Zelfbediening voor wachtwoordherstel van Microsoft Entra inschakelen op het aanmeldingsscherm van Windows

Selfservice voor wachtwoordherstel (SSPR) biedt gebruikers in Microsoft Entra ID de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Normaal gesproken openen gebruikers een webbrowser op een ander apparaat om toegang te krijgen tot de SSPR-portal. Als u de ervaring wilt verbeteren op computers met Windows 7, 8, 8.1, 10 en 11, kunt u inschakelen dat gebruikers hun wachtwoord opnieuw instellen op het aanmeldingsscherm van Windows.

Belangrijk

Deze handleiding toont een beheerder hoe hij/zij SSPR voor Windows-apparaten in een onderneming kan inschakelen.

Als uw IT-team de mogelijkheid om SSPR vanaf uw Windows-apparaat te gebruiken niet heeft ingeschakeld of als u problemen ondervindt tijdens het aanmelden, neemt u contact op met uw helpdesk voor aanvullende hulp.

Algemene beperkingen

De volgende beperkingen gelden voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm:

• Het opnieuw instellen van wachtwoorden wordt momenteel niet ondersteund vanaf een extern bureaublad of vanuit Hyper-V verbeterde sessies.
• Sommige referentieproviders van derden zijn bekend om problemen met deze functie te veroorzaken.
• Het uitschakelen van UAC door de EnableLUA-registersleutel aan te passen, staat erom bekend problemen te veroorzaken.
• Deze functie werkt niet voor netwerken met 802.1x-netwerkverificatie geïmplementeerd en de optie 'Direct vóór aanmelding van gebruiker uitvoeren'. Voor netwerken waarop 802.1x-netwerkverificatie is geïmplementeerd, is het raadzaam om computerverificatie te gebruiken om deze functie in te schakelen.
• Hybride machines van Microsoft Entra moeten netwerkconnectiviteitslijn voor een domeincontroller hebben om het nieuwe wachtwoord te kunnen gebruiken en referenties in de cache bij te werken. Dit betekent dat apparaten zich in het interne netwerk van de organisatie of op een VPN met netwerktoegang tot een on-premises domeincontroller moeten bevinden. Als SSPR de enige vereiste is, is de netwerkverbindingslijn met de domeincontroller niet vereist.
• Als u een installatiekopie gebruikt, moet u vóór het uitvoeren van sysprep ervoor zorgen dat de webcache is gewist voor de ingebouwde beheerder voordat u de stap CopyProfile uitvoert. Meer informatie over deze stap vindt u in het ondersteuningsartikel Prestaties slecht bij het gebruik van aangepast standaardgebruikersprofiel.
• De volgende instellingen zijn erom bekend dat ze interfereren met het gebruik en herstellen van wachtwoorden op Windows 10-apparaten:
  • Als meldingen op het vergrendelingsscherm zijn uitgeschakeld, werkt Wachtwoord opnieuw instellen niet.
  • HideFastUserSwitching is ingesteld op 'ingeschakeld' of '1'
  • DontDisplayLastUserName- is ingesteld op ingeschakeld of 1
  • NoLockScreen- is ingesteld op ingeschakeld of 1
  • BlockNonAdminUserInstall is ingesteld op actief of 1
  • EnableLostMode is ingesteld op het apparaat
  • Explorer.exe wordt vervangen door een aangepaste shell
  • Interactieve aanmelding: Vereist smartcard is ingesteld op ingeschakeld of 1
• De combinatie van de volgende specifieke drie instellingen kan ertoe leiden dat deze functie niet werkt.
  • Interactieve aanmelding: Vereist niet Ctrl+Alt+DEL = Uitgeschakeld (alleen voor Windows 10 versie 1710 en eerder)
  • DisableLockScreenAppNotifications = 1 of Ingeschakeld
  • De Windows-versie is de Home-editie

Notitie

Deze beperkingen gelden ook voor het opnieuw instellen van pincodes voor Windows Hello voor Bedrijven vanaf het vergrendelingsscherm van het apparaat.

