Aktivera självbetjäning av lösenordsåterställning i Microsoft Entra på Windows-inloggningsskärmen

Självbetjäning av lösenordsåterställning (SSPR) ger användare i Microsoft Entra-ID möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang. Normalt öppnar användare en webbläsare på en annan enhet för att komma åt SSPR-portalen. För att förbättra upplevelsen på datorer som kör Windows 7, 8, 8.1, 10 och 11 kan du göra det möjligt för användare att återställa sitt lösenord på Windows-inloggningsskärmen.

Allmänna begränsningar

Följande begränsningar gäller för användning av SSPR från Windows-inloggningsskärmen:

• Lösenordsåterställning stöds för närvarande inte från ett fjärrskrivbord eller från Hyper-V förbättrade sessioner.
• Vissa tredjepartsleverantörer av autentiseringsuppgifter är kända för att orsaka problem med den här funktionen.
• Att inaktivera UAC via ändring av EnableLUA-registernyckeln är känt för att orsaka problem.
• Den här funktionen fungerar inte för nätverk med 802.1x-nätverksautentisering distribuerad och alternativet "Utför omedelbart innan användaren loggar in". För nätverk med 802.1x-nätverksautentisering distribuerad rekommenderar vi att du använder datorautentisering för att aktivera den här funktionen.
• Microsoft Entra-hybridanslutna datorer måste ha en nätverksanslutningslinje till en domänkontrollant för att kunna använda det nya lösenordet och uppdatera cachelagrade autentiseringsuppgifter. Det innebär att enheterna antingen måste finnas i organisationens interna nätverk eller på ett VPN med nätverksåtkomst till en lokal domänkontrollant. Om SSPR är det enda kravet krävs inte nätverksanslutningslinjen till domänkontrollanten.
• Om du använder en avbildning innan du kör sysprep kontrollerar du att webbcachen rensas för den inbyggda administratören innan du utför steget CopyProfile. Mer information om det här steget finns i supportartikeln Prestandaproblem när du använder anpassad standardanvändarprofil.
• Följande inställningar är kända för att störa möjligheten att använda och återställa lösenord på Windows 10-enheter:
  • Om aviseringar på låsskärmen är inaktiverade Återställ lösenord fungerar inte.
  • HideFastUserSwitching är inställt på aktiverat eller 1
  • DontDisplayLastUserName är inställd på aktiverad eller 1
  • NoLockScreen är inställt på aktiverat eller 1
  • BlockNonAdminUserInstall är inställt på aktiverat eller 1
  • EnableLostMode har angetts på enheten
  • Explorer.exe ersätts med ett anpassat skal
  • Interaktiv inloggning: Kräv att smartkortet är inställt på aktiverat eller 1
• Kombinationen av följande specifika tre inställningar kan göra att den här funktionen inte fungerar.
  • Interaktiv inloggning: Kräver inte CTRL+ALT+DEL = Inaktiverad (endast för Windows 10 version 1710 och tidigare)
  • DisableLockScreenAppNotifications = 1 eller Aktiverad
  • Windows-SKU är en Home-utgåva

Lösenordsåterställning för Windows 11 och Windows 10

Om du vill konfigurera en Windows 11- eller Windows 10-enhet för SSPR på inloggningsskärmen läser du följande krav och konfigurationssteg.

Krav för Windows 11 och Windows 10

• Logga in på administrationscentret för Microsoft Entra som minst en administratör för autentiseringsprincip och aktivera lösenordsåterställning med Microsoft Entra självbetjäning.
• Användare måste registrera sig för SSPR innan de använder den här funktionen på https://aka.ms/ssprsetup
  • Detta gäller inte bara för att använda SSPR från Windows inloggningsskärm; alla användare måste ange sina autentiseringsuppgifter innan de kan återställa sitt lösenord.
• Krav för nätverksproxy:
  • Port 443 till passwordreset.microsoftonline.com och ajax.aspnetcdn.com
  • Windows 10-enheter kräver en proxykonfiguration på datornivå eller en begränsad proxykonfiguration för det tillfälliga defaultuser1-kontot som används för att utföra SSPR (mer information finns i avsnittet Felsökning).
• Kör minst Windows 10 version April 2018 Update (v1803) och enheterna måste vara antingen:
  • Microsoft Entra gick med
  • Microsoft Entra hybridansluten

Aktivera för Windows 11 och Windows 10 med Microsoft Intune

Att distribuera konfigurationsändringen för att aktivera SSPR från inloggningsskärmen med Microsoft Intune är den mest flexibla metoden. Med Microsoft Intune kan du distribuera konfigurationsändringen till en specifik grupp datorer som du definierar. Den här metoden kräver Microsoft Intune-registrering av enheten.

Skapa en enhetskonfigurationspolicy i Microsoft Intune

1. Logga in på administrationscentret för Microsoft Intune.

2. Skapa en ny enhetskonfigurationsprofil genom att gå till Enhetskonfiguration>Profileroch välj sedan + Skapa profil

   • För Platform välja Windows 10 och senare
   • För profiltypväljer du Mallar och sedan den anpassade mallen nedan

3. Välj Skapaoch ange sedan ett beskrivande namn för profilen, till exempel Windows 11-inloggningsskärmens SSPR-

   Du kan också ange en beskrivande beskrivning av profilen och sedan välja Nästa.

4. Under Konfigurationsinställningarväljer du Lägg till och anger följande OMA-URI inställning för att aktivera länken för återställning av lösenord:

   • Ange ett beskrivande namn för att förklara vad inställningen gör, till exempel Lägg till SSPR-länk.
   • Du kan välja att ange en meningsfull beskrivning av miljön.
   • OMA-URI inställd på ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • Datatyp inställd på Heltal
   • Värde inställt på 1

   Välj Lägg tilloch sedan Nästa.

5. Principen kan tilldelas till specifika användare, enheter eller grupper. Tilldela profilen efter behov för din miljö, helst till en testgrupp med enheter först och välj sedan Nästa.

   Mer information finns i Tilldela användar- och enhetsprofiler i Microsoft Intune.

6. Konfigurera tillämplighetsregler som du vill för din miljö, till exempel för att Tilldela profil om OS-utgåvan är Windows 10 Enterpriseoch välj sedan Nästa.

7. Granska din profil och välj sedan Skapa.

Aktivera för Windows 11 och Windows 10 med hjälp av registret

Utför följande steg för att aktivera SSPR på inloggningsskärmen med hjälp av en registernyckel:

1. Logga in på Windows-datorn med administrativa autentiseringsuppgifter.

2. Tryck på Windows + R för att öppna dialogrutan Kör och kör sedan regedit som administratör

3. Ange följande registernyckel:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Felsöka lösenordsåterställning för Windows 11 och Windows 10

Om du har problem med att använda SSPR från Windows-inloggningsskärmen innehåller Microsoft Entra-granskningsloggen information om IP-adressen och ClientType- där lösenordsåterställningen inträffade, enligt följande exempelutdata:

När användarna återställer sitt lösenord från inloggningsskärmen på en Windows 11- eller 10-enhet skapas ett tillfälligt konto med låg behörighet som heter defaultuser1. Det här kontot används för att skydda lösenordsåterställningsprocessen.

Själva kontot har ett slumpmässigt genererat lösenord, som verifieras mot en lösenordsprincip för organisationer, visas inte för enhetsinloggning och tas automatiskt bort när användaren har återställt sitt lösenord. Flera defaultuser profiler kan finnas men kan ignoreras på ett säkert sätt.

Proxykonfigurationer för windows-lösenordsåterställning

Under lösenordsåterställningen skapar SSPR ett tillfälligt lokalt användarkonto för att ansluta till https://passwordreset.microsoftonline.com/n/passwordreset. När en proxy har konfigurerats för användarautentisering kan det misslyckas med felet "Något gick fel. Försök igen senare." Det beror på att det lokala användarkontot inte har behörighet att använda den autentiserade proxyn.

I det här fallet kan du använda någon av följande lösningar:

• Konfigurera en datoromfattande proxyinställning som inte är beroende av vilken typ av användare som är inloggad på datorn. Du kan till exempel aktivera grupprincipen Skapa proxyinställningar per dator (i stället för per användare) för arbetsstationerna.

• Du kan också använda Per-User proxykonfiguration för SSPR om du ändrar registermallen för standardkontot. Kommandona är följande:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• Felet "Något gick fel" kan också inträffa när något avbryter anslutningen till URL-https://passwordreset.microsoftonline.com/n/passwordreset. Det här felet kan till exempel inträffa när antivirusprogram körs på arbetsstationen utan undantag för URL:er passwordreset.microsoftonline.com, ajax.aspnetcdn.comoch ocsp.digicert.com. Inaktivera den här programvaran tillfälligt för att testa om problemet är löst eller inte.

