Co to jest samoobsługowe resetowanie hasła w identyfikatorze Entra firmy Microsoft?

Ukończone

Poproszono Cię o ocenę sposobów zredukowania kosztów pomocy technicznej w Twojej organizacji zajmującej się handlem detalicznym. Zauważyliśmy, że pracownicy pomocy technicznej poświęcają dużo czasu na resetowanie haseł dla użytkowników. Użytkownicy często narzekają na opóźnienia w tym procesie, a opóźnienia te wpływają na ich produktywność. Chcesz zrozumieć, jak można skonfigurować platformę Azure, aby umożliwić użytkownikom zarządzanie własnymi hasłami.

W tej lekcji dowiesz się, jak samoobsługowe resetowanie hasła (SSPR) działa w usłudze Microsoft Entra ID.

Dlaczego warto używać samoobsługowego resetowania hasła?

W usłudze Microsoft Entra ID każdy użytkownik może zmienić swoje hasło, jeśli już się zalogował. Jeśli jednak użytkownik nie jest zalogowany, nie pamięta hasła lub wygasł, będzie musiał zresetować swoje hasło. Za pomocą samoobsługowego resetowania hasła użytkownicy mogą resetować swoje hasła w przeglądarce internetowej lub z ekranu logowania systemu Windows, aby odzyskać dostęp do platformy Azure, platformy Microsoft 365 i dowolnej innej aplikacji, która używa identyfikatora Entra firmy Microsoft do uwierzytelniania.

Samoobsługowe resetowanie hasła zmniejsza obciążenie administratorów, ponieważ użytkownicy mogą rozwiązywać problemy z hasłami bez konieczności kontaktowania się z pomocą techniczną. Minimalizuje ono również wpływ zapomnianego lub wygasłego hasła na produktywność. Użytkownicy nie muszą czekać, aż administrator będzie dostępny, aby zresetować hasło.

Jak działa samoobsługowe resetowanie hasła

Użytkownik inicjuje resetowanie hasła, przechodząc bezpośrednio do portalu resetowania hasła lub wybierając link Nie można uzyskać dostępu do konta na stronie logowania. Portal resetowania wykonuje następujące działania:

1. Lokalizacja: portal sprawdza ustawienia regionalne przeglądarki i renderuje stronę samoobsługowego resetowania hasła w odpowiednim języku.
2. Weryfikacja: użytkownik wprowadza swoją nazwę użytkownika i przekazuje capTCHA, aby upewnić się, że jest to użytkownik, a nie bot.
3. Uwierzytelnianie: użytkownik wprowadza wymagane dane, aby uwierzytelnić swoją tożsamość. Mogą oni wprowadzić kod lub odpowiedzieć na pytania zabezpieczające.
4. Resetowanie hasła: jeśli użytkownik przejdzie testy uwierzytelniania, może wprowadzić nowe hasło i potwierdzić je.
5. Powiadomienie: do użytkownika zostanie wysłana wiadomość w celu potwierdzenia zresetowania.

Środowisko użytkownika samoobsługowego resetowania hasła można dostosowywać na kilka sposobów. Możesz na przykład dodać logo firmy do strony logowania, aby użytkownicy wiedzieli, że znajdują się w odpowiednim miejscu, aby zresetować swoje hasło.

Uwierzytelnianie resetowania hasła

Przed zezwoleniem na resetowanie hasła ważne jest zweryfikowanie tożsamości użytkownika. Złośliwi użytkownicy mogą wykorzystać każdą słabość w systemie, aby podszyć się pod użytkownika. Platforma Azure obsługuje sześć różnych sposobów uwierzytelniania żądań zresetowania.

Jako administrator możesz wybrać metody, które mają być używane podczas konfigurowania samoobsługowego resetowania hasła. Włącz co najmniej dwie z tych metod, aby użytkownicy mogli wybrać te, których mogą łatwo użyć. Dostępne metody:

Metoda uwierzytelniania	Jak się zarejestrować	Jak uwierzytelnić resetowanie hasła
Powiadomienie aplikacji mobilnej	Zainstaluj aplikację Microsoft Authenticator na urządzeniu przenośnym, a następnie zarejestruj ją na stronie konfiguracji uwierzytelniania wieloskładnikowego.	Platforma Azure wysyła do aplikacji powiadomienie, które można zweryfikować lub odrzucić.
Kod aplikacji mobilnej	Ta metoda również korzysta z aplikacji Authenticator, którą należy zainstalować i zarejestrować w taki sam sposób.	Wprowadź kod z aplikacji.
Email	Podaj adres e-mail spoza platformy Azure i platformy Microsoft 365.	Platforma Azure wysyła na ten adres kod, który należy wprowadzić w kreatorze resetowania.
Telefon komórkowy	Podaj numer telefonu komórkowego.	Platforma Azure wysyła na ten numer telefonu wiadomość SMS z kodem, który należy wprowadzić w kreatorze resetowania. Możesz również wybrać automatyczne wywołanie.
Telefon biurowy	Podaj numer telefonu innego niż komórkowy.	Na ten numer zostanie wykonane automatyczne połączenie telefoniczne, podczas którego należy nacisnąć klawisz #.
Pytania zabezpieczające	Wybierz pytania, takie jak "W jakim mieście urodziła się Twoja matka?" i zapisz odpowiedzi.	Odpowiedz na pytania.

W przypadku wersji próbnej organizacje firmy Microsoft Entra opcje połączeń telefonicznych nie są obsługiwane.

Wymaganie minimalnej liczby metod uwierzytelniania

Możesz określić minimalną liczbę metod, które użytkownik musi skonfigurować— jedną lub dwie. Na przykład możesz włączyć metody uwierzytelniania za pomocą kodu w aplikacji mobilnej, wiadomości e-mail, telefonu służbowego i pytań zabezpieczających, i określić, że muszą zostać skonfigurowane co najmniej dwie metody. Użytkownicy mogą następnie wybrać dwie preferowane przez nich metody, takie jak kod aplikacji mobilnej i wiadomość e-mail.

W przypadku metody pytania zabezpieczającego można określić minimalną liczbę pytań, które użytkownik musi skonfigurować, aby zarejestrować się w tej metodzie. Możesz również określić minimalną liczbę pytań, na które muszą odpowiedzieć poprawnie, aby zresetować hasło.

Gdy użytkownicy zarejestrują wymagane informacje dla określonej minimalnej liczby metod, są uznawani za zarejestrowanych w funkcji samoobsługowego resetowania hasła.

Zalecenia

• Włącz co najmniej dwie metody uwierzytelniania żądania zresetowania.
• Użyj powiadomienia lub kodu aplikacji mobilnej jako metody podstawowej. Ale także włączyć metody poczty e-mail lub telefonu biurowego, aby obsługiwać użytkowników bez urządzeń przenośnych.
• Metoda telefonu komórkowego nie jest zalecaną metodą, ponieważ istnieje możliwość wysyłania fałszywych wiadomości SMS.
• Opcja pytania zabezpieczającego jest najmniej zalecaną metodą, ponieważ odpowiedzi na pytania zabezpieczające mogą być znane innym osobom. Użyj tylko metody pytania zabezpieczającego w połączeniu z co najmniej jedną inną metodą.

Konta skojarzone z rolami administratorów

• W przypadku kont z rolą administratora zawsze stosowane są silne zasady uwierzytelniania wymagające dwóch metod, niezależnie od konfiguracji dla innych użytkowników.
• Metoda pytania zabezpieczającego nie jest dostępna dla kont skojarzonych z rolą administratora.

Konfigurowanie powiadomień

Administratorzy mogą wybrać sposób powiadamiania użytkowników o zmianach hasła. Dostępne są dwie opcje:

• Powiadamianie użytkowników o zresetowaniu haseł: użytkownik, który resetuje własne hasło, jest powiadamiany o ich podstawowych i pomocniczych adresach e-mail. Jeśli zresetowania dokonał złośliwy użytkownik, to powiadomienie ostrzeże użytkownika, który będzie mógł podjąć czynności zaradcze.
• Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło: wszyscy administratorzy są powiadamiani o zresetowaniu hasła przez innego administratora.

Wymagania dotyczące licencji

Istnieją dwie wersje microsoft Entra ID, Premium P1 i Premium P2. Funkcja resetowania hasła, której można użyć, zależy od używanej wersji.

Każdy zalogowany użytkownik może zmienić swoje hasło niezależnie od wersji identyfikatora Entra firmy Microsoft.

Co zrobić, jeśli nie zalogowano się i nie pamiętasz hasła lub hasło wygasło? W takim przypadku możesz użyć samoobsługowego resetowania hasła w usłudze Microsoft Entra ID P1 lub P2. Ta funkcja jest dostępna także z aplikacjami platformy Microsoft 365 dla firm i platformą Microsoft 365.

W sytuacji hybrydowej, w której masz lokalną usługę Active Directory i identyfikator Firmy Microsoft Entra w chmurze, wszelkie zmiany hasła w chmurze muszą zostać zapisane z powrotem do katalogu lokalnego. Ta obsługa zapisywania zwrotnego jest dostępna w usłudze Microsoft Entra ID P1 lub P2. Jest ona również dostępna z aplikacjami platformy Microsoft 365 dla firm.

Opcje wdrażania samoobsługowego resetowania hasła

Samoobsługowe resetowanie hasła można wdrożyć przy użyciu funkcji zapisywania zwrotnego haseł przy użyciu programu Microsoft Entra Connect lub synchronizacji w chmurze, w zależności od potrzeb użytkownika. Każdą opcję można wdrożyć obok siebie w różnych domenach, aby kierować do różnych zestawów użytkowników. Dzięki temu istniejący użytkownicy lokalnie mogą zapisywać zmiany haseł, dodając jednocześnie opcję dla użytkowników w domenach bez połączenia lub podziału firmy. Użytkownicy z istniejącej domeny lokalnej mogą używać programu Microsoft Entra Connect, podczas gdy nowi użytkownicy z połączenia mogą korzystać z synchronizacji w chmurze w innej domenie.

Synchronizacja w chmurze może również zapewnić wyższą dostępność, ponieważ nie polega na pojedynczym wystąpieniu programu Microsoft Entra Connect. Aby zapoznać się z porównaniem funkcji między dwiema opcjami wdrażania, zobacz Porównanie między programem Microsoft Entra Connect i synchronizacją w chmurze.

Sprawdź swoją wiedzę

1.

Kiedy użytkownik jest uważany za zarejestrowanego w funkcji samoobsługowego resetowania hasła?

Zarejestrowali co najmniej jedną z dozwolonych metod uwierzytelniania.

Zarejestrowali co najmniej liczbę metod wymaganych do zresetowania hasła.

Konfigurują minimalną liczbę pytań zabezpieczających.

2.

Po włączeniu samoobsługowego resetowania hasła dla organizacji Firmy Microsoft...

Użytkownicy mogą zmieniać swoje hasło tylko po zalogowaniu.

Administratorzy mogą resetować swoje hasło, korzystając z jednej metody uwierzytelniania.

Użytkownicy mogą resetować swoje hasła, gdy nie mogą się zalogować.

Przed sprawdzeniem pracy musisz odpowiedzieć na wszystkie pytania.