Ниже приведены некоторые наиболее часто задаваемые вопросы и ответы о самостоятельном сбросе пароля.
Если у вас есть общий вопрос об идентификаторе Microsoft Entra ID и самостоятельном сбросе пароля (SSPR), который не ответил здесь, вы можете обратиться за помощью к сообществу. Это можно сделать на странице вопросов Microsoft Q&вопрос дляидентификатора Microsoft Entra. В сообщество входят инженеры, менеджеры по продуктам, MVP и ИТ-специалисты.
Данная статья состоит из следующих разделов:
- Вопросы о регистрации данных для сброса паролей
- Вопросы о сбросе паролей
- Вопросы об изменении паролей
- Вопросы об отчетах по управлению паролями
- Вопросы об обратной записи паролей
Регистрация данных для сброса паролей
Могут ли пользователи регистрировать свои собственные данные для сброса паролей?
Да. Если сброс пароля включен, и они лицензированы, пользователи могут перейти на портал регистрации сброса пароля (https://aka.ms/ssprsetup) для регистрации сведений о проверке подлинности. Пользователь также может зарегистрироваться с помощью панели доступа (https://myapps.microsoft.com). Для регистрации через панель доступа необходимо выбрать изображение профиля, щелкнуть Профиль, а затем — Регистрация для сброса пароля.
Если включить объединенную регистрацию, пользователи могут одновременно регистрироваться как для SSPR, так и для многофакторной проверки подлинности Microsoft Entra.
Если включить сброс пароля для группы, а затем понадобится включить сброс пароля для всех пользователей, придется ли повторно регистрировать пользователей?
№ Пользователям, заполняющим данные проверки подлинности, не требуется повторно зарегистрировать.
Могу ли я определять данные для сброса паролей от имени пользователей?
Да, это можно сделать с помощью Microsoft Entra Connect, PowerShell, Центра администрирования Microsoft Entra или Центр администрирования Microsoft 365. Дополнительные сведения см. в разделе "Данные" для самостоятельного сброса пароля Microsoft Entra.
Могу ли я синхронизировать данные для контрольных вопросов из локальной среды?
Нет, сегодня это невозможно.
Могут ли пользователи зарегистрировать данные так, чтобы другие пользователи эти данные не видели?
Да. Когда пользователи регистрируют данные с помощью портала регистрации сброса пароля, данные сохраняются в полях частной проверки подлинности, которые видны только администраторам привилегированной проверки подлинности и пользователю.
Нужно ли пользователям регистрировать данные, чтобы сбрасывать пароли?
№ Если вы от их имени укажете достаточно сведений для проверки подлинности, пользователям не придется регистрировать эти сведения самостоятельно. Сброс пароля работает до тех пор, пока вы правильно отформатируйте данные, хранящиеся в соответствующих полях в каталоге.
Могу ли я от имени пользователей синхронизировать или указывать данные в полях "Телефон для проверки подлинности", "Адрес электронной почты для проверки подлинности" и "Дополнительный телефон для проверки подлинности"?
Поля, которые могут быть заданы администратором привилегированной проверки подлинности, определены в статье SSPR Data requirements.
Как на портале регистрации определяется, что именно нужно показывать для того или иного пользователя?
На портале регистрации сброса пароля отображаются только параметры, которые вы включили для пользователей. Эти параметры находятся в разделе Политика сброса пароля пользователя вкладки настройки каталога. Например, если вы не включите вопросы безопасности, пользователи не смогут зарегистрировать этот параметр.
Когда пользователь считается зарегистрированным?
Пользователь считается зарегистрированным для SSPR при регистрации по крайней мере количества методов, необходимых для сброса пароля, заданного в Центре администрирования Microsoft Entra.
Сброс пароля
Есть ли ограничения на количество попыток сброса пароля за короткий промежуток времени?
Да. В системе сброса пароля есть несколько функций защиты от несанкционированного использования.
Пользователи могут попытаться проверить свои данные (например, номер телефона), но если за пять попыток в течение 24-часового периода они не могут подтвердить свою личность, они будут заблокированы на 24 часа.
Пользователи могут попытаться проверить номер телефона, приложение проверки подлинности, отправить текстовое сообщение или проверить вопросы безопасности и ответы только пять раз в течение часа, прежде чем они заблокированы в течение 24 часов.
Пользователи могут отправлять сообщение электронной почты не более 10 раз в течение 10 минут, прежде чем они заблокированы в течение 24 часов.
Счетчики сбрасываются, когда пользователь сбрасывает свой пароль.
Сколько времени я должен ждать, чтобы получить сообщение электронной почты, текстовое сообщение или телефонный звонок от сброса пароля?
Сообщения электронной почты, текстовые сообщения и телефонные звонки должны поступать в минуту. Обычно через 5–20 секунд. Если в течение этого времени ничего не произошло, выполните приведенные ниже действия:
- Проверьте папку нежелательной почты.
- Проверьте правильность номера телефона или адреса электронной почты, на который вы ожидаете получить уведомление.
