共用方式為


在 Windows 登入畫面上啟用 Microsoft Entra 自助式密碼重設

自助密碼重設 (SSPR) 使 Microsoft Entra ID 中的使用者能夠變更或重設其密碼,而無需系統管理員或技術支援中心介入。 一般情況下,使用者會在另一個裝置上開啟網頁瀏覽器,以存取 SSPR 入口網站。 若要改善執行 Windows 7、8、8.1、10 和 11 的電腦體驗,您可以允許使用者在 Windows 登入畫面重設其密碼。

範例:顯示 SSPR 連結的 Windows 登入畫面

重要

本教學課程說明管理員如何為企業中的 Windows 裝置啟用 SSPR。

如果您的 IT 小組尚未啟用從您的 Windows 裝置使用 SSPR 的功能,或您在進行單一登入時遇到問題,請與您的技術服務人員聯繫以取得其他協助。

一般限制

從 Windows 登入畫面使用 SSPR 具有下列限制:

  • 目前不支援從遠端桌面或 Hyper-V 增強工作階段進行密碼重設。
  • 已知某些協力廠商認證提供者會導致此功能發生問題。
  • 已知透過修改 EnableLUA 登錄機碼 \(英文\) 來停用 UAC 會造成問題。
  • 此功能不適用於已部署 802.1x 網路驗證及使用 [在使用者登入前立即執行] 選項的網路。 針對已部署 802.1x 網路驗證的網路,建議您使用機器驗證來啟用此功能。
  • 已加入 Microsoft Entra 混合式的電腦必須網路連線且可看見網域控制站,才能使用新的密碼並更新快取的認證。 這表示裝置必須位於組織的內部網路,或是位於能透過網路存取內部部署網域控制站的 VPN。
  • 如果使用映像,請在執行 sysprep 之前,先確定已針對內建的 Administrator 清除 Web 快取,然後才執行 CopyProfile 步驟。 如需有關此步驟的詳細資訊,請參閱使用自訂預設使用者設定檔時效能不佳 \(機器翻譯\) 支援文章。
  • 已知下列設定會影響在 Windows 10 裝置上使用及重設密碼的能力:
    • 如果鎖定螢幕通知已關閉,[重設密碼] 將無法運作。
    • HideFastUserSwitching 設定為已啟用或 1
    • DontDisplayLastUserName 設定為已啟用或 1
    • NoLockScreen 設定為已啟用或 1
    • BlockNonAdminUserInstall 設定為已啟用或 1
    • EnableLostMode 已設定於裝置上
    • Explorer.exe 會取代為自訂殼層
    • 互動式登入:需要將智慧卡設定為已啟用或 1
  • 下列三個特定設定的組合,可能會導致此功能無法正常運作。
    • 互動式登入:不需要 CTRL+ALT+DEL = 停用 (僅適用於 Windows 10 1710 版和更早版本)
    • [DisableLockScreenAppNotifications] = 1 或 [已啟用]
    • Windows SKU 為家用版本

注意

這些限制也適用於裝置鎖定畫面的 Windows Hello 企業版 PIN 重設。

Windows 11 和 Windows 10 密碼重設

若要設定 Windows 11 或 Windows 10 裝置在登入畫面的 SSPR,請參閱下列先決條件和設定步驟。

Windows 11 和 Windows 10 的先決條件

  • 以至少驗證原則管理員身分登入 Microsoft Entra 系統管理中心,並啟用 Microsoft Entra 自助式密碼重設
  • 使用者必須註冊 SSPR 才能在 https://aka.ms/ssprsetup 使用此功能
    • 除了從 Windows 登入畫面使用 SSPR,所有使用者都必須先提供驗證連絡人資訊,才能重設其密碼。
  • 網路 Proxy 需求:
    • 針對 passwordreset.microsoftonline.comajax.aspnetcdn.com 開啟連接埠 443
    • Windows 10 裝置需要用來執行 SSPR 之暫時 defaultuser1 帳戶的機器層級 Proxy 設定或限定的 Proxy 設定 (如需詳細資料,請參閱疑難排解一節)。
  • 至少執行 2018 年 4 月更新版 (v1803) 的 Windows 10,且裝置必須是:
    • 已加入 Microsoft Entra
    • 已加入 Microsoft Entra 混合式

使用 Microsoft Intune 啟用 Windows 11 和 Windows 10

若要啟用從登入畫面進行 SSPR 的功能,使用 Microsoft Intune 部署組態變更是最具彈性的方法。 Microsoft Intune 可讓您將組態變更部署至您所定義的特定機器群組。 必須完成裝置的 Microsoft Intune 註冊,才能使用此方法。

在 Microsoft Intune 中建立裝置設定原則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置組態]>[設定檔],接著選取 [+ 建立設定檔],以建立新的裝置組態設定檔

    • 針對 [平台] 選擇 [Windows 10 及更新版本]
    • 針對設定檔類型,選擇 [範本],然後選取下方的 [自訂範本]
  3. 選取 [建立],然後為設定檔提供有意義的名稱,例如「Windows 11 登入畫面的 SSPR」

    選擇性地提供有意義的設定檔描述,接著選取 [下一步]

  4. 在 [組態設定] 下,選取 [新增] 並提供下列 OMA-URI 設定,以啟用重設密碼連結:

    • 提供有意義的名稱,以說明正在進行的設定,例如「新增 SSPR 連結」
    • 選擇性提供有意義的設定描述。
    • OMA URI 設為 ./Device/Vendor/MSFT/Policy/Config/Authentication/AllowAadPasswordReset
    • 資料類型 設為 整數
    • 設為 1

    選取 [新增],然後選取 [下一步]

  5. 該原則可以指派給特定的使用者、裝置或群組。 將所需的設定檔指派給您的環境,最好是先測試裝置的群組,然後選取 [下一步]

    如需詳細資訊,請參閱在 Microsoft Intune 中指派使用者和裝置設定檔

  6. 設定您的環境所需的適用性規則,例如「當作業系統版本為 Windows 10 企業版時指派設定檔」,請選取 [下一步]

  7. 檢查您的設定檔,然後選取 [建立]

使用登錄啟用 Windows 11 和 Windows 10

若要使用登錄機碼啟用登入畫面上的 SSPR,請完成下列步驟:

  1. 使用系統管理認證登入 Windows PC。

  2. 按下 Windows + R 以開啟 [執行] 對話方塊,然後以系統管理員身分執行 regedit

  3. 設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AzureADAccount
       "AllowPasswordReset"=dword:00000001
    

針對 Windows 11 和 Windows 10 密碼重設進行疑難排解

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,Microsoft Entra 稽核記錄會包含發生密碼重設的 IP 位址和 ClientType 相關資訊,如下列範例輸出所示:

Microsoft Entra 稽核記錄中的範例 Windows 7 密碼重設

當使用者從 Windows 11 或 10 裝置的登入畫面重設其密碼時,將會建立稱為 defaultuser1 的低權限暫時帳戶。 此帳戶用來保護密碼重設程序。

帳戶本身會有隨機產生的密碼,此密碼會根據組織密碼原則進行驗證,而不會在裝置登入時顯示,並會在使用者重設其密碼之後自動移除。 可能會存在多個 defaultuser 設定檔,但您可以放心忽略。

Windows 密碼重設的 Proxy 設定

在密碼重設期間,SSPR 會建立暫時的本機使用者帳戶以連線至 https://passwordreset.microsoftonline.com/n/passwordreset。 當 Proxy 設定為使用者驗證時,它可能會失敗,並「發生錯誤。請稍後再試一次。」這是因為本機使用者帳戶未獲授權使用已驗證的 Proxy。

在此情況下,您可以使用下列其中一種因應措施:

  • 設定全電腦 Proxy 設定,而此設定未相依於已登入機器的使用者類型。 例如,您可以針對工作站啟用群組原則 [為每台電腦建立 Proxy 設定 - 而不是每個使用者]