Wachtwoord opnieuw instellen in Windows 11 en Windows 10

Als u een Windows 11- of Windows 10-apparaat voor SSPR wilt configureren op het aanmeldingsscherm, raadpleegt u de volgende vereisten en configuratiestappen.

Vereisten voor Windows 11 en Windows 10

• Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder en schakel selfservice wachtwoordherstel van Microsoft Entra in.
• Gebruikers moeten zich aanmelden voor SSPR voordat ze deze functie bij https://aka.ms/ssprsetup gebruiken.
  • Niet uniek voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, moeten alle gebruikers de contactgegevens voor verificatie opgeven voordat ze hun wachtwoord opnieuw kunnen instellen.
• Vereisten voor netwerkproxy:
  • Poort 443 naar passwordreset.microsoftonline.com en ajax.aspnetcdn.com
  • Voor Windows 10-apparaten is een proxyconfiguratie op computerniveau of een proxyconfiguratie met een bereik vereist voor het tijdelijke defaultuser1-account dat wordt gebruikt voor het uitvoeren van SSPR (zie sectie Probleemoplossing voor meer informatie).
• Voer ten minste Windows 10, versie april 2018 Update (v1803) uit en de apparaten moeten ofwel:
  • Microsoft Entra toegevoegd
  • Microsoft Entra hybride gekoppeld

Inschakelen voor Windows 11 en Windows 10 met Microsoft Intune

Het implementeren van de configuratiewijziging om SSPR in te schakelen vanuit het aanmeldingsscherm met behulp van Microsoft Intune is de meest flexibele methode. Met Microsoft Intune kunt u de configuratiewijziging implementeren naar een specifieke groep machines die u definieert. Voor deze methode is Microsoft Intune-inschrijving van het apparaat vereist.

Een apparaatconfiguratiebeleid maken in Microsoft Intune

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Maak een nieuw apparaatconfiguratieprofiel door naar Apparaatconfiguratie>Profielente gaan en selecteer vervolgens + Profiel maken

   • Kies voor PlatformWindows 10 en hoger
   • Voor profieltypekiest u Sjablonen en selecteert u vervolgens de onderstaande aangepaste sjabloon

3. Selecteer maken en geef een betekenisvolle naam op voor het profiel, zoals aanmeldingsscherm van Windows 11

   Geef desgewenst een zinvolle beschrijving van het profiel op en selecteer vervolgens Volgende.

4. Selecteer onder Configuratie-instellingenToevoegen en geef de volgende OMA-URI instelling op om de link om het wachtwoord opnieuw in te stellen in te schakelen.

   • Geef een betekenisvolle naam op om uit te leggen wat de instelling doet, zoals SSPR-koppeling toevoegen.
   • Geef desgewenst een zinvolle beschrijving van de instelling op.
   • OMA-URI ingesteld op ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
   • gegevenstype ingesteld op integer
   • waarde ingesteld op 1

   Selecteer toevoegen, dan Volgende.

5. Het beleid kan worden toegewezen aan specifieke gebruikers, apparaten of groepen. Wijs het profiel naar wens toe aan uw omgeving, idealiter eerst aan een testgroep apparaten en selecteer vervolgens Volgende.

   Zie Gebruikers- en apparaatprofielen toewijzen in Microsoft Intunevoor meer informatie.

6. Configureer de toepasselijkheidsregels naar wens voor uw omgeving, bijvoorbeeld om het profiel toe te wijzen wanneer de besturingssysteemeditie Windows 10 Enterpriseis, en selecteer vervolgens Volgende.

7. Controleer uw profiel en selecteer vervolgens aanmaken.

Inschakelen voor Windows 11 en Windows 10 met behulp van het register

Voer de volgende stappen uit om SSPR in te schakelen op het aanmeldingsscherm met behulp van een registersleutel:

1. Meld u aan bij de Windows-pc met beheerdersreferenties.

2. Druk op Windows + R- om het dialoogvenster uitvoeren te openen en voer regedit- uit als beheerder

3. Stel de volgende registersleutel in:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
      "AllowPasswordReset"=dword:00000001
   

Problemen met het opnieuw instellen van wachtwoorden in Windows 11 en Windows 10 oplossen

Als u problemen ondervindt met het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, bevat het Auditlogboek van Microsoft Entra informatie over het IP-adres en ClientType waar het opnieuw instellen van het wachtwoord is opgetreden, zoals wordt weergegeven in de volgende voorbeelduitvoer:

Wanneer gebruikers hun wachtwoord opnieuw instellen vanaf het aanmeldingsscherm van een Windows 11- of 10-apparaat, wordt een tijdelijk account met lage bevoegdheden met de naam defaultuser1 gemaakt. Dit account wordt gebruikt om het wachtwoordherstelproces veilig te houden.

Het account zelf heeft een willekeurig gegenereerd wachtwoord, dat wordt gevalideerd op basis van het wachtwoordbeleid van een organisatie, wordt niet weergegeven voor apparaataanmelding en wordt automatisch verwijderd nadat de gebruiker het wachtwoord opnieuw heeft ingesteld. Er kunnen meerdere defaultuser profielen bestaan, maar kunnen veilig worden genegeerd.

Proxyconfiguraties voor het opnieuw instellen van windows-wachtwoorden

Tijdens het opnieuw instellen van het wachtwoord maakt SSPR een tijdelijk lokaal gebruikersaccount om verbinding te maken met https://passwordreset.microsoftonline.com/n/passwordreset. Wanneer een proxy is geconfigureerd voor gebruikersverificatie, kan deze mislukken met de fout 'Er is iets misgegaan. Probeer het later opnieuw. Dit komt doordat het lokale gebruikersaccount niet is gemachtigd om de geverifieerde proxy te gebruiken.

In dit geval kunt u een van de volgende tijdelijke oplossingen gebruiken:

• Configureer een proxy-instelling voor de hele machine die niet afhankelijk is van het type gebruiker dat is aangemeld bij de computer. U kunt bijvoorbeeld het groepsbeleid inschakelen Proxy-instellingen per computer maken (in plaats van per gebruiker) voor de werkstations.

• U kunt ook Per-User proxyconfiguratie voor SSPR gebruiken als u de registersjabloon voor het standaardaccount wijzigt. De opdrachten zijn als volgt:

  reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
  reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
  reg unload "hku\Default"
  

• De fout 'Er is iets misgegaan' kan ook optreden wanneer de verbinding met URL https://passwordreset.microsoftonline.com/n/passwordresetwordt onderbroken. Deze fout kan bijvoorbeeld optreden wanneer antivirussoftware wordt uitgevoerd op het werkstation zonder uitsluitingen voor URL's passwordreset.microsoftonline.com, ajax.aspnetcdn.comen ocsp.digicert.com. Schakel deze software tijdelijk uit om te testen of het probleem is opgelost of niet.

Wachtwoordherstel in Windows 7, 8 en 8.1

Als u een Windows 7-, 8- of 8.1-apparaat voor SSPR wilt configureren op het aanmeldingsscherm, raadpleegt u de volgende vereisten en configuratiestappen.

Vereisten voor Windows 7, 8 en 8.1

• Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder en schakel Microsoft Entra selfservice-wachtwoordherstel in.
• Gebruikers moeten zich registreren voor SSPR voordat ze deze functie bij https://aka.ms/ssprsetup gebruiken.
  • Niet uniek voor het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, moeten alle gebruikers de contactgegevens voor verificatie opgeven voordat ze hun wachtwoord opnieuw kunnen instellen.
• Vereisten voor netwerkproxy:
  • Poort 443 naar passwordreset.microsoftonline.com
• Besturingssysteem met patch voor Windows 7 of Windows 8.1.
• TLS 1.2 ingeschakeld met behulp van de richtlijnen in TLS-registerinstellingen (Transport Layer Security).
• Als meer dan één externe referentieprovider is ingeschakeld op uw computer, zien gebruikers meer dan één gebruikersprofiel op het aanmeldingsscherm.

