Mengaktifkan pengaturan ulang kata sandi mandiri Microsoft Entra di layar masuk Windows

Pengaturan ulang kata sandi mandiri (SSPR) memberi pengguna di MICROSOFT Entra ID kemampuan untuk mengubah atau mengatur ulang kata sandi mereka, tanpa keterlibatan administrator atau staf dukungan. Biasanya, pengguna membuka browser web di perangkat lain untuk mengakses portal SSPR . Untuk meningkatkan pengalaman di komputer yang menjalankan Windows 7, 8, 8.1, 10, dan 11, Anda dapat memungkinkan pengguna untuk mengatur ulang kata sandi mereka di layar masuk Windows.

Batasan umum

Batasan berikut berlaku untuk menggunakan SSPR dari layar masuk Windows:

• Reset kata sandi saat ini tidak didukung dari Desktop Jarak Jauh atau dari sesi Hyper-V yang ditingkatkan.
• Beberapa penyedia kredensial pihak ketiga diketahui menyebabkan masalah dengan fitur ini.
• Menonaktifkan UAC melalui modifikasi kunci registri EnableLUA diketahui menyebabkan masalah.
• Fitur ini tidak berfungsi untuk jaringan dengan autentikasi jaringan 802.1x yang telah diterapkan dan opsi "Lakukan segera sebelum pengguna masuk". Untuk jaringan dengan autentikasi jaringan 802.1x yang disebarkan, disarankan untuk menggunakan autentikasi komputer untuk mengaktifkan fitur ini.
• Mesin gabungan hibrid Microsoft Entra harus memiliki garis pandang konektivitas jaringan ke pengendali domain untuk menggunakan kata sandi baru dan memperbarui kredensial yang di-cache. Ini berarti bahwa perangkat harus berada di jaringan internal organisasi atau di VPN dengan akses jaringan ke pengontrol domain lokal. Jika SSPR adalah satu-satunya persyaratan, baris koneksi jaringan ke pengendali domain tidak diperlukan.
• Jika menggunakan gambar, sebelum menjalankan sysprep, pastikan bahwa cache web dibersihkan untuk Administrator bawaan sebelum melakukan langkah CopyProfile. Informasi selengkapnya tentang langkah ini dapat ditemukan di artikel dukungan Performa buruk ketika menggunakan profil pengguna default kustom.
• Pengaturan berikut diketahui mengganggu kemampuan untuk menggunakan dan mengatur ulang kata sandi pada perangkat Windows 10:
  • Jika pemberitahuan layar kunci dinonaktifkan, Atur ulang kata sandi tidak akan berfungsi.
  • HideFastUserSwitching disetel menjadi aktif atau 1
  • DontDisplayLastUserName diatur menjadi diaktifkan atau 1
  • NoLockScreen dikonfigurasi menjadi aktif atau 1
  • BlockNonAdminUserInstall disetel untuk diaktifkan atau 1
  • EnableLostMode diaktifkan di perangkat
  • Explorer.exe diganti dengan shell kustom
  • Masuk interaktif: Memerlukan kartu pintar disetel ke aktif atau 1
• Kombinasi tiga pengaturan tertentu berikut dapat menyebabkan fitur ini tidak berfungsi.
  • Masuk interaktif: Tidak memerlukan CTRL+ALT+DEL = Dinonaktifkan (hanya untuk Windows 10 versi 1710 dan yang lebih lama)
  • DisableLockScreenAppNotifications = 1 atau Aktif
  • Windows SKU adalah edisi Home

Reset kata sandi Windows 11 dan Windows 10

Untuk mengonfigurasi perangkat Windows 11 atau Windows 10 untuk SSPR di layar masuk, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 11 dan Windows 10

• Masuk ke pusat admin Microsoft Entra setidaknya sebagai Administrator Kebijakan Autentikasi dan mengaktifkan pengaturan ulang kata sandi mandiri Microsoft Entra.
• Pengguna harus mendaftar untuk SSPR sebelum menggunakan fitur ini di https://aka.ms/ssprsetup
  • Tidak unik untuk menggunakan SSPR dari layar masuk Windows, semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mengatur ulang kata sandi mereka.
• Persyaratan proksi jaringan:
  • Port 443 ke passwordreset.microsoftonline.com dan ajax.aspnetcdn.com
  • Perangkat Windows 10 memerlukan konfigurasi proksi tingkat mesin atau konfigurasi proksi terlingkup untuk akun defaultuser1 sementara yang digunakan untuk melakukan SSPR (lihat bagian Pemecahan Masalah untuk detail selengkapnya).
• Jalankan setidaknya Windows 10, versi Pembaruan April 2018 (v1803), dan perangkat harus:
  • Microsoft Entra bergabung
  • Gabungan hibrid Microsoft Entra

Aktifkan untuk Windows 11 dan Windows 10 menggunakan Microsoft Intune

Menyebarkan perubahan konfigurasi untuk mengaktifkan SSPR dari layar masuk menggunakan Microsoft Intune adalah metode yang paling fleksibel. Microsoft Intune memungkinkan Anda menyebarkan perubahan konfigurasi ke grup komputer tertentu yang Anda tentukan. Metode ini memerlukan perangkat didaftarkan ke Microsoft Intune.

