Что такое самостоятельный сброс пароля в идентификаторе Microsoft Entra?

Завершено

Вам было предложено оценить способы снижения затрат на службу технической поддержки в розничной организации. Вы заметили, что сотрудники службы поддержки тратят много времени на сброс паролей для пользователей. Пользователи часто сообщают о задержке этого процесса, и эти задержки влияют на их производительность. Вы хотите понять, как настроить Azure, чтобы пользователи могли управлять собственными паролями.

В этом уроке вы узнаете, как работает самостоятельный сброс пароля (SSPR) в идентификаторе Microsoft Entra ID.

Зачем нужен самостоятельный сброс пароля?

В идентификаторе Microsoft Entra любой пользователь может изменить пароль, если он уже вошел в систему. Но если они не вошли, забыли пароль или истек срок действия, им потребуется сбросить пароль. С помощью SSPR пользователи могут сбросить пароли в веб-браузере или с экрана входа Windows, чтобы восстановить доступ к Azure, Microsoft 365 и любому другому приложению, использующим идентификатор Microsoft Entra для проверки подлинности.

SSPR снижает нагрузку на администраторов, так как пользователи могут самостоятельно устранять проблемы с паролем, не вызывая службу технической поддержки. Кроме того, это позволяет уменьшить влияние забытого или просроченного пароля на производительность. Пользователям не нужно ждать, пока администратор будет свободен и сможет сбросить пароль.

Как работает самостоятельный сброс пароля

Пользователь инициирует сброс пароля, перейдя непосредственно на портал сброса пароля или выбрав ссылку " Не удается получить доступ к учетной записи " на странице входа. На портале сброса выполняются следующие действия:

1. Локализация: портал проверяет параметры языкового стандарта браузера и отображает страницу SSPR на соответствующем языке.
2. Проверка. Пользователь вводит свое имя пользователя и передает CAPTCHA, чтобы убедиться, что это пользователь, а не бот.
3. Проверка подлинности. Пользователь вводит необходимые данные для проверки подлинности удостоверения. Они могут вводить код или отвечать на вопросы безопасности.
4. Сброс пароля: если пользователь проходит тесты проверки подлинности, он может ввести новый пароль и подтвердить его.
5. Уведомление: для подтверждения сброса пользователю отправляется сообщение.

Существует несколько способов настроить пользовательский интерфейс самостоятельного сброса пароля. Например, вы можете добавить логотип компании на страницу входа, чтобы пользователи знали, что они в нужном месте для сброса пароля.

Проверка подлинности для сброса пароля

Перед разрешением сброса пароля важно проверить удостоверение пользователя. Злоумышленники могут использовать любые слабые места в системе для олицетворения этого пользователя. Azure поддерживает шесть разных способов проверки подлинности запросов на сброс.

Администратор может выбрать методы, которые следует использовать при настройке SSPR. Включите два или более этих методов, чтобы пользователи могли выбирать те, которые они могут легко использовать. Вот эти методы:

Authentication method	Способ регистрации	Способ проверки подлинности при сбросе пароля
Уведомление мобильного приложения	Установите приложение Microsoft Authenticator на мобильном устройстве, а затем зарегистрируйте его на странице установки многофакторной проверки подлинности.	Azure отправляет в приложение уведомление, которое можно проверить или отклонить.
Код мобильного приложения	Этот метод также использует приложение Authenticator, и вы устанавливаете и регистрируете его аналогичным образом.	Введите код из приложения.
Эл. почта	Укажите адрес электронной почты за пределами Azure и Microsoft 365.	Azure отправляет код на адрес, который вы ввели в мастере сброса.
Мобильный телефон	Укажите номер мобильного телефона.	Azure отправляет код в SMS-сообщении на номер телефона, который вы ввели в мастере сброса. Вы также можете получить автоматический звонок.
Рабочий телефон	Укажите номер немобильного телефона.	Вы принимаете автоматический звонок на этот номер и нажимаете клавишу #.
Контрольные вопросы:	Выберите такие вопросы, как "В каком городе родился ваша мать?" и сохраните свои ответы.	Ответьте на вопросы.

В пробных организациях Microsoft Entra параметры телефонного звонка не поддерживаются.