Lösenordsåterställning för Windows 7, 8 och 8.1

Om du vill konfigurera en Windows 7-, 8- eller 8.1-enhet för SSPR på inloggningsskärmen läser du följande krav och konfigurationssteg.

Krav för Windows 7, 8 och 8.1

• Logga in på Microsoft Entras administrationscenter som minst en administratör för autentiseringspolicy och aktivera självbetjänad lösenordsåterställning med Microsoft Entra.
• Användare måste registrera sig för SSPR innan de använder den här funktionen på https://aka.ms/ssprsetup
  • Inte unikt för att använda SSPR från Windows-inloggningsskärmen, alla användare måste ange autentiseringskontaktinformationen innan de kan återställa sitt lösenord.
• Krav för nätverksproxy:
  • Port 443 till passwordreset.microsoftonline.com
• Windows 7- eller Windows 8.1-operativsystem har uppdaterats.
• TLS 1.2 aktiverat med hjälp av vägledningen i TLS-registerinställningar (Transport Layer Security).
• Om fler än en tredjepartsprovider för autentiseringsuppgifter är aktiverad på datorn ser användarna mer än en användarprofil på inloggningsskärmen.

Installera

För Windows 7, 8 och 8.1 måste en liten komponent installeras på datorn för att aktivera SSPR på inloggningsskärmen. Utför följande steg för att installera den här SSPR-komponenten:

1. Ladda ned rätt installationsprogram för den version av Windows som du vill aktivera.

   Programinstallationsprogrammet finns i Microsofts nedladdningscenter på https://aka.ms/sspraddin

2. Logga in på den dator där du vill installera och kör installationsprogrammet.

3. Efter installationen rekommenderas en omstart.

4. Efter omstarten väljer du en användare på inloggningsskärmen och väljer "Glömt lösenord?" för att initiera arbetsflödet för lösenordsåterställning.

5. Slutför arbetsflödet genom att följa stegen på skärmen för att återställa lösenordet.

Tyst installation

SSPR-komponenten kan installeras eller avinstalleras utan att du uppmanas att använda följande kommandon:

• För tyst installation använder du kommandot "msiexec /i SsprWindowsLogon.PROD.msi /qn"
• För tyst avinstallation använder du kommandot "msiexec /x SsprWindowsLogon.PROD.msi /qn"

Felsöka lösenordsåterställning för Windows 7, 8 och 8.1

Om du har problem med att använda SSPR från Windows-inloggningsskärmen loggas händelser både på datorn och i Microsoft Entra-ID. Microsoft Entra-händelser innehåller information om IP-adressen och ClientType där lösenordsåterställningen inträffade, enligt följande exempelutdata:

Om ytterligare loggning krävs kan en registernyckel på datorn ändras för att aktivera utförlig loggning. Aktivera utförlig loggning i felsökningssyfte endast med hjälp av följande registernyckelvärde:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Om du vill aktivera utförlig loggning skapar du en REG_DWORD: "EnableLogging"och anger den till 1.
• Om du vill inaktivera utförlig loggning ändrar du REG_DWORD: "EnableLogging" till 0.
• Granska felsökningsloggningen i programhändelseloggen under källan AADPasswordResetCredentialProvider.

Vad ser användarna?

Vilka ändringar har gjorts för användaren när SSPR har konfigurerats för dina Windows-enheter? Hur vet de att de kan återställa sitt lösenord på inloggningsskärmen? Följande exempelskärmskärmar visar de ytterligare alternativen för en användare att återställa sitt lösenord med SSPR:

När användarna försöker logga in ser de en Återställ lösenord eller Glömt lösenord vilken öppnar självbetjäning för lösenordsåterställning på inloggningsskärmen. Med den här funktionen kan användarna återställa sitt lösenord utan att behöva använda en annan enhet för att få åtkomst till en webbläsare.

Mer information om hur du använder den här funktionen finns i Återställa ditt arbets- eller skollösenord

Nästa steg

För att förenkla användarregistreringsupplevelsen kan du fylla i användarautentiseringskontaktinformationen i förväg för SSPR-.