Mitä omatoiminen salasana nollataan Microsoft Entra -tunnuksen yhteydessä?

Valmis

Sinua on pyydetty arvioimaan tapoja vähentää tukipalvelukustannuksia vähittäismyymälössä. Olet huomannut, että tukihenkilöstö käyttää paljon aikaa salasanojen nollaamiseen käyttäjille. Käyttäjät valittavat usein tämän prosessin viivästyksistä, ja nämä viivästykset vaikuttavat heidän tuottavuuteensa. Haluat ymmärtää, miten voit määrittää Azuren sallimaan käyttäjien hallita omia salasanojaan.

Tässä osiossa opit, miten omatoiminen salasanan palautus (SSPR) toimii Microsoft Entra -tunnuksella.

Miksi SSPR:ää kannattaa käyttää?

Microsoft Entra -tunnuksella kuka tahansa käyttäjä voi vaihtaa salasanansa, jos hän on jo kirjautunut sisään. Mutta jos käyttäjä ei ole kirjautunut sisään, unohtanut salasanansa tai se on vanhentunut, hänen on nollattava salasanansa. SSPR:n avulla käyttäjät voivat palauttaa salasanansa verkkoselaimessa tai Windows-kirjautumisnäytöstä azuren, Microsoft 365:n ja kaikkien muiden sovellusten, jotka käyttävät Microsoft Entra -tunnusta todentamiseen, palauttamiseksi.

SSPR vähentää järjestelmänvalvojien kuormitusta, koska käyttäjät voivat korjata salasanaongelmat itse kutsumatta tukipalvelua. Se myös minimoi unohdetun tai vanhentuneen salasanan tuottavuusvaikutuksen. Käyttäjien ei tarvitse odottaa, kunnes järjestelmänvalvoja on käytettävissä salasanansa palauttamiseksi.

Miten SSPR toimii?

Käyttäjä käynnistää salasanan palauttamisen joko siirtymällä suoraan salasanan palautusportaaliin tai valitsemalla Tiliäsi ei saa käyttää linkki kirjautumissivulla. Nollausportaali suorittaa seuraavat vaiheet:

1. Lokalisointi-: Portaali tarkistaa selaimen aluekohtaiset asetukset ja hahmontaa SSPR-sivun haluamallasi kielellä.
2. Verification: Käyttäjä syöttää käyttäjänimensä ja CAPTCHA-koodin varmistaakseen, että se on käyttäjä eikä botti.
3. Authentication: Käyttäjä antaa tarvittavat tiedot käyttäjätietojen todentamista varten. He saattavat kirjoittaa koodin tai vastata suojauskysymyksiin.
4. Password reset -: Jos käyttäjä läpäisee todennustestit, hän voi antaa uuden salasanan ja vahvistaa sen.
5. Ilmoitus-: Käyttäjälle lähetetään viesti nollauksen vahvistamiseksi.

SSPR-käyttökokemusta voi mukauttaa useilla tavoilla. Voit esimerkiksi lisätä sisäänkirjautumissivulle yrityksesi logon, jotta käyttäjät tietävät, että he ovat oikeassa paikassa palauttamassa salasanansa.

Salasanan nollauksen todentaminen

On tärkeää varmistaa käyttäjän käyttäjätiedot, ennen kuin sallit salasanan palauttamisen. Pahantahtoiset käyttäjät saattavat hyödyntää järjestelmän heikkoutta tekeytymällä kyseiseksi käyttäjäksi. Azure tukee kuutta eri tapaa nollauspyyntöjen todentamiseen.