- Убедитесь, что данные для проверки подлинности в каталоге имеют правильный формат, например +1 4255551234 или user@contoso.com.
Какие языки поддерживает система сброса пароля?
Пользовательский интерфейс сброса пароля, текстовые сообщения и голосовые звонки локализованы на одних и том же языках, которые поддерживаются в Microsoft 365.
Если я настрою фирменную символику своей организации на вкладке настроек каталога, где именно появится эта символика?
Логотип вашей организации будет отображаться на портале сброса паролей. Вы также сможете настроить ссылку для связи с администратором, указав нужный вам электронный или URL-адрес. Все сообщения электронной почты, отправляемые порталом для сброса паролей, будут содержать логотип вашей организации, ее фирменные цвета, название в тексте сообщения и настроенное в параметрах имя в поле отправителя.
Куда именно нужно направлять пользователей для сброса паролей?
Ознакомьтесь с предложениями в статье о развертывании самостоятельного сброса пароля.
Могу ли я пользоваться этой страницей на мобильном устройстве?
Да. Эта страница работает на мобильных устройствах.
Поддерживается ли разблокировка учетных записей локальной службы Active Directory, когда пользователи сбрасывают свой пароль?
Да. Если пользователь сбрасывает пароль, при развертывании обратной записи паролей через Microsoft Entra Connect учетная запись пользователя автоматически разблокируется при сбросе пароля.
Как интегрировать функцию сброса паролей прямо в интерфейс входа на компьютер пользователя?
Если вы являетесь клиентом Microsoft Entra ID P1 или P2, вы можете установить Microsoft Identity Manager без дополнительных затрат и развернуть локальное решение для сброса пароля.
Могу ли я настроить разные контрольные вопросы для разных языковых стандартов?
Нет, сегодня это невозможно.
Сколько контрольных вопросов можно настроить для проверки подлинности?
Вы можете настроить до 20 пользовательских вопросов безопасности в Центре администрирования Microsoft Entra.
Какова допустимая длина контрольных вопросов?
Контрольные вопросы должны содержать от 3 до 200 знаков.
Какова допустимая длина ответов на контрольные вопросы?
Ответы должны содержать от 3 до 40 знаков.
Можно ли использовать одинаковые ответы для разных контрольных вопросов?
Нет, одинаковые ответы для разных контрольных вопросов использовать нельзя.
Может ли пользователь зарегистрировать несколько одинаковых контрольных вопросов?
№ Если пользователь зарегистрировал определенный вопрос, он не сможет его еще раз зарегистрировать.
Можно ли задать минимальное количество контрольных вопросов для регистрации и сброса?
Да, можно задать одно ограничение для регистрации, а другое — для сброса. Может требоваться от трех до пяти контрольных вопросов для регистрации и столько же для сброса.
Я настроила политику, чтобы пользователи использовали вопросы безопасности для сброса, но администраторы Azure, кажется, настроены по-другому.**
Это ожидаемое поведение. По умолчанию для любой роли администратора Azure корпорация Майкрософт применяет строгую политику сброса паролей, разрешающую два способа ввода. Эта политика запрещает администраторам использовать вопросы безопасности. Дополнительные сведения об этой политике можно найти в политиках паролей и ограничениях в статье идентификатора Microsoft Entra.
Если пользователь зарегистрировал больше вопросов, чем необходимо для сброса, какие именно контрольные вопросы выбираются при сбросе?
Из общего числа контрольных вопросов, которые зарегистрировал пользователь, в случайном порядке выбираются N вопросов, где N — количество вопросов, необходимое для выполнения сброса. Например, если пользователь зарегистрировал пять контрольных вопросов, но для сброса пароля требуется только три, тогда в случайном порядке из пяти вопросов выбираются только три. Если пользователь неправильно отвечает, вопросы выбираются еще раз. Это позволяет предотвратить подбор ответов.
Сколько времени допустимы одноразовые секретные коды электронной почты и текстового сообщения?
Длительность сеанса сброса пароля — 15 минут. С начала операции сброса пароля у пользователя есть 15 минут на выполнение этой операции. Одноразовые секретные коды действительны в течение 5 минут во время сеанса сброса пароля.
Можно ли заблокировать пользователям возможность сброса пароля?
Да. Если вы используете группу для включения SSPR, то можно удалить отдельного пользователя из этой группы, и он не сможет сбросить пароль. Если пользователь является администратором привилегированной проверки подлинности, он может сбросить пароль и отключить его невозможно.
Изменение пароля
Где пользователи могут изменять свои пароли?
Пользователи могут изменять пароли в любом расположении с изображением или значком своего профиля, например в верхнем правом углу на портале Office 365 или на панели доступа. Пользователи могут изменять пароли на странице профиля "Панель доступа". Пользователям также может потребоваться автоматически изменить пароли на странице входа Microsoft Entra, если срок действия паролей истек. Наконец, пользователи могут перейти на портал изменений паролей Microsoft Entra непосредственно, если они хотят изменить свои пароли.
Могут ли мои пользователи получать уведомления на портале Office по истечении срока действия локального пароля?
