Samouczek: Umożliwianie użytkownikom odblokowywania swoich kont lub resetowania haseł przy użyciu funkcji samoobsługowego resetowania hasła usługi Microsoft Entra

Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom zmianę lub resetowanie hasła bez udziału administratora lub pomocy technicznej. Jeśli identyfikator Entra firmy Microsoft blokuje konto użytkownika lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft. Mamy również wideo dla administratorów IT na temat rozwiązywania sześciu najbardziej typowych komunikatów o błędach użytkownika końcowego za pomocą samoobsługowego resetowania hasła.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

Samouczek wideo

Możesz również wykonać czynności opisane w powiązanym filmie wideo: Jak włączyć i skonfigurować samoobsługowe resetowanie hasła w usłudze Microsoft Entra ID.

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID Bezpłatna lub próbna. W warstwie Bezpłatna samoobsługowe resetowanie hasła działa tylko dla użytkowników chmury w usłudze Microsoft Entra ID. Zmiana hasła jest obsługiwana w warstwie Bezpłatna, ale resetowanie hasła nie jest.
  • W przypadku późniejszych samouczków z tej serii będziesz potrzebować licencji microsoft Entra ID P1 lub próbnej na lokalne zapisywanie zwrotne haseł.
  • W razie potrzeby utwórz bezpłatne konto platformy Azure.
• Konto z uprawnieniami globalnego Administracja istratora lub zasad uwierzytelniania Administracja istrator.
• Użytkownik niebędący administratorem z hasłem, które znasz, na przykład testuser. W tym samouczku przetestujesz środowisko samoobsługowego resetowania hasła użytkownika końcowego przy użyciu tego konta.
  • Jeśli musisz utworzyć użytkownika, zobacz Szybki start: Dodawanie nowych użytkowników do identyfikatora Entra firmy Microsoft.
• Grupa, do którego należy użytkownik niebędący administratorem, lubi SSPR-Test-Group. W tym samouczku włączysz samoobsługowe resetowanie hasła dla tej grupy.
  • Jeśli musisz utworzyć grupę, zobacz Tworzenie podstawowej grupy i dodawanie członków przy użyciu identyfikatora Entra firmy Microsoft.

Włączanie samoobsługowego resetowania hasła

Identyfikator Entra firmy Microsoft umożliwia włączenie samoobsługowego resetowania hasła dla braków, wybranych lub wszystkich użytkowników. Ta szczegółowa możliwość umożliwia wybranie podzbioru użytkowników do testowania procesu rejestracji samoobsługowego resetowania hasła i przepływu pracy. Jeśli masz doświadczenie z procesem, a czas jest odpowiedni do komunikowania wymagań z szerszym zestawem użytkowników, możesz wybrać grupę użytkowników, aby włączyć samoobsługowe resetowanie hasła. Możesz też włączyć samoobsługowe resetowanie hasła dla wszystkich użytkowników w dzierżawie firmy Microsoft Entra.

W tym samouczku skonfiguruj samoobsługowe resetowanie hasła dla zestawu użytkowników w grupie testowej. W razie potrzeby użyj grupy SSPR-Test-Group i podaj własną grupę firmy Microsoft Entra:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.

2. Przejdź do opcji Resetowanie hasła ochrony>z menu po lewej stronie.

3. Na stronie Właściwości w obszarze opcja Samoobsługowe resetowanie hasła jest włączona wybierz pozycję Wybrane.

4. Jeśli grupa nie jest widoczna, wybierz pozycję Nie wybrano grup, wyszukaj i wybierz grupę Entra firmy Microsoft, na przykład SSPR-Test-Group, a następnie wybierz pozycję Wybierz.

   

5. Aby włączyć samoobsługowe resetowanie hasła dla wybranych użytkowników, wybierz pozycję Zapisz.

Wybieranie metod uwierzytelniania i opcji rejestracji

Gdy użytkownicy muszą odblokować swoje konto lub zresetować hasło, zostanie wyświetlony monit o inną metodę potwierdzenia. Ten dodatkowy czynnik uwierzytelniania zapewnia, że identyfikator Entra firmy Microsoft zakończył tylko zatwierdzone zdarzenia samoobsługowego resetowania hasła. Możesz wybrać metody uwierzytelniania, które mają być dozwolone, na podstawie informacji o rejestracji zapewnianych przez użytkownika.

1. W menu po lewej stronie metody uwierzytelniania ustaw liczbę metod wymaganych do zresetowania do 2.

   Aby zwiększyć bezpieczeństwo, można zwiększyć liczbę metod uwierzytelniania wymaganych przez samoobsługowe resetowanie hasła.

2. Wybierz metody dostępne dla użytkowników, których organizacja chce zezwolić. Na potrzeby tego samouczka zaznacz pola, aby włączyć następujące metody:

   • Powiadomienie aplikacji mobilnej
   • Kod aplikacji mobilnej
   • Poczta e-mail
   • Telefon komórkowy

   Możesz włączyć inne metody uwierzytelniania, takie jak telefon pakietu Office lub pytania zabezpieczające, zgodnie z wymaganiami biznesowymi.

3. Aby zastosować metody uwierzytelniania, wybierz pozycję Zapisz.

Aby użytkownicy mogli odblokować swoje konto lub zresetować hasło, muszą zarejestrować swoje informacje kontaktowe. Microsoft Entra ID używa tych informacji kontaktowych dla różnych metod uwierzytelniania skonfigurowanych w poprzednich krokach.

Administrator może ręcznie podać te informacje kontaktowe lub użytkownicy mogą przejść do portalu rejestracji, aby podać same informacje. W tym samouczku skonfiguruj identyfikator entra firmy Microsoft, aby monitować użytkowników o rejestrację przy następnym logowaniu.

1. W menu po lewej stronie strony Rejestracja wybierz pozycję Tak, aby wymagać od użytkowników zarejestrowania się podczas logowania.

2. Dla opcji Liczba dni, zanim użytkownicy zostaną poproszeni o ponowne potwierdzenie swoich informacji uwierzytelniania ustaw wartość 180.

   Ważne jest, aby zapewnić aktualność informacji kontaktowych. Jeśli nieaktualne informacje kontaktowe istnieją po uruchomieniu zdarzenia samoobsługowego resetowania hasła, użytkownik może nie być w stanie odblokować konta ani zresetować hasła.

3. Aby zastosować ustawienia rejestracji, wybierz pozycję Zapisz.

Konfigurowanie powiadomień i dostosowań

Aby zapewnić użytkownikom informacje o aktywności konta, możesz skonfigurować identyfikator Entra firmy Microsoft w celu wysyłania powiadomień e-mail po wystąpieniu zdarzenia samoobsługowego resetowania hasła. Te powiadomienia mogą obejmować zarówno zwykłe konta użytkowników, jak i konta administratora. W przypadku kont administratorów to powiadomienie zapewnia kolejną warstwę świadomości, gdy hasło konta administratora uprzywilejowanego jest resetowane przy użyciu samoobsługowego resetowania hasła. Identyfikator Entra firmy Microsoft powiadomi wszystkich administratorów globalnych, gdy ktoś używa samoobsługowego resetowania hasła na koncie administratora.

1. W menu po lewej stronie strony Powiadomienia skonfiguruj następujące opcje:

   • Ustaw opcję Powiadamianie użytkowników na temat resetowania haseł? na Wartość Tak.
   • Ustaw opcję Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło? na wartość Tak.

2. Aby zastosować preferencje powiadomień, wybierz pozycję Zapisz.

Jeśli użytkownicy potrzebują dodatkowej pomocy dotyczącej procesu samoobsługowego resetowania hasła, możesz dostosować link "Skontaktuj się z administratorem". Użytkownik może wybrać ten link w procesie rejestracji samoobsługowego resetowania hasła oraz po odblokowaniu konta lub zresetowaniu hasła. Aby upewnić się, że użytkownicy otrzymają wymaganą pomoc techniczną, zalecamy podanie niestandardowej poczty e-mail lub adresu URL pomocy technicznej.

1. W menu po lewej stronie strony Dostosowywanie ustaw link Dostosuj pomoc techniczną na Wartość Tak.
2. W polu Niestandardowy adres e-mail lub adres URL pomocy technicznej podaj adres e-mail lub adres URL strony internetowej, pod którym użytkownicy mogą uzyskać dodatkową pomoc od organizacji, na przykładhttps://support.contoso.com/
3. Aby zastosować link niestandardowy, wybierz pozycję Zapisz.

Testowanie funkcji samoobsługowego resetowania haseł

Po włączeniu i skonfigurowaniu samoobsługowego resetowania hasła przetestuj proces samoobsługowego resetowania hasła za pomocą użytkownika, który jest częścią grupy wybranej w poprzedniej sekcji, na przykład Test-SSPR-Group. W poniższym przykładzie użyto konta testuser . Podaj własne konto użytkownika. Jest to część grupy włączonej dla samoobsługowego resetowania hasła w pierwszej sekcji tego samouczka.

1. Aby wyświetlić proces rejestracji ręcznej, otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do https://aka.ms/ssprsetupadresu . Identyfikator Entra firmy Microsoft przekieruje użytkowników do tego portalu rejestracji po następnym zalogowaniu.

2. Zaloguj się przy użyciu użytkownika testowego innego niż administrator, takiego jak testuser, i zarejestruj informacje kontaktowe metod uwierzytelniania.

3. Po zakończeniu wybierz przycisk z oznaczeniem Wygląda dobrze i zamknij okno przeglądarki.

4. Otwórz nowe okno przeglądarki w trybie InPrivate lub incognito i przejdź do adresu https://aka.ms/sspr.

5. Wprowadź informacje o koncie użytkowników testowych innych niż administrator, takie jak testuser, znaki z CAPTCHA, a następnie wybierz przycisk Dalej.

   

6. Wykonaj kroki weryfikacji, aby zresetować hasło. Po zakończeniu otrzymasz powiadomienie e-mail z informacją o zresetowaniu hasła.

Czyszczenie zasobów

W późniejszym samouczku z tej serii skonfigurujesz zapisywanie zwrotne haseł. Ta funkcja zapisuje zmiany haseł z usługi Microsoft Entra SSPR z powrotem do lokalnego środowiska usługi AD. Jeśli chcesz kontynuować pracę z tą serią samouczków, aby skonfigurować funkcję zapisywania zwrotnego haseł, nie wyłączaj teraz samoobsługowego resetowania hasła.

Jeśli nie chcesz już korzystać z funkcji samoobsługowego resetowania hasła skonfigurowanej w ramach tego samouczka, ustaw stan samoobsługowego resetowania hasła na Wartość Brak , wykonując następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
2. Przejdź do opcji Resetowanie hasła ochrony>.
3. Na stronie Właściwości w obszarze opcja Samoobsługowe resetowanie hasła jest włączona wybierz pozycję Brak.
4. Aby zastosować zmianę samoobsługowego resetowania hasła, wybierz pozycję Zapisz.

Często zadawane pytania

W tej sekcji opisano typowe pytania dotyczące administratorów i użytkowników końcowych, którzy próbują przeprowadzić samoobsługowe resetowanie hasła:

• Dlaczego lokalne zasady haseł nie są wyświetlane podczas samoobsługowego resetowania hasła?

  Obecnie firma Microsoft Entra Połączenie i synchronizacja w chmurze nie obsługują udostępniania szczegółów zasad haseł w chmurze. Samoobsługowe resetowanie hasła wyświetla tylko szczegóły zasad haseł w chmurze i nie można wyświetlić zasad lokalnych.

• Dlaczego użytkownicy federacyjni czekają do 2 minut po wyświetleniu komunikatu Hasło zostało zresetowane , zanim będą mogli używać haseł synchronizowanych ze środowiska lokalnego?

  W przypadku użytkowników federacyjnych, których hasła są synchronizowane, źródło urzędu dla haseł jest lokalne. W związku z tym samoobsługowe resetowanie hasła aktualizuje tylko hasła lokalne. Synchronizacja skrótów haseł z powrotem do identyfikatora Entra firmy Microsoft jest zaplanowana co 2 minuty.

• Gdy nowo utworzony użytkownik, który jest wstępnie wypełniony danymi samoobsługowego resetowania hasła, takimi jak telefon i poczta e-mail, odwiedza stronę rejestracji samoobsługowego resetowania hasła, nie utracisz dostępu do twojego konta! jest wyświetlany jako tytuł strony. Dlaczego inni użytkownicy, którzy mają wstępnie wypełnione dane samoobsługowego resetowania hasła, zobaczą komunikat?

  Użytkownik, który widzi , że nie utraci dostępu do twojego konta! jest członkiem SSPR/połączonych grup rejestracji skonfigurowanych dla dzierżawy. Użytkownicy, którzy nie widzą pozycji Nie tracą dostępu do twojego konta! nie byli częścią grup rejestracji samoobsługowego resetowania hasła/połączonych grup rejestracji.

• Kiedy niektórzy użytkownicy przechodzą przez proces samoobsługowego resetowania hasła i resetują swoje hasło, dlaczego nie widzą wskaźnika siły hasła?

  Użytkownicy, którzy nie widzą słabej/silnej siły hasła, mają włączoną synchronizację zapisywania zwrotnego haseł. Ponieważ samoobsługowe resetowanie hasła nie może określić zasad haseł środowiska lokalnego klienta, nie może zweryfikować siły hasła ani słabości hasła.

Następne kroki

W tym samouczku włączono funkcję samoobsługowego resetowania haseł firmy Microsoft dla wybranej grupy użytkowników. W tym samouczku omówiono: