Co je samoobslužné resetování hesla v Microsoft Entra ID?
Byli jste požádáni o posouzení způsobů, jak ve vaší maloobchodní organizaci snížit náklady na helpdesk. Všimli jste si, že pracovníci podpory tráví spoustu času resetováním hesel pro uživatele. Uživatelé si často stěžují na zpoždění tohoto procesu a tato zpoždění mají vliv na jejich produktivitu. Chcete pochopit, jak nakonfigurovat Azure tak, aby uživatelům umožňovala spravovat vlastní hesla.
V této lekci se dozvíte, jak funguje samoobslužné resetování hesla (SSPR) v Microsoft Entra ID.
Proč používat SSPR?
V Microsoft Entra ID může každý uživatel změnit heslo, pokud už je přihlášený. Pokud ale nejsou přihlášení, zapomněli si heslo nebo vypršela jeho platnost, bude muset resetovat heslo. S SSPR můžou uživatelé resetovat svá hesla ve webovém prohlížeči nebo na přihlašovací obrazovce Windows, aby znovu získali přístup k Azure, Microsoftu 365 a jakékoli jiné aplikaci, která k ověřování používá Microsoft Entra ID.
SSPR snižuje zatížení správců, protože uživatelé můžou sami opravit problémy s hesly, aniž by museli zavolat na helpdesk. Minimalizuje také dopad zapomenutého nebo neplatného hesla na produktivitu. Uživatelé nemusí čekat, až bude mít správce čas heslo resetovat.
Jak SSPR funguje
Uživatel zahájí resetování hesla tak, že přejde přímo na portál pro resetování hesla nebo vybere odkaz Nejde získat přístup k vašemu účtu na přihlašovací stránce. Portál pro resetování provede následující kroky:
- Lokalizace: Portál zkontroluje nastavení národního prostředí prohlížeče a vykreslí stránku SSPR v příslušném jazyce.
- Ověření: Uživatel zadá svoje uživatelské jméno a předá CAPTCHA, aby se zajistilo, že se jedná o uživatele, a ne robota.
- Ověřování: Uživatel zadá požadovaná data k ověření své identity. Můžou zadat kód nebo odpovědět na bezpečnostní otázky.
- Resetování hesla: Pokud uživatel projde ověřovacími testy, může zadat nové heslo a potvrdit ho.
- Oznámení: Uživateli se odešle zpráva s potvrzením resetování.
Uživatelské prostředí SSPR můžete přizpůsobit různými způsoby. Na přihlašovací stránku můžete například přidat logo vaší společnosti, aby uživatelé věděli, že jsou na správném místě pro resetování hesla.
Ověřování před resetováním hesla
Před povolením resetování hesla je důležité ověřit identitu uživatele. Kyberzločinci můžou využít každou slabinu systému, aby se mohli vydávat za jiného uživatele. Azure podporuje šest různých způsobů, jak ověřovat žádosti o resetování.
Jako správce můžete zvolit metody, které se mají použít při konfiguraci SSPR. Povolte dvě nebo více těchto metod, aby si uživatelé mohli vybrat ty, které můžou snadno použít. Existují tyto metody:
| Metoda ověřování | Jak probíhá registrace | Jak probíhá ověřování před resetováním hesla |
|---|---|---|
| Oznámení v mobilní aplikaci | Nainstalujte na mobilní zařízení aplikaci Microsoft Authenticator a pak ji zaregistrujte na stránce nastavení vícefaktorového ověřování. | Azure pošle do aplikace oznámení, které můžete potvrdit nebo odmítnout. |
| Kód mobilní aplikace | Tato metoda používá také aplikaci Authenticator. Nainstalujete a zaregistrujete ji stejným způsobem. | Zadáte kód z aplikace. |
| Zadáte e-mailovou adresu, která je externí vzhledem k Azure a Microsoft 365. | Azure pošle kód na adresu, kterou zadáte v průvodci resetováním. | |
| Mobilní telefon | Zadáte číslo mobilního telefonu. | Azure pošle pomocí zprávy SMS do telefonu kód, který pak zadáte v průvodci resetováním. Můžete se také rozhodnout, že chcete získat automatizovaný hovor. |
| Telefon do kanceláře | Zadáte číslo jiného než mobilního telefonu. | Na toto číslo vám přijde automatický hovor a stisknete #. |
| Bezpečnostní otázky | Vyberte otázky, jako je třeba "V jakém městě se vaše matka narodila?" a uložte odpovědi. | Odpovíte na otázky. |
Ve zkušební verzi organizace Microsoft Entra nejsou podporované možnosti telefonního hovoru.
Vyžadování minimálního počtu metod ověřování
Můžete zadat minimální počet metod, které musí uživatel nastavit, a to buď jeden nebo dva. Můžete například povolit metody kódu v mobilní aplikaci, e-mailu, telefonu do kanceláře a bezpečnostních otázek a zadat nejméně dvě metody. Uživatelé pak můžou zvolit dvě metody, které preferují, například kód mobilní aplikace a e-mail.
Pro metodu otázky zabezpečení můžete zadat minimální počet otázek, které musí uživatel nastavit pro registraci pro tuto metodu. Můžete také zadat minimální počet otázek, na které musí odpovědět správně, aby resetovali heslo.
Až si uživatelé zaregistrují požadované informace pro minimální počet metod, který jste určili, budou se považovat za zaregistrované do SSPR.
Doporučení
- Povolte nejméně dvě metody ověřování žádostí o resetování.
- Jako primární metodu použijte oznámení nebo kód mobilní aplikace. Můžete ale také povolit metody e-mailu nebo telefonu do kanceláře, aby podporovaly uživatele bez mobilních zařízení.
- Metoda mobilního telefonu není doporučenou metodou, protože je možné odesílat podvodné zprávy SMS.
- Možnost bezpečnostní otázky je nejméně doporučená metoda, protože odpovědi na bezpečnostní otázky můžou být známé ostatním uživatelům. Metodu bezpečnostní otázky používejte pouze v kombinaci s alespoň jednou jinou metodou.
Účty přidružené k rolím správce
- U účtů s rolí správce se vždy používají silné zásady ověřování se dvěma metodami, a to bez ohledu na konfiguraci pro ostatní uživatele.
- Metoda otázky zabezpečení není dostupná pro účty přidružené k roli správce.
Konfigurace oznámení
Správci můžou zvolit způsob, jakým budou uživatelé upozorňováni na změny hesla. Můžete povolit dvě možnosti:
- Upozorňovat uživatele na resetování hesla: Uživatel, který resetuje vlastní heslo, bude upozorněn na primární a sekundární e-mailové adresy. Pokud by resetování provedl uživatel se zlými úmysly, znamená toto oznámení pro uživatele výstrahu, že by měl podniknout kroky pro omezení rizik.
- Upozornit všechny správce, když ostatní správci resetují heslo: Všichni správci budou upozorněni, když si heslo resetuje jiný správce.
Požadavky na licenci
Existují dvě edice Microsoft Entra ID, Premium P1 a Premium P2. Funkce resetování hesla, kterou můžete použít, závisí na vaší edici.
Každý uživatel, který je přihlášený, může změnit heslo bez ohledu na edici Microsoft Entra ID.
Co když nejste přihlášení a zapomněli jste heslo nebo vypršela platnost hesla? V tomto případě můžete použít SSPR v Microsoft Entra ID P1 nebo P2. SSPR je také k dispozici v Microsoft 365 Apps pro firmy nebo Microsoft 365.
V hybridní situaci, kdy máte místní službu Active Directory a ID Microsoft Entra v cloudu, musí se jakákoli změna hesla v cloudu zapsat zpět do místního adresáře. Tato podpora zpětného zápisu je k dispozici v Microsoft Entra ID P1 nebo P2. K dispozici je také v Microsoft 365 Apps pro firmy.
Možnosti nasazení SSPR
SSPR můžete nasadit se zpětným zápisem hesla pomocí Microsoft Entra Connect nebo cloudové synchronizace v závislosti na potřebách uživatelů. Každou možnost můžete nasadit vedle sebe v různých doménách, abyste mohli cílit na různé sady uživatelů. To pomáhá stávajícím uživatelům místně zapisovat změny hesel a současně přidávat možnost pro uživatele v odpojených doménách kvůli sloučení nebo rozdělení společnosti. Uživatelé z existující místní domény můžou používat Microsoft Entra Connect, zatímco noví uživatelé z fúze můžou používat synchronizaci cloudu v jiné doméně.
Synchronizace cloudu může také poskytovat vyšší dostupnost, protože nespoléhá na jednu instanci microsoft Entra Connect. Porovnání funkcí mezi těmito dvěma možnostmi nasazení najdete v tématu Porovnání mezi Microsoft Entra Connect a cloudovou synchronizací.