Udostępnij za pośrednictwem

Włącz samoobsługowe resetowanie hasła Microsoft Entra na ekranie logowania systemu Windows

  • Artykuł

Samoobsługowe resetowanie hasła (SSPR) daje użytkownikom w usłudze Microsoft Entra ID możliwość zmiany lub zresetowania hasła bez udziału administratora ani działu pomocy technicznej. Zazwyczaj użytkownicy otwierają przeglądarkę internetową na innym urządzeniu, aby uzyskać dostęp do portalu SSPR . Aby ulepszyć środowisko na komputerach z systemem Windows 7, 8, 8.1, 10 i 11, można umożliwić użytkownikom resetowanie hasła na ekranie logowania systemu Windows.

Przykładowe ekrany logowania do systemu Windows z linkiem do samoobsługowego resetowania hasła (SSPR)

Ważny

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła dla urządzeń z systemem Windows w przedsiębiorstwie.

Jeśli twój zespół IT nie włączył możliwości korzystania z samoobsługowego resetowania hasła z urządzenia z systemem Windows lub masz problemy podczas logowania, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ograniczenia ogólne

Następujące ograniczenia dotyczą korzystania z SSPR na ekranie logowania systemu Windows:

  • Resetowanie hasła nie jest obecnie obsługiwane z pulpitu zdalnego ani z rozszerzonych sesji Hyper-V.
  • Wiadomo, że zewnętrzni dostawcy usług uwierzytelniania mogą powodować problemy z tą funkcją.
  • Wyłączenie Kontroli Konta Użytkownika poprzez modyfikację klucza rejestru EnableLUA jest znane z powodowania problemów.
  • Ta funkcja nie działa w przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x i opcją "Wykonaj bezpośrednio przed logowaniem użytkownika". W przypadku sieci z wdrożonym uwierzytelnianiem sieciowym 802.1x zaleca się użycie uwierzytelniania maszynowego w celu włączenia tej funkcji.
  • Maszyny z hybrydowym połączeniem Microsoft Entra muszą mieć łącze sieciowe z widocznością do kontrolera domeny, aby używać nowego hasła i aktualizować buforowane poświadczenia. Oznacza to, że urządzenia muszą znajdować się w sieci wewnętrznej organizacji lub sieci VPN z dostępem sieciowym do lokalnego kontrolera domeny. Jeśli samoobsługowe resetowanie hasła jest jedynym wymaganiem, połączenie sieciowe z kontrolerem domeny nie jest wymagane.
  • Jeśli używasz obrazu, przed uruchomieniem programu sysprep upewnij się, że pamięć podręczna sieci Web jest czyszczona dla wbudowanego Administratora przed wykonaniem kroku CopyProfile. Więcej informacji na temat tego kroku można znaleźć w artykule pomocy technicznej Wydajność słaba w przypadku korzystania z niestandardowego domyślnego profilu użytkownika.
  • Znane są następujące ustawienia zakłócające możliwość używania i resetowania haseł na urządzeniach z systemem Windows 10:
    • Jeśli powiadomienia ekranu blokady są wyłączone, Resetowanie hasła nie zadziała.
    • HideFastUserSwitching jest ustawiona na włączoną lub 1
    • DontDisplayLastUserName jest ustawiona na wartość włączoną lub 1
    • NoLockScreen jest ustawiona na włączoną lub 1
    • ustawienie BlockNonAdminUserInstall jest ustawione na włączone lub na 1
    • EnableLostMode jest ustawiona na urządzeniu
    • Explorer.exe zostaje zastąpione powłoką niestandardową
    • Logowanie interakcyjne: wymaganie użycia karty inteligentnej jest ustawione na włączone lub 1
  • Kombinacja następujących trzech ustawień może spowodować, że ta funkcja nie będzie działać.
    • Logowanie interakcyjne: nie wymagaj kombinacji CTRL+ALT+DEL = Wyłączone (tylko dla systemu Windows 10 w wersji 1710 i starszych)
    • DisableLockScreenAppNotifications = 1 lub aktywne
    • SKU systemu Windows to edycja Home

Notatka

Te ograniczenia dotyczą również resetowania numeru PIN usługi Windows Hello dla firm z ekranu blokady urządzenia.