Waarschuwing

TLS 1.2 moet zijn ingeschakeld, niet alleen ingesteld op automatisch onderhandelen.

Installeren

Voor Windows 7, 8 en 8.1 moet een klein onderdeel op de computer worden geïnstalleerd om SSPR in te schakelen op het aanmeldingsscherm. Voer de volgende stappen uit om dit SSPR-onderdeel te installeren:

1. Download het juiste installatieprogramma voor de versie van Windows die u wilt inschakelen.

   Het software-installatieprogramma is beschikbaar in het Microsoft-downloadcentrum op https://aka.ms/sspraddin

2. Meld u aan bij de computer waarop u het installatieprogramma wilt installeren en voer het uit.

3. Na de installatie wordt een herstart ten zeerste aanbevolen.

4. Nadat het opnieuw is opgestart, kiest u op het aanmeldingsscherm een gebruiker en selecteert u 'Wachtwoord vergeten?' om de werkstroom voor het opnieuw instellen van het wachtwoord te starten.

5. Voltooi het proces door de stappen op het scherm te volgen om uw wachtwoord opnieuw in te stellen.

Stille installatie

Het SSPR-onderdeel kan zonder prompts worden geïnstalleerd of verwijderd met behulp van de volgende opdrachten:

• Gebruik voor installatie op de achtergrond de opdracht msiexec /i SsprWindowsLogon.PROD.msi /qn
• Gebruik voor stille verwijdering de opdracht msiexec /x SsprWindowsLogon.PROD.msi /qn

Problemen met het opnieuw instellen van wachtwoorden in Windows 7, 8 en 8.1 oplossen

Als u problemen ondervindt met het gebruik van SSPR vanuit het Windows-aanmeldingsscherm, worden gebeurtenissen geregistreerd op de computer en in Microsoft Entra-id. Microsoft Entra-gebeurtenissen bevatten informatie over het IP-adres en ClientType waar het opnieuw instellen van het wachtwoord is opgetreden, zoals wordt weergegeven in de volgende voorbeelduitvoer:

Als extra logboekregistratie vereist is, kan een registersleutel op de computer worden gewijzigd om uitgebreide logboekregistratie in te schakelen. Uitgebreid loggen inschakelen voor probleemoplossingsdoeleinden, alleen door de volgende registersleutelwaarde te gebruiken:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}

• Als u uitgebreide logboekregistratie wilt inschakelen, maakt u een REG_DWORD: "EnableLogging"en stelt u deze in op 1.
• Om uitgebreide logboekregistratie uit te schakelen, moet u REG_DWORD: "EnableLogging" in 0 veranderen.
• Controleer de logboekregistratie voor foutopsporing in het gebeurtenislogboek van de toepassing onder de bron AADPasswordResetCredentialProvider.

Wat zien gebruikers?

Met SSPR geconfigureerd voor uw Windows-apparaten, welke wijzigingen voor de gebruiker? Hoe weten ze dat ze hun wachtwoord opnieuw kunnen instellen op het aanmeldingsscherm? In de volgende voorbeeldschermafbeeldingen ziet u de extra opties voor een gebruiker om het wachtwoord opnieuw in te stellen met behulp van SSPR:

Wanneer gebruikers zich proberen aan te melden, zien ze een Wachtwoord herstellen of Wachtwoord vergeten koppeling waarmee de selfservicevoorziening voor wachtwoordherstel wordt geopend op het aanmeldingsscherm. Met deze functionaliteit kunnen gebruikers hun wachtwoord opnieuw instellen zonder dat ze een ander apparaat hoeven te gebruiken om toegang te krijgen tot een webbrowser.

Meer informatie voor gebruikers over het gebruik van deze functie vindt u in Uw werk- of schoolwachtwoord opnieuw instellen

Volgende stappen

Om de gebruikersregistratie-ervaring te vereenvoudigen, kunt u vooraf contactgegevens voor gebruikersverificatie invullen voor SSPR-.