Merencanakan penyebaran pengaturan ulang kata sandi mandiri Microsoft Entra
Penting
Rencana penyebaran ini menawarkan panduan dan praktik terbaik untuk menyebarkan pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra.
Jika Anda adalah pengguna akhir dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.
Pengaturan Ulang Kata Sandi Mandiri (SSPR) adalah fitur Microsoft Entra yang memungkinkan pengguna untuk mengatur ulang kata sandi mereka tanpa menghubungi staf IT untuk mendapatkan bantuan. Pengguna dapat dengan cepat membuka blokir sendiri dan terus bekerja di mana pun mereka berada atau pada waktu kapan pun. Dengan mengizinkan karyawan untuk membuka blokir diri, organisasi Anda dapat mengurangi waktu yang tidak produktif dan biaya dukungan yang tinggi untuk masalah terkait sandi yang paling umum.
SSPR memiliki kapabilitas utama berikut:
- Layanan mandiri memungkinkan pengguna akhir untuk mengatur ulang sandi mereka yang kedaluwarsa atau tidak kedaluwarsa tanpa menghubungi administrator atau helpdesk untuk mendapatkan dukungan.
- Kode akses Writeback memungkinkan pengelolaan kata sandi lokal dan resolusi penguncian akun melalui cloud.
- Laporan aktivitas manajemen sandi memberi administrator wawasan tentang mengatur ulang sandi dan aktivitas pendaftaran yang terjadi di organisasi mereka.
Panduan penerapan ini menunjukkan kepada Anda cara merencanakan lalu menguji peluncuran SSPR.
Untuk melihat SSPR beraksi dengan cepat lalu kembali untuk memahami pertimbangan penerapan tambahan:
Tip
Sebagai pendamping artikel ini, sebaiknya gunakan panduan penyebaran pengaturan ulang kata sandi mandiri Anda saat masuk ke pusat Admin Microsoft 365. Panduan ini menyesuaikan pengalaman Anda berdasarkan lingkungan Anda. Untuk meninjau praktik terbaik tanpa masuk dan mengaktifkan fitur penyiapan otomatis, buka portal Penyetelan M365.
Pelajari tentang SSPR
Pelajari selengkapnya tentang SSPR. Lihat Cara kerjanya: Pengaturan ulang kata sandi mandiri Microsoft Entra.
Manfaat utama
Manfaat utama dari mengaktifkan SSPR adalah:
Mengelola biaya. SSPR mengurangi biaya dukungan IT dengan memungkinkan pengguna untuk mengatur ulang sandi mereka sendiri. SSPR juga mengurangi biaya waktu yang hilang karena sandi dan penguncian yang hilang.
Pengalaman pengguna intuitif. Pengalaman ini menyediakan proses pendaftaran pengguna satu kali yang intuitif yang memungkinkan pengguna untuk mengatur ulang sandi dan membuka blokir akun sesuai permintaan dari perangkat atau lokasi mana pun. SSPR memungkinkan pengguna untuk kembali bekerja lebih cepat dan lebih produktif.
Fleksibilitas dan keamanan. SSPR memungkinkan perusahaan untuk mengakses keamanan dan fleksibilitas yang disediakan platform cloud. Administrator dapat mengubah pengaturan untuk mengakomodasi persyaratan keamanan baru dan meluncurkan perubahan ini kepada pengguna tanpa mengganggu proses masuk mereka.
Audit yang kuat dan pelacakan penggunaan. Organisasi dapat memastikan bahwa sistem bisnis tetap aman sementara penggunanya mengatur ulang sandi mereka sendiri. Log audit yang kuat mencakup informasi setiap langkah proses pengaturan ulang sandi. Log ini tersedia dari API dan memungkinkan pengguna untuk mengimpor data ke dalam sistem pilihan Insiden Keamanan dan Pemantauan Peristiwa (SIEM).
Pelisensian
ID Microsoft Entra dilisensikan per pengguna yang berarti setiap pengguna memerlukan lisensi yang sesuai untuk fitur yang mereka gunakan. Kami merekomendasikan lisensi berbasis grup untuk SSPR.
Untuk membandingkan edisi dan fitur serta mengaktifkan lisensi berbasis grup atau pengguna, lihat Persyaratan lisensi untuk pengaturan ulang kata sandi mandiri Microsoft Entra.
Untuk informasi selengkapnya tentang harga, lihat Harga Microsoft Entra.
Prasyarat
Penyewa Microsoft Entra yang berfungsi dengan setidaknya lisensi uji coba diaktifkan. Jika perlu, buat secara gratis.