  • 如果您修改預設帳戶的登錄範本,則也可以針對 SSPR 使用每一使用者 Proxy 設定。 命令如下所示:

    reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d "1" /f
    reg add "hku\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /t REG_SZ /d "<your proxy:port>" /f
    reg unload "hku\Default"
    
  • 有任何項目中斷與 URL https://passwordreset.microsoftonline.com/n/passwordreset 的連線時,也可能會發生「發生錯誤」錯誤。 例如,如果防毒軟體在工作站上執行,但未排除 URL passwordreset.microsoftonline.comajax.aspnetcdn.comocsp.digicert.com,則可能會發生此錯誤。 暫時停用此軟體,以測試問題是否已解決。

Windows 7、8 及 8.1 密碼重設

若要設定 Windows 7、8 或 8.1 裝置在登入畫面的 SSPR,請參閱下列必要條件和設定步驟。

Windows 7、8 及 8.1 先決條件

警告

必須啟用 TLS 1.2,而不能只是設定為自動交涉。

安裝

針對 Windows 7、8 和 8.1,必須在電腦上安裝小型元件,才能在登入畫面上啟用 SSPR。 若要安裝此 SSPR 元件,請完成下列步驟:

  1. 下載適用於所要啟用 Windows 版本的安裝程式。

    您可以在 Microsoft 下載中心 (https://aka.ms/sspraddin) 取得軟體安裝程式

  2. 登入要安裝的電腦,並執行安裝程式。

  3. 安裝之後,強烈建議您重新開機。

  4. 重新開機之後,在登入畫面上選擇使用者,接著選取 [忘記密碼?] 以起始密碼重設工作流程。

  5. 完成工作流程,遵循螢幕上的步驟來重設密碼。

在 Windows7 中按下「忘記密碼?」的範例SSPR 流程

無訊息安裝

您可以使用下列命令,在無提示的情況下安裝或解除安裝 SSPR 元件:

  • 若要進行無訊息安裝,請使用命令 "msiexec /i SsprWindowsLogon.PROD.msi /qn"
  • 若要進行無訊息解除安裝,請使用命令 "msiexec /x SsprWindowsLogon.PROD.msi /qn"

對 Windows 7、8 及 8.1 密碼重設進行疑難排解

如果您在 Windows 登入畫面中使用 SSPR 時遇到問題,電腦和 Microsoft Entra ID 中將會記錄事件。 Microsoft Entra 事件包含發生密碼重設的 IP 位址和 ClientType 相關資訊,如下列範例輸出所示:

Microsoft Entra 稽核記錄中的範例 Windows 7 密碼重設

如果需要額外的記錄,則可變更電腦上的登錄機碼來啟用詳細資訊記錄。 僅使用下列登錄機碼值,以啟用詳細資訊記錄以供疑難排解:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{86D2F0AC-2171-46CF-9998-4E33B3D7FD4F}
  • 若要啟用詳細資訊記錄,請建立 REG_DWORD: "EnableLogging",並將其設定為 1。
  • 若要停用詳細資訊記錄,請將 REG_DWORD: "EnableLogging" 變更為 0。
  • 在來源 AADPasswordResetCredentialProvider 底下的 [應用程式] 事件記錄中檢閱偵錯記錄。

使用者看到的內容

針對 Windows 裝置設定 SSPR 之後,對使用者而言有哪些改變? 他們如何得知可在登入畫面重設其密碼? 下列範例螢幕擷取畫面顯示使用者透過 SSPR 重設其密碼的其他選項:

顯示具有 SSPR 連結的範例 Windows 7 和 10 登入畫面

當使用者嘗試登入時,便會看到 [重設密碼] 或 [忘記密碼] 連結,該連結可在登入畫面上開啟自助式密碼重設體驗。 這項功能可讓使用者重設其密碼,而不需使用另一個裝置來存取網頁瀏覽器。

如需使用此功能的使用者詳細資訊,請參閱重設公司或學校密碼

下一步

若要簡化使用者註冊體驗,您可以預先填入 SSPR 的使用者驗證連絡人資訊