Планирование развертывания самостоятельного сброса пароля Microsoft Entra
Внимание
Этот план развертывания предлагает рекомендации и рекомендации по развертыванию самостоятельного сброса пароля Microsoft Entra (SSPR).
Если вам как конечному пользователю требуется вернуть доступ к своей учетной записи, перейдите на страницу https://aka.ms/sspr.
Самостоятельный сброс пароля (SSPR) — это функция Microsoft Entra, которая позволяет пользователям сбрасывать пароли без обращения к ИТ-сотрудникам для получения справки. Пользователи могут быстро разблокировать себя и продолжать работать независимо от того, где они или время дня. Предоставив сотрудникам возможность самостоятельной разблокировки своих учетных записей, ваша организация может сократить время простоя и сэкономить на поддержке при решении большинства распространенных проблем, связанных с паролями.
SSPR отличается следующими основными преимуществами:
- Возможности самообслуживания позволяют конечным пользователям сбрасывать свои пароли с истекшим или неистекшим сроком действия, не обращаясь к администратору или в службу технической поддержки за помощью.
- Компонент обратной записи паролей позволяет управлять локальными паролями и устранять блокировку учетных записей в облаке.
- Отчеты по операциям управления паролями позволяют администраторам лучше понять ситуацию с регистрацией и сбросом паролей в организации.
В этом руководстве по развертыванию показано, как спланировать и затем протестировать развертывание SSPR.
Чтобы быстро посмотреть SSPR в деле, а затем вернуться к анализу дополнительных рекомендаций по развертыванию, нажмите кнопку ниже:
Совет
В качестве компаньона этой статьи рекомендуется использовать руководство по самостоятельному сбросу пароля при входе в Центр администрирования Microsoft 365. Это руководство настраивает интерфейс на основе вашей среды. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.
Подробнее об SSPR
Узнайте подробнее об SSPR. Узнайте , как это работает: самостоятельный сброс пароля Microsoft Entra.
Ключевые преимущества
Основные преимущества активации SSPR:
Управление затратами. SSPR сокращает затраты на поддержку, позволяя пользователям сбрасывать пароли самостоятельно. Это также позволяет сэкономить драгоценное время, которое специалисты поддержки тратят на восстановление потерянных паролей и разблокировку учетных записей.
Интуитивно понятный пользовательский интерфейс. Интуитивно понятный однократный процесс регистрации пользователей позволяет сбрасывать пароли и разблокировывать учетные записи по запросу с любого устройства или из любого расположения. SSPR позволяет пользователям быстро приступить к работе и повысить свою производительность.
Гибкость и безопасность. SSPR помогает предприятиям обеспечить безопасность и гибкость, которые предлагает облачная платформа. Администраторы могут изменять параметры в соответствии с новыми требованиями к безопасности и развертывать эти изменения для пользователей, не нарушив процесс входа в систему.
Широкие возможности аудита и отслеживания использования. Организация может обеспечить безопасность бизнес-систем во время сброса пользователями своих паролей. В информативных журналах аудита представлены сведения о каждом шаге процесса сброса пароля. Эти журналы доступны из API, и с их помощью пользователь может импортировать данные в требуемую систему управления информационной безопасностью и событиями безопасности (SIEM).
Лицензирование
Идентификатор Microsoft Entra лицензирован для каждого пользователя, что означает, что каждому пользователю требуется соответствующая лицензия для используемых функций. Для SSPR рекомендуется групповое лицензирование.
Чтобы сравнить выпуски и функции и включить групповое или пользовательское лицензирование, ознакомьтесь с требованиями к лицензированию для самостоятельного сброса пароля Microsoft Entra.
Дополнительные сведения о ценах см. в разделе о ценах Microsoft Entra.
Необходимые компоненты
Рабочий клиент Microsoft Entra с включенной пробной лицензией. Создайте ее бесплатно, если нужно.
Вам должно быть назначено как минимум роль администратора политики аутентификации.
Пошаговое руководство
Пошаговое руководство по многим рекомендациям, приведенным в этой статье, см . в руководстве по планированию самостоятельного сброса пароля при входе в Центр администрирования Microsoft 365. Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.
Обучающие материалы
Архитектура решения
В следующем примере описывается архитектура решения для сброса пароля для распространенных гибридных сред.
Описание рабочего процесса
Для сброса паролей пользователям следует перейти на портал сброса паролей. Они должны подтвердить зарегистрированные ранее методы проверки подлинности для подтверждения своей личности. При успешном сбросе пароля начинается процесс сброса.
Для пользователей, доступных только для облака, SSPR сохраняет новый пароль в идентификаторе Microsoft Entra.
Для гибридных пользователей SSPR записывает пароль в локальную службу Active Directory через службу Microsoft Entra Connect.
Примечание.