Anda harus diberi setidaknya peran Administrator Kebijakan Autentikasi
.
Panduan terpandu
Untuk panduan terpandu tentang banyak rekomendasi dalam artikel ini, lihat Panduan penyebaran pengaturan ulang kata sandi layanan mandiri Anda saat masuk ke pusat Admin Microsoft 365. Untuk meninjau praktik terbaik tanpa masuk dan mengaktifkan fitur penyiapan otomatis, buka portal Penyetelan M365.
Sumber daya pelatihan
Solusi Arsitektur
Contoh berikut menjelaskan arsitektur solusi pengaturan ulang sandi untuk lingkungan hibrid umum.
Deskripsi alur kerja
Untuk mengatur ulang sandi, pengguna masuk ke portal pengaturan ulang sandi. Mereka harus memverifikasi metode autentikasi yang terdaftar sebelumnya atau metode untuk membuktikan identitas mereka. Jika berhasil mengatur ulang sandi, mereka memulai proses pengaturan ulang.
Untuk pengguna khusus cloud, SSPR menyimpan kata sandi baru di ID Microsoft Entra.
Untuk pengguna hibrid, SSPR menulis kembali kata sandi ke Active Directory lokal melalui layanan Microsoft Entra Connect.
Catatan
Untuk pengguna yang memiliki Sinkronisasi hash kata sandi (PHS) dinonaktifkan, SSPR hanya menyimpan kata sandi di Direktori Aktif lokal.
Praktik terbaik
Anda dapat membantu pengguna mendaftar dengan cepat dengan menerapkan SSPR bersama aplikasi atau layanan populer lainnya di organisasi. Tindakan ini menghasilkan volume besar dari login dan mendorong pendaftaran.
Sebelum menerapkan SSPR, Anda dapat memilih untuk menentukan nomor dan biaya rata-rata setiap panggilan pengaturan ulang sandi. Anda dapat menggunakan penerapan postingan data ini untuk memperlihatkan nilai yang diberikan SSPR ke organisasi.
Pendaftaran gabungan untuk autentikasi multifaktor SSPR dan Microsoft Entra
SSPR memungkinkan pengguna untuk mengatur ulang kata sandi mereka dengan cara yang aman menggunakan metode yang sama dengan yang mereka gunakan untuk autentikasi multifaktor Microsoft Entra. Pendaftaran gabungan adalah langkah pendaftaran tunggal untuk pengguna akhir yang memungkinkan pendaftaran metode MFA dan SSPR secara bersamaan. Untuk memastikan Anda memahami fungsionalitas dan pengalaman pengguna akhir, lihat Konsep pendaftaran informasi keamanan gabungan.
Sangat penting untuk memberi tahu pengguna tentang perubahan yang akan datang, persyaratan pendaftaran, dan tindakan pengguna yang diperlukan. Kami menyediakan pola dasar komunikasi dan dokumentasi pengguna untuk mempersiapkan pengguna Anda menghadapi pengalaman baru dan membantu memastikan peluncuran yang berhasil. Anda dapat mengirim pengguna ke https://myprofile.microsoft.com untuk mendaftar dengan memilih tautan Informasi Keamanan di halaman tersebut.
Merencanakan proyek penerapan
Pertimbangkan kebutuhan organisasi Anda saat Anda menentukan strategi penerapan ini di lingkungan Anda.
Melibatkan pemangku kepentingan yang tepat
Ketika proyek teknologi gagal, biasanya itu terjadi karena harapan yang tidak sesuai pada dampak, hasil, dan tanggung jawab. Untuk menghindari perangkap ini, pastikan Anda melibatkan pemangku kepentingan yang tepat dan peran pemangku kepentingan dalam proyek dipahami dengan baik dengan mendokumentasikan pemangku kepentingan dan input serta akuntabilitas proyeknya.
Peran administrator yang diperlukan
| Peran Bisnis/Persona | Peran Microsoft Entra (jika perlu) |
|---|---|
| Helpdesk tingkat 1 | Admin Kata Sandi |
| Helpdesk tingkat 2 | Admin Pengguna |
| Administrator SSPR | Admin Autentikasi |
Merencanakan uji coba
Kami menyarankan agar konfigurasi awal SSPR berada di lingkungan pengujian. Mulai dengan grup pilot dengan mengaktifkan SSPR untuk subset pengguna di organisasi Anda. Lihat Praktik terbaik untuk pilot (uji coba).
Untuk membuat grup, lihat cara membuat grup dan menambahkan anggota di ID Microsoft Entra.