Resetowanie hasła w systemach Windows 11 i Windows 10

Aby skonfigurować urządzenie z systemem Windows 11 lub Windows 10 dla SSPR na ekranie logowania się, zapoznaj się z następującymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemów Windows 11 i Windows 10

  • Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i włącz funkcję samoobsługowego resetowania haseł w Microsoft Entra.
  • Użytkownicy muszą zarejestrować się do samoobsługowego resetowania hasła, zanim skorzystają z tej funkcji w https://aka.ms/ssprsetup
    • Podawanie informacji kontaktowych uwierzytelniania nie jest wymagane tylko podczas korzystania z samodzielnego resetowania hasła z ekranu logowania systemu Windows — wszyscy użytkownicy muszą to zrobić, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com i ajax.aspnetcdn.com
    • Urządzenia z systemem Windows 10 wymagają konfiguracji serwera proxy na poziomie urządzenia lub konfiguracji serwera proxy o określonym zakresie dla tymczasowego konta domyślnego użytkownika1 używanego do samoobsługowego resetowania hasła (zobacz sekcję rozwiązywania problemów , aby uzyskać więcej informacji).
  • Uruchom co najmniej system Windows 10 w wersji z kwietnia 2018 r. Update (wersja 1803), a urządzenia muszą być:
    • Microsoft Entra dołączyło
    • Hybrydowe połączenie z Microsoft Entra

Włączanie dla systemów Windows 11 i Windows 10 przy użyciu usługi Microsoft Intune

Wdrażanie zmiany konfiguracji w celu włączenia samoobsługowego resetowania hasła na ekranie logowania przy użyciu usługi Microsoft Intune jest najbardziej elastyczną metodą. Usługa Microsoft Intune umożliwia wdrożenie zmiany konfiguracji w określonej grupie zdefiniowanych maszyn. Ta metoda wymaga rejestracji urządzenia w usłudze Microsoft Intune.

Tworzenie zasad konfiguracji urządzenia w usłudze Microsoft Intune

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune .

  2. Utwórz nowy profil konfiguracji urządzenia, przechodząc do pozycji Konfiguracja urządzeń>Profile, a następnie wybierz pozycję + Utwórz profil

    • Dla platformy wybierz Windows 10 lub nowszy
    • Dla profilu typu , wybierz pozycję Szablony, a następnie wybierz szablon niestandardowy poniżej.

  3. Wybierz Utwórz, a następnie podaj zrozumiałą nazwę profilu, taką jak ekran logowania SSPR Windows 11

    Opcjonalnie podaj znaczący opis profilu, a następnie wybierz pozycję Dalej.

  4. W obszarze Ustawienia konfiguracjiwybierz pozycję Dodaj i podaj następujące ustawienie OMA-URI, aby włączyć link resetowania hasła:

    • Podaj zrozumiałą nazwę, aby wyjaśnić, co robi ustawienie, na przykład Dodaj link do samoobsługowego resetowania hasła.
    • Opcjonalnie podaj zrozumiały opis ustawienia.
    • OMA-URI ustawioną na wartość ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • typ danych ustawiony na liczba całkowita
    • wartość ustawiona na 1

    Wybierz pozycję Dodaj, a następnie Dalej.

  5. Zasady można przypisać do określonych użytkowników, urządzeń lub grup. Przypisz profil zgodnie z potrzebami dla środowiska, najlepiej najpierw do grupy testowej urządzeń, a następnie wybierz Dalej.

    Aby uzyskać więcej informacji, zobacz Przypisywanie profilów użytkowników i urządzeń w usłudze Microsoft Intune.

  6. Skonfiguruj reguły stosowania zgodnie z potrzebami środowiska, takie jak Przypisz profil, jeśli wersja systemu operacyjnego to Windows 10 Enterprise, a następnie wybierz pozycję Dalej.

