Možnosti nasazení samoobslužného resetování hesla

Důležité

V září 2022 oznámil Microsoft vyřazení Azure Multi-Factor Authentication Serveru. Od 30. září 2024 už nasazení Azure Multi-Factor Authentication Serveru nebudou obsluhovat požadavky vícefaktorového ověřování (MFA). Zákazníci Azure Multi-Factor Authentication Serveru musí místo MIM SSPR používat vlastní poskytovatele MFA nebo Microsoft Entra SSPR místo MIM SSPR.

Pro nové zákazníky, kteří mají licenci pro Microsoft Entra ID P1 nebo P2, doporučujeme použít samoobslužné resetování hesla Microsoft Entra k zajištění prostředí koncového uživatele. Samoobslužné resetování hesla Microsoft Entra poskytuje webové prostředí i prostředí integrované ve Windows pro uživatele k resetování vlastního hesla a podporuje řadu stejných funkcí jako MIM, včetně alternativního e-mailu a bran Q&A. Při nasazování samoobslužného resetování hesla Microsoft Entra můžete nakonfigurovat Microsoft Entra Connect tak, aby zapsal nová hesla do služby AD DS a služba MIM Password Change Notification Service se dá použít k přeposílání hesel do jiných systémů, jako je adresářový server jiného dodavatele. Nasazení MIM pro správu hesel nevyžaduje nasazení služby MIM ani samoobslužného resetování hesla nebo registračních portálů MIM. Místo toho můžete postupovat takto:

• Nejprve, pokud potřebujete odesílat hesla do adresářů jiných než Microsoft Entra ID a AD DS, provedete nasazení MIM Synchronizace s konektory pro služby Active Directory Domain Services a všechny další cílové systémy, nakonfigurujte MIM pro správu hesel a nasadíte službu oznámení změny hesla.
• Pokud pak potřebujete odesílat hesla jiným adresářům než Microsoft Entra ID, nakonfigurujte Microsoft Entra Connect pro zápis nových hesel do služby AD DS.
• Volitelně můžete uživatele předem zaregistrovat.
• Nakonec pro koncové uživatele zaváděte samoobslužné resetování hesla Microsoft Entra.

Pro zákazníky Forefront Identity Manageru (FIM) nebo MIM licencované pro Microsoft Entra ID P1 nebo P2 doporučujeme přejít na samoobslužné resetování hesla Microsoft Entra. Můžete převést koncové uživatele na samoobslužné resetování hesla Microsoft Entra, aniž by se museli znovu registrovat, tím, že synchronizujete nebo nastavíte prostřednictvím PowerShell alternativní e-mailovou adresu nebo číslo mobilního telefonu uživatele. Po registraci uživatelů pro samoobslužné resetování hesla Microsoft Entra je možné portál FIM pro resetování hesla vyřadit z provozu.

Nasazení MIM 2016, které používaly Microsoft Entra MFA, by měla přejít na použití MIM SSPR s vlastním poskytovatelem MFA, nebo samoobslužného resetování hesla Microsoft Entra. Nová nasazení by měla používat vlastního poskytovatele MFA nebo samoobslužné resetování hesla Microsoft Entra.

Nasazení samoobslužného portálu MIM pro resetování hesla pomocí vlastního poskytovatele pro vícefaktorové ověřování

Následující část popisuje, jak nasadit samoobslužný portál MIM pro resetování hesla pomocí poskytovatele pro vícefaktorové ověřování. Tyto kroky jsou nezbytné jenom pro zákazníky, kteří nepoužívají samoobslužné resetování hesla Microsoft Entra pro své uživatele.

S vícefaktorovým ověřováním se uživatelé ověřují prostřednictvím externího zprostředkovatele, aby ověřili svou identitu a zároveň se snažili znovu získat přístup ke svému účtu a prostředkům. K ověřování se dá využít SMS nebo telefonní hovor. Čím silnější je ověřování, tím větší je jistota, že osobou, která se pokouší získat přístup, je skutečně reálný uživatel, který je vlastníkem příslušné identity. Po ověření si uživatel může zvolit nové heslo, kterým nahradí to původní.

Požadavky pro nastavení samoobslužného odemknutí účtu a resetování hesla pomocí MFA

V této části se předpokládá, že jste stáhli a dokončili nasazení komponent Microsoft Identity Manageru 2016 MIM Sync, služby MIM a portálu MIM, včetně následujících komponent a služeb:

• Řadič domény služby Active Directory s určenou doménou (korporátní doména)

• Pro uzamčení účtu byly definované zásady skupiny.

• Synchronizační služba MIM 2016 (Sync) je nainstalovaná a spuštěná na serveru, který je připojený k doméně AD.

• Služba a portál MIM 2016, včetně portálu pro registraci SSPR a portálu pro resetování SSPR, jsou nainstalovány a spuštěny na serveru (mohou být umístěny spolu se Synchronizací).

• Služba MIM Sync je nakonfigurovaná pro synchronizaci identit AD-MIM včetně:

  • Konfigurace agenta pro správu služby Active Directory (ADMA) pro připojení ke službě AD DS a spuštění profilů pro import dat identity z a exportu do služby Active Directory.

  • Konfigurace agenta správy MIM (MIM MA) pro připojení k databázi služby FIM a spuštění profilů pro import dat identity z databáze FIM a jejich export do databáze FIM.

  • Konfigurace pravidel synchronizace na portálu MIM pro povolení synchronizace uživatelských dat a usnadnění synchronizačních aktivit ve službě MIM.

• Doplňky a rozšíření MIM 2016, včetně integrovaného klienta přihlášení windows SSPR, se nasadí na server nebo na samostatný klientský počítač.

Příprava Microsoft Identity Manageru (MIM) na práci s vícefaktorovým ověřováním (MFA)

Nakonfigurujte službu MIM Sync, aby podporovala funkce resetování hesla a odemknutí účtu. Další informace viz Instalace doplňků a rozšíření FIM, Instalace FIM SSPR, Brány ověřování SSPR a Průvodce testovacím prostředím SSPR.

Konfigurujte telefonní bránu nebo SMS bránu pro jednorázové heslo (OTP) SMS.

1. Spusťte Internet Explorer a přejděte na portál MIM, ověřte se jako správce MIM a potom v levém navigačním panelu klikněte na Pracovní postupy.

   

2. Zkontrolujte pracovní postup AuthN resetování hesla.

   

3. Klikněte na kartu Aktivity a posuňte se dolů k možnosti Přidat aktivitu.

4. Vyberte Phone Gate nebo SMS brána pro jednorázové heslo, klepněte na Vybrat a pak OK.

   Poznámka:

   Pokud používáte jiného zprostředkovatele, který vygeneruje jednorázové heslo samotné, ujistěte se, že nakonfigurované pole délky je stejné jako pole délky vygenerované poskytovatelem vícefaktorového ověřování.

Uživatelé ve vaší organizaci se teď můžou zaregistrovat pro resetování hesla. V průběhu tohoto procesu zadají svoje telefonní číslo do zaměstnání nebo mobilní číslo, aby systém věděl, kam jim může zavolat (nebo poslat SMS zprávy).

Registrace uživatelů pro resetování hesla

1. Uživatel spustí webový prohlížeč a přejde na portál pro registraci mim pro resetování hesla. (Tento portál se obvykle konfiguruje s ověřováním systému Windows.) Na portálu znovu zadá svoje uživatelské jméno a heslo k potvrzení identity.

   Pak musí přejít na portál pro registraci hesel a provést ověření pomocí svého uživatelského jména a hesla.

2. V poli Telefonní číslo nebo Mobilní telefon musí zadat kód země, mezeru a telefonní číslo a kliknout na Tlačítko Další.

   

   

Jak to funguje z pohledu uživatelů?

Teď, když je všechno nastavené a funguje to, budete asi chtít vědět, čím uživatelé musí projít, když resetují svoje vlastní hesla bezprostředně před dovolenou a po návratu si uvědomí, že je všechny zapomněli.

Existují dva způsoby využití funkce resetování hesla a odemknutí účtu – z přihlašovací obrazovky Windows a ze samoobslužného portálu.

Pokud jsou doplňky a rozšíření MIM nainstalované na počítači připojeném k doméně a prostřednictvím sítě vaší organizace ke službě MIM, mohou si uživatelé obnovit zapomenuté heslo během přihlašování do systému. Následující kroky vás provedou procesem.

Integrované resetování hesla při desktopovém přihlášení k Windows

1. Pokud uživatel několikrát zadá nesprávné heslo, bude mít na přihlašovací obrazovce možnost kliknout na Problémy s přihlášením? .

   

   Kliknutím na tento odkaz přejdou k obrazovce pro resetování hesla MIM, kde můžou změnit heslo a odemknout svůj účet.

   

2. Uživatel se přesměruje k ověření. Pokud bylo nakonfigurované vícefaktorové ověřování, služba uživateli zavolá.

3. Na pozadí se děje, že poskytovatel MFA pak umístí telefonní hovor na číslo, které uživatel zadal, když se daný uživatel zaregistroval ke službě.

4. Když uživatel odpoví na telefon, může být vyzván k interakci, například k stisknutí křížové klávesy # na telefonu. Potom uživatel klikne na portálu na Další.

   Pokud jste nastavili i další brány, uživatel se vyzve, aby na následných obrazovkách zadal další informace.

   Poznámka:

   Pokud je uživatel netrpělivý a klikne na tlačítko Další ještě před stisknutím klávesy křížku (#), ověření se nepovede.

5. Po úspěšném ověření má uživatel dvě možnosti, buď odemknout účet a nechat si původní heslo, nebo nastavit nové heslo.

6. Uživatel pak musí dvakrát zadat nové heslo a tím je heslo resetované.

Přístup ze samoobslužného portálu

1. Uživatelé můžou otevřít webový prohlížeč, přejít na portál pro resetování hesla a zadat svoje uživatelské jméno a kliknout na Další.

   Pokud bylo nakonfigurované vícefaktorové ověřování, služba uživateli zavolá. Na pozadí se děje, že vícefaktorové ověřování Microsoft Entra pak umístí telefonní hovor na číslo, které uživatel zadal při registraci ke službě.

   Po přijetí hovoru bude uživatel vyzván ke stisknutí křížku (#) na telefonu. Potom uživatel klikne na portálu na Další.

2. Pokud jste nastavili i další brány, uživatel se vyzve, aby na následných obrazovkách zadal další informace.

   Poznámka:

   Pokud je uživatel netrpělivý a klikne na tlačítko Další ještě před stisknutím klávesy křížku (#), ověření se nepovede.

3. Uživatel si bude muset vybrat, jestli chce resetovat heslo nebo odemknout svůj účet. Pokud se rozhodnou účet odemknout, účet se odemkne.

   

4. Po úspěšném ověření se uživateli zobrazí dvě možnosti– buď zachovat aktuální heslo, nebo nastavit nové heslo.

5. 

6. Pokud se uživatel rozhodne resetovat heslo, musí dvakrát zadat nové heslo a potom změnu hesla potvrdit kliknutím na Další.