Merencanakan konfigurasi
Pengaturan berikut ini diperlukan untuk mengaktifkan SSPR bersama dengan nilai yang direkomendasikan.
| Luas | Pengaturan | Nilai |
|---|---|---|
| Properti SSPR | Pengaturan ulang sandi mandiri diaktifkan | Grup untuk pilot yang terpilih / Semua untuk produksi |
| Metode autentikasi | Metode autentikasi diperlukan untuk mendaftar | Selalu 1 lebih dari yang diperlukan untuk pengaturan ulang |
| Metode autentikasi diperlukan untuk pengaturan ulang | Satu atau dua | |
| Pendaftaran | Memerlukan pengguna untuk mendaftar saat masuk | Ya |
| Jumlah hari sebelum pengguna diminta untuk mengonfirmasi kembali informasi autentikasi mereka | 90 - 180 hari | |
| Pemberitahuan | Memberi tahu pengguna tentang pengaturan ulang sandi | Ya |
| Memberi tahu semua admin saat admin lain mengatur ulang sandi mereka | Ya | |
| Kustomisasi | Mengkustomisasi tautan helpdesk | Ya |
| Email atau URL helpdesk kustom | Alamat situs dukungan atau email | |
| Integrasi lokal | Menulis ulang sandi ke AD lokal | Ya |
| Izinkan pengguna untuk membuka akun tanpa mengatur ulang sandi mereka | Ya |
Properti SSPR
Saat mengaktifkan SSPR, pilih grup keamanan yang sesuai di lingkungan pilot.
- Untuk memberlakukan registrasi SSPR untuk semua orang, kami menyarankan untuk menggunakan opsi Semua.
- Jika tidak, pilih ID Microsoft Entra atau grup keamanan AD yang sesuai.
Metode autentikasi
Ketika SSPR diaktifkan, pengguna hanya dapat mereset sandi jika mereka memiliki data dalam metode autentikasi yang telah diaktifkan administrator. Metode termasuk telepon, pemberitahuan aplikasi Authenticator, pertanyaan keamanan, dan sebagainya. Untuk mengetahui informasi selengkapnya, lihat Apa itu metode autentikasi?.
Kami menyarankan pengaturan metode autentikasi berikut:
Atur metode Autentikasi yang diperlukan untuk mendaftarkan ke setidaknya melebihi satu dari angka yang diperlukan untuk reset. Mengaktifkan beberapa autentikasi memberikan fleksibilitas untuk pengguna saat mereka membutuhkan reset.
Atur Jumlah metode yang diperlukan untuk reset ke tingkat yang sesuai dengan organisasi Anda. Satu memerlukan lebih sedikit gesekan, sementara dua dapat meningkatkan postur keamanan Anda.
Catatan: Pengguna harus memiliki metode autentikasi yang dikonfigurasi dalam kebijakan dan pembatasan Kata Sandi di ID Microsoft Entra.
Pengaturan pendaftaran
Atur Memerlukan pengguna untuk mendaftar saat masuk ke Ya. Pengaturan ini memerlukan pengguna untuk mendaftar saat masuk, memastikan bahwa semua pengguna dilindungi.
Atur Jumlah hari sebelum pengguna diminta mengonfirmasi ulang informasi autentikasi mereka ke antara 90 dan 180 hari, kecuali organisasi Anda memiliki kebutuhan bisnis untuk jangka waktu yang lebih pendek.
Pengaturan notifikasi
Konfigurasikan Beri tahu pengguna saat reset sandi dan Beri tahu semua admin saat admin lain mereset sandi mereka ke Ya. Memilih Ya pada keduanya meningkatkan keamanan dengan memastikan bahwa pengguna menyadari saat sandi mereka direset. Hal ini juga memastikan semua admin menyadari saat salah satu admin mengubah sandi. Jika pengguna atau admin menerima pemberitahuan dan belum memulai perubahan, mereka dapat langsung melaporkan adanya potensi masalah keamanan.
Catatan
Pemberitahuan email dari layanan SSPR dikirim dari alamat berikut berdasarkan cloud Azure yang sedang Anda kerjakan:
- Publik: msonlineservicesteam@microsoft.com
- Tiongkok: msonlineservicesteam@oe.21vianet.com
- Pemerintahan: msonlineservicesteam@azureadnotifications.us
Jika Anda mengamati masalah dalam menerima pemberitahuan, periksa pengaturan spam Anda.