Membuat kebijakan konfigurasi perangkat di Microsoft Intune

1. Masuk ke pusat admin Microsoft Intune .

2. Buat profil konfigurasi perangkat baru dengan masuk ke Konfigurasi perangkat>Profil, lalu pilih + Buat Profil

   • Untuk Platform pilih Windows 10 dan yang lebih baru
   • Untuk Jenis profil, pilih Templat lalu pilih templat Kustom di bawah ini

3. Pilih Buat, lalu berikan nama yang bermakna untuk profil, seperti layar masuk Windows 11 SSPR

   Secara opsional, berikan deskripsi profil yang bermakna, lalu pilih Berikutnya.

4. Di bawah pengaturan Konfigurasi , pilih Tambahkan dan berikan pengaturan OMA-URI berikut untuk mengaktifkan tautan atur ulang kata sandi:

   • Berikan nama yang bermakna untuk menjelaskan fungsi pengaturan, seperti Tambahkan tautan SSPR.
   • Anda dapat secara opsional memberikan deskripsi situasi yang bermakna.
   • OMA-URI diatur ke ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Jenis data diatur ke Bilangan Bulat
   • Nilai diatur ke 1

   Pilih Tambahkan, lalu Berikutnya.

5. Kebijakan dapat ditetapkan untuk pengguna, perangkat, atau grup tertentu. Tetapkan profil sesuai keinginan untuk lingkungan Anda, idealnya ke grup pengujian perangkat terlebih dahulu, lalu pilih Berikutnya.

   Untuk informasi selengkapnya, lihat Menetapkan profil pengguna dan perangkat di Microsoft Intune.

6. Konfigurasikan aturan penerapan seperti yang diinginkan untuk lingkungan Anda, seperti Tetapkan profil jika edisi OS adalah Windows 10 Enterprise, lalu pilih Berikutnya.

7. Tinjau profil Anda, lalu pilih Buat.

Aktifkan untuk Windows 11 dan Windows 10 menggunakan Registri

Untuk mengaktifkan SSPR di layar masuk menggunakan kunci registri, selesaikan langkah-langkah berikut:

1. Masuk ke PC Windows menggunakan kredensial administratif.

2. Tekan WindowsR untuk membuka dialog Jalankan , lalu jalankan regedit sebagai administrator

3. Atur kunci registri berikut:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Pemecahan masalah reset kata sandi Windows 11 dan Windows 10

Jika Anda mengalami masalah saat menggunakan SSPR dari layar masuk Windows, log audit Microsoft Entra menyertakan informasi tentang alamat IP dan ClientType tempat reset kata sandi terjadi, seperti yang ditunjukkan dalam contoh output berikut:

Saat pengguna mengatur ulang kata sandi mereka dari layar masuk perangkat Windows 11 atau 10, akun sementara dengan hak istimewa rendah yang disebut defaultuser1 dibuat. Akun ini digunakan untuk menjaga keamanan proses reset kata sandi.

Akun itu sendiri memiliki kata sandi yang dihasilkan secara acak, yang divalidasi terhadap kebijakan kata sandi organisasi, tidak muncul untuk masuk perangkat, dan secara otomatis dihapus setelah pengguna mengatur ulang kata sandi mereka. Beberapa profil defaultuser mungkin ada tetapi dapat diabaikan dengan aman.

Konfigurasi proksi untuk reset kata sandi Windows

Selama reset kata sandi, SSPR membuat akun pengguna lokal sementara untuk terhubung ke https://passwordreset.microsoftonline.com/n/passwordreset. Ketika proksi dikonfigurasi untuk autentikasi pengguna, mungkin gagal dengan kesalahan "Terjadi kesalahan. Silakan, coba lagi nanti." Ini karena akun pengguna lokal tidak berwenang untuk menggunakan proksi yang diautentikasi.

Dalam hal ini, Anda dapat menggunakan salah satu solusi berikut:

• Konfigurasikan pengaturan proksi di seluruh komputer yang tidak bergantung pada jenis pengguna yang masuk ke komputer. Misalnya, Anda dapat mengaktifkan Kebijakan Grup Membuat pengaturan proksi per komputer (bukan per pengguna) untuk stasiun kerja.

• Anda juga dapat menggunakan konfigurasi proksi Per-User untuk SSPR jika Anda mengubah templat registri untuk Akun Default. Perintahnya adalah sebagai berikut:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Kesalahan "Terjadi kesalahan" juga dapat terjadi ketika sesuatu mengganggu konektivitas ke URL https://passwordreset.microsoftonline.com/n/passwordreset. Misalnya, kesalahan ini dapat terjadi ketika perangkat lunak antivirus berjalan di stasiun kerja tanpa pengecualian untuk URL passwordreset.microsoftonline.com, ajax.aspnetcdn.com, dan ocsp.digicert.com. Nonaktifkan perangkat lunak ini untuk sementara untuk menguji apakah masalah diselesaikan atau tidak.

