Руководство: Активируйте возможность самостоятельной разблокировки учетной записи или сброса пароля пользователями с помощью Microsoft Entra

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если идентификатор Microsoft Entra id блокирует учетную запись пользователя или забыл свой пароль, они могут следовать инструкциям, чтобы разблокировать себя и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. Кроме того, у нас есть видео для ИТ-администраторов, где показано, как обрабатывать шесть распространенных сообщений об ошибках пользователей, связанных с SSPR.

Из этого руководства вы узнаете, как выполнить следующие задачи:

Видеоруководство

Вы также можете посмотреть связанное видео: Как включить и настроить SSPR в Microsoft Entra ID.

Предварительные условия

Для завершения работы с этим учебником требуются следующие ресурсы и разрешения:

• Для сброса пароля требуется рабочий клиент Microsoft Entra Entra с по крайней мере лицензией Microsoft Entra ID P1. Дополнительные сведения о требованиях к лицензии для изменения и сброса пароля в Microsoft Entra ID см. в разделе Требования к лицензированию для самостоятельного сброса пароля Microsoft Entra.
• Учетная запись как минимум с ролью администратора политики проверки подлинности.
• Пользователь без прав администратора, пароль которого вам известен, например testuser. В этом руководстве вы протестируете опыт конечного пользователя с SSPR, используя данную учетную запись.
  • Если вам нужно создать пользователя, см. Краткое руководство: Добавить новых пользователей в Microsoft Entra ID.
• Группа, в которую входит пользователь без прав администратора, например SSPR-Test-Group. В этом руководстве вы включите SSPR для данной группы.
  • Если вам нужно создать группу, см. статью "Создание базовой группы" и добавление участников с помощью идентификатора Microsoft Entra.

Включить самостоятельный сброс паролей

Идентификатор Microsoft Entra позволяет включить SSPR для None, Selected или All users. Эта детальная возможность позволяет выбрать подмножество пользователей для тестирования процесса регистрации и рабочего процесса SSPR. Когда вы освоитесь с процессом и наступит подходящее время сообщить требования более широкому кругу пользователей, можно выбрать группу пользователей и включить SSPR для этой группы. Кроме того, вы можете включить SSPR для всех пользователей в клиенте Microsoft Entra.

В этом учебнике настройте SSPR для группы пользователей в тестовой группе. Используйте группу SSPR-Test-Group и при необходимости используйте свою группу Microsoft Entra.

1. Войдите в центр администрирования Microsoft Entra как минимум Администратор политики аутентификации.

2. Перейдите в раздел Защита>Сброс пароля из меню слева.

3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля щелкните Выбрано.

4. Если группа не отображается, выберите "Нет выбранных групп", найдите и выберите группу Microsoft Entra, например SSPR-Test-Group, и нажмите кнопку "Выбрать".

   

5. Чтобы включить SSPR для выбранных пользователей, щелкните Сохранить.

Выбор методов проверки подлинности и настройка параметров регистрации

Когда пользователям необходимо разблокировать учетные записи или сбросить пароли, им предлагается другой метод подтверждения. Этот дополнительный фактор аутентификации гарантирует, что Microsoft Entra ID обрабатывает только утвержденные события SSPR. Вы можете выбрать методы проверки подлинности, которые следует разрешить, на основе сведений о регистрации, предоставляемых пользователем.

1. На странице Методы проверки подлинности в левом меню задайте для параметра Число способов, необходимых для сброса значение 2.

   Чтобы повысить безопасность, можно увеличить число методов проверки подлинности, необходимых для SSPR.

2. Выберите Способы, доступные пользователям, которые ваша организация собирается разрешить. Для работы с этим руководством установите флажки, чтобы включить следующие методы:

   • Уведомление мобильного приложения
   • Код мобильного приложения
   • Эл. почта
   • Мобильный телефон

   Можно включить другие методы проверки подлинности, такие как Рабочий телефон или Контрольные вопросы, в соответствии с бизнес-требованиями.

3. Чтобы применить методы проверки подлинности, щелкните Сохранить.

Чтобы пользователи могли разблокировать учетную запись или сбросить пароль, сначала они должны зарегистрировать свои контактные данные. Идентификатор Microsoft Entra использует эти контактные данные для различных методов проверки подлинности, настроенных на предыдущих шагах.

Администратор может вручную указать эти контактные данные, или пользователи могут посетить портал регистрации и предоставить сведения. В этом руководстве настройте идентификатор Microsoft Entra для запроса пользователей на регистрацию при следующем входе.

1. На странице Регистрация в меню слева выберите значение Да для параметра Требовать регистрацию пользователей при входе.

2. Для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности выберите 180.

   Важно, чтобы контактные данные сохранялись в актуальном состоянии. Если устаревшие контактные данные существуют при запуске события SSPR, пользователь может не разблокировать свою учетную запись или сбросить пароль.

3. Чтобы применить параметры регистрации, щелкните Сохранить.

Настройка уведомлений и изменение настроек

Чтобы пользователи могли получать сведения о действиях учетной записи, можно настроить идентификатор Microsoft Entra для отправки Уведомления по электронной почте при возникновении события SSPR. Эти уведомления могут охватывать как обычные учетные записи пользователей, так и учетные записи администраторов. Для учетных записей администраторов это уведомление обеспечивает другой уровень осведомленности о сбросе пароля привилегированной учетной записи администратора с использованием SSPR. Идентификатор Microsoft Entra может уведомить всех администраторов, когда пользователь использует SSPR в учетной записи администратора.