Pengaturan kustomisasi
Penting untuk mengkustomisasi email atau URL bantuan teknis untuk memastikan pengguna yang mengalami masalah dapat segera mendapatkan bantuan. Atur opsi ini ke alamat email atau halaman web bantuan teknis umum yang awam bagi pengguna Anda.
Untuk informasi selengkapnya, lihat Menyesuaikan fungsionalitas Microsoft Entra untuk pengaturan ulang kata sandi mandiri.
Tulis Balik Sandi
Tulis Balik Kata Sandi diaktifkan dengan Microsoft Entra Connect dan menulis reset kata sandi di cloud kembali ke direktori lokal yang ada secara real time. Untuk informasi selengkapnya, lihat Apa itu Tulis Balik Sandi?
Kami menyarankan pengaturan berikut:
- Pastikan bahwa Tulis balik sandi ke lokal AD diatur ke Ya.
- Atur Izinkan pengguna membuka akun tanpa mereset sandi ke Ya.
Secara default, ID Microsoft Entra membuka kunci akun saat melakukan reset kata sandi.
Pengaturan sandi administrator
Akun administrator memiliki perizinan yang lebih tinggi. Perusahaan atau administrator domain lokal tidak dapat mereset sandi mereka melalui SSPR. Akun admin lokal memiliki batasan sebagai berikut:
- Hanya dapat mengubah kata sandi mereka di lingkungan lokal mereka.
- Tidak pernah dapat menggunakan pertanyaan dan jawaban rahasia sebagai metode untuk mengatur ulang kata sandi mereka.
Kami menyarankan agar Anda tidak menyinkronkan akun admin Active Directory lokal Anda dengan ID Microsoft Entra.
Lingkungan dengan beberapa sistem manajemen identitas
Beberapa lingkungan memiliki beberapa sistem manajemen identitas. Manajer identitas lokal seperti Oracle IAM dan SiteMinder, memerlukan sinkronisasi dengan AD untuk kata sandi. Hal ini dapat dilakukan menggunakan alat seperti Microsoft Password Change Notification Service (PCNS) dengan Microsoft Identity Manager (MIM). Untuk menemukan informasi mengenai skenario yang lebih rumit ini, lihat artikel Menerapkan MIM Password Change Notification Service pada pengontrol domain.
Merencanakan Pengujian dan Dukungan
Pada setiap tahap penerapan dari grup pilot awal melalui organisasi, pastikan hasilnya sesuai perkiraan.
Merencanakan pengujian
Untuk memastikan penerapan Anda berfungsi sesuai perkiraan, rencanakan rangkaian kasus uji untuk memvalidasi implementasinya. Untuk menilai kasus pengujian, Anda memerlukan pengguna penguji non-administrator dengan sandi. Jika Anda perlu membuat pengguna, lihat Menambahkan pengguna baru ke ID Microsoft Entra.
Tabel berikut mencakup skenario pengujian yang dapat digunakan untuk merekam hasil perusahaan yang diharapkan berdasarkan kebijakan anda.
| Kasus bisnis | Hasil yang diharapkan |
|---|---|
| Portal SSPR dapat diakses dari dalam jaringan perusahaan | Ditentukan oleh organisasi |
| Portal SSPR dapat diakses dari luar jaringan perusahaan | Ditentukan oleh organisasi |
| Reset sandi pengguna dari browser saat pengguna tidak diaktifkan untuk reset sandi | Pengguna tidak dapat mengakses alur reset sandi |
| Reset sandi pengguna dari browser saat pengguna belum mendaftar untuk reset sandi | Pengguna tidak dapat mengakses alur reset sandi |
| Pengguna masuk saat dituntut untuk melakukan pendaftaran reset sandi | Meminta pengguna untuk mendaftarkan informasi keamanan |
| Pengguna masuk saat pendaftaran reset sandi selesai | Meminta pengguna untuk mendaftarkan informasi keamanan |
| Portal SSPR dapat diakses saat pengguna tidak memiliki lisensi | Dapat diakses |
| Atur ulang kata sandi pengguna dari layar penguncian perangkat gabungan Microsoft Entra windows 10 atau microsoft Entra hybrid | Pengguna dapat mereset sandi |
| Pendaftaran SSPR dan data penggunaan tersedia bagi administrator dalam waktu dekat | Tersedia via log audit |
Anda juga dapat merujuk ke Menyelesaikan peluncuran pilot pengaturan ulang kata sandi mandiri Microsoft Entra. Dalam tutorial ini, Anda mengaktifkan peluncuran pilot SSPR di organisasi Anda dan menguji menggunakan akun non-administrator.
