Sdílet prostřednictvím

Povolení samoobslužného resetování hesla microsoft Entra na přihlašovací obrazovce Windows

  • Článek

Samoobslužné resetování hesla (SSPR) umožňuje uživatelům v Microsoft Entra ID změnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Uživatelé obvykle otevřou webový prohlížeč na jiném zařízení pro přístup k portálu SSPR. Pokud chcete zlepšit možnosti na počítačích se systémem Windows 7, 8, 8.1, 10 a 11, můžete uživatelům povolit resetování hesla na přihlašovací obrazovce Windows.

Příklad přihlašovacích obrazovek Windows s odkazem SSPR zobrazeným

Důležitý

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla pro zařízení s Windows v podniku.

Pokud váš IT tým nepovolil možnost používat samoobslužné resetování hesla ze zařízení s Windows nebo máte problémy při přihlašování, požádejte o další pomoc helpdesk.

Obecná omezení

Následující omezení platí pro použití SSPR z přihlašovací obrazovky Windows:

  • Resetovat heslo není v současné době podporováno na vzdálené ploše ani v rozšířených relacích Hyper-V.
  • Někteří poskytovatelé přihlašovacích údajů třetích stran znají problémy s touto funkcí.
  • Zakázání řízení uživatelských účtů (UAC) prostřednictvím změny klíče registru EnableLUA je známo, že způsobuje problémy.
  • Tato funkce nefunguje pro sítě s nasazeným ověřováním sítě 802.1x a možností Provést bezprostředně před přihlášením uživatele. Pro sítě s nasazeným ověřováním sítě 802.1x se doporučuje k povolení této funkce použít ověřování počítače.
  • Aby bylo možné používat nové heslo a aktualizovat přihlašovací údaje uložené v mezipaměti, musí mít hybridní počítače připojené k Microsoftu entra přístup k řadiči domény. To znamená, že zařízení musí být buď v interní síti organizace, nebo v síti VPN se síťovým přístupem k místnímu řadiči domény. Pokud je SSPR jediným požadavkem, síťový řádek připojení k řadiči domény se nevyžaduje.
  • Pokud používáte obraz systému, před spuštěním nástroje Sysprep se ujistěte, že je webová mezipaměť pro integrovaného správce vymazána před provedením kroku CopyProfile. Další informace o tomto kroku najdete v článku podpory Nízký výkon při použití vlastního výchozího profilu uživatele.
  • Následující nastavení je známo, že koliduje s možností používat a resetovat hesla na zařízeních s Windows 10:
    • Pokud jsou oznámení na zamykací obrazovce vypnutá, Resetovat heslo nebude fungovat.
    • HideFastUserSwitching je nastaveno na povoleno nebo 1
    • DontDisplayLastUserName je nastavená na povoleno nebo 1
    • NoLockScreen je nastaveno na povoleno nebo 1
    • BlockNonAdminUserInstall je nastaven na povoleno nebo 1
    • Na zařízení je nastaven EnableLostMode
    • Explorer.exe je nahrazen vlastním shellem.
    • Interaktivní přihlášení: Vyžadování čipové karty je nastaveno na povolenou nebo 1
  • Kombinace následujících tří nastavení může způsobit, že tato funkce nebude fungovat.
    • Interaktivní přihlášení: Nevyžadují kombinaci kláves CTRL+ALT+DEL = Zakázáno (pouze pro Windows 10 verze 1710 a starší)
    • DisableLockScreenAppNotifications = 1 nebo Povoleno
    • Windows SKU je verze Home

Poznámka

Tato omezení platí také pro resetování PIN kódu Windows Hello pro firmy z zamykací obrazovky zařízení.

Resetování hesla pro Windows 11 a Windows 10

Pokud chcete nakonfigurovat zařízení s Windows 11 nebo Windows 10 pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

Požadavky na Windows 11 a Windows 10

  • Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování a povolte samoobslužné resetování hesla Microsoft Entra.
  • Uživatelé se musí před použitím této funkce v https://aka.ms/ssprsetup zaregistrovat pro samoobslužné resetování hesla.
    • Není jedinečné pro použití SSPR z přihlašovací obrazovky Windows, všichni uživatelé musí před resetováním hesla zadat ověřovací kontaktní údaje.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com a ajax.aspnetcdn.com
    • Zařízení s Windows 10 vyžadují konfiguraci proxy serveru na úrovni počítače nebo konfiguraci proxy serveru s vymezeným oborem pro dočasný účet výchozího uživatele1, který se používá k provedení SSPR (další podrobnosti najdete v části Řešení potíží).
  • Spusťte aspoň Windows 10, verzi z dubna 2018 Update (v1803) a zařízení musí být:
    • Microsoft Entra se připojila
    • Hybridně připojeno k Microsoft Entra

Povolení pro Windows 11 a Windows 10 pomocí Microsoft Intune

Nasazení změny konfigurace pro povolení samoobslužného resetování hesla z přihlašovací obrazovky pomocí Microsoft Intune je nejflexibilnější metodou. Microsoft Intune umožňuje nasadit změnu konfigurace do konkrétní skupiny počítačů, které definujete. Tato metoda vyžaduje registraci zařízení v Microsoft Intune.