1. На странице Уведомления в меню слева настройте следующие параметры.

   • Для параметра Уведомлять пользователей о сбросе пароля? выберите Да.
   • Для параметра Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли? выберите Да.

2. Чтобы применить настройки уведомлений, щелкните Сохранить.

Если пользователям требуется дополнительная помощь по процессу SSPR, можно настроить ссылку "Обратитесь к администратору". Пользователь может использовать эту ссылку при регистрации SSPR, когда снимает блокировку с учетной записи или сбрасывает пароль. Чтобы гарантировать, что пользователи получат необходимую поддержку, рекомендуется предоставить адрес электронной почты или URL-адрес нестандартной службы технической поддержки.

1. На странице Настройка в меню слева задайте для параметра Настроить ссылку на службу технической поддержки значение Да.
2. В поле Адрес электронной почты или URL-адрес нестандартной службы технической поддержки укажите адрес или веб-страницу, с помощью которых пользователи смогут получить дополнительную поддержку от вашей организации, например, https://support.contoso.com/
3. Чтобы применить настроенную ссылку, выберите Сохранить.

Тестирование самостоятельного сброса пароля

После включения и настройки SSPR протестируйте процесс SSPR с пользователем, который входит в группу, выбранную в предыдущем разделе, например Test-SSPR-Group. В следующем примере используется учетная запись testuser. Укажите собственную учетную запись пользователя. Это часть группы, для которой включен SSPR в первом разделе этой инструкции.

1. Чтобы просмотреть процесс регистрации вручную, откройте новое окно браузера в приватном режиме или режиме инкогнито и перейдите по адресу https://aka.ms/ssprsetup. Идентификатор Microsoft Entra направляет пользователей на этот портал регистрации при следующем входе.

2. Войдите, используя данные тестового пользователя без прав администратора, например testuser, и зарегистрируйте свою контактную информацию для методов проверки подлинности.

3. После завершения щелкните Все правильно и закройте окно браузера.

4. Откройте новое окно браузера в анонимном режиме или в режиме InPrivate и перейдите по ссылке: https://aka.ms/sspr.

5. Введите данные учетной записи тестового пользователя без прав администратора, например testuser, символы из CAPTCHA, а затем нажмите кнопку Далее.

   

6. Выполните проверочные шаги для сброса пароля. По завершении вы получите уведомление по электронной почте о том, что пароль был сброшен.

Очистка ресурсов

В следующем руководстве по этой серии вы настроили обратную запись паролей. Эта функция записывает изменения паролей из Microsoft Entra SSPR обратно в локальную среду AD. Если вы хотите продолжить работу с этой серией уроков, чтобы настроить обратную запись паролей, не отключайте SSPR сейчас.

Если вы больше не хотите использовать функции SSPR, настроенные в рамках этого руководства, задайте состояние SSPR None, выполнив следующие действия.

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве Администратора политики аутентификации.
2. Перейдите к Защите>Сброс пароля.
3. На странице Свойства для параметра Разрешен самостоятельный сброс пароля выберите значение Нет.
4. Чтобы применить изменения SSPR, щелкните Сохранить.

Вопросы и ответы

В этом разделе объясняются распространенные вопросы от администраторов и конечных пользователей, которые пытаются использовать SSPR:

• Почему локальные политики паролей не отображаются во время SSPR?

  В настоящее время Microsoft Entra Connect и облачная синхронизация не поддерживают совместное использование сведений о политике паролей в облаке. SSPR отображает только сведения о политике облачного пароля и не может отображать локальные политики.

• Почему федеративным пользователям необходимо ждать до 2 минут после появления сообщения Ваш пароль сброшен, прежде чем использовать пароли, синхронизированные из локальной среды?

  Для федеративных пользователей, пароли которых синхронизированы, источником полномочий для паролей является локальная среда. В результате SSPR обновляет только локальные пароли. Синхронизация хэша паролей с идентификатором Microsoft Entra запланирована каждые 2 минуты.

• Когда недавно созданный пользователь, профиль которого предварительно заполняется данными SSPR, например телефоном и электронной почтой, посещает страницу регистрации SSPR, в заголовке страницы появляется сообщение Не теряйте доступ к своей учетной записи! Почему другие пользователи с предварительно заполненными данными SSPR не видят это сообщение?

  Пользователь, который видит сообщение Не теряйте доступ к вашей учетной записи! является членом SSPR или объединенных групп регистрации, настроенных для клиента. Пользователи, которые не видят Не потеряйте доступ к своей учетной записи!, не были включены в группы регистрации SSPR/совмещенной регистрации.

• Во время процесса SSPR и сброса пароля для некоторых пользователей не отображается индикатор надежности пароля. С чем это связано?

  Пользователи, которые не видят статус пароля «Слабый/Надежный», имеют синхронизированную функцию восстановления паролей. Так как SSPR не может определить политику паролей локальной среды клиента, она не может проверить силу пароля или слабость.

Следующие шаги

В этом руководстве вы включили самостоятельный сброс пароля Microsoft Entra для выбранной группы пользователей. Вы научились выполнять следующие задачи: