Delen via


Een selfservice voor wachtwoordherstel van Microsoft Entra plannen

Belangrijk

Dit implementatieplan biedt richtlijnen en aanbevolen procedures voor het implementeren van selfservice voor wachtwoordherstel (SSPR) van Microsoft Entra.

Als u een eindgebruiker bent en u wilt terugkeren naar uw account, gaat u naar https://aka.ms/sspr.

Selfservice voor wachtwoordherstel (SSPR) is een Microsoft Entra-functie waarmee gebruikers hun wachtwoorden opnieuw kunnen instellen zonder contact op te leggen met IT-medewerkers voor hulp. De gebruikers kunnen zichzelf snel deblokkeren en blijven werken, ongeacht waar ze zich bevinden of het tijdstip van de dag. Door de werknemers in staat te stellen zichzelf te deblokkeren, kan uw organisatie de niet-productieve tijd en hoge ondersteuningskosten voor de meest voorkomende problemen met betrekking tot wachtwoorden verminderen.

SSPR heeft de volgende belangrijke mogelijkheden:

  • Met selfservice kunnen eindgebruikers hun verlopen of niet-verlopen wachtwoorden opnieuw instellen zonder contact op te leggen met een beheerder of helpdesk voor ondersteuning.
  • Wachtwoord terugschrijven maakt het beheer mogelijk van on-premises wachtwoorden en het oplossen van accountvergrendeling via de cloud.
  • Rapporten over wachtwoordbeheeractiviteiten geven beheerders inzicht in het opnieuw instellen van wachtwoorden en registratieactiviteiten die in hun organisatie plaatsvinden.

Deze implementatiehandleiding laat zien hoe u een implementatie van SSPR plant en test.

Ga als volgt te werk om snel SSPR in actie te zien en kom vervolgens terug om inzicht te hebben in aanvullende implementatieoverwegingen:

Tip

Als aanvulling op dit artikel raden we u aan de implementatiehandleiding voor selfservice voor wachtwoordherstel te plannen wanneer u bent aangemeld bij het Microsoft 365-beheer Center. In deze handleiding wordt uw ervaring aangepast op basis van uw omgeving. Als u de aanbevolen procedures wilt bekijken zonder u aan te melden en geautomatiseerde installatiefuncties te activeren, gaat u naar de M365 Setup-portal.

Meer informatie over SSPR

Meer informatie over SSPR. Bekijk hoe het werkt: selfservice voor wachtwoordherstel van Microsoft Entra.

Belangrijkste voordelen

De belangrijkste voordelen van het inschakelen van SSPR zijn:

  • Kosten beheren. SSPR vermindert de IT-ondersteuningskosten door gebruikers in staat te stellen wachtwoorden zelf opnieuw in te stellen. Het vermindert ook de kosten van verloren tijd als gevolg van verloren wachtwoorden en vergrendelingen.

  • Intuïtieve gebruikerservaring. Het biedt een intuïtief eenmalige gebruikersregistratieproces waarmee gebruikers wachtwoorden opnieuw kunnen instellen en accounts op aanvraag kunnen deblokkeren vanaf elk apparaat of elke locatie. Met SSPR kunnen gebruikers sneller weer aan het werk en productiever zijn.

  • Flexibiliteit en beveiliging. Met SSPR hebben ondernemingen toegang tot de beveiliging en flexibiliteit die een cloudplatform biedt. Beheerders kunnen instellingen wijzigen om aan nieuwe beveiligingsvereisten te voldoen en deze wijzigingen voor gebruikers uit te rollen zonder hun aanmelding te verstoren.

  • Robuuste controle en gebruikstracering. Een organisatie kan ervoor zorgen dat de bedrijfssystemen veilig blijven terwijl de gebruikers hun eigen wachtwoorden opnieuw instellen. Robuuste auditlogboeken bevatten informatie over elke stap van het proces voor wachtwoordherstel. Deze logboeken zijn beschikbaar via een API en stellen de gebruiker in staat om de gegevens te importeren in een SIEM-systeem (Security Incident and Event Monitoring).

Licenties

Microsoft Entra ID heeft een licentie per gebruiker. Elke gebruiker vereist een geschikte licentie voor de functies die ze gebruiken. We raden groepslicenties aan voor SSPR.

Als u edities en functies wilt vergelijken en groeps- of gebruikerslicenties wilt inschakelen, raadpleegt u licentievereisten voor selfservice voor wachtwoordherstel van Microsoft Entra.

Zie Prijzen van Microsoft Entra voor meer informatie over prijzen.

Vereisten

  • Een werkende Microsoft Entra-tenant waarvoor ten minste een proeflicentie is ingeschakeld. Maak er gratis een indien nodig.

  • Er is een globale beheerder nodig om deze functie te beheren.

Stapsgewijze instructies

Zie de implementatiehandleiding voor selfservice voor wachtwoordherstel plannen wanneer u bent aangemeld bij het Microsoft 365-beheer Center voor een stapsgewijze uitleg van veel van de aanbevelingen in dit artikel. Als u de aanbevolen procedures wilt bekijken zonder u aan te melden en geautomatiseerde installatiefuncties te activeren, gaat u naar de M365 Setup-portal.

Trainingsmateriaal

Resources Koppeling en beschrijving
Video's Uw gebruikers meer mogelijkheden bieden voor betere IT-schaalbaarheid
Wat is selfservice voor wachtwoordherstel?
Selfservice voor wachtwoordherstel implementeren
SSPR inschakelen en configureren in Microsoft Entra ID
Selfservice voor wachtwoordherstel configureren voor gebruikers in Microsoft Entra ID
[Gebruikers voorbereiden op] registreren [hun] beveiligingsgegevens voor Microsoft Entra-id
Online cursussen Identiteiten beheren in Microsoft Entra ID SSPR gebruiken om uw gebruikers een moderne, beveiligde ervaring te bieden. Bekijk vooral de module 'Managing Microsoft Entra Users and Groups.
Aan de slag met Microsoft Enterprise Mobility Suite leer de best practices voor het uitbreiden van on-premises assets naar de cloud op een manier die verificatie, autorisatie, versleuteling en een beveiligde mobiele ervaring mogelijk maakt. Zie vooral de module Geavanceerde functies van Microsoft Entra ID P1 of P2 configureren.
Zelfstudies Een testfase voor self-service voor wachtwoordherstel van Microsoft Entra voltooien
Wachtwoord terugschrijven inschakelen
Wachtwoordherstel van Microsoft Entra vanuit het aanmeldingsscherm voor Windows 10
Veelgestelde vragen Veelgestelde vragen over wachtwoordbeheer

Architectuur voor de oplossing

In het volgende voorbeeld wordt de architectuur van de oplossing voor wachtwoordherstel voor algemene hybride omgevingen beschreven.

Diagram van oplossingsarchitectuur

Beschrijving van werkstroom

Als u het wachtwoord opnieuw wilt instellen, gaan gebruikers naar de portal voor wachtwoordherstel. Ze moeten de eerder geregistreerde verificatiemethode of methoden verifiëren om hun identiteit te bewijzen. Als ze het wachtwoord opnieuw instellen, beginnen ze met het opnieuw instellen van het proces.

  • Voor gebruikers die alleen de cloud gebruiken, slaat SSPR het nieuwe wachtwoord op in Microsoft Entra-id.

  • Voor hybride gebruikers schrijft SSPR het wachtwoord terug naar de on-premises Active Directory via de Microsoft Entra Connect-service.

Opmerking: Voor gebruikers die wachtwoord-hashsynchronisatie (PHS) hebben uitgeschakeld, worden de wachtwoorden alleen opgeslagen in de on-premises Active Directory.

Aanbevolen procedures

U kunt gebruikers helpen zich snel te registreren door SSPR te implementeren naast een andere populaire toepassing of service in de organisatie. Met deze actie wordt een groot aantal aanmeldingen gegenereerd en wordt de registratie aangestuurd.

Voordat u SSPR implementeert, kunt u ervoor kiezen om het nummer en de gemiddelde kosten van elke aanroep voor wachtwoordherstel te bepalen. U kunt deze gegevens na de implementatie gebruiken om de waarde weer te geven die SSPR naar de organisatie brengt.

Gecombineerde registratie voor SSPR- en Microsoft Entra-meervoudige verificatie

Met SSPR kunnen gebruikers hun wachtwoord op een veilige manier opnieuw instellen met dezelfde methoden die ze gebruiken voor Meervoudige Verificatie van Microsoft Entra. Gecombineerde registratie is één registratiestap voor eindgebruikers die registratie van zowel MFA- als SSPR-methoden tegelijk mogelijk maakt. Raadpleeg de concepten voor de registratie van gecombineerde beveiligingsinformatie om de functionaliteit en ervaring van eindgebruikers te begrijpen.

Het is essentieel gebruikers te informeren over toekomstige wijzigingen, registratievereisten en eventuele benodigde gebruikersacties. Wij verstrekken communicatiesjablonen en gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en bij te dragen aan een succesvolle implementatie. Gebruikers naar https://myprofile.microsoft.com sturen voor de registratie door de koppeling Beveiligingsgegevens te selecteren op die pagina.

Het implementatieproject plannen

Houd rekening met de behoeften van uw organisatie terwijl u de strategie voor deze implementatie in uw omgeving bepaalt.

De juiste belanghebbenden betrekken

Wanneer technologieprojecten mislukken, komt dit meestal door onterechte verwachtingen met betrekking tot de impact, resultaten en verantwoordelijkheden. Om deze valkuilen te voorkomen, moet u ervoor zorgen dat u de juiste belanghebbenden aan het werk zet en dat belanghebbenden in het project goed worden begrepen door de belanghebbenden en hun projectinvoer en accountabiliteit te documenteren.

Vereiste beheerdersrollen

Bedrijfsrol/persona Microsoft Entra-rol (indien nodig)
Helpdesk op niveau 1 Wachtwoordbeheerder
Helpdesk op niveau 2 Gebruikersbeheerder
SSPR-beheerder Verificatiebeheerder

Een testfase plannen

We raden u aan om de eerste configuratie van SSPR in een testomgeving te maken. Begin met een testgroep door SSPR in te schakelen voor een subset van gebruikers in uw organisatie. Zie de best practices voor een testfase.

Als u een groep wilt maken, raadpleegt u hoe u een groep maakt en leden toevoegt in Microsoft Entra-id.

Configuratie plannen

De volgende instellingen zijn vereist om SSPR in te schakelen, samen met aanbevolen waarden.

Gebied Instelling Weergegeven als
SSPR-eigenschappen Selfservice voor wachtwoordherstel ingeschakeld Geselecteerde groep voor testfase / Alle voor productie
Verificatiemethoden Verificatiemethoden die vereist zijn om te registreren Altijd 1 meer dan vereist voor opnieuw instellen
Verificatiemethoden die nodig zijn om opnieuw in te stellen Een of twee
Registratie Vereisen dat gebruiker zich bij aanmelding registreren Ja
Het aantal dagen waarna gebruikers wordt gevraagd om de verificatiegegevens opnieuw te bevestigen 90 – 180 dagen
Meldingen Gebruikers een melding tonen over het opnieuw instellen van hun wachtwoord Ja
Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen Ja
Aanpassing Koppeling naar helpdesk aanpassen Ja
Aangepast(e) e-mailadres of URL van helpdesk Ondersteuningssite of e-mailadres
On-premises integratie Wachtwoorden terugschrijven naar on-premises AD Ja
Gebruikers toestaan een account te ontgrendelen zonder het wachtwoord opnieuw in te stellen Ja

SSPR-eigenschappen

Wanneer u SSPR inschakelt, kiest u een geschikte beveiligingsgroep in de testomgeving.

  • Als u SSPR-registratie wilt afdwingen voor iedereen, raden we u aan de optie Alles te gebruiken.
  • Selecteer anders de juiste Microsoft Entra-id of AD-beveiligingsgroep.

Verificatiemethoden

Wanneer SSPR is ingeschakeld, kunnen gebruikers hun wachtwoord alleen opnieuw instellen als ze gegevens hebben die aanwezig zijn in de verificatiemethoden die de beheerder heeft ingeschakeld. Methoden omvatten telefoon-, Authenticator-app-meldingen, beveiligingsvragen, enzovoort. Zie Wat zijn verificatiemethoden? voor meer informatie.

We raden de volgende verificatiemethode-instellingen aan:

  • Stel de verificatiemethoden in die vereist zijn om te registreren op ten minste één meer dan het vereiste aantal om opnieuw in te stellen. Het toestaan van meerdere verificaties biedt gebruikers flexibiliteit wanneer ze opnieuw moeten worden ingesteld.

  • Stel het aantal methoden in dat is vereist om opnieuw in te stellen op een niveau dat geschikt is voor uw organisatie. Eén vereist de minste wrijving, terwijl twee uw beveiligingspostuur kunnen verhogen.

Opmerking: de gebruiker moet de verificatiemethoden hebben geconfigureerd in het wachtwoordbeleid en de beperkingen in Microsoft Entra-id.

Registratie-instellingen

Stel Vereisen dat gebruikers zich registreren wanneer ze zich aanmelden bij Ja. Voor deze instelling moeten gebruikers zich registreren wanneer ze zich aanmelden, zodat alle gebruikers worden beveiligd.

Stel het aantal dagen in voordat gebruikers wordt gevraagd hun verificatiegegevens opnieuw te bevestigen tot tussen 90 en 180 dagen, tenzij uw organisatie een kortere periode nodig heeft.

Meldingsinstellingen

Configureer zowel de gebruikers waarschuwen bij het opnieuw instellen van wachtwoorden als alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen op Ja. Als u Ja selecteert voor beide, wordt de beveiliging verhoogd door ervoor te zorgen dat gebruikers zich bewust zijn wanneer hun wachtwoord opnieuw wordt ingesteld. Het zorgt er ook voor dat alle beheerders op de hoogte zijn wanneer een beheerder een wachtwoord wijzigt. Als gebruikers of beheerders een melding ontvangen en ze de wijziging niet hebben gestart, kunnen ze onmiddellijk een mogelijk beveiligingsprobleem melden.

Notitie

E-mailmeldingen van de SSPR-service worden verzonden vanaf de volgende adressen op basis van de Azure-cloud waarmee u werkt:

  • Openbaar: msonlineservicesteam@microsoft.com
  • China: msonlineservicesteam@oe.21vianet.com
  • Regering: msonlineservicesteam@azureadnotifications.us

Als u problemen ondervindt bij het ontvangen van meldingen, controleert u uw spaminstellingen.

Aanpassingsinstellingen

Het is essentieel om de e-mail of URL van de helpdesk aan te passen om ervoor te zorgen dat gebruikers die problemen ondervinden, onmiddellijk hulp kunnen krijgen. Stel deze optie in op een gemeenschappelijk e-mailadres of webpagina van de helpdesk waarmee uw gebruikers bekend zijn.

Zie De Microsoft Entra-functionaliteit aanpassen voor selfservice voor wachtwoordherstel voor meer informatie.

Wachtwoord terugschrijven

Wachtwoord terugschrijven is ingeschakeld met Microsoft Entra Connect en schrijft het opnieuw instellen van wachtwoorden in de cloud terug naar een bestaande on-premises map in realtime. Zie Wat is Wachtwoord terugschrijven voor meer informatie ?

We raden de volgende instellingen aan:

  • Zorg ervoor dat Wachtwoorden terugschrijven naar on-premises AD is ingesteld op Ja.
  • Stel de optie Toestaan dat gebruikers een account ontgrendelen zonder het wachtwoord opnieuw in te stellen op Ja.

Standaard ontgrendelt Microsoft Entra ID accounts wanneer het wachtwoord opnieuw wordt ingesteld.

Beheerderswachtwoordinstelling

Beheerdersaccounts hebben verhoogde machtigingen. De on-premises ondernemings- of domeinbeheerders kunnen hun wachtwoorden niet opnieuw instellen via SSPR. On-premises beheerdersaccounts hebben de volgende beperkingen:

  • Kan hun wachtwoord alleen wijzigen in hun on-premises omgeving.
  • Kan de geheime vragen en antwoorden nooit gebruiken als methode om hun wachtwoord opnieuw in te stellen.

U wordt aangeraden uw on-premises Active Directory-beheerdersaccounts niet te synchroniseren met Microsoft Entra-id.

Omgevingen met meerdere identiteitsbeheersystemen

Sommige omgevingen hebben meerdere identiteitsbeheersystemen. On-premises identiteitsbeheerders, zoals Oracle IAM en SiteMinder, vereisen synchronisatie met AD voor wachtwoorden. U kunt dit doen met behulp van een hulpprogramma zoals de PCNS (Password Change Notification Service) met Microsoft Identity Manager (MIM). Zie het artikel De MIM-meldingsservice voor wachtwoordwijzigingen implementeren op een domeincontroller voor meer informatie over dit complexe scenario.

Testen en ondersteuning plannen

Zorg ervoor dat de resultaten naar verwachting zijn in elke fase van uw implementatie vanuit de eerste testgroepen in de hele organisatie.

Testen plannen

Om ervoor te zorgen dat uw implementatie werkt zoals verwacht, plant u een set testcases om de implementatie te valideren. Als u de testcases wilt beoordelen, hebt u een testgebruiker nodig die geen beheerder is met een wachtwoord. Zie Nieuwe gebruikers toevoegen aan Microsoft Entra ID als u een gebruiker wilt maken.

De volgende tabel bevat nuttige testscenario's die u kunt gebruiken om de verwachte resultaten van uw organisatie te documenteren op basis van uw beleid.

Bedrijfsgeval Verwachte resultaten
SSPR-portal is toegankelijk vanuit het bedrijfsnetwerk Bepaald door uw organisatie
SSPR-portal is toegankelijk van buiten het bedrijfsnetwerk Bepaald door uw organisatie
Gebruikerswachtwoord opnieuw instellen vanuit de browser wanneer de gebruiker niet is ingeschakeld voor wachtwoordherstel Gebruiker heeft geen toegang tot de stroom voor wachtwoordherstel
Gebruikerswachtwoord opnieuw instellen vanuit de browser wanneer de gebruiker zich niet heeft geregistreerd voor wachtwoordherstel Gebruiker heeft geen toegang tot de stroom voor wachtwoordherstel
Gebruiker meldt zich aan wanneer dit wordt afgedwongen om registratie voor wachtwoordherstel uit te voeren Vraagt de gebruiker om beveiligingsgegevens te registreren
Gebruiker meldt zich aan wanneer de registratie voor wachtwoordherstel is voltooid Vraagt de gebruiker om beveiligingsgegevens te registreren
SSPR-portal is toegankelijk wanneer de gebruiker geen licentie heeft Is toegankelijk
Gebruikerswachtwoord opnieuw instellen vanuit Windows 10 Lid van Microsoft Entra of het vergrendelingsscherm voor hybride apparaten van Microsoft Entra Gebruiker kan het wachtwoord opnieuw instellen
SSPR-registratie en gebruiksgegevens zijn in bijna realtime beschikbaar voor beheerders Is beschikbaar via auditlogboeken

U kunt ook verwijzen naar Complete out a Microsoft Entra selfservice password reset pilot roll. In deze zelfstudie gaat u een pilot-implementatie van SSPR in uw organisatie inschakelen en testen met behulp van een niet-beheerdersaccount.

Ondersteuning plannen

Hoewel SSPR doorgaans geen gebruikersproblemen veroorzaakt, is het belangrijk om ondersteuningsmedewerkers voor te bereiden om problemen op te lossen die zich kunnen voordoen. Als u het succes van uw ondersteuningsteam wilt inschakelen, kunt u een veelgestelde vragen maken op basis van vragen die u van uw gebruikers ontvangt. Enkele voorbeelden:

Scenario's Beschrijving
Gebruiker heeft geen geregistreerde verificatiemethoden beschikbaar Een gebruiker probeert zijn wachtwoord opnieuw in te stellen, maar heeft geen van de verificatiemethoden die ze hebben geregistreerd (bijvoorbeeld: ze hebben hun mobiele telefoon thuis achtergelaten en hebben geen toegang tot e-mail)
Gebruikers ontvangen geen sms of gesprek op hun kantoor of mobiele telefoon Een gebruiker probeert zijn identiteit te verifiëren via tekst of oproep, maar ontvangt geen tekst/oproep.
Gebruiker heeft geen toegang tot de portal voor wachtwoordherstel Een gebruiker wil het wachtwoord opnieuw instellen, maar is niet ingeschakeld voor wachtwoordherstel en heeft geen toegang tot de pagina om wachtwoorden bij te werken.
Gebruiker kan geen nieuw wachtwoord instellen Een gebruiker voltooit de verificatie tijdens de stroom voor het opnieuw instellen van het wachtwoord, maar kan geen nieuw wachtwoord instellen.
Gebruiker ziet geen koppeling Wachtwoord opnieuw instellen op een Windows 10-apparaat Een gebruiker probeert het wachtwoord opnieuw in te stellen vanuit het vergrendelingsscherm van Windows 10, maar het apparaat is niet gekoppeld aan Microsoft Entra-id of het Microsoft Intune-apparaatbeleid is niet ingeschakeld

Terugdraaien plannen

De implementatie terugdraaien:

  • Voor één gebruiker verwijdert u de gebruiker uit de beveiligingsgroep

  • Voor een groep verwijdert u de groep uit de SSPR-configuratie

  • Schakel voor iedereen SSPR uit voor de Microsoft Entra-tenant

SSPR implementeren

Voordat u implementeert, moet u ervoor zorgen dat u het volgende hebt gedaan:

  1. De juiste configuratie-instellingen bepaald.

  2. De gebruikers en groepen geïdentificeerd voor de test - en productieomgevingen.

  3. Configuratie-instellingen voor registratie en selfservice bepaald.

  4. Wachtwoord terugschrijven geconfigureerd als u een hybride omgeving hebt.

U bent nu klaar om SSPR te implementeren.

Zie Selfservice voor wachtwoordherstel inschakelen voor volledige stapsgewijze instructies voor het configureren van de volgende gebieden.

  1. Verificatiemethoden

  2. Registratie-instellingen

  3. Instellingen voor meldingen

  4. Aanpassingsinstellingen

  5. On-premises integratie

SSPR inschakelen in Windows

Voor computers met Windows 7, 8, 8.1 en 10 kunt u inschakelen dat gebruikers hun wachtwoord opnieuw instellen op het aanmeldingsscherm van Windows

SSPR beheren

Microsoft Entra ID kan aanvullende informatie geven over uw SSPR-prestaties via audits en rapporten.

Rapporten over activiteiten voor wachtwoordbeheer

U kunt vooraf gemaakte rapporten in het Microsoft Entra-beheercentrum gebruiken om de SSPR-prestaties te meten. Als u een juiste licentie hebt, kunt u ook aangepaste query's maken. Zie Rapportageopties voor Wachtwoordbeheer van Microsoft Entra voor meer informatie.

Er is een globale beheerder nodig om deze functie te beheren.

Notitie

U moet ervoor kiezen om deze gegevens te verzamelen voor uw organisatie. Als u zich wilt aanmelden, moet u ten minste één keer naar het tabblad Rapportage of de auditlogboeken in het Microsoft Entra-beheercentrum gaan. Tot die tijd worden de gegevens niet verzameld voor uw organisatie.

Auditlogboeken voor registratie en wachtwoordherstel zijn 30 dagen beschikbaar. Als beveiligingscontrole binnen uw bedrijf langere retentie vereist, moeten de logboeken worden geëxporteerd en gebruikt in een SIEM-hulpprogramma, zoals Microsoft Sentinel, Splunk of ArcSight.

Schermopname van SSPR-rapportage

Verificatiemethoden: gebruik en inzichten

Met gebruik en inzichten kunt u begrijpen hoe verificatiemethoden voor functies zoals Microsoft Entra multifactor-verificatie en SSPR in uw organisatie werken. Deze rapportagemogelijkheid biedt uw organisatie de middelen om te begrijpen welke methoden worden geregistreerd en hoe u deze kunt gebruiken.

Problemen oplossen

Nuttige documentatie

Volgende stappen