Aracılığıyla paylaş

Windows oturum açma ekranında Microsoft Entra self servis parola sıfırlamayı etkinleştirme

  • Makale

Self servis parola sıfırlama (SSPR), Microsoft Entra ID'deki kullanıcılara yönetici veya yardım masası katılımı olmadan parolalarını değiştirme veya sıfırlama olanağı sağlar. Kullanıcılar genellikle SSPR portalınaerişmek için başka bir cihazda bir web tarayıcısı açar. Windows 7, 8, 8.1, 10 ve 11 çalıştıran bilgisayarlardaki deneyimi geliştirmek için kullanıcıların Windows oturum açma ekranında parolalarını sıfırlamalarını sağlayabilirsiniz.

Örnek Windows oturum açma ekranları, SSPR bağlantısı gösterildiği

Önemli

Bu öğretici, bir yöneticinin kuruluştaki Windows cihazları için SSPR'yi nasıl etkinleştireceklerini gösterir.

BT ekibiniz Windows cihazınızdan SSPR kullanma özelliğini etkinleştirmediyse veya oturum açma sırasında sorun yaşıyorsanız ek yardım için yardım masanıza ulaşın.

Genel sınırlamalar

Aşağıdaki sınırlamalar, Windows oturum açma ekranından SSPR kullanımı için geçerlidir:

  • Parola sıfırlama şu anda Uzak Masaüstü'nden veya gelişmiş Hyper-V oturumlardan desteklenmemektedir.
  • Bazı üçüncü taraf kimlik bilgileri sağlayıcılarının bu özellikte sorunlara neden olduğu bilinmektedir.
  • EnableLUA kayıt defteri anahtarı değişiklik yaparak UAC'yi devre dışı bırakmanın sorunlara neden olduğu bilinmektedir.
  • Bu özellik, 802.1x ağ kimlik doğrulaması dağıtılan ağlarda ve "Kullanıcı oturum açmadan hemen önce gerçekleştir" seçeneğiyle çalışmaz. 802.1x ağ kimlik doğrulaması dağıtılan ağlarda bu özelliği etkinleştirmek için makine kimlik doğrulaması kullanılması önerilir.
  • Microsoft Entra hibrit katılmış makinelerin, yeni parolayı kullanmak ve önbelleğe alınmış kimlik bilgilerini güncellemek için bir etki alanı denetleyicisine ağ üzerinden doğrudan erişimi olmalıdır. Bu, cihazların kuruluşun iç ağında veya şirket içi etki alanı denetleyicisine ağ erişimi olan bir VPN'de olması gerektiği anlamına gelir. Tek gereksinim SSPR ise, etki alanı denetleyicisine ağ bağlantısı hattı gerekli değildir.
  • Görüntü kullanıyorsanız, sysprep çalıştırmadan önce CopyProfile adımını gerçekleştirmeden önce yerleşik Yönetici için web önbelleğinin temizlendiğinden emin olun. Bu adım hakkında daha fazla bilgi, özel varsayılan kullanıcı profili kullanıldığında performansın düşük olduğu durumlardadestek makalesinde bulunabilir.
  • Aşağıdaki ayarların, Windows 10 cihazlarında parolaları kullanma ve sıfırlama özelliğini engellediği bilinmektedir:
    • Kilit ekranı bildirimleri kapalıysa Parolayı sıfırla çalışmaz.
    • HideFastUserSwitching etkin veya 1 olarak ayarlandı
    • DontDisplayLastUserName etkin veya 1 olarak ayarlanmış
    • NoLockScreen etkin veya 1 olarak ayarlanmış
    • BlockNonAdminUserInstall etkin veya 1 olarak ayarlandı
    • EnableLostMode cihazda ayarlı
    • Explorer.exe özel bir kabukla değiştirilir
    • Etkileşimli oturum açma: Akıllı kartın etkinleştirildi veya 1 olarak ayarlanmasını gerektirir
  • Aşağıdaki belirli üç ayarın birleşimi bu özelliğin çalışmamasına neden olabilir.
    • Etkileşimli oturum açma: CTRL+ALT+DEL = Devre Dışı (yalnızca Windows 10 sürüm 1710 ve öncesi için) gerektirmez
    • DisableLockScreenAppNotifications = 1 veya Etkinleştirildi
    • Windows SKU Home sürümüdür

Not

Bu sınırlamalar, cihaz kilit ekranından İş İçin Windows Hello PIN sıfırlaması için de geçerlidir.

Windows 11 ve Windows 10 parola sıfırlama

Oturum açma ekranında SSPR için bir Windows 11 veya Windows 10 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 11 ve Windows 10 önkoşulları

  • Microsoft Entra yönetim merkezinde en az Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın ve Microsoft Entra self servis parola sıfırlamayı etkinleştirin.
  • Kullanıcıların bu özelliği https://aka.ms/ssprsetup'da kullanmadan önce SSPR'ye kaydolması gerekir
    • Windows oturum açma ekranından SSPR'yi kullanmaya özgü değildir, tüm kullanıcıların parolalarını sıfırlayabilmek için önce kimlik doğrulama iletişim bilgilerini sağlaması gerekir.
  • Ağ ara sunucusu gereksinimleri:
    • passwordreset.microsoftonline.com ve ajax.aspnetcdn.com için 443 numaralı bağlantı noktası
    • Windows 10 cihazları, SSPR gerçekleştirmek için kullanılan geçici defaultuser1 hesabı için makine düzeyinde ara sunucu yapılandırması veya kapsamlı ara sunucu yapılandırması gerektirir (daha fazla bilgi için sorun giderme bölümüne bakın).
  • En az Windows 10, sürüm Nisan 2018 Güncelleştirmesi 'ni (v1803) çalıştırın ve cihazlar aşağıdakilerden biri olmalıdır:
    • Microsoft Entra katıldı
    • Microsoft Entra hibrit katılım

Microsoft Intune kullanarak Windows 11 ve Windows 10 için etkinleştirme

Microsoft Intune kullanarak oturum açma ekranından SSPR'yi etkinleştirmek için yapılandırma değişikliğini dağıtmak en esnek yöntemdir. Microsoft Intune, yapılandırma değişikliğini tanımladığınız belirli bir makine grubuna dağıtmanıza olanak tanır. Bu yöntem, cihazın Microsoft Intune kaydını gerektirir.

Microsoft Intune'da cihaz yapılandırma ilkesi oluşturma

  1. Microsoft Intune yönetim merkezindeoturum açın.

  2. Cihaz yapılandırması>Profiller'e gidip + Profil Oluştur'u seçerek yeni bir cihaz yapılandırma profili oluşturun

    • Platform için Windows 10 ve sonraki seçin
    • profil türüiçin önce Şablonlar'ı seçin, ardından aşağıdaki Özel şablonu seçin.

  3. oluştur'u seçin ve ardından profil için Windows 11 oturum açma ekranı SSPR gibi anlamlı bir ad sağlayın

    İsteğe bağlı olarak profil için anlamlı bir açıklama sağlayın, ardından İleriseçin.

  4. Yapılandırma ayarlarıaltında Ekle seçin ve parola sıfırlama bağlantısını etkinleştirmek için aşağıdaki OMA-URI ayarını sağlayın:

    • Ayarın ne yaptığını açıklamak için anlamlı bir ad sağlayın, örneğin SSPR bağlantısı ekle.
    • İsteğe bağlı olarak ortamın anlamlı bir açıklamasını sağlayın.
    • OMA-URI./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset olarak ayarlanmış
    • Veri türüTamsayı olarak ayarlanır
    • Değeri1 olarak ayarlanır

    Ekle'yiseçin, ardından İleri.

  5. İlke belirli kullanıcılara, cihazlara veya gruplara atanabilir. Profili ortamınız için istediğiniz gibi atayın, ideal olarak önce bir cihaz grubuna, ardından Sonrakiseçin.

    Daha fazla bilgi için bkz. Microsoft Intune'da kullanıcı ve cihaz profilleri atama.

  6. Ortamınız için istenen uygulanabilirlik kurallarını yapılandırın, örneğin, işletim sistemi sürümü Windows 10 Enterprise ise profiliatayın, ardından İleri seçin.

  7. Profilinizi gözden geçirin, ardından Oluştur'u seçin.

Kayıt Defteri'ni kullanarak Windows 11 ve Windows 10 için etkinleştirme

Kayıt defteri anahtarı kullanarak oturum açma ekranında SSPR'yi etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Yönetici kimlik bilgilerini kullanarak Windows bilgisayarda oturum açın.