Для пользователей, у которых синхронизация хэша паролей (PHS) отключена, SSPR сохраняет пароли только в локальной среде Active Directory.
Рекомендации
Вы можете помочь пользователям быстро зарегистрироваться, развернув SSPR вместе с другим популярным приложением или службой в организации. Это действие создает большой объем входов и способствует регистрации.
Перед развертыванием SSPR можно определить количество операций сброса пароля и стоимость каждой из них. Вы можете использовать эти данные после развертывания, чтобы показать преимущества SSPR для организации.
Объединенная регистрация для многофакторной проверки подлинности SSPR и Microsoft Entra
SSPR позволяет пользователям безопасно сбрасывать пароль, используя те же методы, которые они используют для многофакторной проверки подлинности Microsoft Entra. Объединенная регистрация — это один шаг регистрации для конечных пользователей, который позволяет одновременно регистрировать методы MFA и SSPR. Чтобы хорошо разобраться в этих возможностях и взаимодействии с пользователем, изучите статью Общие сведения об объединенной регистрации сведений о безопасности.
Очень важно информировать пользователей о предстоящих изменениях, требованиях к регистрации и обо всех действиях, которые пользователю необходимо будет предпринять. Мы предоставляем шаблоны сообщений и документацию для пользователей, чтобы подготовить пользователей к новым возможностям и обеспечить успешный выпуск. Отправьте пользователей в https://myprofile.microsoft.com для регистрации, выбрав ссылку Сведения о безопасности на этой странице.
Планирование проекта развертывания
Учитывайте потребности организации при определении стратегии развертывания в вашей среде.
Привлечение соответствующих заинтересованных лиц
Причиной неудач технических проектов обычно являются неоправданные ожидания относительно влияния, результатов и обязанностей. Чтобы избежать этих ловушек, убедитесь, что вы привлекаете соответствующих заинтересованных лиц и их роли в проекте очевидны. Задокументируйте заинтересованных лиц и их вклад в проект для подотчетности.
Требуемые роли администратора
| Бизнес-роль/лицо | Роль Microsoft Entra (при необходимости) |
|---|---|
| Служба технической поддержки уровня 1 | Администратор паролей |
| Служба технической поддержки уровня 2 | Администратор пользователей |
| Администратор SSPR | Администратор проверки подлинности |
Планирование пилотного проекта
Разработку первоначальной конфигурации SSPR рекомендуется выполнять в тестовой среде. Начните с пилотной группы, включив SSPR для подмножества пользователей в организации. Ознакомьтесь с рекомендациями по пилотным проектам.
Чтобы создать группу, узнайте, как создать группу и добавить участников в идентификатор Microsoft Entra.
Планирование конфигурации
Для включения SSPR вместе с рекомендуемыми значениями требуется настроить следующие параметры.
| Площадь | Параметр | Значение |
|---|---|---|
| Свойства SSPR | "Разрешен самостоятельный сброс пароля" | Выбранная группа для пилотного проекта/Все для рабочей среды |
| Методы аутентификации | "Методы проверки подлинности, необходимые для регистрации" | Всегда на 1 больше, чем требуется для сброса |
| "Методы проверки подлинности, необходимые для сброса" | Один или два | |
| Регистрация | "Требовать регистрацию пользователей при входе" | Да |
| "Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности" | 90–180 дней | |
| Уведомления | "Уведомлять пользователей о сбросе пароля" | Да |
| "Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли". | Да | |
| Настройка | "Настроить ссылку на службу технической поддержки" | Да |
| "Адрес электронной почты или URL-адрес нестандартной службы технической поддержки" | "Сайт или адрес электронной почты службы поддержки" | |
| Интеграция с локальной средой | "Обратная запись паролей в локальную среду AD" | Да |
| "Разрешить пользователям разблокировать учетные записи без сброса пароля" | Да |
Свойства SSPR
При включении SSPR выберите соответствующую группу безопасности в пилотной среде.
- Чтобы применить регистрацию SSPR для всех, рекомендуется использовать параметр Все.
- В противном случае выберите соответствующий идентификатор Microsoft Entra или группу безопасности AD.
методы проверки подлинности;
Если включена функция SSPR, пользователи смогут сбросить пароль, только если у них есть необходимые данные для методов проверки подлинности, которые включил администратор. К методам относятся телефон, уведомление приложения Authenticator, вопросы безопасности и т. д. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.
Мы рекомендуем использовать следующие параметры метода проверки подлинности:
Для параметра Методы проверки подлинности, необходимые для регистрации укажите не менее чем на один метод больше, чем требуется для сброса. Использование нескольких методов проверки подлинности обеспечивает гибкость при необходимости сброса пароля.
Для параметра Число требуемых способов сброса укажите соответствующий уровень для своей организации. Один метод обеспечивает большее удобство, тогда так два метода позволят повысить уровень защиты.