Reset kata sandi Windows 7, 8, dan 8.1

Untuk mengonfigurasi perangkat Windows 7, 8, atau 8.1 untuk SSPR di layar masuk, tinjau prasyarat dan langkah-langkah konfigurasi berikut.

Prasyarat Windows 7, 8, dan 8.1

• Masuk ke pusat admin Microsoft Entra sebagai setidaknya seorang Administrator Kebijakan Autentikasi dan aktifkan pengaturan ulang kata sandi mandiri Microsoft Entra.
• Pengguna harus mendaftar untuk SSPR sebelum menggunakan fitur ini di https://aka.ms/ssprsetup
  • Tidak unik untuk menggunakan SSPR dari layar masuk Windows, semua pengguna harus memberikan informasi kontak autentikasi sebelum mereka dapat mengatur ulang kata sandi mereka.
• Persyaratan proksi jaringan:
  • Port 443 ke passwordreset.microsoftonline.com
• Sistem Operasi Windows 7 atau Windows 8.1 yang di-patch.
• TLS 1.2 diaktifkan menggunakan panduan yang ditemukan di pengaturan registri Transport Layer Security (TLS).
• Jika lebih dari satu penyedia kredensial pihak ke-3 diaktifkan di komputer Anda, pengguna akan melihat lebih dari satu profil pengguna di layar masuk.

Pasang

Untuk Windows 7, 8, dan 8.1, komponen kecil harus diinstal pada komputer untuk mengaktifkan SSPR di layar masuk. Untuk menginstal komponen SSPR ini, selesaikan langkah-langkah berikut:

1. Unduh penginstal yang sesuai untuk versi Windows yang ingin Anda aktifkan.

   Alat penginstal perangkat lunak tersedia di pusat unduhan Microsoft di https://aka.ms/sspraddin

2. Masuk ke komputer tempat Anda ingin menginstal, dan jalankan alat penginstal.

3. Setelah penginstalan, boot ulang sangat disarankan.

4. Setelah reboot, di layar masuk pilih pengguna dan pilih "Lupa kata sandi?" untuk memulai alur kerja reset kata sandi.

5. Selesaikan alur kerja dengan mengikuti langkah-langkah di layar untuk mengatur ulang kata sandi Anda.

Penginstalan senyap

Komponen SSPR dapat diinstal atau dihapus instalasinya tanpa perintah menggunakan perintah berikut:

• Untuk penginstalan senyap, gunakan perintah "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• Untuk penghapusan instalasi tanpa suara, gunakan perintah "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Pemecahan masalah reset kata sandi Windows 7, 8, dan 8.1

Jika Anda memiliki masalah saat menggunakan SSPR dari layar masuk Windows, peristiwa dicatat baik di komputer maupun di ID Microsoft Entra. Peristiwa Microsoft Entra menyertakan informasi tentang alamat IP dan ClientType tempat reset kata sandi terjadi, seperti yang ditunjukkan dalam contoh output berikut:

Jika diperlukan perekaman log tambahan, kunci registri di komputer dapat diubah untuk mengaktifkan log rinci. Aktifkan pengelogan verbose untuk tujuan pemecahan masalah hanya menggunakan nilai kunci registri berikut:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Untuk mengaktifkan pengelogan verbose, buat REG_DWORD: "EnableLogging", dan atur ke 1.
• Untuk menonaktifkan pencatatan log terperinci, ubah REG_DWORD: "EnableLogging" menjadi 0.
• Tinjau pencatatan log debug di log peristiwa aplikasi pada sumber AADPasswordResetCredentialProvider.

Apa yang dilihat pengguna

Dengan SSPR yang dikonfigurasi untuk perangkat Windows Anda, perubahan apa untuk pengguna? Bagaimana mereka tahu bahwa mereka dapat mengatur ulang kata sandi mereka di layar masuk? Contoh cuplikan layar berikut menunjukkan opsi tambahan bagi pengguna untuk mengatur ulang kata sandi mereka menggunakan SSPR:

Saat pengguna mencoba masuk, mereka melihat Mengatur ulang kata sandi atau Lupa kata sandi tautan yang membuka pengalaman pengaturan ulang kata sandi mandiri di layar masuk. Fungsionalitas ini memungkinkan pengguna untuk mengatur ulang kata sandi mereka tanpa harus menggunakan perangkat lain untuk mengakses browser web.

Informasi selengkapnya untuk pengguna tentang menggunakan fitur ini dapat ditemukan di Mereset kata sandi kantor atau sekolah Anda

Langkah berikutnya

Untuk menyederhanakan pengalaman pendaftaran pengguna, Anda dapat mem-praisi informasi kontak autentikasi pengguna untuk SSPR.