共用方式為

在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設

  • 發行項

自助式密碼重設 (SSPR) 可讓使用者Microsoft Entra ID 變更或重設其密碼,而不需要系統管理員或技術支援中心介入。 使用者通常會在另一部裝置上開啟網頁瀏覽器,以存取 SSPR 入口網站。 若要改善執行 Windows 7、8、8.1、10 和 11 的電腦體驗,您可以讓使用者在 Windows 登入畫面上重設其密碼。

顯示 SSPR 連結的 Windows 登入畫面範例

重要

本教學課程說明系統管理員如何在企業中啟用 Windows 裝置的 SSPR。

如果您的 IT 小組尚未啟用從 Windows 裝置使用 SSPR 的能力,或在登入期間發生問題,請連絡技術服務人員以取得其他協助。

一般限制

下列限制適用於從 Windows 登入畫面使用 SSPR:

  • 遠端桌面或 Hyper-V 增強功能的會話目前不支援密碼重設。
  • 已知某些第三方認證提供者會造成這項功能的問題。
  • 已知透過修改 EnableLUA 登錄機碼 禁用 UAC 可能會引發問題。
  • 此功能不適用於已部署 802.1x 網路驗證的網路,以及 [在使用者登入前立即執行] 選項。 針對已部署 802.1x 網路驗證的網路,建議使用計算機驗證來啟用此功能。
  • Microsoft Entra 混合式聯結機器必須具有網路連線及能直接連上域控制器的能力,才能使用新的密碼和更新快取的認證。 這表示裝置必須位於組織的內部網路或具有內部部署域控制器網路存取權的 VPN 上。 如果 SSPR 是唯一的需求,則不需要域控制器的網路連線線。
  • 如果使用映像,在執行 sysprep 之前,請先確定已清除內建系統管理員的 Web 快取,再執行 CopyProfile 步驟。 如需此步驟的詳細資訊,請參閱支援文章 「使用自定義預設使用者配置檔時效能不佳」。
  • 已知下列設定會干擾 Windows 10 裝置上使用和重設密碼的能力:
    • 如果鎖定畫面通知已關閉,重設密碼 將無法運作。
    • HideFastUserSwitching 設定為已啟用或 1
    • DontDisplayLastUserName 被設定為已啟用或 1
    • NoLockScreen 設定為已啟用或 1
    • BlockNonAdminUserInstall 設定為啟用或 1
    • EnableLostMode 是在裝置上設定
    • Explorer.exe 被替換為自定義的 shell
    • 互動式登錄:需要將智慧卡設定為已啟用或 1
  • 下列三個特定設定的組合可能會導致此功能無法運作。
    • 互動式登入:不需要按 CTRL+ALT+DEL = 已停用(僅適用於 Windows 10 版本 1710 和更早版本)
    • DisableLockScreenAppNotifications = 1 或 已啟用
    • Windows SKU 是家用版

注意

這些限制也適用於裝置鎖定畫面中的 Windows Hello 企業版 PIN 重設。

Windows 11 和 Windows 10 密碼重設

若要在登入畫面上設定 SSPR 的 Windows 11 或 Windows 10 裝置,請檢閱下列必要條件和設定步驟。

Windows 11 和 Windows 10 必要條件

  • 以至少 驗證原則 管理員的身分登入 Microsoft Entra 系統 管理中心,啟用 Microsoft Entra 自助式密碼重設
  • 用戶必須先註冊 SSPR,才能在 https://aka.ms/ssprsetup 使用此功能
    • 不僅限於從 Windows 登入畫面使用 SSPR,所有使用者必須先提供驗證的聯絡資訊,才能重設其密碼。
  • 網路 Proxy 需求:
    • 埠 443 至 passwordreset.microsoftonline.comajax.aspnetcdn.com
    • Windows 10 裝置需要對用於執行 SSPR 的預設臨時帳戶 defaultuser1 進行電腦層級的 Proxy 設定或範圍 Proxy 設定(如需詳細資訊,請參閱 疑難解答 一節)。
  • 至少執行 Windows 10 版本 2018 年 4 月更新 (v1803),且裝置必須是:
    • Microsoft Entra 已加入
    • Microsoft Entra 混合式加入

使用 Microsoft Intune 啟用 Windows 11 和 Windows 10

使用 Microsoft Intune 部署組態變更以從登入畫面啟用 SSPR 是最具彈性的方法。 Microsoft Intune 可讓您將組態變更部署到您定義的特定計算機群組。 此方法需要該裝置註冊到 Microsoft Intune。

在 Microsoft Intune 中建立裝置設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置組態]>[配置檔]來建立新的裝置配置檔,然後選取 [+ 建立配置檔]

    • 針對 平臺 選擇 Windows 10 和更新版本
    • 針對 配置檔類型,選擇 [範本],然後選取下方的 [自定義範本]

  3. 選取 建立,然後為設定檔命名一個有意義的名稱,例如 Windows 11 登入畫面 SSPR

    可選擇性地提供有意義的設定檔描述,然後選取 [下一步]

  4. 在 [組態設定]下,選取 [[新增],並提供下列 OMA-URI 設定以啟用重設密碼連結:

    • 提供有意義的名稱來說明設定的用途,例如 新增 SSPR 連結。
    • 可以選擇提供有意義的環境描述。
    • OMA-URI 設為 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • 數據類型 設定為 整數
    • 設定為 1

    選取 [新增],然後 [下一步]。

  5. 原則可以指派給特定用戶、裝置或群組。 視需要將配置檔指派給環境,最好先將配置檔指派給一組測試裝置,然後選取 [下一步]

