Dela via


Planera en självbetjäningsdistribution av lösenordsåterställning i Microsoft Entra

Viktigt!

Den här distributionsplanen innehåller vägledning och metodtips för att distribuera lösenordsåterställning med Microsoft Entra självbetjäning (SSPR).

Om du är slutanvändare och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Självbetjäning av lösenordsåterställning (SSPR) är en Microsoft Entra-funktion som gör det möjligt för användare att återställa sina lösenord utan att kontakta IT-personalen för att få hjälp. Användarna kan snabbt avblockera sig själva och fortsätta arbeta oavsett var de befinner sig eller vilken tid på dagen de befinner sig. Genom att låta de anställda avblockera sig själva kan din organisation minska den icke-produktiva tiden och de höga supportkostnaderna för de vanligaste lösenordsrelaterade problemen.

SSPR har följande viktiga funktioner:

  • Med självbetjäning kan slutanvändarna återställa sina utgångna eller icke-utgångna lösenord utan att kontakta en administratör eller supportavdelning för support.
  • Tillbakaskrivning av lösenord möjliggör hantering av lokala lösenord och lösning av kontoutelåsning via molnet.
  • Rapporter om lösenordshanteringsaktivitet ger administratörer insikter om lösenordsåterställning och registreringsaktivitet som inträffar i organisationen.

Den här distributionsguiden visar hur du planerar och sedan testar en SSPR-distribution.

Om du snabbt vill se SSPR i praktiken och sedan komma tillbaka för att förstå ytterligare distributionsöverväganden:

Dricks

Som ett komplement till den här artikeln rekommenderar vi att du använder distributionsguiden För självbetjäning av lösenordsåterställning när du är inloggad i administrationscentret för Microsoft 365. Den här guiden anpassar din upplevelse baserat på din miljö. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till installationsportalen för M365.

Läs mer om SSPR

Läs mer om SSPR. Se Så här fungerar det: Lösenordsåterställning i Microsoft Entra med självbetjäning.

Viktiga fördelar

De viktigaste fördelarna med att aktivera SSPR är:

  • Hantera kostnader. SSPR minskar IT-supportkostnaderna genom att göra det möjligt för användare att återställa lösenord på egen hand. Det minskar också kostnaden för förlorad tid på grund av förlorade lösenord och utelåsningar.

  • Intuitiv användarupplevelse. Det ger en intuitiv engångsregistreringsprocess som gör det möjligt för användare att återställa lösenord och avblockera konton på begäran från valfri enhet eller plats. Med SSPR kan användarna komma tillbaka till arbetet snabbare och vara mer produktiva.

  • Flexibilitet och säkerhet. SSPR gör det möjligt för företag att få åtkomst till den säkerhet och flexibilitet som en molnplattform tillhandahåller. Administratörer kan ändra inställningarna för att hantera nya säkerhetskrav och distribuera ändringarna till användare utan att störa inloggningen.

  • Robust granskning och användningsspårning. En organisation kan se till att affärssystemen förblir säkra medan användarna återställer sina egna lösenord. Robusta granskningsloggar innehåller information om varje steg i processen för lösenordsåterställning. Dessa loggar är tillgängliga från ett API och gör det möjligt för användaren att importera data till ett SIEM-system (Security Incident and Event Monitoring).

Licensiering

Microsoft Entra-ID är licensierat per användare, vilket innebär att varje användare kräver en lämplig licens för de funktioner som de använder. Vi rekommenderar gruppbaserad licensiering för SSPR.

Information om hur du jämför utgåvor och funktioner och aktiverar grupp- eller användarbaserad licensiering finns i Licensieringskrav för lösenordsåterställning via Microsoft Entra självbetjäning.

Mer information om priser finns i Microsoft Entra-priser.

Förutsättningar

  • En fungerande Microsoft Entra-klient med minst en utvärderingslicens aktiverad. Skapa en kostnadsfritt om det behövs.

  • En global administratör krävs för att hantera den här funktionen.

Guidad genomgång

En guidad genomgång av många av rekommendationerna i den här artikeln finns i guiden Planera distribution av lösenordsåterställning med självbetjäning när du är inloggad i administrationscentret för Microsoft 365. Om du vill granska metodtipsen utan att logga in och aktivera automatiska installationsfunktioner går du till installationsportalen för M365.