Järjestelmänvalvojana voit valita menetelmiä, joita käytetään, kun määrität SSPR:n. Ota käyttöön vähintään kaksi menetelmää, jotta käyttäjät voivat valita ne, joita he voivat käyttää helposti. Menetelmät ovat:

Todentamismenetelmä	Rekisteröityminen	Salasanan palauttamisen todentaminen
Mobiilisovellusilmoitus	Asenna Microsoft Authenticator -sovellus mobiililaitteeseesi ja rekisteröi se monimenetelmäisen todentamisen määrityssivulla.	Azure lähettää sovellukselle ilmoituksen, jonka voit joko vahvistaa tai hylätä.
Mobiilisovelluksen koodi	Tässä menetelmässä käytetään myös Authenticator-sovellusta, ja voit asentaa ja rekisteröidä sen samalla tavalla.	Anna koodi sovelluksesta.
Sähköposti	Anna Azuren ja Microsoft 365:n ulkoinen sähköpostiosoite.	Azure lähettää osoitteeseen koodin, jonka annat ohjatussa nollaustoiminnossa.
Matkapuhelin	Anna matkapuhelinnumero.	Azure lähettää puhelimeesi koodin tekstiviestillä, jonka annat ohjatussa nollaustoiminnossa. Voit myös valita automatisoidun puhelun saamisen.
Office-puhelin	Anna ei-liiketon puhelinnumero.	Saat automaattisen kutsun tähän numeroon ja painat #.
Suojauskysymykset	Valitse kysymyksiä, kuten "Missä kaupungissa äitisi syntyi?" ja tallenna heidän vastauksensa.	Vastaa kysymyksiin.

Microsoft Entra -kokeiluversiossa puheluvaihtoehtoja ei tueta.

Edellytä todennusmenetelmien vähimmäismäärä

Voit määrittää pienimmän määrän menetelmiä, jotka käyttäjän on määritettävä, joko yksi tai kaksi. Voit esimerkiksi ottaa käyttöön mobiilisovelluksen koodin, sähköpostin, toimistopuhelimen ja tietoturvaa koskevat kysymysmenetelmät ja määrittää vähintään kaksi tapaa. Käyttäjät voivat sitten valita haluamansa menetelmän, kuten mobiilisovelluksen koodin ja sähköpostin.

Suojauskysymykset-menetelmää varten voit määrittää vähimmäismäärän kysymyksiä, jotka käyttäjän on määritettävä rekisteröimään tähän menetelmään. Voit myös määrittää vähimmäismäärän kysymyksiä, joihin heidän on vastattava oikein vaihtaakseen salasanansa.

Kun käyttäjäsi ovat rekisteröineet tarvittavat tiedot määrittämiesi menetelmien vähimmäismäärälle, heidät katsotaan rekisteröidyksi SSPR:ään.

Suosituksia

• Ota käyttöön vähintään kaksi todennuksen palautuspyyntömenetelmää.
• Käytä ensisijaisena menetelmänä mobiilisovelluksen ilmoitusta tai koodia. Ota kuitenkin käyttöön myös sähköposti- tai toimistopuhelinmenetelmät, joilla voidaan tukea käyttäjiä ilman mobiililaitteita.
• Matkapuhelinmenetelmä ei ole suositeltu menetelmä, koska on mahdollista lähettää vilpillisiä tekstiviestejä.
• Suojauskysymys-vaihtoehto on vähiten suositeltu menetelmä, koska suojauskysymyksiin vastaaminen saattaa olla muiden tiedossa. Käytä suojauskysymysmenetelmää vain yhdessä vähintään yhden muun menetelmän kanssa.

Järjestelmänvalvojarooleihin liittyvät tilit

• Vahvaa kaksimenetelmäistä todentamiskäytäntöä sovelletaan aina tileille, joilla on järjestelmänvalvojarooli, riippumatta muiden käyttäjien määrityksistäsi.
• Suojauskysymykset-menetelmä ei ole käytettävissä järjestelmänvalvojarooliin liittyville tileille.