Vytvoření zásad konfigurace zařízení v Microsoft Intune

  1. Přihlaste se do centra pro správu Microsoft Intune.

  2. Vytvořte nový konfigurační profil zařízení tak, že přejdete na konfigurace zařízení>profilya pak vyberete + Vytvořit profil

    • Pro Platform zvolte Windows 10 a novější
    • Pro typ profiluzvolte Šablony a pak vyberte níže možnost Vlastní šablona.

  3. Vyberte Vytvořita zadejte smysluplný název profilu, například přihlašovací obrazovka Windows 11 SSPR

    Volitelně zadejte smysluplný popis profilu a pak vyberte Další.

  4. V části Nastavení konfiguracevyberte Přidat a zadejte následující OMA-URI nastavení pro povolení odkazu pro resetování hesla:

    • Zadejte smysluplný název, který vysvětluje, co nastavení dělá, například Přidat odkaz na SSPR.
    • Volitelně můžete zadat smysluplný popis nastavení.
    • OMA-URI nastavený na ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • Datový typ nastaven na Integer
    • Hodnota nastavená na 1

    Vyberte Přidat, poté Další.

  5. Zásady je možné přiřadit konkrétním uživatelům, zařízením nebo skupinám. Přiřaďte profil podle potřeby pro vaše prostředí, ideálně testovací skupině zařízení, a pak vyberte Další.

    Další informace najdete v tématu Přiřazení profilů uživatelů a zařízení v Microsoft Intune.

  6. Nakonfigurujte pravidla použitelnosti podle potřeby pro vaše prostředí, například Přiřadit profil, pokud je edice operačního systému Windows 10 Enterprise, a pak vyberte Další.

  7. Zkontrolujte svůj profil, poté vyberte Vytvořit.

Povolení pro Windows 11 a Windows 10 pomocí registru

Pokud chcete povolit samoobslužné resetování hesla na přihlašovací obrazovce pomocí klíče registru, proveďte následující kroky:

  1. Přihlaste se k počítači s Windows pomocí přihlašovacích údajů správce.

  2. Stisknutím RWindows otevřete dialogové okno Spustit a pak spusťte regedit jako správce.

  3. Nastavte následující klíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

Řešení potíží s resetováním hesla pro Windows 11 a Windows 10

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, protokol auditu Microsoft Entra obsahuje informace o IP adrese a ClientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

příklad resetování hesla windows 7 v protokolu auditování Microsoft Entra

Když uživatelé resetují heslo z přihlašovací obrazovky zařízení s Windows 11 nebo 10, vytvoří se dočasný účet s nízkými oprávněními s názvem defaultuser1. Tento účet slouží k zabezpečení procesu resetování hesla.

Samotný účet má náhodně vygenerované heslo, které se ověřuje proti zásadám hesel organizace, nezobrazuje se pro přihlášení zařízení a po resetování hesla uživatele se automaticky odebere. Může existovat více defaultuser profilů, ale je možné je bezpečně ignorovat.

Konfigurace proxy serveru pro resetování hesla systému Windows

Během resetování hesla vytvoří SSPR dočasný místní uživatelský účet pro připojení k https://passwordreset.microsoftonline.com/n/passwordreset. Pokud je proxy server nakonfigurovaný pro ověřování uživatelů, může selhat s chybou "Něco se nepovedlo. Zkuste to prosím znovu později." Důvodem je to, že místní uživatelský účet nemá oprávnění používat ověřený proxy server.

V tomto případě můžete použít jedno z následujících alternativních řešení:

  • Nakonfigurujte nastavení proxy serveru pro celý počítač, které nezávisí na typu uživatele přihlášeného k počítači. Můžete například povolit zásady skupiny Nastavit nastavení proxy serveru pro jednotlivé počítače (nikoli pro uživatele) pro pracovní stanice.

  • Pokud upravíte šablonu registru pro výchozí účet, můžete také použít Per-User konfiguraci proxy serveru pro SSPR. Příkazy jsou následující:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • Chyba "Něco se nepovedlo" může dojít také v případě, že dojde k přerušení připojení k adrese URL https://passwordreset.microsoftonline.com/n/passwordreset. K této chybě může dojít například v případě, že antivirový software běží na pracovní stanici bez vyloučení adres URL passwordreset.microsoftonline.com, ajax.aspnetcdn.coma ocsp.digicert.com. Zakažte tento software dočasně a otestujte, jestli je problém vyřešený nebo ne.