Да. Это возможно при использовании служб федерации Active Directory (AD FS). Если вы используете AD FS, следуйте инструкциям в статье по отправке утверждений политики паролей с помощью служб AD FS. Если вы используете синхронизацию хэша паролей, это невозможно сегодня. Мы не синхронизируем политики паролей из локальных каталогов, поэтому мы не можем публиковать уведомления об истечении срока действия в облачных интерфейсах. В любом случае также возможно уведомлять пользователей, что срок действия их паролей скоро завершится, с помощью PowerShell.
Можно ли заблокировать пользователям возможность изменения пароля?
Для облачных пользователей эта возможность не блокируется. Для локальных пользователей можно задать выбранный параметр пользователь не может изменить пароль. Выбранные пользователи не смогут изменить свой пароль.
Отчеты об управлении паролями
Через какое время данные отображаются в отчетах об управлении паролями?
Обычно данные появляются в отчетах об управлении паролями в течение 5–10 минут. Но иногда на это может уйти до одного часа.
Как отфильтровать отчеты об управлении паролями?
Отчеты можно фильтровать, выбрав значок маленькой лупы справа от заголовков столбцов в верхней части отчета. Для более полной фильтрации можно скачать отчет в Excel и создать сводную таблицу.
Каково максимальное число событий, которые хранятся в отчетах об управлении паролями?
В отчетах об управлении паролями хранится до 75 000 событий сброса паролей или событий регистрации сброса паролей за последние 30 дней. Мы работаем над расширением этого числа, чтобы включить дополнительные события.
Какой промежуток времени охватывают отчеты об управлении паролями?
Отчеты об управлении паролями включают операции за последние 30 дней. Сейчас, если вам нужно вести архив этих данных, их можно периодически скачивать и сохранять в отдельном месте.
Есть ли максимальное количество строк, которые могут отображаться в отчетах об управлении паролями?
Да. В отчетах по управлению паролями может отображаться не более 75 000 строк, которые отображаются в пользовательском интерфейсе или скачиваются.
Есть ли API для доступа к данным сброса паролей или регистрации данных отчетов?
Да, эти сведения можно получить из отчета о действиях способов проверки подлинности или API для получения действия по сбросу пароля. Можно также использовать API журналов аудита и отфильтровать их по событиям SSPR.
Компонент обратной записи паролей
Что происходит во время обратной записи паролей?
В статье Практическое руководство. Настройка компонента обратной записи паролей описано, что происходит при включении обратной записи паролей и как данные перемещаются через систему обратно в локальную среду.
Как быстро происходит обратная запись паролей? Существует ли задержка синхронизации, как при синхронизации хэша паролей?
Обратная запись паролей происходит мгновенно. Это синхронный конвейер, который работает не так, как синхронизация хэша паролей. При обратной записи паролей пользователи сразу узнают о результате сброса или смены пароля. Среднее время успешной операции обратной записи не превышает 500 мс.
Если локальная учетная запись отключена, повлияет ли это на учетную запись или доступ к облаку?
Если локальный идентификатор отключен, ваш облачный идентификатор и доступ также будут отключены в следующем интервале синхронизации через Microsoft Entra Connect. По умолчанию синхронизация выполняется каждые 30 минут.
Если локальная учетная запись ограничена локальной политикой паролей Active Directory, будет ли эта политика распространяться на функцию SSPR при изменении пароля?
Да. Функция SSPR руководствуется локальной политикой паролей Active Directory. Эта политика включает типичную политику паролей домена Active Directory и все определенные, детализированные политики паролей, предназначенные для пользователя.
Для каких типов учетных записей работает обратная запись паролей?
Обратная запись паролей работает для учетных записей пользователей, синхронизированных с локальная служба Active Directory с идентификатором Microsoft Entra, включая федеративный, хэш паролей, синхронизированный и сквозной аутентификации пользователей.
Соблюдает ли компонент обратной записи паролей политики, применяемые к паролям в моем домене?
Да. Компонент обратной записи паролей соблюдает настройки срока действия пароля, журнала, сложности, фильтров и другие ограничения, установленные для паролей в локальном домене.
Защищен ли компонент обратной записи паролей? Насколько можно быть уверенным, что меня не взломают?
Да, компонент обратной записи паролей защищен. Дополнительные сведения о нескольких уровнях безопасности, реализованных в службе обратной записи паролей, см. в подразделе Модель безопасности обратной записи паролей раздела Обзор обратной записи паролей.
Следующие шаги
- Как развернуть самостоятельный сброс пароля?
- Сброс или изменение пароля
- Регистрация для самостоятельного сброса пароля
- Требования к лицензированию самостоятельного сброса пароля в Azure AD
- Какие данные используются для SSPR и какие сведения нужно указывать для пользователей
- Доступные пользователям методы проверки подлинности
- Параметры политики для SSPR
- Что такое обратная запись паролей и каково ее назначение
- Как сообщать о действиях в SSPR
- Обзор всех параметров SSPR и их значение
- Как устранить неполадки самостоятельного сброса пароля