Zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellen met self-service voor wachtwoordherstel voor Microsoft Entra
Microsoft Entra selfservice voor wachtwoordherstel (SSPR) biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Als Microsoft Entra ID het account van een gebruiker vergrendelt of zijn wachtwoord vergeet, kunnen ze de aanwijzingen volgen om de blokkering op te heffen en weer aan het werk te gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID. We hebben ook een video voor IT-beheerders over het oplossen van de zes meest voorkomende foutberichten van eindgebruikers met SSPR.
Belangrijk
Aan de hand van deze zelfstudie leert een beheerder hoe self-service voor wachtwoordherstel moet worden ingeschakeld. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u opnieuw toegang wenst tot uw account gaat u naar de pagina Microsoft Online wachtwoordherstel.
Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.
In deze zelfstudie leert u het volgende:
- Selfservice voor wachtwoordherstel inschakelen voor een groep Microsoft Entra-gebruikers
- Verificatiemethoden en registratieopties instellen
- Het SSPR-proces testen als een gebruiker
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt afgeschaft. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om te migreren naar het beleid voor verificatiemethoden op basis van de afschaffingsdatum.
Zelfstudievideo
U kunt ook meegaan in een gerelateerde video: SSPR inschakelen en configureren in Microsoft Entra ID.
Vereisten
Om deze zelfstudie te voltooien, hebt u de volgende resources en machtigingen nodig:
- Een werkende Microsoft Entra-tenant met ten minste een Microsoft Entra ID P1-licentie is vereist voor het opnieuw instellen van wachtwoorden. Zie Licentievereisten voor selfservice voor wachtwoordherstel voor Microsoft Entra-id voor meer informatie over licentievereisten voor wachtwoordwijziging en wachtwoordherstel in Microsoft Entra.
- Een account met ten minste de rol Verificatiebeleidsbeheerder.
- Een niet-beheerder met een wachtwoord dat u kent, zoals testuser. In deze zelfstudie test u SSPR voor eindgebruikers met dit account.
- Als u een gebruiker wilt maken, raadpleegt u quickstart: Nieuwe gebruikers toevoegen aan Microsoft Entra-id.
- Een groep waarvan de niet-beheerder lid is, zoals SSPR-Test-Group. In deze zelfstudie schakelt u SSPR in voor deze groep.
- Als u een groep wilt maken, raadpleegt u Een basisgroep maken en leden toevoegen met behulp van Microsoft Entra-id.
Selfservice voor wachtwoordherstel inschakelen
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Met Microsoft Entra ID kunt u SSPR inschakelen voor geen, geselecteerd of alle gebruikers. Dankzij deze opsplitsing kunt u een subset van gebruikers kiezen om het registratieproces en de werkstroom van SSPR te testen. Wanneer u vertrouwd bent met het proces en het juiste moment is aangebroken om de vereisten door te geven aan een groter aantal gebruikers, kunt u een groep gebruikers selecteren waarvoor u SSPR wilt inschakelen. U kunt ook SSPR inschakelen voor iedereen in de Microsoft Entra-tenant.
Notitie
Op dit moment kunt u slechts één Microsoft Entra-groep inschakelen voor SSPR met behulp van het Microsoft Entra-beheercentrum. Als onderdeel van een bredere implementatie van SSPR ondersteunt Microsoft Entra ID geneste groepen.
In deze zelfstudie configureert u SSPR voor een aantal gebruikers in een testgroep. Gebruik de SSPR-Test-Group en geef indien nodig uw eigen Microsoft Entra-groep op:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader in het menu aan de linkerkant naar Wachtwoordherstelbeveiliging>.
In de pagina Eigenschappen kiest u Geselecteerdonder Selfservice voor wachtwoord opnieuw instellen is ingeschakeld.
Als uw groep niet zichtbaar is, kiest u Geen groepen geselecteerd, bladert u naar uw Microsoft Entra-groep, zoals SSPR-Test-Group, en kiest u Selecteren.
Als u SSPR wilt inschakelen voor de geselecteerde gebruikers, selecteert u Opslaan.
Verificatiemethoden en registratieopties selecteren
Wanneer gebruikers hun account moeten ontgrendelen of hun wachtwoord opnieuw moeten instellen, wordt hen een extra bevestigingsmethode gevraagd. Deze extra verificatiefactor zorgt ervoor dat Microsoft Entra ID alleen goedgekeurde SSPR-gebeurtenissen heeft voltooid. U kunt kiezen welke verificatiemethoden u wilt toestaan, op basis van de registratiegegevens die door de gebruiker worden verstrekt.
In het menu links op de pagina Verificatiemethoden stelt u de optie Het aantal methoden dat is vereist om het wachtwoord opnieuw in te stellen in op 2.
Voor het verbeteren van de beveiliging kunt u het aantal verificatiemethoden verhogen dat nodig is voor SSPR.
Kies uit Methoden voor gebruikers die uw organisatie wil toestaan. In deze zelfstudie selecteert u de selectievakjes voor de methoden die u wilt inschakelen:
- Meldingen via mobiele app
- Code via mobiele app
- E-mailadres
- Telefoon (mobiel)
Aanvullende verificatiemethoden, zoals Telefoonnummer (werk) of Beveiligingsvragen, kunnen zo nodig worden ingeschakeld om te voldoen aan uw bedrijfsvereisten.
Als u de verificatiemethoden wilt toepassen, selecteert u Opslaan.
Voordat gebruikers hun account kunnen ontgrendelen of een wachtwoord opnieuw kunnen instellen, moeten ze hun contactgegevens registreren. Microsoft Entra ID gebruikt deze contactgegevens voor de verschillende verificatiemethoden die in de vorige stappen zijn ingesteld.
Een beheerder kan deze contactgegevens handmatig opgeven. Gebruikers kunnen naar een registratieportal gaan om de gegevens zelf te verstrekken. In deze zelfstudie stelt u Microsoft Entra-id in om de gebruikers de volgende keer dat ze zich aanmelden te vragen om zich te registreren.
In het menu links van de pagina Registratie selecteert u de optie Ja voor Vereisen dat gebruiker zich bij aanmelding registreren.
Stel Aantal dagen waarna gebruikers wordt gevraagd om de verificatiegegevens opnieuw te bevestigen in op 180.
Het is belangrijk deze contactgegevens up-to-date te houden. Als de contactgegevens verouderd zijn wanneer een SSPR-gebeurtenis wordt gestart, kan de gebruiker het account niet meer ontgrendelen of het wachtwoord niet opnieuw instellen.
Als u de registratie-instellingen wilt toepassen, selecteert u Opslaan.
Notitie
De onderbreking van de aanvraag voor het registreren van contactgegevens tijdens het aanmelden vindt alleen plaats als aan de voorwaarden voor de instellingen wordt voldaan en alleen van toepassing is op gebruikers en beheerdersaccounts die zijn ingeschakeld om wachtwoorden opnieuw in te stellen met behulp van selfservice voor wachtwoordherstel van Microsoft Entra.
Meldingen en aanpassingen configureren
Als u gebruikers op de hoogte wilt houden van accountactiviteit, kunt u Microsoft Entra-id instellen om e-mailmeldingen te verzenden wanneer er een SSPR-gebeurtenis plaatsvindt. Deze meldingen betreffen normale gebruikersaccounts en beheerdersaccounts. Voor beheerdersaccounts biedt deze melding een extra beveiligingslaag wanneer een wachtwoord voor een bevoegd beheerdersaccount opnieuw wordt ingesteld met SSPR. Microsoft Entra-id kan alle beheerders waarschuwen wanneer iemand SSPR gebruikt voor een beheerdersaccount.
Stel in het menu Meldingen aan de linkerkant van de pagina de volgende opties in:
- Stel de optie Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord in op Ja.
- Stel Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen in op Ja.
Als u de meldingsvoorkeuren wilt toepassen, selecteert u Opslaan.
Als gebruikers extra hulp nodig hebben bij het SSPR-proces, kunt u de koppeling "Neem contact op met de beheerder" aanpassen. De gebruiker kan deze koppeling selecteren in het SSPR-registratieproces en wanneer zij hun account ontgrendelen of het wachtwoord opnieuw instellen. Om zeker te zijn dat uw gebruikers de nodige ondersteuning krijgen, is het raadzaam een aangepast e-mailadres of aangepaste URL van de helpdesk te verstrekken.
- Stel op de pagina Aanpassing, in het menu aan de linkerkant, de optie Helpdeskkoppeling aanpassen in op Ja.
- Geef in het veld Aangepast helpdesk e-mailadres of URL een e-mailadres of URL op waar gebruikers aanvullende hulp van uw organisatie kunnen krijgen, bv. https://support.contoso.com/
- Als u de aangepaste koppeling wilt toepassen, selecteert u Opslaan.
Selfservice voor wachtwoord opnieuw instellen testen
Als SSPR is ingeschakeld en geconfigureerd, moet u het SSPR-proces testen met een gebruiker die deel uitmaakt van de groep die u in de vorige sectie hebt geselecteerd, bv. Test-SSPR-Group. In het volgende voorbeeld wordt het testuser account gebruikt. Geef uw eigen gebruikersaccount op. Het maakt deel uit van de groep die u hebt ingeschakeld voor SSPR in de eerste sectie van deze zelfstudie.
Notitie
Gebruik een niet-beheerdersaccount als u de self-service voor wachtwoordherstel test. Standaard schakelt Microsoft Entra ID selfservice voor wachtwoordherstel in voor beheerders. Ze moeten twee verificatiemethoden gebruiken om hun wachtwoord opnieuw in te stellen. Zie Verschillen in beleid voor het opnieuw instellen van beheerders voor meer informatie.
Als u het handmatige registratieproces wilt zien, opent u een nieuw browservenster in de InPrivate- of incognitomodus en bladert u naar https://aka.ms/ssprsetup. Microsoft Entra ID stuurt gebruikers door naar deze registratieportal wanneer ze zich de volgende keer aanmelden.
Meld u aan met een testgebruiker die geen beheerder is, bv. testuser, en registreer de contactgegevens voor de verificatiemethoden.
Als u klaar bent, selecteert u de knop Ziet er goed uit en sluit u het browservenster.
Open een nieuw browservenster in de InPrivate- of incognitomodus en blader naar https://aka.ms/sspr.
Voer de accountgegevens in van de testgebruikers die geen beheerder zijn, bv. testuser, de tekens van de CAPTCHA en selecteer Volgende.
Volg de verificatiestappen om uw wachtwoord opnieuw in te stellen. Wanneer u klaar bent, ontvangt u een e-mailmelding dat uw wachtwoord opnieuw is ingesteld.
Resources opschonen
In een latere zelfstudie in deze reeks stelt u wachtwoord terugschrijven in. Met deze functie worden wachtwoordwijzigingen van Microsoft Entra SSPR teruggeschreven naar een on-premises AD-omgeving. Als u wilt doorgaan met deze reeks zelfstudies om het terugschrijven van wachtwoorden te configureren, mag u SSPR nu niet uitschakelen.
Als u de SSPR-functionaliteit niet meer wilt gebruiken die u als onderdeel van deze zelfstudie hebt geconfigureerd, stelt u in de volgende stappen de SSPR-status in op Geen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar wachtwoordherstelbeveiliging>.
- Op de pagina Eigenschappen kiest u onder Selfservice voor wachtwoord opnieuw instellen is ingeschakeld de optie Geen.
- Als u de wijziging van de SSPR wilt toepassen, selecteert u Opslaan.
Veelgestelde vragen
In deze sectie worden veelgestelde vragen uitgelegd van beheerders en eindgebruikers die SSPR proberen:
Waarom worden on-premises wachtwoordbeleidsregels niet weergegeven tijdens SSPR?
Op dit moment bieden Microsoft Entra Connect en cloudsynchronisatie geen ondersteuning voor het delen van wachtwoordbeleidsgegevens met de cloud. SSPR geeft alleen de details van het cloudwachtwoordbeleid weer en kan on-premises beleid niet weergeven.
Waarom wachten federatieve gebruikers tot 2 minuten nadat Uw wachtwoord is opnieuw ingesteld verschijnt voor zij wachtwoorden kunnen gebruiken die vanuit on-premises zijn gesynchroniseerd?
Voor federatieve gebruikers waarvan de wachtwoorden zijn gesynchroniseerd, is de bron van autoriteit voor de wachtwoorden on-premises. Hierdoor werkt SSPR uitsluitend de on-premises wachtwoorden bij. Wachtwoord-hashsynchronisatie terug naar Microsoft Entra-id wordt elke 2 minuten gepland.
Wanneer een nieuw gemaakte gebruiker die vooraf is gevuld met SSPR-gegevens, zoals telefoon en e-mail, de SSPR-registratiepagina bezoekt, verschijnt Verlies de toegang tot uw account niet! als de titel van de pagina. Waarom zien andere gebruikers met vooraf gevulde SSPR-gegevens het bericht niet?
Een gebruiker die Verlies de toegang tot uw account niet! ziet, is lid van SSPR-/gecombineerde registratiegroepen die zijn geconfigureerd voor de tenant. Gebruikers die Verlies de toegang tot uw account niet! niet zien, zijn geen lid van de SSPR-/gecombineerde registratiegroepen.
Waarom zien sommige gebruikers de indicator voor wachtwoordsterkte niet wanneer zij het SSPR-proces doorlopen en hun wachtwoord opnieuw instellen?
Gebruikers die de zwakke/sterke wachtwoordsterkte niet kunnen zien, hebben gesynchroniseerd wachtwoord terugschrijven ingeschakeld. Omdat SSPR het wachtwoordbeleid van de on-premises omgeving van de klant niet kan bepalen, kan het de sterkte/zwakte van het wachtwoord niet valideren.
Volgende stappen
In deze zelfstudie hebt u selfservice voor wachtwoordherstel van Microsoft Entra ingeschakeld voor een geselecteerde groep gebruikers. U hebt geleerd hoe u:
- Selfservice voor wachtwoordherstel inschakelen voor een groep Microsoft Entra-gebruikers
- Verificatiemethoden en registratieopties instellen
- Het SSPR-proces testen als een gebruiker