Merencanakan dukungan
Meskipun SSPR biasanya tidak membuat masalah pengguna, penting untuk menyiapkan staf dukungan untuk menangani masalah yang mungkin muncul. Untuk mengaktifkan keberhasilan tim dukungan, Anda dapat membuat FAQ berdasarkan pertanyaan yang Anda terima dari pengguna Anda. Berikut beberapa contohnya:
| Skenario | Deskripsi |
|---|---|
| Pengguna tidak memiliki metode autentikasi terdaftar yang tersedia | Pengguna mencoba mereset sandi mereka namun tidak memiliki metode autentikasi terdaftar yang tersedia (Contoh: mereka meninggalkan ponsel di rumah dan tidak dapat mengakses email) |
| Pengguna tidak menerima pesan teks atau panggilan di kantor atau ponsel mereka | Pengguna mencoba memverifikasi identitas mereka melalui pesan teks atau panggilan namun tidak menerima pesan singkat/panggilan. |
| Pengguna tidak dapat mengakses portal reset sandi | Pengguna ingin mereset sandi mereka namun tidak diaktifkan untuk reset sandi dan tidak dapat mengakses halaman untuk memperbarui sandi. |
| Pengguna tidak dapat mengatur sandi baru | Pengguna menyelesaikan verifikasi selama alur reset sandi namun tidak dapat mengatur sandi baru. |
| Pengguna tidak melihat tautan Reset Sandi pada perangkat Windows 10 | Pengguna mencoba mengatur ulang kata sandi dari layar kunci Windows 10, tetapi perangkat tidak bergabung ke ID Microsoft Entra, atau kebijakan perangkat Microsoft Intune tidak diaktifkan |
Rencanakan pembatalan
Untuk melakukan roll back pada penerapan:
Untuk satu pengguna, hapus pengguna dari grup keamanan
Untuk grup, hapus grup dari konfigurasi SSPR
Untuk semua orang, nonaktifkan SSPR untuk penyewa Microsoft Entra
Menerapkan SSPR
Sebelum menerapkan, pastikan Anda telah melakukan hal berikut:
Menentukan pengaturan konfigurasi yang sesuai.
Mengidentifikasi pengguna dan grup untuk lingkungan pilot dan produksi.
Menentukan pengaturan konfigurasi untuk pendaftaran dan layanan mandiri.
Mengonfigurasi tulis balik sandi jika memiliki lingkungan hibrid.
Kini Anda siap menerapkan SSPR!
Lihat Aktifkan reset sandi mandiri untuk petunjuk terperinci lengkap dalam mengonfigurasi area berikut.
Mengaktifkan SSPR pada Windows
Untuk mesin yang menjalankan Windows 7, 8, 8.1, dan 10, Anda dapat mengaktifkan pengguna untuk mereset sandi mereka pada layar masuk Windows
Mengelola SSPR
ID Microsoft Entra dapat memberikan informasi tambahan tentang performa SSPR Anda melalui audit dan laporan.
Laporan aktivitas manajemen sandi
Anda dapat menggunakan laporan bawaan di pusat admin Microsoft Entra untuk mengukur performa SSPR. Jika memiliki lisensi yang tepat, Anda juga dapat membuat kueri kustom. Untuk informasi selengkapnya, lihat Opsi pelaporan untuk manajemen kata sandi Microsoft Entra.
Catatan
Anda harus ikut serta agar data ini dikumpulkan untuk organisasi Anda. Untuk ikut serta, Anda harus mengunjungi tab Pelaporan atau log audit di pusat admin Microsoft Entra setidaknya sekali. Jika tidak, data tidak akan dikumpulkan untuk organisasi Anda.
Log audit untuk pendaftaran dan reset sandi tersedia selama 30 hari. Jika keamanan audit dalam perusahaan membutuhkan retensi yang lebih lama, log harus diekspor dan dimasukkan ke dalam alat SIEM seperti Microsoft Azure Sentinel, Splunk, atau ArcSight.
Metode autentikasi - Penggunaan dan wawasan
Penggunaan dan wawasan memungkinkan Anda memahami cara kerja metode autentikasi untuk fitur seperti autentikasi multifaktor Microsoft Entra dan SSPR di organisasi Anda. Kemampuan pelaporan ini menyediakan sarana untuk memahami apa yang didaftarkan metode dan cara penggunaannya untuk organisasi Anda.
Pecahkan masalah
Merujuk pada Pemecahan masalah reset sandi mandiri
Ikuti Pertanyaan yang sering diajukan mengenai manajemen sandi