Utbildningsresurser

Resurser Länk och beskrivning
Videoklipp Ge användarna bättre IT-skalbarhet
Vad är lösenordsåterställning med självbetjäning?
Distribuera lösenordsåterställning med självbetjäning
Så här aktiverar och konfigurerar du SSPR i Microsoft Entra ID
Så här konfigurerar du självbetjäning av lösenordsåterställning för användare i Microsoft Entra-ID?
Så här [förbereder du användare att] registrera [sin] säkerhetsinformation för Microsoft Entra-ID
Nätbaserade kurser Hantera identiteter i Microsoft Entra-ID Använd SSPR för att ge användarna en modern och skyddad upplevelse. Se särskilt modulen "Managing Microsoft Entra Users and Groups".
Komma igång med Microsoft Enterprise Mobility Suite Lär dig metodtipsen för att utöka lokala tillgångar till molnet på ett sätt som möjliggör autentisering, auktorisering, kryptering och en säker mobil upplevelse. Se särskilt modulen "Konfigurera avancerade funktioner i Microsoft Entra ID P1 eller P2".
Självstudier Slutför en microsoft Entra-pilot för självbetjäning av lösenordsåterställning
Aktivera tillbakaskrivning av lösenord
Microsoft Entra-lösenordsåterställning från inloggningsskärmen för Windows 10
Vanliga frågor Vanliga frågor och svar om lösenordshantering

Lösningsarkitekturen

I följande exempel beskrivs lösningsarkitekturen för lösenordsåterställning för vanliga hybridmiljöer.

Diagram över lösningsarkitektur

Beskrivning av arbetsflöde

Om du vill återställa lösenordet går användarna till portalen för lösenordsåterställning. De måste verifiera den tidigare registrerade autentiseringsmetoden eller metoderna för att bevisa sin identitet. Om de återställer lösenordet påbörjar de återställningsprocessen.

  • För användare med endast molnet lagrar SSPR det nya lösenordet i Microsoft Entra-ID.

  • För hybridanvändare skriver SSPR tillbaka lösenordet till den lokala Active Directory via Microsoft Entra Connect-tjänsten.

Obs! För användare som har inaktiverat synkronisering av lösenordshash (PHS) lagrar SSPR endast lösenorden i den lokala Active Directory.

Bästa praxis

Du kan hjälpa användare att registrera sig snabbt genom att distribuera SSPR tillsammans med ett annat populärt program eller en annan tjänst i organisationen. Den här åtgärden genererar en stor mängd inloggningar och driver registreringen.

Innan du distribuerar SSPR kan du välja att fastställa antalet och den genomsnittliga kostnaden för varje lösenordsåterställningsanrop. Du kan använda den här datadistributionen för att visa det värde som SSPR tillför organisationen.

Kombinerad registrering för SSPR- och Microsoft Entra multifaktorautentisering

Med SSPR kan användarna återställa sitt lösenord på ett säkert sätt med samma metoder som de använder för Microsoft Entra multifaktorautentisering. Kombinerad registrering är ett enda registreringssteg för slutanvändare som möjliggör registrering av både MFA- och SSPR-metoder samtidigt. Information om hur du förstår funktionerna och slutanvändarupplevelsen finns i Begreppen för kombinerad säkerhetsinformationsregistrering.

Det är viktigt att informera användarna om kommande ändringar, registreringskrav och eventuella nödvändiga användaråtgärder. Vi tillhandahåller kommunikationsmallar och användardokumentation för att förbereda användarna för den nya upplevelsen och för att säkerställa en lyckad distribution. Skicka användare till https://myprofile.microsoft.com för att registrera sig genom att välja länken Säkerhetsinformation på den sidan.

Planera distributionsprojektet

Tänk på organisationens behov när du fastställer strategin för den här distributionen i din miljö.

Engagera rätt intressenter

När teknikprojekt misslyckas gör de vanligtvis det på grund av felaktiga förväntningar på påverkan, resultat och ansvarsområden. För att undvika dessa fallgropar bör du se till att du engagerar rätt intressenter och att intressenternas roller i projektet förstås väl genom att dokumentera intressenterna och deras projektindata och ansvar.

Nödvändiga administratörsroller

Affärsroll/Persona Microsoft Entra-roll (om det behövs)
Supportavdelningen på nivå 1 Lösenordsadministratör
Supportavdelningen på nivå 2 Användaradministratör
SSPR-administratör Autentiseringsadministratör

Planera en pilot

Vi rekommenderar att den första konfigurationen av SSPR finns i en testmiljö. Börja med en pilotgrupp genom att aktivera SSPR för en delmängd användare i din organisation. Se Metodtips för en pilot.

Om du vill skapa en grupp kan du se hur du skapar en grupp och lägger till medlemmar i Microsoft Entra-ID.

Planera konfiguration

Följande inställningar krävs för att aktivera SSPR tillsammans med rekommenderade värden.

Ytdiagram Inställning Värde
SSPR-egenskaper Självbetjäning av lösenordsåterställning aktiverat Vald grupp för pilot/ Alla för produktion
Autentiseringsmetoder Autentiseringsmetoder som krävs för registrering Alltid 1 mer än vad som krävs för återställning
Autentiseringsmetoder som krävs för att återställa En eller två
Registrering Kräv att användare registrerar sig vid inloggning Ja
Antal dagar innan användare uppmanas att bekräfta sin autentiseringsinformation 90–180 dagar
Aviseringar Meddela användare om lösenordsåterställning Ja
Meddela alla administratörer när andra administratörer återställer sina lösenord Ja
Anpassning Anpassa länk till supportavdelningen Ja
Anpassad e-postadress eller webbadress för supportavdelningen Supportwebbplats eller e-postadress
Lokal integration Skriva tillbaka lösenord till lokal AD Ja
Tillåt användare att låsa upp konto utan att återställa lösenord Ja

SSPR-egenskaper

När du aktiverar SSPR väljer du en lämplig säkerhetsgrupp i pilotmiljön.

  • För att framtvinga SSPR-registrering för alla rekommenderar vi att du använder alternativet Alla .
  • Annars väljer du lämpligt Microsoft Entra-ID eller AD-säkerhetsgrupp.

Autentiseringsmetoder

När SSPR är aktiverat kan användarna bara återställa sitt lösenord om de har data i de autentiseringsmetoder som administratören har aktiverat. Metoderna omfattar telefon, Authenticator-appavisering, säkerhetsfrågor och så vidare. Mer information finns i Vad är autentiseringsmetoder?.

Vi rekommenderar följande inställningar för autentiseringsmetod:

  • Ange de autentiseringsmetoder som krävs för att registrera minst ett fler än det antal som krävs för att återställa. Om du tillåter flera autentiseringar får användarna flexibilitet när de behöver återställas.

  • Ange Antal metoder som krävs för att återställa till en nivå som är lämplig för din organisation. En kräver minst friktion, medan två kan öka din säkerhetsstatus.

Obs! Användaren måste ha autentiseringsmetoderna konfigurerade i lösenordsprinciperna och begränsningarna i Microsoft Entra-ID.

Registreringsinställningar

Ange Kräv att användare registrerar sig när de loggar inJa. Den här inställningen kräver att användarna registrerar sig när de loggar in, vilket säkerställer att alla användare är skyddade.

Ange Antal dagar innan användarna uppmanas att bekräfta sin autentiseringsinformation på mellan 90 och 180 dagar, såvida inte din organisation har ett affärsbehov under en kortare tidsperiod.

Aviseringsinställningar

Konfigurera både Meddela användare vid lösenordsåterställning och Meddela alla administratörer när andra administratörer återställer sitt lösenord till Ja. Om du väljer Ja på båda ökar säkerheten genom att se till att användarna är medvetna när deras lösenord återställs. Det säkerställer också att alla administratörer är medvetna när en administratör ändrar ett lösenord. Om användare eller administratörer får ett meddelande och de inte har initierat ändringen kan de omedelbart rapportera ett potentiellt säkerhetsproblem.

Kommentar

E-postmeddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:

  • Offentlig: msonlineservicesteam@microsoft.com
  • Kina: msonlineservicesteam@oe.21vianet.com
  • Regering: msonlineservicesteam@azureadnotifications.us

Om du ser problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.

