönetici, ilkeyi artık güvenlik sorularını kullanamayacak şekilde değiştirir, ancak cep telefonu ve alternatif e-posta kullanımına izin verir.
- Cep telefonu veya alternatif e-posta alanları doldurulan kullanıcılar artık parolalarını sıfırlayamaz.
Notifications
SSPR, parola olaylarının farkındalığını artırmak için hem kullanıcılar hem de kimlik yöneticileri için bildirimleri yapılandırmanıza olanak tanır.
Parola sıfırlamayı kullanıcılara bildir
Bu seçenek Evet olarak ayarlanırsa, parolalarını sıfırlayan kullanıcılara parolalarının değiştirildiğini bildiren bir e-posta gönderilir. E-posta, SSPR portalı aracılığıyla Microsoft Entra Kimliği'nde depolanan birincil ve alternatif e-posta adreslerine gönderilir. Birincil veya alternatif e-posta adresi tanımlanmadıysa, SSPR kullanıcıların Kullanıcı Asıl Adı (UPN) aracılığıyla e-posta bildirimini dener. Sıfırlama olayıyla ilgili başka kimseye bildirim yapılmaz.
Diğer yöneticiler parolalarını sıfırladığında tüm yöneticilere bildirme
Bu seçenek Evet olarak ayarlanırsa, Genel Yönetici strator'lar Microsoft Entra Id'de depolanan birincil e-posta adreslerine bir e-posta alır. E-posta, başka bir yöneticinin SSPR kullanarak parolasını değiştirdiğini bildirir.
Not
SSPR hizmetinden gelen e-posta bildirimleri, çalıştığınız Azure bulutu temelinde aşağıdaki adreslerden gönderilir:
- Genel: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- US Government için Azure: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us
Bildirimleri alırken sorunlarla karşılaşırsanız lütfen istenmeyen posta ayarlarınızı denetleyin.
Özel yöneticilerin bildirim e-postalarını almasını istiyorsanız, SSPR özelleştirmelerini kullanın ve özel bir yardım masası bağlantısı veya e-posta ayarlayın.
Yerinde tümleştirme
Karma bir ortamınız varsa, Microsoft Entra Bağlan'ı Parola değiştirme olaylarını Microsoft Entra Id'den şirket içi dizine geri yazacak şekilde yapılandırabilirsiniz.
! [Şirket içi tümleştirme için Microsoft Entra Kimliği için parola geri yazma etkinleştirildi] [Geri yazma]
Microsoft Entra Id geçerli karma bağlantınızı denetler ve Microsoft Entra yönetim merkezinde aşağıdaki iletilerden birini sağlar:
- Şirket içi geri yazma istemciniz çalışır durumda.
- Microsoft Entra Id çevrimiçidir ve şirket içi geri yazma istemcinize bağlıdır. Ancak, Microsoft Entra Bağlan'ın yüklü sürümü güncel değil gibi görünüyor. En son bağlantı özelliklerine ve önemli hata düzeltmelerine sahip olduğunuzdan emin olmak için Microsoft Entra Bağlan yükseltmeyi göz önünde bulundurun.
- Ne yazık ki, Microsoft Entra Bağlan'ın yüklü sürümü güncel olmadığından şirket içi geri yazma istemcinizin durumunu denetleyemiyoruz. Bağlantı durumunuzu denetleyebilmek için Microsoft Entra Bağlan'ı yükseltin.
- Ne yazık ki şu anda şirket içi geri yazma istemcinize bağlanamıyoruz. Bağlantıyı geri yüklemek için Microsoft Entra Bağlan sorunlarını giderin.
- Ne yazık ki, parola geri yazma düzgün yapılandırılmadığından şirket içi geri yazma istemcinize bağlanamıyoruz. Bağlantıyı geri yüklemek için parola geri yazmayı yapılandırın.
- Ne yazık ki şu anda şirket içi geri yazma istemcinize bağlanamıyoruz. Bunun nedeni bizim tarafımızdaki geçici sorunlar olabilir. Sorun devam ederse Bağlantıyı geri yüklemek için Microsoft Entra Bağlan sorunlarını giderin.
SSPR geri yazma ile çalışmaya başlamak için aşağıdaki öğreticiyi tamamlayın:
Şirket içi dizininize parolaları geri yazma
Microsoft Entra yönetim merkezini kullanarak parola geri yazmayı etkinleştirebilirsiniz. Ayrıca, Microsoft Entra Bağlan yeniden yapılandırmak zorunda kalmadan parola geri yazma özelliğini geçici olarak devre dışı bırakabilirsiniz.
- Seçenek Evet olarak ayarlanırsa geri yazma etkinleştirilir. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayabilir.
- Seçenek Hayır olarak ayarlanırsa geri yazma devre dışı bırakılır. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayamaz.
Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin verme
Varsayılan olarak, Microsoft Entra Id parola sıfırlama gerçekleştirdiğinde hesapların kilidini açar. Esneklik sağlamak için kullanıcıların parolalarını sıfırlamak zorunda kalmadan şirket içi hesaplarının kilidini açmasına izin vermeyi seçebilirsiniz. Bu iki işlemi ayırmak için bu ayarı kullanın.
- Evet olarak ayarlanırsa, kullanıcılara parolalarını sıfırlama ve hesabın kilidini açma veya parolayı sıfırlamak zorunda kalmadan hesabının kilidini açma seçeneği verilir.
- Hayır olarak ayarlanırsa, kullanıcılar yalnızca birleştirilmiş parola sıfırlama ve hesap kilidi açma işlemi gerçekleştirebilir.
Şirket içi Active Directory parola filtreleri
SSPR, Active Directory'de yönetici tarafından başlatılan parola sıfırlamanın eşdeğerini gerçekleştirir. Özel parola kurallarını zorunlu kılmak için üçüncü taraf parola filtresi kullanıyorsanız ve Microsoft Entra self servis parola sıfırlama sırasında bu parola filtresinin denetlenmesini istiyorsanız, üçüncü taraf parola filtresi çözümünün yönetici parola sıfırlama senaryosunda uygulanacak şekilde yapılandırıldığından emin olun. Active Directory Etki Alanı Hizmetleri için Microsoft Entra parola koruması varsayılan olarak desteklenir.
B2B kullanıcıları için parola sıfırlama
Parola sıfırlama ve değişiklik tüm işletmeler arası (B2B) yapılandırmalarda tam olarak desteklenir. B2B kullanıcı parola sıfırlaması aşağıdaki üç durumda desteklenir:
- Mevcut bir Microsoft Entra kiracısı olan bir iş ortağı kuruluşun kullanıcıları: İş ortağı olduğunuz kuruluşun mevcut bir Microsoft Entra kiracısı varsa, bu kiracıda etkinleştirilen parola sıfırlama ilkelerine saygı gösteririz. Parola sıfırlamanın çalışması için iş ortağı kuruluşunun Yalnızca Microsoft Entra SSPR'nin etkinleştirildiğinden emin olması gerekir. Microsoft 365 müşterileri için ek ücret alınmaz.
- Self servis kaydolma yoluyla kaydolan kullanıcılar: İş ortağı olduğunuz kuruluş kiracıya girmek için self servis kaydolma özelliğini kullandıysa, kayıtlı oldukları e-postayla parolayı sıfırlamalarına izin veririz.
- B2B kullanıcıları: Yeni Microsoft Entra B2B özellikleri kullanılarak oluşturulan tüm yeni B2B kullanıcıları, davet işlemi sırasında kaydettikleri e-posta ile parolalarını da sıfırlayabilir.
Bu senaryoya test etmek için https://passwordreset.microsoftonline.com bu iş ortağı kullanıcılarından biriyle adresine gidin. Tanımlanmış alternatif bir e-posta veya kimlik doğrulama e-postası varsa parola sıfırlama beklendiği gibi çalışır.
Not
Hotmail.com, Outlook.com veya diğer kişisel e-posta adresleri gibi Microsoft Entra kiracınıza konuk erişimi verilmiş Microsoft hesapları, Microsoft Entra SSPR'yi kullanamaz. Microsoft hesabınızda oturum açamıyorsanız makalesinde bulunan bilgileri kullanarak parolalarını sıfırlamaları gerekir.
Sonraki adımlar
SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın: