Руководство: Активируйте возможность самостоятельной разблокировки учетной записи или сброса пароля пользователями с помощью Microsoft Entra

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если идентификатор Microsoft Entra id блокирует учетную запись пользователя или забыл свой пароль, они могут следовать инструкциям, чтобы разблокировать себя и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. У нас также есть видео для ИТ-администраторов по разрешению шести наиболее распространенных сообщений об ошибках конечных пользователей с помощью SSPR.

Из этого руководства вы узнаете, как выполнить следующие задачи:

Видеоруководство

Вы также можете посмотреть связанное видео: Как включить и настроить SSPR в Microsoft Entra ID.

Предварительные условия

Для завершения работы с этим учебником требуются следующие ресурсы и разрешения:

• Для сброса пароля требуется рабочий клиент Microsoft Entra Entra с по крайней мере лицензией Microsoft Entra ID P1. Дополнительные сведения о требованиях к лицензии для изменения пароля и сброса пароля в идентификаторе Microsoft Entra см. в разделе "Требования к лицензированию" для самостоятельного сброса пароля Microsoft Entra.
• Учетная запись как минимум с ролью администратора политики проверки подлинности.
• Пользователь без администратора с паролем, который вы знаете, например testuser. В этом руководстве вы протестируете опыт конечного пользователя с SSPR, используя данную учетную запись.
  • Если вам нужно создать пользователя, см. Быстрый старт: Добавление новых пользователей в Microsoft Entra ID.
• Группа, членом которой является пользователь, не являющийся администратором, нравится SSPR-Test-Group. В этом руководстве вы включите SSPR для данной группы.
  • Если вам нужно создать группу, см. статью "Создание базовой группы" и добавление участников с помощью идентификатора Microsoft Entra.

Включить самостоятельный сброс паролей

Идентификатор Microsoft Entra позволяет включить SSPR для None, Selected или All users. Эта детальная возможность позволяет выбрать подмножество пользователей для тестирования процесса регистрации и рабочего процесса SSPR. Когда вы освоитесь с процессом и наступит подходящее время сообщить требования более широкому кругу пользователей, можно выбрать группу пользователей и включить SSPR для этой группы. Кроме того, вы можете включить SSPR для всех пользователей в клиенте Microsoft Entra.

В этом учебнике настройте SSPR для группы пользователей в тестовой группе. Используйте группу SSPR-Test-Group и предоставьте собственную группу Microsoft Entra при необходимости.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

2. Перейдите к Entra ID>сбросу пароля.

3. На странице "Свойства" в разделе параметра "Самостоятельный сброс пароля" выберите "Выбран".

4. Если группа не отображается, выберите "Нет выбранных групп", найдите и выберите группу Microsoft Entra, например SSPR-Test-Group, и нажмите кнопку "Выбрать".

   

5. Чтобы включить SSPR для выбора пользователей, нажмите кнопку "Сохранить".

Выбор методов проверки подлинности и настройка параметров регистрации

Когда пользователям необходимо разблокировать учетные записи или сбросить пароли, им предлагается другой метод подтверждения. Этот дополнительный фактор аутентификации гарантирует, что Microsoft Entra ID обрабатывает только утвержденные события SSPR. Вы можете выбрать методы проверки подлинности, которые следует разрешить, на основе сведений о регистрации, предоставляемых пользователем.

1. В меню слева на странице методов проверки подлинности задайте количество методов, необходимых для сброса равным 2.

   Чтобы повысить безопасность, можно увеличить число методов проверки подлинности, необходимых для SSPR.

2. Выберите методы, которые ваша организация хочет разрешить для пользователей. Для работы с этим руководством установите флажки, чтобы включить следующие методы:

   • Уведомление о мобильном приложении
   • Код мобильного приложения
   • Отправить по электронной почте
   • Мобильный телефон

   Вы можете включить другие методы проверки подлинности, такие как телефон Office или вопросы безопасности, в соответствии с вашими бизнес-требованиями.

3. Чтобы применить методы проверки подлинности, нажмите кнопку "Сохранить".

Чтобы пользователи могли разблокировать учетную запись или сбросить пароль, сначала они должны зарегистрировать свои контактные данные. Идентификатор Microsoft Entra использует эти контактные данные для различных методов проверки подлинности, настроенных на предыдущих шагах.

Администратор может вручную указать эти контактные данные, или пользователи могут посетить портал регистрации и предоставить сведения. В этом руководстве настройте идентификатор Microsoft Entra для запроса пользователей на регистрацию при следующем входе.

1. В меню слева от страницы регистрации выберите "Да " для пользователей, которые должны регистрироваться при входе.

2. Задайте количество дней, прежде чем пользователям будет предложено повторно подтвердить сведения о проверке подлинностидо 180.

   Важно, чтобы контактные данные сохранялись в актуальном состоянии. Если устаревшие контактные данные существуют при запуске события SSPR, пользователь может не разблокировать свою учетную запись или сбросить пароль.

3. Чтобы применить параметры регистрации, нажмите кнопку "Сохранить".

Настройка уведомлений и изменение настроек

Чтобы пользователи могли получать сведения о действиях учетной записи, можно настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте при возникновении события SSPR. Эти уведомления могут охватывать как обычные учетные записи пользователей, так и учетные записи администраторов. Для учетных записей администраторов это уведомление обеспечивает другой уровень осведомленности о сбросе пароля привилегированной учетной записи администратора с использованием SSPR. Идентификатор Microsoft Entra может уведомить всех администраторов, когда пользователь использует SSPR в учетной записи администратора.

1. В меню слева на странице уведомлений настройте следующие параметры:

   • Установите параметр "Уведомлять пользователей о сбросе пароля"? значение "Да".
   • Установите уведомление всем администраторам, когда другие администраторы сбрасывают свой пароль? в значение "Да".

2. Чтобы применить параметры уведомления, нажмите кнопку "Сохранить".

Если пользователям нужна дополнительная помощь по процессу SSPR, можно настроить ссылку "Связаться с администратором". Пользователь может использовать эту ссылку при регистрации SSPR, когда снимает блокировку с учетной записи или сбрасывает пароль. Чтобы гарантировать, что пользователи получат необходимую поддержку, рекомендуется предоставить адрес электронной почты или URL-адрес нестандартной службы технической поддержки.

1. В меню слева от страницы "Настройка" установите ссылку "Настройка справки" на "Да".
2. В поле "Пользовательская служба поддержки" или "URL-адрес" укажите адрес электронной почты или URL-адрес веб-страницы, где пользователи могут получить дополнительную помощь от вашей организации, например https://support.contoso.com/
3. Чтобы применить настраиваемую ссылку, нажмите кнопку "Сохранить".

Тестирование самостоятельного сброса пароля

Включив и настроив SSPR, проверьте процесс SSPR с пользователем, который входит в группу, выбранную в предыдущем разделе, например Test-SSPR-Group. В следующем примере используется учетная запись testuser . Укажите собственную учетную запись пользователя. Это часть группы, для которой включен SSPR в первом разделе этой инструкции.

1. Чтобы просмотреть процесс регистрации вручную, откройте новое окно браузера в приватном режиме или режиме инкогнито и перейдите по адресу https://aka.ms/ssprsetup. Идентификатор Microsoft Entra направляет пользователей на этот портал регистрации при следующем входе.

2. Войдите с помощью тестового пользователя, отличного от администратора, например testuser, и зарегистрируйте контактные данные методов проверки подлинности.

3. После завершения нажмите кнопку с пометкой "Выглядит хорошо " и закройте окно браузера.

4. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://aka.ms/sspr.

5. Введите данные учетной записи пользователей, не являющихся администраторами, например testuser, символы из CAPTCHA и нажмите кнопку "Далее".

   

6. Выполните проверочные шаги для сброса пароля. По завершении вы получите уведомление по электронной почте о том, что пароль был сброшен.

Очистка ресурсов

В следующем руководстве по этой серии вы настроили обратную запись паролей. Эта функция записывает изменения паролей из Microsoft Entra SSPR обратно в локальную среду AD. Если вы хотите продолжить работу с этой серией уроков, чтобы настроить обратную запись паролей, не отключайте SSPR сейчас.

Если вы больше не хотите использовать функции SSPR, настроенные в рамках этого руководства, задайте для состояния SSPR значение None , выполнив следующие действия:

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
2. Перейдите к Entra ID>сбросу пароля.
3. На странице "Свойства" в разделе параметра "Самостоятельный сброс пароля" выберите "Нет".
4. Чтобы применить изменение SSPR, нажмите кнопку "Сохранить".

Вопросы и ответы

В этом разделе объясняются распространенные вопросы от администраторов и конечных пользователей, которые пытаются использовать SSPR:

• Почему локальные политики паролей не отображаются во время SSPR?

  В настоящее время Microsoft Entra Connect и облачная синхронизация не поддерживают совместное использование сведений о политике паролей в облаке. SSPR отображает только сведения о политике облачного пароля и не может отображать локальные политики.

• Почему федеративные пользователи ждут до 2 минут после того, как они видят уведомление Ваш пароль был сброшен, прежде чем смогут использовать пароли, синхронизированные с локальной среды?

  Для федеративных пользователей, пароли которых синхронизированы, источником полномочий для паролей является локальная среда. В результате SSPR обновляет только локальные пароли. Синхронизация хэша паролей с идентификатором Microsoft Entra запланирована каждые 2 минуты.

• Когда только что созданный пользователь, который предварительно заполнен данными SSPR, такими как телефон и электронная почта, посещает страницу регистрации SSPR, не теряйте доступ к вашей учетной записи! Отображается в качестве заголовка страницы. Почему другие пользователи с предварительно заполненными данными SSPR не видят это сообщение?

  Пользователь, который видит Не потеряйте доступ к своему аккаунту!, является членом групп SSPR/объединенной регистрации, настроенных для арендатора. Пользователи, которые не видят Не теряйте доступ к вашей учетной записи!, не были частью групп регистрации SSPR/совмещённых регистраций.

• Во время процесса SSPR и сброса пароля для некоторых пользователей не отображается индикатор надежности пароля. С чем это связано?

  Пользователи, которые не видят статус пароля «Слабый/Надежный», имеют синхронизированную функцию восстановления паролей. Так как SSPR не может определить политику паролей локальной среды клиента, она не может проверить силу пароля или слабость.

Следующие шаги

В этом руководстве вы включили самостоятельный сброс пароля Microsoft Entra для выбранной группы пользователей. Вы научились выполнять следующие задачи: