Kurz: Umožněte uživatelům odemknout účet nebo resetovat heslo pomocí samoobslužného resetování hesla Microsoft Entra

Samoobslužné resetování hesla (SSPR) společnosti Microsoft Entra umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud Microsoft Entra ID zamkne účet uživatele nebo zapomene heslo, může se podle pokynů odblokovat a vrátit se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID. Máme také video pro správce IT o řešení šesti nejběžnějších chybových zpráv koncových uživatelů pomocí SSPR.

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla správcem. Pokud už jste koncový uživatel zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na stránku Microsoft Online pro resetování hesla.

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

V tomto kurzu se naučíte:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Microsoft Entra
  • Nastavení metod ověřování a možností registrace
  • Testování procesu samoobslužného resetování hesla jako uživatele

Důležité

V březnu 2023 jsme oznámili vyřazení metod ověřování ve starších zásadách vícefaktorového ověřování a samoobslužného resetování hesla (SSPR). Od 30. září 2024 nejde v těchto starších zásadách MFA a SSPR spravovat metody ověřování. Zákazníkům doporučujeme použít řízení ruční migrace k migraci na zásady metod ověřování podle data vyřazení.

Videokurz

Můžete také sledovat související video: Jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

  • Funkční tenant Microsoft Entra s alespoň povolenou bezplatnou nebo zkušební licencí Microsoft Entra ID. Na úrovni Free funguje samoobslužné resetování hesla jenom pro cloudové uživatele v Microsoft Entra ID. Změna hesla se podporuje na úrovni Free, ale resetování hesla není.
    • V dalších kurzech této série budete potřebovat licenci Microsoft Entra ID P1 nebo zkušební licenci pro zpětný zápis místních hesel.
    • V případě potřeby si zdarma vytvořte účet Azure.
  • Účet s oprávněními globálního Správa istratoru nebo zásad ověřování Správa istrator.
  • Uživatel bez oprávnění správce s heslem, které znáte, jako je testuser. V tomto kurzu otestujete prostředí samoobslužného resetování hesla koncového uživatele pomocí tohoto účtu.
  • Skupina, ve které uživatel, který není správcem, je členem, například SSPR-Test-Group. V tomto kurzu povolíte samoobslužné resetování hesla pro tuto skupinu.

Povolení samoobslužného resetování hesel

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Microsoft Entra ID umožňuje povolit SSPR pro žádné, vybrané nebo všechny uživatele. Tato členitá schopnost umožňuje zvolit podmnožinu uživatelů k otestování procesu registrace a pracovního postupu samoobslužného resetování hesla. Pokud vám tento proces vyhovuje a čas je správný ke komunikaci požadavků s širší sadou uživatelů, můžete vybrat skupinu uživatelů, která se má povolit pro samoobslužné resetování hesla. Nebo můžete povolit samoobslužné resetování hesla pro všechny uživatele v tenantovi Microsoft Entra.

Poznámka:

V současné době můžete povolit pouze jednu skupinu Microsoft Entra pro samoobslužné resetování hesla pomocí Centra pro správu Microsoft Entra. V rámci širšího nasazení SSPR podporuje Microsoft Entra ID vnořené skupiny.

V tomto kurzu nastavte samoobslužné resetování hesla pro sadu uživatelů v testovací skupině. Použijte skupinu SSPR-Test-Group a podle potřeby zadejte vlastní skupinu Microsoft Entra:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. V nabídce na levé straně přejděte k resetování hesla ochrany>.

  3. Na stránce Vlastnosti v části Možnost Samoobslužné resetování hesla povolená zvolte Vybraná.

  4. Pokud vaše skupina není viditelná, zvolte Žádné vybrané skupiny, vyhledejte a vyberte skupinu Microsoft Entra, například SSPR-Test-Group, a pak zvolte Vybrat.

    Select a group to enable for self-service password reset

  5. Pokud chcete povolit samoobslužné resetování hesla pro vybrané uživatele, vyberte Uložit.

Výběr metod ověřování a možností registrace

Když uživatelé potřebují odemknout svůj účet nebo resetovat heslo, zobrazí se jim výzva k zadání jiné metody potvrzení. Tento dodatečný ověřovací faktor zajišťuje, že ID Microsoft Entra dokončilo pouze schválené události SSPR. Na základě informací o registraci, které uživatel poskytuje, můžete zvolit, které metody ověřování chcete povolit.

  1. V nabídce na levé straně stránky Metody ověřování nastavte počet metod potřebných k resetování na 2.

    Pokud chcete zlepšit zabezpečení, můžete zvýšit počet metod ověřování vyžadovaných pro samoobslužné resetování hesla.

  2. Zvolte metody dostupné uživatelům, které chce vaše organizace povolit. V tomto kurzu zaškrtněte políčka pro povolení následujících metod:

    • Oznámení mobilní aplikace
    • Kód mobilní aplikace
    • Poslat e-mail
    • Mobilní telefon

    Podle potřeby můžete povolit jiné metody ověřování, jako jsou telefonní otázky office nebo bezpečnostní otázky, aby vyhovovaly vašim obchodním požadavkům.

  3. Pokud chcete použít metody ověřování, vyberte Uložit.

Aby uživatelé mohli odemknout svůj účet nebo resetovat heslo, musí si zaregistrovat své kontaktní údaje. Microsoft Entra ID používá tyto kontaktní informace pro různé metody ověřování nastavené v předchozích krocích.

Správce může tyto kontaktní údaje zadat ručně, nebo uživatelé můžou přejít na registrační portál a zadat informace sami. V tomto kurzu nastavte Microsoft Entra ID tak, aby se uživatelům při příštím přihlášení zobrazila výzva k registraci.

  1. V nabídce na levé straně stránky Registrace vyberte Možnost Ano , pokud chcete, aby se uživatelé při přihlašování zaregistrovali.

  2. Nastavte Počet dní před vyzváním uživatelů k potvrzení ověřovacích informací na 180.

    Je důležité udržovat kontaktní údaje aktuální. Pokud při spuštění události SSPR existují zastaralé kontaktní informace, uživatel možná nebude moct odemknout svůj účet nebo resetovat heslo.

  3. Pokud chcete použít nastavení registrace, vyberte Uložit.

Poznámka:

K přerušení žádosti o registraci kontaktních informací během přihlašování dojde pouze v případě, že jsou splněny podmínky nakonfigurované v nastavení a budou platit pouze pro uživatele a účty správců, kteří mají povoleno resetovat hesla pomocí samoobslužného resetování hesla Microsoft Entra.

Nastavení oznámení a přizpůsobení

Pokud chcete uživatelům zajistit informace o aktivitě účtu, můžete nastavit ID Microsoft Entra tak, aby posílala e-mailová oznámení, když dojde k události SSPR. Tato oznámení se můžou týkat běžných uživatelských účtů i účtů správců. U účtů správců toto oznámení poskytuje další vrstvu povědomí o resetování hesla účtu privilegovaného správce pomocí SSPR. Id Microsoft Entra upozorní všechny globální správce, když někdo používá SSPR na účtu správce.

  1. V nabídce na levé straně stránky Oznámení nastavte následující možnosti:

    • Nastavte možnost Upozornit uživatele na resetování hesel? na Ano.
    • Nastavte možnost Upozornit všechny správce, když ostatní správci resetují heslo? Na ano.
  2. Pokud chcete použít předvolby oznámení, vyberte Uložit.

Pokud uživatelé potřebují další pomoc s procesem samoobslužného resetování hesla, můžete upravit odkaz "Kontaktujte správce". Uživatel může vybrat tento odkaz v procesu registrace SSPR a po odemknutí účtu nebo resetování hesla. Pokud chcete zajistit, aby vaši uživatelé získali potřebnou podporu, doporučujeme zadat vlastní e-mail nebo adresu URL helpdesku.

  1. V nabídce na levé straně stránky Přizpůsobení nastavte odkaz Přizpůsobit helpdesk na Ano.
  2. Do pole Vlastní helpdesk zadejte e-mailovou adresu nebo adresu URL webové stránky, kde můžou vaši uživatelé získat další pomoc od vaší organizace, napříkladhttps://support.contoso.com/
  3. Pokud chcete použít vlastní odkaz, vyberte Uložit.

Testování samoobslužného resetování hesla

S povoleným a nastaveným SSPR otestujte proces SSPR s uživatelem, který je součástí skupiny, kterou jste vybrali v předchozí části, například Test-SSPR-Group. Následující příklad používá účet testuser . Zadejte vlastní uživatelský účet. Je součástí skupiny, kterou jste povolili pro samoobslužné resetování hesla v první části tohoto kurzu.

Poznámka:

Při testování samoobslužného resetování hesla použijte účet bez oprávnění správce. Ve výchozím nastavení umožňuje Microsoft Entra ID samoobslužné resetování hesla pro správce. K resetování hesla musí použít dvě metody ověřování. Další informace najdete v tématu Správa istrator resetování rozdílů v zásadách.

  1. Pokud chcete zobrazit proces ruční registrace, otevřete nové okno prohlížeče v režimu InPrivate nebo anonymní režim a přejděte na https://aka.ms/ssprsetup. Microsoft Entra ID bude uživatele při příštím přihlášení přesměrovat na tento registrační portál.

  2. Přihlaste se pomocí testovacího uživatele bez oprávnění správce, jako je testuser, a zaregistrujte kontaktní údaje metod ověřování.

  3. Po dokončení vyberte tlačítko s označením Vypadá dobře a zavřete okno prohlížeče.

  4. Otevřete nové okno prohlížeče v režimu InPrivate nebo anonymním režimu a přejděte na adresu https://aka.ms/sspr.

  5. Zadejte informace o účtu uživatele bez oprávnění správce, jako je testuser, znaky z CAPTCHA a pak vyberte Další.

    Enter user account information to reset the password

  6. Pokud chcete resetovat heslo, postupujte podle pokynů k ověření. Po dokončení obdržíte e-mailové oznámení o resetování hesla.

Vyčištění prostředků

V pozdějším kurzu této série nastavíte zpětný zápis hesla. Tato funkce zapisuje změny hesel z Microsoft Entra SSPR zpět do místního prostředí AD. Pokud chcete pokračovat v této sérii kurzů k nastavení zpětného zápisu hesla, nezakažte SSPR nyní.

Pokud už nechcete používat funkci samoobslužného resetování hesla, kterou jste nastavili v rámci tohoto kurzu, nastavte stav SSPR na Hodnotu Žádné pomocí následujícího postupu:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
  2. Přejděte na Ochranu>resetování hesla.
  3. Na stránce Vlastnosti vyberte v části Možnost Samoobslužné resetování hesla povolenou možnost Žádné.
  4. Pokud chcete použít změnu SSPR, vyberte Uložit.

Nejčastější dotazy

Tato část vysvětluje běžné dotazy správců a koncových uživatelů, kteří zkouší samoobslužné resetování hesla:

  • Proč se během samoobslužného resetování hesla nezobrazují místní zásady hesel?

    V tuto chvíli Microsoft Entra Připojení a cloudová synchronizace nepodporují sdílení podrobností o zásadách hesel s cloudem. SSPR zobrazuje jenom podrobnosti o zásadách cloudového hesla a nemůže zobrazit místní zásady.

  • Proč federovaní uživatelé čekají až 2 minuty po zobrazení vašeho hesla, než budou moct používat hesla synchronizovaná z místního prostředí?

    Pro federované uživatele, jejichž hesla se synchronizují, je zdrojem autority pro hesla místní prostředí. V důsledku toho samoobslužné resetování hesla aktualizuje jenom místní hesla. Synchronizace hodnot hash hesel zpět do Microsoft Entra ID je naplánovaná každých 2 minuty.

  • Když nově vytvořený uživatel, který je předem vyplněný daty SSPR, jako je telefon a e-mail, navštíví registrační stránku SSPR, nezobrazí se přístup k vašemu účtu. Zobrazí se jako název stránky. Proč se zpráva nezobrazí ostatním uživatelům, kteří mají předem vyplněná data SSPR?

    Uživatel, který uvidí , že nepřijde o přístup k vašemu účtu. Je členem skupin pro registraci samoobslužného resetování hesla nebo kombinované registrace, které jsou nakonfigurované pro tenanta. Uživatelé, kteří nevidí , nepřijdou o přístup k vašemu účtu. Nebyli součástí skupin samoobslužného resetování hesla nebo kombinované registrace.

  • Když někteří uživatelé procházejí procesem samoobslužného resetování hesla a resetují si heslo, proč nevidí indikátor síly hesla?

    Uživatelé, kteří nevidí slabou nebo silnou sílu hesla, mají povolenou synchronizaci zpětného zápisu hesla. Vzhledem k tomu, že samoobslužné resetování hesla nedokáže určit zásady hesel místního prostředí zákazníka, nemůže ověřit sílu ani slabinu hesla.

Další kroky

V tomto kurzu jste povolili samoobslužné resetování hesla Microsoft Entra pro vybranou skupinu uživatelů. Naučili jste se:

  • Povolení samoobslužného resetování hesla pro skupinu uživatelů Microsoft Entra
  • Nastavení metod ověřování a možností registrace
  • Testování procesu samoobslužného resetování hesla jako uživatele