Partage via

Activer la réinitialisation du mot de passe en libre-service Microsoft Entra à l’écran de connexion Windows

  • Article

La réinitialisation de mot de passe en libre-service (SSPR) permet aux utilisateurs de Microsoft Entra ID de modifier ou de réinitialiser leur mot de passe, sans intervention de l’administrateur ou du support technique. En règle générale, les utilisateurs ouvrent un navigateur web sur un autre appareil pour accéder au portail SSPR. Pour améliorer l’expérience sur les ordinateurs exécutant Windows 7, 8, 8.1, 10 et 11, vous pouvez permettre aux utilisateurs de réinitialiser leur mot de passe à l’écran de connexion Windows.

Exemple d’écrans de connexion Windows avec le lien SSPR affiché

Important

Ce tutoriel montre à un administrateur comment activer SSPR pour les appareils Windows d’une entreprise.

Si votre équipe informatique n’a pas activé la possibilité d’utiliser SSPR à partir de votre appareil Windows ou que vous rencontrez des problèmes lors de la connexion, contactez votre support technique pour obtenir de l’aide supplémentaire.

Limitations générales

Les limitations suivantes s’appliquent à l’utilisation de SSPR à partir de l’écran de connexion Windows :

  • La réinitialisation de mot de passe n'est actuellement pas prise en charge à partir d'un Bureau à distance ou des Sessions améliorées Hyper-V.
  • Certains fournisseurs d’informations d’identification tiers sont connus pour provoquer des problèmes avec cette fonctionnalité.
  • La désactivation de l’UAC via la modification de la clé de Registre EnableLUA est connue pour causer des problèmes.
  • Cette fonctionnalité ne fonctionne pas pour les réseaux avec l’authentification réseau 802.1x déployée et l’option « Effectuer immédiatement avant l’ouverture de session de l’utilisateur ». Pour les réseaux avec l’authentification réseau 802.1x déployée, il est recommandé d’utiliser l’authentification automatique pour activer cette fonctionnalité.
  • Les machines jointes hybrides Microsoft Entra doivent disposer d’une ligne de vue de connectivité réseau à un contrôleur de domaine pour utiliser le nouveau mot de passe et mettre à jour les informations d’identification mises en cache. Cela signifie que les appareils doivent se trouver sur le réseau interne de l’organisation ou sur un VPN disposant d’un accès réseau à un contrôleur de domaine local. Si SSPR est la seule exigence, la ligne de connexion réseau au contrôleur de domaine n’est pas requise.
  • Si vous utilisez une image, avant d’exécuter sysprep, vérifiez que le cache web est effacé pour l’administrateur intégré avant d’effectuer l’étape CopyProfile. Vous trouverez plus d’informations sur cette étape dans l’article de support Performances médiocres lors de l’utilisation du profil utilisateur par défaut personnalisé.
  • Les paramètres suivants sont connus pour interférer avec la possibilité d’utiliser et de réinitialiser les mots de passe sur les appareils Windows 10 :
    • Si les notifications d’écran de verrouillage sont désactivées, Réinitialiser le mot de passe ne fonctionnera pas.
    • HideFastUserSwitching a la valeur activé ou 1
    • DontDisplayLastUserName a la valeur activé ou 1
    • Dans , NoLockScreen est activé ou réglé sur 1.
    • BlockNonAdminUserInstall a la valeur activé ou 1
    • EnableLostMode est défini sur l’appareil
    • Explorer.exe est remplacé par un interpréteur de commandes personnalisé
    • Ouverture de session interactive : exiger que la carte à puce soit activée ou 1
  • La combinaison des trois paramètres spécifiques suivants peut empêcher cette fonctionnalité de fonctionner.
    • Ouverture de session interactive : ne nécessite pas ctrl+ALT+DEL = Désactivé (uniquement pour Windows 10 version 1710 et antérieures)
    • DisableLockScreenAppNotifications = 1 ou Activé
    • La référence SKU de Windows est l’édition Famille

Remarque

Ces limitations s’appliquent également à la réinitialisation du code confidentiel Windows Hello Entreprise à partir de l’écran de verrouillage de l’appareil.

Réinitialisation du mot de passe Windows 11 et Windows 10

Pour configurer un appareil Windows 11 ou Windows 10 pour SSPR à l’écran de connexion, passez en revue les conditions préalables et les étapes de configuration suivantes.

Conditions préalables pour Windows 11 et Windows 10

  • Connectez-vous au Centre d’administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification et activez la réinitialisation du mot de passe en libre-service Microsoft Entra.
  • Les utilisateurs doivent s’inscrire à SSPR avant d’utiliser cette fonctionnalité à https://aka.ms/ssprsetup
    • Ce n'est pas exclusif à l'utilisation de SSPR depuis l'écran de connexion Windows, tous les utilisateurs doivent fournir leurs informations de contact d’authentification avant de pouvoir réinitialiser leur mot de passe.
  • Configuration requise pour le proxy réseau :
    • Port 443 vers passwordreset.microsoftonline.com et ajax.aspnetcdn.com
    • Les appareils Windows 10 nécessitent une configuration de proxy au niveau de l'ordinateur ou une configuration de proxy étendue pour le compte temporaire defaultuser1 utilisé pour effectuer la réinitialisation de mot de passe en libre-service (voir la section Résolution des problèmes pour plus d'informations).
  • Exécutez au moins Windows 10 version 2018 Update (v1803) et les appareils doivent être :
    • Joint à Microsoft Entra
    • Jonction hybride Microsoft Entra

Activer pour Windows 11 et Windows 10 à l’aide de Microsoft Intune

Le déploiement de la modification de configuration pour activer SSPR à partir de l’écran de connexion à l’aide de Microsoft Intune est la méthode la plus flexible. Microsoft Intune vous permet de déployer la modification de configuration sur un groupe spécifique de machines que vous définissez. Cette méthode nécessite l’inscription de l’appareil à Microsoft Intune.

Créer une stratégie de configuration d’appareil dans Microsoft Intune

  1. Connectez-vous au centre d’administration Microsoft Intune .

  2. Créez un nouveau profil de configuration d’appareil en accédant à configuration de l’appareil>Profils, puis sélectionnez + Créer un profil.

    • Pour Plateforme choisissez Windows 10 et plus tard
    • Pour type de profil, choisissez Modèles, puis sélectionnez le modèle personnalisé ci-dessous

  3. Sélectionnez Créer, puis donnez un nom explicite au profil, par exemple écran de connexion Windows 11 SSPR

    Si vous le souhaitez, fournissez une description explicite du profil, puis sélectionnez suivant .

  4. Sous paramètres de configuration, sélectionnez Ajouter et fournissez le paramètre de OMA-URI suivant pour activer le lien de réinitialisation du mot de passe :

    • Fournissez un nom explicite pour expliquer ce que fait le paramètre, par exemple ajouter un lien SSPR.
    • Fournissez facultativement une description significative du contexte.
    • Paramètre OMA-URI défini sur ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Paramètre Type de données défini sur la valeur Entier
    • Paramètre Valeur défini sur 1

    Sélectionnez Ajouter, puis Suivant.

  5. La stratégie peut être affectée à des utilisateurs, appareils ou groupes spécifiques. Affectez d’abord le profil souhaité à votre environnement, idéalement à un groupe de test d’appareils, puis sélectionnez Suivant.

    Pour plus d’informations, consultez Attribuer des profils d’utilisateur et d’appareil dans Microsoft Intune.

  6. Configurez les règles d’applicabilité comme vous le souhaitez pour votre environnement, par exemple pour Attribuer un profil si l’édition du système d’exploitation est Windows 10 Entreprise, puis sélectionnez Suivant.

  7. Passez en revue votre profil, puis sélectionnez Créer.

Activer pour Windows 11 et Windows 10 à l’aide du Registre

Pour activer SSPR à l’écran de connexion à l’aide d’une clé de Registre, procédez comme suit :

  1. Connectez-vous au PC Windows à l’aide des informations d’identification d’administration.

  2. Appuyez sur Windows + R pour ouvrir la boîte de dialogue Exécuter, puis exécutez regedit en tant qu’administrateur

  3. Définissez la clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Résolution des problèmes de réinitialisation de mot de passe Windows 11 et Windows 10

Si vous rencontrez des problèmes avec l’utilisation de SSPR à partir de l’écran de connexion Windows, le journal d’audit Microsoft Entra inclut des informations sur l’adresse IP et ClientType où la réinitialisation du mot de passe s’est produite, comme illustré dans l’exemple de sortie suivant :

Exemple de réinitialisation de mot de passe Windows 7 dans le journal d’audit Microsoft Entra

Lorsque les utilisateurs réinitialisent leur mot de passe à partir de l’écran de connexion d’un appareil Windows 11 ou 10, un compte temporaire à privilège faible appelé defaultuser1 est créé. Ce compte est utilisé pour sécuriser le processus de réinitialisation de mot de passe.

Le compte lui-même a un mot de passe généré de manière aléatoire, qui est validé par rapport à une stratégie de mot de passe d’organisation, ne s’affiche pas pour la connexion de l’appareil et est automatiquement supprimé une fois que l’utilisateur a réinitialisé son mot de passe. Plusieurs profils defaultuser peuvent exister, mais peuvent être ignorés en toute sécurité.

Configurations de proxy pour la réinitialisation du mot de passe Windows

Pendant la réinitialisation du mot de passe, SSPR crée un compte d’utilisateur local temporaire pour se connecter à https://passwordreset.microsoftonline.com/n/passwordreset. Lorsqu’un proxy est configuré pour l’authentification utilisateur, il peut échouer avec l’erreur « Quelque chose a échoué. Réessayez ultérieurement. » Ceci est dû au fait que le compte d’utilisateur local n’est pas autorisé à utiliser le proxy authentifié.