Примечание. Пользователь должен иметь методы проверки подлинности, настроенные в политиках паролей и ограничениях в идентификаторе Microsoft Entra.
Параметры регистрации
Для параметра Требовать регистрацию пользователей при входе выберите Да. Данный параметр позволяет указать, что пользователям необходимо зарегистрироваться при входе. Это обеспечивает защиту всех пользователей.
Для параметра Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности выберите значение от 90 до 180 дней, если только в организации не применяется более короткий промежуток времени.
Параметры уведомлений
Для параметров Уведомлять пользователей о сбросе пароля и Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли выберите значение Да. Выбор значения Да для обоих параметров позволяет повысить безопасность, гарантируя, что пользователи будут осведомлены о сбросе пароля. Это также гарантирует, что все администраторы будут знать, когда один из них изменяет пароль. Если пользователи или администраторы получают уведомление, однако они не инициировали изменение, они могут немедленно сообщить о возможной ошибке безопасности.
Примечание.
Уведомления по электронной почте из службы SSPR отправляются с следующих адресов на основе облака Azure, с которым вы работаете:
- Общедоступные: msonlineservicesteam@microsoft.com
- Китай: msonlineservicesteam@oe.21vianet.com
- Государственные: msonlineservicesteam@azureadnotifications.us
Если вы наблюдаете проблемы с получением уведомлений, проверьте параметры нежелательной почты.
Параметры настройки
Крайне важно указать адрес электронной почты или URL-адрес службы технической поддержки, чтобы пользователи, у которых возникли проблемы, могли немедленно получить помощь. Задайте для этого параметра общий адрес электронной почты службы поддержки или веб-страницу, которые знакомы пользователям.
Дополнительные сведения см. в разделе "Настройка функций Microsoft Entra" для самостоятельного сброса пароля.
Обратная запись паролей
Обратная запись паролей включена с помощью Microsoft Entra Connect и записывает сброс паролей в облаке обратно в существующий локальный каталог в режиме реального времени. Дополнительные сведения см. в разделе Что такое компонент обратной записи паролей?
Рекомендуются следующие настройки:
- Убедитесь, что параметру Обратная запись паролей в локальную среду AD присвоено значение Да.
- Присвойте параметру Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
По умолчанию идентификатор Microsoft Entra разблокирует учетные записи при выполнении сброса пароля.
Настройка пароля администратора
Учетные записи администратора имеют повышенные разрешения. Локальные администраторы предприятия или домена не могут сбрасывать свои пароли через SSPR. Локальные учетные записи администратора имеют следующие ограничения:
- Может изменять пароль только в локальной среде.
- Никогда не может использовать секретные вопросы и ответы в качестве метода сброса пароля.
Рекомендуется не синхронизировать локальные учетные записи администратора Active Directory с идентификатором Microsoft Entra.
Среды с несколькими системами управления удостоверениями
В некоторых средах имеется несколько систем управления удостоверениями. Локальные диспетчеры удостоверений, такие как Oracle IAM и SiteMinder, требуют синхронизации с AD для паролей. Это можно сделать с помощью такого средства, как служба уведомлений о смене паролей (PCNS) с Microsoft Identity Manager (MIM). Сведения об этом более сложном сценарии см. в статье Развертывание службы уведомлений о смене паролей MIM на контроллере домена.
Планирование тестирования и поддержки
На каждом этапе развертывания, от начальных пилотных групп до масштабов всей организации, необходимо убедиться, что результаты соответствуют ожиданиям.
Планирование тестирования
Чтобы убедиться, что развертывание работает должным образом, спланируйте набор тестовых случаев для проверки реализации. Для оценки тестовых случаев необходим тестовый пользователь без прав администратора с паролем. Если вам нужно создать пользователя, см. статью "Добавление новых пользователей в идентификатор Microsoft Entra ID".
В следующей таблице содержатся полезные сценарии тестирования, которые можно использовать для документирования ожидаемых результатов в организациях на основе политик.
| бизнес-модель | Ожидаемые результаты |
|---|---|
| Портал SSPR доступен в корпоративной сети | Определяется организацией |
| Портал SSPR доступен за пределами корпоративной сети | Определяется организацией |
| Сброс пароля пользователя в браузере, когда для пользователя отключена возможность сброса пароля | Пользователь не может получить доступ к потоку сброса пароля |
| Сброс пароля пользователя в браузере, когда пользователь не зарегистрирован для сброса пароля | Пользователь не может получить доступ к потоку сброса пароля |
| Пользователь входит в систему, когда принудительно выполняет регистрацию для сброса пароля | Пользователю предлагается зарегистрировать сведения о безопасности |
| Пользователь входит в систему после завершения регистрации для сброса пароля | Пользователю предлагается зарегистрировать сведения о безопасности |
| Портал SSPR доступен, если у пользователя нет лицензии | Портал доступен |
| Сброс пароля пользователя из Windows 10 Microsoft Entra joined или экран блокировки устройства с гибридным присоединением к Microsoft Entra | Пользователь может сбросить пароль |
| Данные о регистрации и использовании SSPR доступны администраторам почти в реальном времени | Доступно через журналы аудита |
Вы также можете ознакомиться с пилотным пакетом самостоятельного сброса пароля Microsoft Entra. В этом руководстве описано, как включить пилотное развертывание SSPR в организации и проверить использование учетной записи, отличной от администратора.