Resetování hesla pro Windows 7, 8 a 8.1

Pokud chcete nakonfigurovat zařízení s Windows 7, 8 nebo 8.1 pro SSPR na přihlašovací obrazovce, projděte si následující požadavky a kroky konfigurace.

Požadavky pro Windows 7, 8 a 8.1

  • Přihlaste se do centra pro správu Microsoft Entra alespoň jako správce zásad ověřování a povolit samoobslužné resetování hesla microsoft Entra.
  • Uživatelé se musí před použitím této funkce v https://aka.ms/ssprsetup zaregistrovat pro samoobslužné resetování hesla.
    • Není jedinečné pro použití SSPR z přihlašovací obrazovky Windows, všichni uživatelé musí před resetováním hesla zadat ověřovací kontaktní údaje.
  • Požadavky na proxy server sítě:
    • Port 443 do passwordreset.microsoftonline.com
  • Opravený operační systém Windows 7 nebo Windows 8.1.
  • Protokol TLS 1.2 je povolený pomocí pokynů v nastavení registru protokolu TLS (Transport Layer Security).
  • Pokud je na vašem počítači povolené více než jeden poskytovatel přihlašovacích údajů třetí strany, zobrazí se uživatelům na přihlašovací obrazovce více než jeden profil uživatele.

Varování

Musí být povolený protokol TLS 1.2, ne jenom pro automatické vyjednávání.

Nainstalovat

Pro Windows 7, 8 a 8.1 musí být na počítači nainstalovaná malá komponenta, aby bylo možné povolit samoobslužné resetování hesla na přihlašovací obrazovce. Pokud chcete nainstalovat tuto komponentu SSPR, proveďte následující kroky:

  1. Stáhněte si odpovídající instalační program pro verzi Systému Windows, kterou chcete povolit.

    Instalační program softwaru je k dispozici v centru pro stahování Microsoftu na webu https://aka.ms/sspraddin.

  2. Přihlaste se k počítači, na kterém chcete nainstalovat, a spusťte instalační program.

  3. Po instalaci se důrazně doporučuje restartování.

  4. Po restartování zvolte na přihlašovací obrazovce uživatele a vyberte "Zapomenuté heslo?", aby se zahájil pracovní postup resetování hesla.

  5. Dokončete pracovní postup podle kroků na obrazovce a resetujte si heslo.

Příklad Windows 7, kde bylo kliknuto na

Bezobslužná instalace

Komponentu SSPR je možné nainstalovat nebo odinstalovat bez výzvy pomocí následujících příkazů:

  • Pro bezobslužnou instalaci použijte příkaz msiexec /i SsprWindowsLogon.PROD.msi /qn.
  • Pro bezobslužnou odinstalaci použijte příkaz msiexec /x SsprWindowsLogon.PROD.msi /qn.

Řešení potíží s resetováním hesla ve Windows 7, 8 a 8.1

Pokud máte problémy s používáním SSPR z přihlašovací obrazovky Windows, události se protokolují na počítači i v Microsoft Entra ID. Události Microsoft Entra zahrnují informace o IP adrese a clientType, kde došlo k resetování hesla, jak je znázorněno v následujícím příkladu výstupu:

příklad resetování hesla windows 7 v protokolu auditování Microsoft Entra

Pokud je vyžadováno další protokolování, můžete v počítači změnit klíč registru, aby se povolilo podrobné protokolování. Povolte podrobné protokolování pouze pro účely řešení potíží s použitím následující hodnoty klíče registru:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • Pokud chcete povolit podrobné protokolování, vytvořte REG_DWORD: "EnableLogging"a nastavte ho na 1.
  • Pro zakázání podrobného protokolování změňte REG_DWORD: "EnableLogging" na 0.
  • Zkontrolujte ladicí záznamy v protokolu událostí aplikace ve zdroji AADPasswordResetCredentialProvider.

Co uživatelé vidí

S nakonfigurovaným SSPR pro vaše zařízení s Windows, jaké změny pro uživatele? Jak vědí, že si můžou resetovat heslo na přihlašovací obrazovce? Následující ukázkové snímky obrazovky ukazují další možnosti, jak uživatel resetovat heslo pomocí SSPR:

příklad přihlašovacích obrazovek Windows 7 a 10 s odkazem SSPR zobrazeným

Když se uživatelé pokusí přihlásit, uvidí odkaz Resetovat heslo nebo Zapomenuté heslo, který otevře proces samoobslužného resetování hesla na přihlašovací obrazovce. Tato funkce umožňuje uživatelům resetovat heslo bez nutnosti používat jiné zařízení pro přístup k webovému prohlížeči.

Další informace o používání této funkce najdete v tématu Resetování pracovního nebo školního hesla

Další kroky

Chcete-li zjednodušit prostředí registrace uživatele, můžete předem vyplnit kontaktní údaje pro ověřování uživatele pro SSPR.