Обязательное минимальное количество методов проверки подлинности

Можно указать минимальное количество методов, которые пользователь должен настроить, либо один или два. Например, можно включить методы "код в мобильном приложении", "электронная почта", "рабочий телефон" и "контрольные вопросы" и указать, что нужно выбрать минимум два метода. Затем пользователи могут выбрать два метода, которые они предпочитают, например код мобильного приложения и электронную почту.

Для метода безопасности можно указать минимальное количество вопросов, которые пользователь должен настроить для регистрации для этого метода. Вы также можете указать минимальное количество вопросов, которые они должны правильно ответить, чтобы сбросить пароль.

После того как пользователи зарегистрируют необходимые сведения для указанного минимального количества методов, они считаются зарегистрированными для самостоятельного сброса пароля.

Рекомендации

• Включите два или более метода проверки подлинности для запросов на сброс пароля.
• Используйте уведомление или код мобильного приложения в качестве основного метода. Но также включите методы электронной почты или office телефонов для поддержки пользователей без мобильных устройств.
• Метод мобильного телефона не рекомендуется, так как можно отправлять мошеннические SMS-сообщения.
• Параметр безопасности — это наименее рекомендуемый метод, так как ответы на вопросы безопасности могут быть известны другим людям. Используйте метод безопасности только в сочетании с хотя бы одним другим методом.

Учетные записи, связанные с ролями администратора

• Строгая политика проверки подлинности с двумя методами всегда применяется к учетным записям с ролью администратора независимо от конфигурации других пользователей.
• Метод безопасности с вопросом недоступен для учетных записей, связанных с ролью администратора.

Настройка уведомлений

Администраторы могут выбрать способ уведомления пользователей об изменении пароля. Существует два варианта, которые можно включить:

• Уведомлять пользователей о сбросе пароля: пользователь, который сбрасывает свой собственный пароль, уведомляется об их первичных и вторичных адресах электронной почты. Если сброс выполнялся злоумышленником, это уведомление предупреждает пользователя и он может принять меры по устранению рисков.
• Уведомляйте всех администраторов, когда другие администраторы сбрасывают пароль: все администраторы уведомляются, когда другой администратор сбрасывает свой пароль.

Требования к лицензиям

Существует два выпуска Microsoft Entra ID, Premium P1 и Premium P2. Функции сброса пароля, которые можно использовать, зависят от выпуска.

Любой пользователь, вошедший в систему, может изменить свой пароль независимо от выпуска идентификатора Microsoft Entra.

Что делать, если вы не вошли в систему, и вы забыли пароль или ваш пароль истек? В этом случае можно использовать SSPR в Microsoft Entra ID P1 или P2. Он также доступен в Приложениях Microsoft 365 для бизнеса или Microsoft 365.

В гибридной ситуации, когда у вас есть локальный каталог Active Directory и идентификатор Microsoft Entra в облаке, все изменения пароля в облаке должны быть записаны обратно в локальный каталог. Эта поддержка обратной записи доступна в Microsoft Entra ID P1 или P2. Она также доступна в Приложениях Microsoft 365 для бизнеса.

Варианты развертывания SSPR

Вы можете развернуть SSPR с обратной записью паролей с помощью Microsoft Entra Connect или облачной синхронизации в зависимости от потребностей пользователя. Каждый параметр можно развертывать параллельно в разных доменах для целевых наборов пользователей. Это помогает существующим пользователям записывать изменения паролей в локальной среде, добавляя возможность для пользователей в отключенных доменах из-за слияния или разделения компании. Пользователи из существующего локального домена могут использовать Microsoft Entra Connect, а новые пользователи из слияния могут использовать облачную синхронизацию в другом домене.

Облачная синхронизация также может обеспечить более высокую доступность, так как она не зависит от одного экземпляра Microsoft Entra Connect. Сравнение функций между двумя вариантами развертывания см. в разделе "Сравнение microsoft Entra Connect" и "облачная синхронизация".

Проверьте свои знания

1.

Когда пользователь считается зарегистрированным для самостоятельного сброса пароля?

Они зарегистрировали по крайней мере один из разрешенных методов проверки подлинности.

Они зарегистрировали по крайней мере количество методов, необходимых для сброса пароля.

Они настраивают минимальное количество вопросов безопасности.

2.

При включении SSPR для вашей организации Microsoft Entra...

Пользователи могут изменять пароль только при входе.

Администраторы могут сбросить свой пароль с помощью одного метода проверки подлинности.

Пользователи могут сбрасывать пароли, если не могут войти в систему.

Вы должны ответить на все вопросы перед проверкой.