Vad är lösenordsåterställning med självbetjäning i Microsoft Entra-ID?

Slutförd

Du har blivit ombedd att bedöma olika sätt att sänka supportavdelningens kostnader i återförsäljarorganisationen. Du har märkt att supportpersonalen lägger mycket tid på att återställa lösenord för användare. Användarna klagar ofta på fördröjningar i den här processen, och dessa fördröjningar påverkar deras produktivitet. Du vill förstå hur du kan konfigurera Azure så att användarna kan hantera sina egna lösenord.

I den här lektionen får du lära dig hur självbetjäning av lösenordsåterställning (SSPR) fungerar i Microsoft Entra-ID.

Varför använda SSPR?

I Microsoft Entra-ID kan alla användare ändra sitt lösenord om de redan är inloggade. Men om de inte är inloggade, har glömt sitt lösenord eller om det har upphört att gälla måste de återställa sitt lösenord. Med SSPR kan användarna återställa sina lösenord i en webbläsare eller från en Windows-inloggningsskärm för att få åtkomst till Azure, Microsoft 365 och andra program som använder Microsoft Entra-ID för autentisering.

SSPR minskar belastningen på administratörer eftersom användarna själva kan åtgärda lösenordsproblem utan att behöva ringa supportavdelningen. Dessutom minimerar det produktivitetspåverkan av ett lösenord som har glömts bort eller slutat gälla. Användarna behöver inte vänta på att en administratör ska bli tillgänglig för att återställa lösenordet.

Hur SSPR fungerar

Användaren initierar en lösenordsåterställning antingen genom att gå direkt till portalen för lösenordsåterställning eller genom att välja länken Kan inte komma åt ditt konto på en inloggningssida. Återställningsportalen vidtar dessa steg:

1. Lokalisering: Portalen kontrollerar webbläsarens nationella inställningar och återger SSPR-sidan på lämpligt språk.
2. Verifiering: Användaren anger sitt användarnamn och skickar en CAPTCHA för att säkerställa att det är en användare och inte en robot.
3. Autentisering: Användaren anger nödvändiga data för att autentisera sin identitet. De kan ange en kod eller svara på säkerhetsfrågor.
4. Lösenordsåterställning: Om användaren klarar autentiseringstesterna kan de ange ett nytt lösenord och bekräfta det.
5. Meddelande: Ett meddelande skickas till användaren för att bekräfta återställningen.

Det går att anpassa användarnas upplevelse av SSPR på flera sätt. Du kan till exempel lägga till företagets logotyp på inloggningssidan så att användarna vet att de är på rätt plats för att återställa sitt lösenord.

Autentisera en återställning av lösenord

Det är viktigt att verifiera en användares identitet innan du tillåter en lösenordsåterställning. Användare med illvilliga avsikter kan utnyttja eventuella svagheter i systemet för att utge sig för att vara en viss användare. Azure har stöd för sex olika sätt att autentisera förfrågningar om återställning av lösenord.

Som administratör kan du välja de metoder som ska användas när du konfigurerar SSPR. Aktivera två eller flera av dessa metoder så att användarna kan välja de som de enkelt kan använda. Metoderna är:

Autentiseringsmetod	Så här registrerar man sig	Så här autentiserar man sig för återställning av lösenord
Meddelanden via mobilapp	Installera Microsoft Authenticator-appen på din mobila enhet och registrera den sedan på sidan för konfiguration av multifaktorautentisering.	Azure skickar ett meddelande till appen som du antingen kan verifiera eller avvisa.
Kod för mobilapp	Den här metoden använder också Authenticator-appen och du installerar och registrerar den på samma sätt.	Ange koden från appen.
Email	Ange en e-postadress som är extern i förhållande till Azure och Microsoft 365.	Azure skickar en kod till adressen som du anger i återställningsguiden.
Mobiltelefon	Ange ett mobilnummer.	Azure skickar en kod till telefonen i ett SMS-meddelande och du anger koden i återställningsguiden. Du kan också välja att få ett automatiserat samtal.
Telefon (kontor)	Ange ett telefonnummer som inte går till en mobiltelefon.	Du får ett automatiserat samtal till det här numret och trycker på #.
Säkerhetsfrågor	Välj frågor som "I vilken stad föddes din mamma?" och spara deras svar.	Besvara frågorna.

I Microsoft Entra-utvärderingsorganisationer stöds inte telefonsamtalsalternativ.

Kräv ett lägsta antal autentiseringsmetoder

Du kan ange det minsta antalet metoder som användaren måste konfigurera, antingen en eller två. Du kan till exempel aktivera metoderna mobilappskod, e-postmeddelande, arbetstelefon och säkerhetsfrågor och ange minst två metoder. Användarna kan sedan välja de två metoder som de föredrar, till exempel mobilappkod och e-post.

För metoden security-question kan du ange ett minsta antal frågor som användaren måste ställa in för att registrera sig för den här metoden. Du kan också ange ett minsta antal frågor som de måste besvara korrekt för att återställa sitt lösenord.

Användarna anses vara registrerade för SSPR när de har registrerat den information som krävs för det lägsta antalet metoder du har angett.

Rekommendationer

• Aktivera två eller flera av autentiseringsmetoderna för att begära återställning.
• Använd mobilappmeddelandet eller koden som primär metod. Men aktivera även e-post- eller office-telefonmetoder för att stödja användare utan mobila enheter.
• Mobiltelefonmetoden är inte en rekommenderad metod eftersom det är möjligt att skicka bedrägliga SMS.
• Alternativet för säkerhetsfrågor är den metod som rekommenderas minst eftersom svaren på säkerhetsfrågorna kan vara kända för andra personer. Använd endast metoden security-question i kombination med minst en annan metod.

Konton som har administratörsroller

• En stark autentiseringspolicy med två metoder används alltid för konton med en administratörsroll, oavsett konfigurationen för andra användare.
• Metoden för säkerhetsfråga är inte tillgänglig för konton som är associerade med en administratörsroll.

Konfigurera meddelanden

Administratörer kan välja hur användarna meddelas om lösenordsändringar. Det finns två alternativ som du kan aktivera:

• Meddela användare om lösenordsåterställning: Användaren som återställer sitt eget lösenord meddelas till sina primära och sekundära e-postadresser. Om återställningen gjordes av en användare med skadliga avsikter får användaren information om detta och kan vidta åtgärder för riskreducering.
• Meddela alla administratörer när andra administratörer återställer sitt lösenord: Alla administratörer meddelas när en annan administratör återställer sitt lösenord.

Licenskrav

Det finns två utgåvor av Microsoft Entra ID, Premium P1 och Premium P2. Vilka funktioner för lösenordsåterställning du kan använda beror på din utgåva.

Alla användare som är inloggade kan ändra sitt lösenord, oavsett utgåva av Microsoft Entra-ID.

Vad händer om du inte är inloggad och har glömt ditt lösenord eller om lösenordet har upphört att gälla? I det här fallet kan du använda SSPR i Microsoft Entra ID P1 eller P2. Det finns även i Microsoft 365-applikationer för affärsverksamhet eller Microsoft 365.

I en hybridsituation, där du har Active Directory lokalt och Microsoft Entra-ID i molnet, måste alla lösenordsändringar i molnet skrivas tillbaka till den lokala katalogen. Det här tillbakaskrivningsstödet är tillgängligt i Microsoft Entra ID P1 eller P2. Det finns även i Microsoft 365-applikationer för affärsverksamhet.

Distributionsalternativ för SSPR

Du kan distribuera SSPR med tillbakaskrivning av lösenord med hjälp av Microsoft Entra Connect eller molnsynkronisering, beroende på användarens behov. Du kan distribuera varje alternativ sida vid sida i olika domäner för att rikta in dig på olika uppsättningar användare. Detta hjälper befintliga användare lokalt att skriva tillbaka lösenordsändringar, samtidigt som du lägger till ett alternativ för användare i frånkopplade domäner på grund av en företagssammanslagning eller delning. Användare från en befintlig lokal domän kan använda Microsoft Entra Connect, medan nya användare från en sammanslagning kan använda molnsynkronisering i en annan domän.

Molnsynkronisering kan också ge högre tillgänglighet eftersom den inte förlitar sig på en enda instans av Microsoft Entra Connect. En funktionsjämförelse mellan de två distributionsalternativen finns i Jämförelse mellan Microsoft Entra Connect och molnsynkronisering.

Kontrollera dina kunskaper

1.

När anses en användare vara registrerad för SSPR?

De registrerade minst en av de tillåtna autentiseringsmetoderna.

De registrerade minst det antal metoder som du har krävt för att återställa ett lösenord.

De konfigurerar det minsta antalet säkerhetsfrågor.

2.

När du aktiverar SSPR för din Microsoft Entra-organisation...

Användare kan bara ändra sitt lösenord när de är inloggade.

Kan administratörer återställa sina lösenord med hjälp av en autentiseringsmetod.

Kan användare återställa sina lösenord när de inte kan logga in.

Du måste svara på alla frågor innan du kontrollerar ditt arbete.