  2. Çalıştır iletişim kutusunu açmak için windows + Rbasın, ardından regedit yönetici olarak çalıştırın

  3. Aşağıdaki kayıt defteri anahtarını ayarlayın:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Windows 11 ve Windows 10 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranından SSPR'yi kullanmayla ilgili sorun yaşıyorsanız, Microsoft Entra denetim günlüğü aşağıdaki örnek çıktıda gösterildiği gibi IP adresi ve parola sıfırlamanın gerçekleştiği clienttype bilgilerini içerir:

Microsoft Entra denetim günlüğünde Örnek Windows 7 parola sıfırlama

Kullanıcılar bir Windows 11 veya 10 cihazının oturum açma ekranından parolalarını sıfırladığında, defaultuser1 adlı düşük ayrıcalıklı geçici bir hesap oluşturulur. Bu hesap, parola sıfırlama işlemini güvenli tutmak için kullanılır.

Hesabın kendisi, kuruluş parola ilkesine göre doğrulanmış rastgele oluşturulmuş bir parolaya sahiptir, cihaz oturum açma için gösterilmez ve kullanıcı parolasını sıfırladıktan sonra otomatik olarak kaldırılır. Birden çok defaultuser profili bulunabilir, ancak bunlar güvenle yoksayılabilir.

Windows parola sıfırlama için ara sunucu yapılandırmaları

Parola sıfırlama sırasında SSPR, https://passwordreset.microsoftonline.com/n/passwordresetbağlanmak için geçici bir yerel kullanıcı hesabı oluşturur. Bir proxy kullanıcı kimlik doğrulaması için yapılandırıldığında, "Bir sorun oluştu. Lütfen daha sonra yeniden deneyin." Bunun nedeni, yerel kullanıcı hesabının kimliği doğrulanmış proxy kullanma yetkisine sahip olmamasıdır.

Bu durumda, aşağıdaki geçici çözümlerden birini kullanabilirsiniz:

  • Makine genelinde, makinede oturum açmış kullanıcının türüne bağlı olmayan bir ara sunucu ayarı yapılandırın. Örneğin, Grup İlkesi'ni etkinleştirebilir İş istasyonları için makine başına ara sunucu ayarları (kullanıcı başına değil) yapabilirsiniz.

  • Varsayılan Hesap için kayıt defteri şablonunu değiştirirseniz SSPR için Per-User ara sunucu yapılandırmasını da kullanabilirsiniz. Komutlar aşağıdaki gibidir:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • "Bir sorun oluştu" hatası, URL https://passwordreset.microsoftonline.com/n/passwordresetile olan bağlantı kesintiye uğradığında da meydana gelebilir. Örneğin, bu hata, virüsten koruma yazılımı passwordreset.microsoftonline.com, ajax.aspnetcdn.comve ocsp.digicert.comURL'leri için dışlamalar olmadan iş istasyonunda çalıştırıldığında oluşabilir. Sorunun çözülmüş olup olmadığını test etmek için bu yazılımı geçici olarak devre dışı bırakın.

Windows 7, 8 ve 8.1 parola sıfırlama

Oturum açma ekranında SSPR için bir Windows 7, 8 veya 8.1 cihazı yapılandırmak için aşağıdaki önkoşulları ve yapılandırma adımlarını gözden geçirin.

Windows 7, 8 ve 8.1 önkoşulları

  • Microsoft Entra yönetim merkezinde en az Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın ve Microsoft Entra self servis parola sıfırlamayı etkinleştirin.
  • Kullanıcıların bu özelliği https://aka.ms/ssprsetup'da kullanmadan önce SSPR'ye kaydolması gerekir
    • Windows oturum açma ekranından SSPR'yi kullanmaya özgü değildir, tüm kullanıcıların parolalarını sıfırlayabilmek için önce kimlik doğrulama iletişim bilgilerini sağlaması gerekir.
  • Ağ ara sunucusu gereksinimleri:
    • bağlantı noktası 443 ile passwordreset.microsoftonline.com
  • Güncellenmiş Windows 7 veya Windows 8.1 İşletim Sistemi.
  • TLS 1.2, Aktarım Katmanı Güvenliği (TLS) kayıt defteri ayarlarıbulunan yönergeler kullanılarak etkinleştirildi.
  • Makinenizde birden fazla üçüncü taraf kimlik bilgisi sağlayıcısı etkinleştirildiyse, kullanıcılar oturum açma ekranında birden fazla kullanıcı profili görür.

Uyarı

TLS 1.2'nin etkinleştirilmesi gerekir, yalnızca otomatik anlaşma için ayarlanmamalıdır.

Yüklemek

Windows 7, 8 ve 8.1'de oturum açma ekranında SSPR'yi etkinleştirmek için makineye küçük bir bileşen yüklenmelidir. Bu SSPR bileşenini yüklemek için aşağıdaki adımları tamamlayın:

  1. Etkinleştirmek istediğiniz Windows sürümü için uygun yükleyiciyi indirin.

    Yazılım yükleyicisi, https://aka.ms/sspraddin'daki Microsoft indirme merkezinde bulunabilir

  2. Yüklemek istediğiniz makinede oturum açın ve yükleyiciyi çalıştırın.

  3. Yüklemeden sonra, yeniden başlatma kesinlikle önerilir.

  4. Yeniden başlatma işleminden sonra, oturum açma ekranında bir kullanıcı seçin ve parola sıfırlama iş akışını başlatmak için "Parola mı unuttunuz?" seçeneğini belirleyin.

  5. Parolanızı sıfırlamak için ekrandaki adımları izleyerek iş akışını tamamlayın.

Örnek Windows 7

Sessiz yükleme

SSPR bileşeni aşağıdaki komutlar kullanılarak istemler olmadan yüklenebilir veya kaldırılabilir:

  • Sessiz yükleme için "msiexec /i SsprWindowsLogon.PROD.msi /qn" komutunu kullanın
  • Sessiz kaldırma için "msiexec /x SsprWindowsLogon.PROD.msi /qn" komutunu kullanın

Windows 7, 8 ve 8.1 parola sıfırlama sorunlarını giderme

Windows oturum açma ekranında SSPR kullanmayla ilgili sorun yaşıyorsanız, olaylar hem makinede hem de Microsoft Entra ID'de günlüğe kaydedilir. Microsoft Entra olayları, aşağıdaki örnek çıktıda gösterildiği gibi, parola sıfırlamanın gerçekleştiği IP adresi ve ClientType ile ilgili bilgileri içerir:

Microsoft Entra denetim günlüğünde Örnek Windows 7 parola sıfırlama

Ek bir günlük kaydı gerekiyorsa, ayrıntılı günlüğe kaydetmeyi etkinleştirmek için makinedeki bir kayıt defteri anahtarı değiştirilebilir. Sorun giderme amacıyla yalnızca aşağıdaki kayıt defteri anahtarı değerini kullanarak ayrıntılı günlük kaydını etkinleştirin:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Ayrıntılı günlüğü etkinleştirmek için bir REG_DWORD: "EnableLogging"oluşturun ve 1’e ayarlayın.
  • Ayrıntılı günlüğü devre dışı bırakmak için REG_DWORD: "EnableLogging"'ı 0 yapın.
  • Uygulama olay günlüğünde, kaynak olarak AADPasswordResetCredentialProvider altında bulunan hata ayıklama kaydını gözden geçirin.

Kullanıcılar ne görür?

Windows cihazlarınız için SSPR yapılandırıldığında, kullanıcı için ne değişir? Oturum açma ekranında parolalarını sıfırlayabilirler mi? Aşağıdaki örnek ekran görüntüleri, kullanıcının SSPR kullanarak parolasını sıfırlaması için ek seçenekleri gösterir:

Örnek Windows 7 ve 10 oturum açma ekranları, SSPR bağlantısı gösterilen

Kullanıcılar oturum açmaya çalıştığında, oturum açma ekranında self servis parola sıfırlama deneyimini açan Parolayı sıfırla veya parolayı unuttum bağlantısını görürler. Bu işlev, kullanıcıların bir web tarayıcısına erişmek için başka bir cihaz kullanmak zorunda kalmadan parolalarını sıfırlamalarına olanak tanır.

İş veya okul parolanızı sıfırlama başlıklı belgede, bu özelliği kullanma hakkında daha fazla bilgi bulabilirsiniz.

Sonraki adımlar

Kullanıcı kayıt deneyimini basitleştirmek için SSPRiçin kullanıcı kimlik doğrulaması iletişim bilgilerini önceden doldurabilirsiniz.