Включите функцию самостоятельного сброса пароля Microsoft Entra на экране входа в Windows.

Самостоятельный сброс пароля (SSPR) предоставляет пользователям идентификатора Microsoft Entra возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Как правило, пользователи открывают веб-браузер на другом устройстве для доступа к порталу SSPR. Чтобы улучшить работу на компьютерах под управлением Windows 7, 8, 8.1, 10 и 11, вы можете разрешить пользователям сбрасывать пароль на экране входа в Windows.

Общие ограничения

Следующие ограничения применяются к использованию SSPR на экране входа Windows:

• Сброс пароля в настоящее время не поддерживается из удаленного рабочего стола или из Hyper-V расширенных сеансов.
• Некоторые сторонние поставщики учетных данных, как известно, вызывают проблемы с этой функцией.
• Отключение UAC путем изменения ключа реестра EnableLUA, как известно, может приводить к возникновению проблем.
• Эта функция не работает для сетей с развернутой сетевой проверкой подлинности 802.1x и параметром "Выполнить непосредственно перед входом пользователя". Для сетей с развернутой сетевой проверкой подлинности 802.1x рекомендуется использовать проверку подлинности компьютера для включения этой функции.
• Гибридные компьютеры, присоединенные к Microsoft Entra, должны иметь сетевое подключение к контроллеру домена, чтобы использовать новый пароль и обновить кэшированные учетные данные. Это означает, что устройства должны находиться в внутренней сети организации или в VPN с сетевым доступом к локальному контроллеру домена. Если SSPR является единственным требованием, строка сетевого подключения к контроллеру домена не требуется.
• При использовании образа перед запуском sysprep убедитесь, что веб-кэш для встроенного администратора очищен, прежде чем выполнять шаг CopyProfile. Дополнительные сведения об этом шаге можно найти в статье поддержки Плохая производительность при использовании пользовательского профиля по умолчанию.
• Следующие параметры, как известно, препятствуют использованию и сбросу паролей на устройствах с Windows 10.
  • Если уведомления на экране блокировки отключены, сброс пароля не будет работать.
  • HideFastUserSwitching имеет значение enabled или 1
  • DontDisplayLastUserName имеет значение enabled или 1
  • Параметр NoLockScreen установлен на "включено" или 1.
  • BlockNonAdminUserInstall имеет значение enabled или 1
  • Параметр EnableLostMode установлен на устройстве
  • Explorer.exe заменяется пользовательской оболочкой
  • Интерактивный вход: для входа требуется, чтобы настройка смарт-карты была установлена в положение "включено" или "1".
• Сочетание следующих трех параметров может привести к тому, что эта функция не работает.
  • Интерактивный вход: не требуется CTRL+ALT+DEL = отключен (только для Windows 10 версии 1710 и более ранних версий)
  • DisableLockScreenAppNotifications = 1 или включено
  • SKU Windows — редакция Домашняя

Сброс пароля в Windows 10 и Windows 11

Чтобы настроить устройство Windows 11 или Windows 10 для SSPR на экране входа, ознакомьтесь со следующими предварительными условиями и инструкциями по настройке.

Предварительные требования для Windows 11 и Windows 10

• Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности и включить самостоятельный сброс пароля Microsoft Entra.
• Пользователи должны зарегистрироваться в SSPR перед использованием этой функции на https://aka.ms/ssprsetup.
  • Не только для использования функции сброса пароля (SSPR) на экране входа в Windows: всем пользователям необходимо предоставить контактную информацию для аутентификации, прежде чем они смогут сбросить свой пароль.
• Требования к сетевому прокси-серверу:
  • Порт 443 в passwordreset.microsoftonline.com и ajax.aspnetcdn.com
  • Для устройств Windows 10 требуется конфигурация прокси-сервера на уровне компьютера или ограниченная конфигурация прокси для временной учетной записи defaultuser1, используемой для выполнения SSPR (дополнительные сведения см. в разделе "Устранение неполадок").
• Используйте по крайней мере Windows 10, версии April 2018 Update (v1803), и устройства должны быть:
  • Microsoft Entra присоединилась
  • Подключение к Microsoft Entra в гибридном режиме

Включение для Windows 11 и Windows 10 с помощью Microsoft Intune

Развертывание изменения конфигурации для включения SSPR на экране входа с помощью Microsoft Intune является самым гибким методом. Microsoft Intune позволяет развернуть изменение конфигурации в определенной группе компьютеров, определенных вами. Для этого метода требуется регистрация устройства в Microsoft Intune.

Создание политики конфигурации устройств в Microsoft Intune

1. Войдите в Центра администрирования Microsoft Intune.

2. Создайте новый профиль конфигурации устройства, перейдя в раздел Конфигурация устройства>Профили, а затем выберите + Создать профиль

   • Для платформы выберите Windows 10 и новее
   • Для типа профилявыберите шаблоны, а затем выберите настраиваемый шаблон ниже.

3. Выберите Создать, а затем укажите понятное имя профиля, например экран входа в систему SSPR Windows 11.

   При необходимости укажите понятное описание профиля, а затем выберите Далее.

4. В разделе параметров конфигурациивыберите Добавить и укажите следующий параметр OMA-URI, чтобы включить ссылку сброса пароля:

   • Укажите понятное имя, чтобы объяснить, что делает параметр, например Добавить ссылку SSPR.
   • При необходимости укажите понятное описание параметра.
   • OMA-URI для ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • тип данных установлен как целое число
   • значение установлено на 1

   Выберите Добавить, а затем Далее.

5. Политика может быть назначена определенным пользователям, устройствам или группам. Сначала назначьте профиль как требуется в вашей среде, предпочтительно в тестовую группу устройств, а затем выберите Далее.

   Дополнительные сведения см. в статье Назначение профилей пользователей и устройств в Microsoft Intune.

6. Настройте правила применимости, необходимые для вашей среды, например, чтобы назначить профиль, если редакция ОС — Windows 10 для корпоративных клиентов, а затем выберите Далее.

7. Просмотрите свой профиль, затем выберите Создать.

Включение для Windows 11 и Windows 10 с помощью реестра

Чтобы включить SSPR на экране входа с помощью ключа реестра, выполните следующие действия:

1. Войдите на компьютер Windows с помощью административных учетных данных.

2. Нажмите Windows + R, чтобы открыть диалоговое окно запуска , а затем выполните regedit от имени администратора.

3. Задайте следующий раздел реестра:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Устранение неполадок при сбросе пароля в Windows 11 и Windows 10

Если у вас возникли проблемы с использованием SSPR на экране входа в Windows, журнал аудита Microsoft Entra содержит сведения о IP-адресе и ClientType, где произошел сброс пароля, как показано в следующем примере выходных данных:

Когда пользователи сбрасывают пароль с экрана входа на устройстве с Windows 11 или 10, создается временная временная учетная запись с низким уровнем привилегий с именем defaultuser1. Эта учетная запись используется для защиты процесса сброса пароля.

Учетная запись имеет случайно сгенерированный пароль, который проверяется на соответствие политике паролей организации, не отображается при входе в устройство и автоматически удаляется после сброса пароля пользователем. Несколько профилей defaultuser могут существовать, но можно безопасно игнорировать.

Конфигурации прокси-сервера для сброса пароля Windows

Во время сброса пароля SSPR создает временную локальную учетную запись пользователя для подключения к https://passwordreset.microsoftonline.com/n/passwordreset. Если прокси-сервер настроен для проверки подлинности пользователя, он может завершиться ошибкой "Что-то пошло не так. Повторите попытку позже. Это связано с тем, что локальная учетная запись пользователя не авторизована на использование проверенного прокси-сервера.

В этом случае можно использовать одно из следующих обходных решений:

• Настройте параметр прокси-сервера на уровне компьютера, который не зависит от типа пользователя, вошедшего в систему. Например, можно включить групповую политику настроить параметры прокси-сервера на компьютер (а не на пользователя) для рабочих станций.

• Вы также можете использовать конфигурацию прокси-сервера Per-User для SSPR, если изменить шаблон реестра для учетной записи по умолчанию. Ниже приведены команды.

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Ошибка "Что-то пошло не так" также может возникать, когда что-либо прерывает подключение к URL-адресу https://passwordreset.microsoftonline.com/n/passwordreset. Например, эта ошибка может возникать при запуске антивирусного программного обеспечения на рабочей станции без исключений для URL-адресов passwordreset.microsoftonline.com, ajax.aspnetcdn.comи ocsp.digicert.com. Отключите это программное обеспечение временно, чтобы проверить, устранена ли проблема.

Сброс пароля Windows 7, 8 и 8.1

Чтобы настроить устройство Windows 7, 8 или 8.1 для SSPR на экране входа, ознакомьтесь со следующими предварительными условиями и инструкциями по настройке.

Предварительные требования для Windows 7, 8 и 8.1

• Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора политики проверки подлинности и включите функцию самостоятельного сброса пароля Microsoft Entra.
• Пользователи должны зарегистрироваться в SSPR перед использованием этой функции на https://aka.ms/ssprsetup
  • Использование SSPR на экране входа в Windows не уникально, всем пользователям необходимо предоставить контактные данные для аутентификации, прежде чем они смогут сбросить пароль.
• Требования к сетевому прокси-серверу:
  • Порт 443 в passwordreset.microsoftonline.com
• Исправленная операционная система Windows 7 или Windows 8.1.
• Протокол TLS 1.2 был включен с использованием рекомендаций, найденных в настройках реестра TLS.
• Если на компьютере включено несколько сторонних поставщиков учетных данных, пользователи видят несколько профилей пользователей на экране входа.

Установить

Для Windows 7, 8 и 8.1 на компьютере необходимо установить небольшой компонент, чтобы включить SSPR на экране входа. Чтобы установить этот компонент SSPR, выполните следующие действия.

1. Скачайте соответствующий установщик для версии Windows, которую вы хотите активировать.

   Установщик программного обеспечения доступен в центре загрузки Майкрософт https://aka.ms/sspraddin

2. Войдите на компьютер, где вы хотите установить, и запустите установщик.

3. После установки перезагрузка настоятельно рекомендуется.

4. После перезагрузки на экране входа выберите пользователя и нажмите кнопку "Забыли пароль?", чтобы инициировать рабочий процесс сброса пароля.

5. Выполните рабочий процесс, выполнив действия на экране, чтобы сбросить пароль.

Тихая установка

Компонент SSPR можно установить или удалить без запросов с помощью следующих команд:

• Для тихой установки используйте команду msiexec /i SsprWindowsLogon.PROD.msi /qn.
• Для тихой деинсталляции используйте команду msiexec /x SsprWindowsLogon.PROD.msi /qn.

Решение проблем со сбросом пароля Windows 7, 8 и 8.1

Если у вас возникли проблемы с использованием SSPR на экране входа в Windows, события регистрируются как на компьютере, так и в идентификаторе Microsoft Entra. События Microsoft Entra включают сведения об IP-адресе и ClientType, где произошел сброс пароля, как показано в следующем примере выходных данных:

Если требуется дополнительное ведение журнала, можно изменить раздел реестра на компьютере, чтобы включить подробное ведение журнала. Включите подробное ведение журнала исключительно для устранения неполадок, используя следующее значение раздела реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Чтобы включить подробное ведение журнала, создайте REG_DWORD: "EnableLogging"и задайте для него значение 1.
• Чтобы отключить подробное ведение журнала, измените REG_DWORD: "EnableLogging" на 0.
• Просмотрите ведение журнала отладки в журнале событий приложения в источнике AADPasswordResetCredentialProvider.

Что видят пользователи

При настройке SSPR для ваших устройств с Windows, какие изменения это влечёт за собой для пользователя? Откуда они знают, что могут сбросить пароль на экране входа? В следующем примере снимка экрана показаны дополнительные параметры сброса пароля пользователем с помощью SSPR:

При попытке входа пользователи видят ссылку Сброс пароля или Забыли пароль, которая открывает интерфейс самостоятельного сброса пароля на экране входа. Эта функция позволяет пользователям сбрасывать пароль без необходимости использовать другое устройство для доступа к веб-браузеру.

Дополнительные сведения об использовании этой функции см. в разделе Сброс рабочего или учебного пароля

Дальнейшие действия

Чтобы упростить процесс регистрации пользователей, можно предварительно заполнить контактные данные проверки подлинности пользователей для SSPR.