Dans ce cas, vous pouvez utiliser l’une des solutions de contournement suivantes :

  • Configurez un paramètre proxy à l’échelle de l’ordinateur qui ne dépend pas du type d’utilisateur connecté à l’ordinateur. Par exemple, vous pouvez activer la stratégie de groupe Définir des paramètres proxy par ordinateur (plutôt que par utilisateur) pour les stations de travail.

  • Vous pouvez également utiliser la configuration de proxy Per-User pour SSPR si vous modifiez le modèle de registre pour le compte par défaut. Les commandes sont les suivantes :

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • L’erreur « Quelque chose a échoué » peut également se produire lorsqu'une interruption affecte la connectivité à l’URL https://passwordreset.microsoftonline.com/n/passwordreset. Par exemple, cette erreur peut se produire lorsque des logiciels antivirus s’exécutent sur la station de travail sans exclusions pour les URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comet ocsp.digicert.com. Désactivez temporairement ce logiciel pour tester si le problème est résolu ou non.

Réinitialisation du mot de passe Windows 7, 8 et 8.1

Pour configurer un appareil Windows 7, 8 ou 8.1 pour SSPR à l’écran de connexion, passez en revue les conditions préalables et les étapes de configuration suivantes.

Conditions préalables à Windows 7, 8 et 8.1

Avertissement

La version TLS 1.2 doit être activée, et ne doit pas être simplement réglée sur la négociation automatique.

Installer

Pour Windows 7, 8 et 8.1, un petit composant doit être installé sur l’ordinateur pour activer SSPR à l’écran de connexion. Pour installer ce composant SSPR, procédez comme suit :

  1. Téléchargez le programme d’installation approprié pour la version de Windows que vous souhaitez activer.

    Le programme d’installation de logiciels est disponible sur le centre de téléchargement Microsoft à https://aka.ms/sspraddin

  2. Connectez-vous à l’ordinateur sur lequel vous souhaitez installer et exécutez le programme d’installation.

  3. Après l’installation, un redémarrage est fortement recommandé.

  4. Après le redémarrage, à l’écran de connexion, choisissez un utilisateur et sélectionnez « Mot de passe oublié ? » pour lancer le flux de travail de réinitialisation de mot de passe.

  5. Effectuez le flux de travail en suivant les étapes à l’écran pour réinitialiser votre mot de passe.

Exemple de Windows 7 cliqué sur « Mot de passe oublié ? » flux SSPR

Installation silencieuse

Le composant SSPR peut être installé ou désinstallé sans invite à l’aide des commandes suivantes :

  • Pour installer en mode silencieux, utilisez la commande « msiexec /i SsprWindowsLogon.PROD.msi /qn »
  • Pour la désinstallation silencieuse, utilisez la commande « msiexec /x SsprWindowsLogon.PROD.msi /qn »

Résolution des problèmes de réinitialisation de mot de passe windows 7, 8 et 8.1

Si vous rencontrez des problèmes avec l’utilisation de SSPR à partir de l’écran de connexion Windows, les événements sont enregistrés à la fois sur l’ordinateur et dans l’ID Microsoft Entra. Les événements Microsoft Entra incluent des informations sur l’adresse IP et le ClientType où la réinitialisation du mot de passe s’est produite, comme illustré dans l’exemple de sortie suivant :

Exemple de réinitialisation de mot de passe Windows 7 dans le journal d’audit Microsoft Entra

Si une journalisation supplémentaire est requise, une clé de Registre sur l’ordinateur peut être modifiée pour activer la journalisation détaillée. Activez la journalisation détaillée à des fins de résolution des problèmes uniquement à l’aide de la valeur de clé de Registre suivante :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Pour activer la journalisation détaillée, créez un REG_DWORD: "EnableLogging", et affectez-lui la valeur 1.
  • Pour désactiver la journalisation détaillée, faites basculer la valeur de REG_DWORD: "EnableLogging" à 0.
  • Consultez la journalisation du débogage dans le journal des événements d’application sous la source AADPasswordResetCredentialProvider.

Que voient les utilisateurs

Avec SSPR configuré pour vos appareils Windows, quelles modifications pour l’utilisateur ? Comment savent-ils qu’ils peuvent réinitialiser leur mot de passe à l’écran de connexion ? Les exemples de captures d’écran suivants montrent les options supplémentaires pour qu’un utilisateur réinitialise son mot de passe à l’aide de SSPR :

Exemple d’écrans de connexion Windows 7 et 10 avec le lien SSPR affiché

Lorsque les utilisateurs tentent de se connecter, ils voient un lien Réinitialiser le mot de passe ou un lien Mot de passe oublié qui ouvre l'option de réinitialisation de mot de passe en libre-service à l'écran de connexion. Cette fonctionnalité permet aux utilisateurs de réinitialiser leur mot de passe sans avoir à utiliser un autre appareil pour accéder à un navigateur web.

Pour plus d’informations sur l’utilisation de cette fonctionnalité, consultez Réinitialiser votre mot de passe professionnel ou scolaire

Étapes suivantes

Pour simplifier l’expérience d’inscription des utilisateurs, vous pouvez préremplir les informations de contact d’authentification utilisateur pour le SSPR.