Ilmoitusten määrittäminen

Järjestelmänvalvojat voivat valita, miten käyttäjille ilmoitetaan salasanan muutoksista. Voit ottaa käyttöön kaksi vaihtoehtoa:

• Ilmoita käyttäjille salasanan vaihtamisesta: Käyttäjän, joka nollaa oman salasanansa, ilmoitetaan ensisijaiseen ja toissijaiseen sähköpostiosoitteeseensa. Jos nollauksen on tehnyt pahantahtoinen käyttäjä, tämä ilmoitus hälyttää käyttäjän, joka voi ryhtyä lieventämistoimiin.
• Ilmoita kaikille järjestelmänvalvojille, kun muut järjestelmänvalvojat nollaavat salasanansa: Kaikille järjestelmänvalvojille ilmoitetaan, kun toinen järjestelmänvalvoja nollaa salasanansa.

Käyttöoikeusvaatimukset

Microsoft Entra ID -versioita on kaksi: Premium P1 ja Premium P2. Käytettävissä oleva salasanan palautustoiminto määräytyy versiosi mukaan.

Kuka tahansa kirjautunut käyttäjä voi vaihtaa salasanansa Microsoft Entra -tunnuksen versiosta riippumatta.

Entä jos et ole kirjautunut sisään ja olet unohtanut salasanasi tai salasanasi on vanhentunut? Tässä tapauksessa voit käyttää SSPR:ää Microsoft Entra ID P1:ssä tai P2:ssa. Se on käytettävissä myös Microsoft 365 Apps for Business- tai Microsoft 365 -sovellusten kanssa.

Hybriditilanteessa, jossa sinulla on Pilvipalvelussa paikallinen Active Directory- ja Microsoft Entra -tunnus, kaikki pilvipalvelussa olevat salasananvaihdot on kirjoitettava takaisin paikalliseen hakemistoon. Tämä takaisinkirjoituksen tuki on käytettävissä Microsoft Entra ID P1- tai P2-palvelussa. Se on käytettävissä myös Microsoft 365 Apps for Business -sovelluksessa.

SSPR-käyttöönottoasetukset

Voit ottaa SSPR:n käyttöön salasanojen takaisinkirjoituksella käyttämällä Microsoft Entra Connect tai pilvipalvelun synkronoinninkäyttäjien tarpeista riippuen. Voit ottaa kunkin vaihtoehdon käyttöön rinnakkain eri toimialueilla kohdentaaksesi eri käyttäjäjoukkoja. Tämä auttaa olemassa olevia käyttäjiä paikallisesti kirjoittamaan takaisin salasanan muutokset ja lisäämään asetuksen käyttäjille, joiden toimialueet ovat katkaistu, yrityksen yhdistymisen tai jakamisen vuoksi. Aiemmin luodun paikallisen toimialueen käyttäjät voivat käyttää Microsoft Entra Connectia, kun taas fuusion uudet käyttäjät voivat käyttää pilvipalvelun synkronointia toisella toimialueella.

Pilvipalvelun synkronointi voi myös tarjota korkeamman käytettävyyden, koska se ei luota yhteen Microsoft Entra Connect -esiintymään. Käyttöönottovaihtoehtojen välinen ominaisuusvertailu on kohdassa Microsoft Entra Connectin ja pilvipalvelun synkronoinnin vertailu vertailu.

Tarkista tietosi

1.

Milloin käyttäjä katsotaan rekisteröidyksi SSPR:ään?

Ne rekisteröivät vähintään yhden sallituista todentamismenetelmistä.

He rekisteröivät vähintään useita menetelmiä, joita olet vaatinut salasanan nollaamiseksi.

He määrittävät suojauskysymyksien vähimmäismäärän.

2.

Kun otat SSPR:n käyttöön Microsoft Entra -organisaatiossasi...

Käyttäjät voivat vaihtaa salasanansa vain, kun he ovat kirjautuneet sisään.

Järjestelmänvalvojat voivat vaihtaa salasanansa yhdellä todennusmenetelmällä.

Käyttäjät voivat nollata salasanansa, kun he eivät voi kirjautua sisään.

Vastaa kaikkiin kysymyksiin, ennen kuin tarkistat työsi.