Планирование поддержки
Хотя SSPR обычно не создает проблемы с пользователем, важно подготовить сотрудников службы поддержки для решения проблем, которые могут возникнуть. Чтобы обеспечить успех команды поддержки, вы можете создать раздел часто задаваемых вопросов на основании вопросов, полученных от пользователей. Вот несколько таких случаев.
| Сценарии | Description |
|---|---|
| У пользователя нет зарегистрированных методов проверки подлинности | Пользователь пытается сбросить свой пароль, однако у него нет доступных методов проверки подлинности, которые были зарегистрированы (например, пользователь оставил мобильный телефон дома и не может получить доступ к электронной почте). |
| Пользователь не получает SMS или вызовы на свой служебный или мобильный телефон | Пользователь пытается подтвердить свою личность с помощью SMS или вызова, однако у него отсутствует такая возможность. |
| Пользователь не может получить доступ к порталу сброса пароля | Пользователю необходимо сбросить пароль, однако он не включил сброс пароля и не может получить доступ к странице для обновления паролей. |
| Пользователь не может задать новый пароль | Пользователь проходит проверку подлинности во время потока сброса пароля, но не может задать новый пароль. |
| Пользователь не видит ссылку для сброса пароля на устройстве Windows 10 | Пользователь пытается сбросить пароль с экрана блокировки Windows 10, но устройство либо не присоединено к идентификатору Microsoft Entra ID, либо политика устройства Microsoft Intune не включена. |
Планирование отката
Порядок отката развертывания:
Для одного пользователя удалите пользователя из группы безопасности.
Для группы удалите группу из конфигурации SSPR
Для всех пользователей отключите SSPR для клиента Microsoft Entra
Развертывание SSPR
Перед развертыванием убедитесь, что выполнены следующие действия.
Определены соответствующие параметры конфигурации.
Определены пользователи и группы для пилотной и рабочей сред.
Определены параметры конфигурации для регистрации и самообслуживания.
Настроен компонент обратной записи паролей при наличии гибридной среды.
Теперь все готово для развертывания SSPR!
Пошаговые инструкции по настройке следующих параметров см. в разделе Включение самостоятельного сброса пароля.
Включение SSPR в Windows
На компьютерах под управлением Windows 7, 8, 8.1 и 10 можно разрешить пользователям сбрасывать пароль на экране входа в Windows.
Управление SSPR
Идентификатор Microsoft Entra может предоставить дополнительные сведения о производительности SSPR с помощью аудита и отчетов.
Отчеты о действиях по управлению паролями
Вы можете использовать предварительно созданные отчеты в Центре администрирования Microsoft Entra для измерения производительности SSPR. При наличии соответствующей лицензии можно также создавать пользовательские запросы. Дополнительные сведения см. в разделе "Параметры создания отчетов" для управления паролями Microsoft Entra.
Примечание.
Чтобы эти данные были собраны для вашей организации, необходимо принять участие. Чтобы принять участие, необходимо посетить вкладку "Отчеты" или журналы аудита в Центре администрирования Microsoft Entra по крайней мере один раз. До этого момента данные не будут собираться для вашей организации.
Журналы аудита для регистрации и сброса пароля доступны в течение 30 дней. Если сведения об аудите безопасности в вашей организации хранятся более длительный период, необходимо экспортировать и использовать журналы в средстве SIEM, например Microsoft Sentinel, Splunk или ArcSight.
Методы проверки подлинности — использование и аналитика
Использование и аналитические сведения позволяют понять, как методы проверки подлинности для таких функций, как многофакторная проверка подлинности Microsoft Entra и SSPR работают в вашей организации. С помощью этой возможности создания отчетов ваша организация может получить понимание того, какие методы регистрируются и как их использовать.
Устранение неполадок
Полезная документация
Как это работает: самостоятельный сброс пароля Microsoft Entra?
Настройка функциональных возможностей Microsoft Entra для самостоятельного сброса пароля
Политики паролей и ограничения в идентификаторе Microsoft Entra
Следующие шаги
Сведения о начале развертывания SSPR см. в статье "Включение самостоятельного сброса пароля Microsoft Entra"
Рассмотрите возможность реализации защиты паролей Microsoft Entra
Рассмотрите возможность реализации смарт-блокировки Microsoft Entra