    如需詳細資訊,請參閱 在 Intune Microsoft中指派使用者和裝置配置檔。

  6. 視您的環境需要設定適用性規則,例如,如果操作系統版本為 Windows 10 企業版,則選取 [下一步][指派配置檔]。

  7. 檢查您的設定檔,然後選取 [建立]

使用註冊表啟用 Windows 11 和 Windows 10

若要使用登錄機碼在登入畫面上啟用 SSPR,請完成下列步驟:

  1. 使用系統管理認證登入 Windows 計算機。

  2. Windows + R 以開啟 執行 對話框,然後以系統管理員身分執行 regedit

  3. 設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
   "AllowPasswordReset"=dword:00000001

針對 Windows 11 和 Windows 10 密碼重設進行疑難解答

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,Microsoft Entra 審核日誌包含發生密碼重設的 IP 位址和 ClientType 資訊,如下列範例輸出所示:

Microsoft Entra 稽核記錄 中的 Windows 7 密碼重設範例

當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時,會建立稱為 defaultuser1 的低許可權暫存帳戶。 此帳戶是用來保護密碼重設程式的安全。

帳戶本身有隨機產生的密碼,會根據組織密碼原則進行驗證、不會顯示裝置登入,而且會在使用者重設其密碼之後自動移除。 多個 defaultuser 配置檔可能存在,但可以安全地忽略。

Windows 密碼重設的 Proxy 設定

在密碼重設期間,SSPR 會建立暫時的本機用戶帳戶,以連線到 https://passwordreset.microsoftonline.com/n/passwordreset。 當代理伺服器被配置用於使用者驗證時,可能會失敗並出現錯誤 「發生錯誤。請稍後再試一次。」 這是因為本機用戶帳戶未獲授權使用此已驗證的代理伺服器。

在此情況下,您可以使用下列其中一個因應措施:

  • 設定不依賴登入系統使用者的整個系統代理伺服器設置。 例如,您可以針對工作站啟用組策略 讓每部計算機進行 Proxy 設定,而不是個別使用者

  • 如果您修改預設帳戶的登錄範本,也可以使用 SSPR 的 Per-User Proxy 設定。 命令如下所示:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
reg unload "hku\Default"

  • 當任何事物中斷 URL 連線 https://passwordreset.microsoftonline.com/n/passwordreset時,也會發生錯誤 「發生問題」。 例如,當防病毒軟體在工作站上執行時,可能會發生此錯誤,而不會排除 URL passwordreset.microsoftonline.comajax.aspnetcdn.comocsp.digicert.com。 暫時停用此軟體以測試問題是否已解決。

Windows 7、8 和 8.1 密碼重設

若要在登入畫面上設定 SSPR 的 Windows 7、8 或 8.1 裝置,請檢閱下列必要條件和設定步驟。

Windows 7、8 和 8.1 必要條件

警告

必須啟用 TLS 1.2,而不只是設定為自動交涉。

安裝

針對 Windows 7、8 和 8.1,必須在電腦上安裝小型元件,才能在登入畫面上啟用 SSPR。 若要安裝此 SSPR 元件,請完成下列步驟:

  1. 下載您想要啟用之 Windows 版本的適當安裝程式。

    Microsoft下載中心提供軟體安裝程式,https://aka.ms/sspraddin

  2. 登入您要安裝的計算機,然後執行安裝程式。

  3. 安裝之後,強烈建議重新啟動。

  4. 重新啟動之後,在登入畫面上選擇使用者,然後選取 [忘記密碼?] 來起始密碼重設工作流程。

  5. 請依照螢幕上的步驟完成工作流程,以重設密碼。

範例 Windows 7 點選 [忘記密碼?] SSPR流程

無提示安裝

您可以使用下列命令來安裝或卸載 SSPR 元件,而不需提示:

  • 針對無提示安裝,請使用 「msiexec /i SsprWindowsLogon.PROD.msi /qn」 命令
  • 針對無提示卸載,請使用 「msiexec /x SsprWindowsLogon.PROD.msi /qn」 命令

針對 Windows 7、8 和 8.1 密碼重設進行疑難解答

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,則會在機器和 Microsoft Entra ID 中記錄事件。 Microsoft Entra 事件包含發生密碼重設之 IP 位址和 ClientType 的相關信息,如下列範例輸出所示:

Microsoft Entra 稽核記錄 中的 Windows 7 密碼重設範例

如果需要額外的記錄,可以變更計算機上的登錄機碼,以啟用詳細信息記錄。 僅使用下列登錄機碼值啟用詳細資訊記錄以進行疑難解答:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • 若要啟用詳細記錄,請建立 REG_DWORD: "EnableLogging"並將其值設定為 1。
  • 若要停用詳細信息記錄,請將 REG_DWORD: "EnableLogging" 變更為 0。
  • 在來源 AADPasswordResetCredentialProvider 底下的 [應用程式] 事件記錄中檢閱偵錯記錄。

使用者看到的內容

針對您的 Windows 裝置設定 SSPR 後,使用者有哪些變更? 他們如何知道他們可以在登入畫面重設密碼? 下列範例螢幕快照顯示使用者使用 SSPR 重設其密碼的其他選項:

顯示 SSPR 連結的 Windows 7 和 10 登入畫面範例

當使用者嘗試登入時,他們會看到 重設密碼忘記密碼 連結,在登入畫面上開啟自助式密碼重設體驗。 此功能可讓使用者重設其密碼,而不需要使用其他裝置來存取網頁瀏覽器。

如需使用此功能的使用者詳細資訊,請參閱 重設公司或學校密碼

後續步驟

為了簡化使用者註冊體驗,您可以 預先填入 SSPR的使用者驗證聯繫人資訊。