  7. Przejrzyj swój profil, a następnie wybierz Utwórz.

Włączanie dla systemów Windows 11 i Windows 10 przy użyciu rejestru

Aby włączyć samoobsługowe resetowanie hasła na ekranie logowania przy użyciu klucza rejestru, wykonaj następujące kroki:

  1. Zaloguj się na komputerze z systemem Windows przy użyciu poświadczeń administracyjnych.

  2. Naciśnij Windows + R, aby otworzyć okno dialogowe Uruchom, a następnie uruchom regedit jako administrator.

  3. Ustaw następujący klucz rejestru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Rozwiązywanie problemów z resetowaniem hasła w systemach Windows 11 i Windows 10

Jeśli masz problemy z używaniem funkcji samoobsługowego resetowania hasła (SSPR) na ekranie logowania systemu Windows, dziennik inspekcji Microsoft Entra zawiera informacje o adresie IP i ClientType, gdzie wystąpiło resetowanie hasła, jak pokazano na przykładzie poniższych danych wyjściowych.

Przykład resetowania hasła systemu Windows 7 w dzienniku inspekcji firmy Microsoft Entra

Gdy użytkownicy zresetują swoje hasło z ekranu logowania urządzenia z systemem Windows 11 lub 10, zostanie utworzone konto tymczasowe o niskim poziomie uprawnień o nazwie defaultuser1. To konto służy do zabezpieczania procesu resetowania hasła.

Samo konto ma losowo wygenerowane hasło, które jest weryfikowane względem zasad haseł organizacji, nie jest wyświetlane na potrzeby logowania urządzenia i jest automatycznie usuwane po zresetowaniu hasła przez użytkownika. Może istnieć wiele profilów defaultuser, ale można je bezpiecznie zignorować.

Konfiguracje serwera proxy na potrzeby resetowania hasła systemu Windows

Podczas resetowania hasła, SSPR tworzy tymczasowe konto użytkownika lokalnego w celu nawiązania połączenia z https://passwordreset.microsoftonline.com/n/passwordreset. Po skonfigurowaniu serwera proxy na potrzeby uwierzytelniania użytkownika może zakończyć się niepowodzeniem z powodu błędu "Wystąpił problem. Spróbuj ponownie później." Jest to spowodowane tym, że konto użytkownika lokalnego nie jest autoryzowane do korzystania z uwierzytelnioowanego serwera proxy.

W takim przypadku można użyć jednego z następujących obejść:

  • Skonfiguruj ustawienie serwera proxy dla całej maszyny, które nie zależy od typu zalogowanego użytkownika na maszynie. Na przykład, można włączyć zasadę grupy "Make proxy settings per-machine (rather than per-user)" dla stacji roboczych.

  • Można również użyć Per-User konfiguracji serwera proxy dla samoobsługowego resetowania hasła, jeśli zmodyfikujesz szablon rejestru dla konta domyślnego. Polecenia są następujące:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Błąd "Wystąpił problem" może również wystąpić, gdy wszystkie elementy przerywają łączność z adresem URL https://passwordreset.microsoftonline.com/n/passwordreset. Na przykład ten błąd może wystąpić, gdy oprogramowanie antywirusowe działa na stacji roboczej bez wykluczeń adresów URL passwordreset.microsoftonline.com, ajax.aspnetcdn.comi ocsp.digicert.com. Wyłącz to oprogramowanie tymczasowo, aby sprawdzić, czy problem został rozwiązany, czy nie.

Resetowanie hasła systemu Windows 7, 8 i 8.1

Aby skonfigurować urządzenie z systemem Windows 7, 8 lub 8.1 dla samoobsługowego resetowania hasła na ekranie logowania, zapoznaj się z poniższymi wymaganiami wstępnymi i krokami konfiguracji.

Wymagania wstępne dotyczące systemu Windows 7, 8 i 8.1

  • Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zasad uwierzytelniania i włącz funkcję samoobsługowego resetowania haseł Microsoft Entra.
  • Użytkownicy muszą zarejestrować się w funkcji samoobsługowego resetowania hasła przed użyciem tej funkcji w https://aka.ms/ssprsetup
    • Korzystanie z samoobsługowego resetowania hasła (SSPR) nie jest ograniczone tylko do ekranu logowania systemu Windows; wszyscy użytkownicy muszą podać swoje dane kontaktowe do uwierzytelniania, zanim będą mogli zresetować swoje hasło.
  • Wymagania dotyczące serwera proxy sieci:
    • Port 443 do passwordreset.microsoftonline.com
  • Poprawiono system operacyjny Windows 7 lub Windows 8.1.
  • Protokół TLS 1.2 jest włączony zgodnie ze wskazówkami zawartymi w ustawieniach rejestru Protokołu TLS (Transport Layer Security) .
  • Jeśli na maszynie jest włączony więcej niż jeden dostawca poświadczeń innej firmy, użytkownicy zobaczą więcej niż jeden profil użytkownika na ekranie logowania.

Ostrzeżenie

Protokół TLS 1.2 musi być włączony, a nie tylko ustawiony na automatyczne negocjowanie.

Instalować

Aby umożliwić SSPR na ekranie logowania w systemie Windows 7, 8 i 8.1, na komputerze musi być zainstalowany niewielki element. Aby zainstalować ten składnik samoobsługowego resetowania hasła, wykonaj następujące kroki:

  1. Pobierz odpowiedni instalator dla wersji systemu Windows, którą chcesz włączyć.

    Instalator oprogramowania jest dostępny w Centrum pobierania Microsoft pod adresem https://aka.ms/sspraddin

  2. Zaloguj się do komputera, na którym chcesz zainstalować, i uruchom instalatora.

  3. Po zakończeniu instalacji zdecydowanie zaleca się ponowne uruchomienie.

  4. Po ponownym uruchomieniu na ekranie logowania wybierz użytkownika i wybierz pozycję "Nie pamiętam hasła", aby zainicjować przepływ pracy resetowania hasła.

  5. Wykonaj przepływ pracy zgodnie z instrukcjami wyświetlanymi na ekranie, aby zresetować hasło.

Przykład przepływu SSPR w Windows 7 po kliknięciu

Instalacja dyskretna

Składnik samoobsługowego resetowania hasła można zainstalować lub odinstalować bez monitów przy użyciu następujących poleceń:

  • W przypadku instalacji dyskretnej użyj polecenia "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • W przypadku odinstalowywania dyskretnego użyj polecenia "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Rozwiązywanie problemów z resetowaniem hasła w systemach Windows 7, 8 i 8.1

Jeśli masz problemy z używaniem samoobsługowego resetowania hasła na ekranie logowania systemu Windows, zdarzenia są rejestrowane zarówno na maszynie, jak i w identyfikatorze Microsoft Entra. Zdarzenia entra firmy Microsoft zawierają informacje o adresie IP i typie klienta, w którym wystąpiło resetowanie hasła, jak pokazano w następujących przykładowych danych wyjściowych:

Przykład resetowania hasła systemu Windows 7 w dzienniku inspekcji firmy Microsoft Entra

Jeśli wymagane jest dodatkowe rejestrowanie, można zmienić klucz rejestru na komputerze, aby włączyć bardziej szczegółowe rejestrowanie. Aby włączyć szczegółowe rejestrowanie wyłącznie na potrzeby rozwiązywania problemów, użyj następującej wartości klucza rejestru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Aby włączyć pełne rejestrowanie, utwórz REG_DWORD: "EnableLogging"i ustaw ją na 1.
  • Aby wyłączyć pełne rejestrowanie, zmień REG_DWORD: "EnableLogging" na 0.
  • Przejrzyj logi debugowania w dzienniku zdarzeń aplikacji pod źródłem AADPasswordResetCredentialProvider.

Co widzą użytkownicy

Po skonfigurowaniu samoobsługowego resetowania hasła dla urządzeń z systemem Windows, co się zmienia dla użytkownika? Jak wiedzą, że mogą zresetować swoje hasło na ekranie logowania? Poniższe przykładowe zrzuty ekranu pokazują dodatkowe opcje, jakie użytkownik ma do resetowania hasła przy użyciu samoobsługowego resetowania hasła (SSPR):

przykładowe ekrany logowania systemu Windows 7 i 10 z wyświetlonym linkiem SSPR

Podczas próby zalogowania się użytkownicy zobaczą link Resetowanie hasła lub Zapomniane hasło, który otwiera funkcję samoobsługowego resetowania hasła na ekranie logowania. Ta funkcja umożliwia użytkownikom resetowanie hasła bez konieczności używania innego urządzenia do uzyskiwania dostępu do przeglądarki internetowej.

Więcej informacji na temat korzystania z tej funkcji można znaleźć w Resetowanie hasła służbowego

Następne kroki

Aby uprościć proces rejestracji użytkownika, możesz wstępnie wypełnić informacje kontaktowe uwierzytelniania użytkownika dla samoobsługowego resetowania hasła.