Anpassningsinställningar

Det är viktigt att anpassa supportavdelningens e-post eller URL för att säkerställa att användare som upplever problem kan få hjälp omedelbart. Ange det här alternativet till en vanlig e-postadress eller webbsida för supportavdelningen som användarna är bekanta med.

Mer information finns i Anpassa Microsoft Entra-funktionerna för självbetjäning av lösenordsåterställning.

Tillbakaskrivning av lösenord

Tillbakaskrivning av lösenord aktiveras med Microsoft Entra Connect och skriver tillbaka lösenordsåterställning i molnet till en befintlig lokal katalog i realtid. Mer information finns i Vad är tillbakaskrivning av lösenord?

Vi rekommenderar följande inställningar:

  • Kontrollera att Skriv tillbaka lösenord till lokal AD är inställt på Ja.
  • Ange Tillåt användare att låsa upp kontot utan att återställa lösenordet till Ja.

Som standard låser Microsoft Entra ID upp konton när det utför en lösenordsåterställning.

Inställningar för administratörslösenord

Administratörskonton har utökade behörigheter. Det lokala företaget eller domänadministratörerna kan inte återställa sina lösenord via SSPR. Lokala administratörskonton har följande begränsningar:

  • Det går bara att ändra lösenordet i den lokala miljön.
  • Kan aldrig använda hemliga frågor och svar som en metod för att återställa sitt lösenord.

Vi rekommenderar att du inte synkroniserar dina lokala Active Directory-administratörskonton med Microsoft Entra-ID.

Miljöer med flera identitetshanteringssystem

Vissa miljöer har flera identitetshanteringssystem. Lokala identitetshanterare som Oracle IAM och SiteMinder kräver synkronisering med AD för lösenord. Du kan göra detta med hjälp av ett verktyg som Tjänsten för meddelande om lösenordsändring (PCNS) med Microsoft Identity Manager (MIM). Information om det här mer komplexa scenariot finns i artikeln Distribuera TJÄNSTEN FÖR meddelande om MIM-lösenordsändring på en domänkontrollant.

Planera testning och support

I varje steg i distributionen från inledande pilotgrupper via hela organisationen kontrollerar du att resultaten är som förväntat.

Planera testning

Planera en uppsättning testfall för att verifiera implementeringen för att säkerställa att distributionen fungerar som förväntat. För att utvärdera testfallen behöver du en testanvändare som inte är administratör med ett lösenord. Om du behöver skapa en användare kan du läsa Lägga till nya användare i Microsoft Entra-ID.

Följande tabell innehåller användbara testscenarier som du kan använda för att dokumentera organisationens förväntade resultat baserat på dina principer.

Företagscase Förväntat resultat
SSPR-portalen är tillgänglig från företagsnätverket Bestäms av din organisation
SSPR-portalen är tillgänglig utanför företagsnätverket Bestäms av din organisation
Återställa användarlösenord från webbläsaren när användaren inte är aktiverad för lösenordsåterställning Användaren kan inte komma åt flödet för lösenordsåterställning
Återställa användarlösenord från webbläsaren när användaren inte har registrerat sig för lösenordsåterställning Användaren kan inte komma åt flödet för lösenordsåterställning
Användare loggar in när de tillämpas för att göra registrering för lösenordsåterställning Uppmanar användaren att registrera säkerhetsinformation
Användaren loggar in när registreringen av lösenordsåterställning är klar Uppmanar användaren att registrera säkerhetsinformation
SSPR-portalen är tillgänglig när användaren inte har någon licens Är tillgänglig
Återställa användarlösenord från Windows 10 Microsoft Entra-ansluten eller Microsoft Entra hybridansluten enhetslåsskärm Användaren kan återställa lösenord
SSPR-registrering och användningsdata är tillgängliga för administratörer nästan i realtid Är tillgänglig via granskningsloggar

Du kan också läsa Slutför en pilotrulle för självbetjäning av lösenordsåterställning i Microsoft Entra. I den här självstudien aktiverar du en pilotdistribution av SSPR i din organisation och testar med ett konto som inte är administratör.

Planera support

Även om SSPR vanligtvis inte skapar användarproblem är det viktigt att förbereda supportpersonalen för att hantera problem som kan uppstå. Om du vill göra supportteamet framgångsrikt kan du skapa vanliga frågor och svar baserat på frågor som du får från dina användare. Några exempel:

Scenarier beskrivning
Användaren har inga registrerade autentiseringsmetoder tillgängliga En användare försöker återställa sitt lösenord men har inte någon av de autentiseringsmetoder som de registrerade tillgängliga (Exempel: de lämnade sin mobiltelefon hemma och kan inte komma åt e-post)
Användaren får inte ett sms eller samtal på sitt kontor eller sin mobiltelefon En användare försöker verifiera sin identitet via text eller samtal men får inget sms/samtal.
Användaren kan inte komma åt portalen för lösenordsåterställning En användare vill återställa sitt lösenord men är inte aktiverad för lösenordsåterställning och kan inte komma åt sidan för att uppdatera lösenord.
Användaren kan inte ange ett nytt lösenord En användare slutför verifieringen under flödet för lösenordsåterställning men kan inte ange något nytt lösenord.
Användaren ser ingen länk för att återställa lösenord på en Windows 10-enhet En användare försöker återställa lösenordet från Windows 10-låsskärmen, men enheten är antingen inte ansluten till Microsoft Entra-ID eller så är inte Microsoft Intune-enhetsprincipen aktiverad

Planåterställning

Så här återställer du distributionen:

  • För en enskild användare tar du bort användaren från säkerhetsgruppen

  • För en grupp tar du bort gruppen från SSPR-konfigurationen

  • Inaktivera SSPR för Microsoft Entra-klientorganisationen för alla

Distribuera SSPR

Kontrollera att du har gjort följande innan du distribuerar:

  1. Fastställde lämpliga konfigurationsinställningar.

  2. Identifierade användare och grupper för pilot - och produktionsmiljöerna.

  3. Fastställde konfigurationsinställningar för registrering och självbetjäning.

  4. Konfigurerad tillbakaskrivning av lösenord om du har en hybridmiljö.

Nu är du redo att distribuera SSPR!

Mer information om hur du konfigurerar följande områden finns i Aktivera självbetjäning av lösenordsåterställning .

  1. Autentiseringsmetoder

  2. Registreringsinställningar

  3. Inställningar för meddelanden

  4. Anpassningsinställningar

  5. Lokal integration

Aktivera SSPR i Windows

För datorer som kör Windows 7, 8, 8.1 och 10 kan du göra det möjligt för användare att återställa sitt lösenord på Windows-inloggningsskärmen

Hantera SSPR

Microsoft Entra-ID kan ge ytterligare information om dina SSPR-prestanda via granskningar och rapporter.

Aktivitetsrapporter för lösenordshantering

Du kan använda fördefinierade rapporter i administrationscentret för Microsoft Entra för att mäta SSPR-prestanda. Om du har rätt licens kan du också skapa anpassade frågor. Mer information finns i Rapporteringsalternativ för Microsoft Entra-lösenordshantering.

En global administratör krävs för att hantera den här funktionen.

Kommentar

Du måste anmäla dig för att dessa data ska samlas in för din organisation. Om du vill anmäla dig måste du gå till fliken Rapportering eller granskningsloggarna i administrationscentret för Microsoft Entra minst en gång. Fram till dess samlar inte data in för din organisation.

Granskningsloggar för registrering och lösenordsåterställning är tillgängliga i 30 dagar. Om säkerhetsgranskning inom företaget kräver längre kvarhållning måste loggarna exporteras och förbrukas till ett SIEM-verktyg som Microsoft Sentinel, Splunk eller ArcSight.

Skärmbild av SSPR-rapportering

Autentiseringsmetoder – Användning och insikter

Med användning och insikter kan du förstå hur autentiseringsmetoder för funktioner som Microsoft Entra multifaktorautentisering och SSPR fungerar i din organisation. Den här rapporteringsfunktionen ger din organisation möjlighet att förstå vilka metoder som registreras och hur de ska användas.

Felsöka

Användbar dokumentation

Nästa steg