Принцип работы. Самостоятельный сброс пароля в Microsoft Entra
Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество обращений в службу технической поддержки и минимизирует время простоя из-за невозможности войти на устройство или в приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra.
Внимание
Из этой теоретической статьи администратор узнает, как работает функция самостоятельного сброса пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.
Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.
Как работает процесс сброса паролей?
Пользователь может сбросить или изменить пароль с помощью портала SSPR. Сначала они должны зарегистрировать нужные методы проверки подлинности. Когда пользователь обращается к порталу SSPR, платформа Microsoft Entra учитывает следующие факторы:
- язык страницы;
- допустимость учетной записи;
- организация, к которой принадлежит пользователь;
- параметры управления паролем пользователя;
Когда пользователь нажимает на ссылку Не удается получить доступ к своей учетной записи в приложении или на странице, либо когда он переходит непосредственно к https://aka.ms/sspr, язык, используемый на портале SSPR, выбирается с учетом следующих параметров:
- По умолчанию язык, на котором портал SSPR отображается для пользователя, определяется по языковому стандарту браузера. Эта функция сброса пароля переведена на все языки, поддерживаемые Microsoft 365.
- Если вы хотите создать ссылку, при переходе по которой порта SSPR будет отображаться на определенном языке, добавьте
?mkt=
в конец URL-адреса сброса пароля вместе с требуемым языковым стандартом.- Например, чтобы указать испанской языковой стандарт es-US, введите
?mkt=es-us
- https://passwordreset.microsoftonline.com/?mkt=es-us.
- Например, чтобы указать испанской языковой стандарт es-US, введите
После отображения портала SSPR на требуемом языке пользователю будет предложено ввести идентификатор пользователя и подтвердить, что он не робот. Идентификатор Microsoft Entra теперь проверяет, что пользователь может использовать SSPR, выполнив следующие проверки:
- Проверяет, что у пользователя включена функция SSPR.
- Если у пользователя эта функция не включена, то для сброса своего пароля ему предлагается обратиться к администратору.
- Проверяет наличие у пользователя соответствующих методов проверки подлинности, определенных в его учетной записи в соответствии с политикой администратора.
- Если политика требует только один метод, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для одного из методов проверки подлинности, разрешенных политикой администратора.
- Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
- Если политика требует два метода, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для двух методов проверки подлинности, разрешенных политикой администратора.
- Если методы проверки подлинности для пользователя не настроены, то для сброса пароля пользователю предлагается обратиться к администратору.
- Если пользователю назначается роль администратора Azure, применяется строгая двухфакторная политика паролей. Дополнительные сведения см. в разделе Различия политики сброса администратора.
- Если политика требует только один метод, то проверяется, определены ли у пользователя соответствующие данные по крайней мере для одного из методов проверки подлинности, разрешенных политикой администратора.
- Проверяет, управляет ли пароль пользователя локальной средой, например, если клиент Microsoft Entra использует федеративную, сквозную проверку подлинности или синхронизацию хэша паролей:
- Если обратная запись самостоятельного сброса пароля настроена, а управление паролем пользователя осуществляется локально, то пользователю разрешается продолжить проверку подлинности и сбросить свой пароль.
- Если обратная запись самостоятельного сброса пароля не развернута, а управление паролем пользователя осуществляется локально, то пользователю предлагается обратиться к администратору для сброса своего пароля.
Если все предыдущие проверки успешно выполнены, пользователь проходит через процесс сброса или изменения пароля.
Примечание.
Функция самостоятельного сброса пароля может отправлять пользователям уведомления по электронной почте в рамках процесса сброса пароля. Эти сообщения отправляются с помощью службы ретранслятора SMTP, работающей в режиме "активный — активный" в нескольких регионах.
Службы ретранслятора SMTP получают и обрабатывают текст сообщений электронной почты, но не сохраняют его. Текст сообщения электронной почты от функции самостоятельного сброса пароля, который потенциально может содержать сведения, предоставленные клиентом, не хранится в журналах службы ретранслятора SMTP. В журналах содержатся только метаданные протокола.
Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.
Запрос регистрации пользователей при входе
Вы можете включить параметр, чтобы пользователь мог завершить регистрацию SSPR, если используется современная проверка подлинности или веб-браузер для входа в любые приложения с помощью идентификатора Microsoft Entra. К этому рабочему процессу относятся следующие приложения:
- Microsoft 365
- Центр администрирования Microsoft Entra
- Панель доступа
- федеративные приложения;
- Пользовательские приложения с помощью идентификатора Microsoft Entra
Если регистрация не требуется, пользователи не получают запрос во время входа в систему, но они могут выполнить регистрацию вручную. Пользователи могут открыть страницу https://aka.ms/ssprsetup или перейти по ссылке на вкладкеПрофиль на панели доступа.
Примечание.
Пользователи могут закрыть портал регистрации для самостоятельного сброса пароля, выбрав Отмена или закрыв окно. Но каждый раз при входе они будут получать запрос на регистрацию, пока не выполнят ее.
Это прерывание для регистрации в SSPR не нарушает подключение пользователя, если он уже выполнил вход.
Повторный ввод данных проверки подлинности
Чтобы убедиться в правильности методов проверки подлинности, когда необходимо сбросить или изменить пароль, можно потребовать от пользователей подтвердить зарегистрированную информацию по истечении определенного периода времени. Это возможно только, если включить параметр Требовать регистрации пользователей при входе.
Допустимые значения, по которым пользователю предлагается подтвердить свои зарегистрированные методы, находятся в диапазоне от 0 до 730 дней. Если установить этому параметру значение 0, пользователям не будет предлагаться подтвердить данные проверки подлинности. При использовании Объединенных возможностей регистрации пользователи должны подтвердить свою личность, прежде чем повторно подтвердить свои данные.
методы проверки подлинности;
Если для пользователя включена функция самостоятельного сброса пароля, он должен зарегистрировать по крайней мере один метод проверки подлинности. Мы настоятельно рекомендуем выбрать два или больше методов проверки подлинности, чтобы у пользователей было больше возможностей на случай, если они не смогут получить доступ к одному из методов. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.
Для SSPR доступны следующие методы проверки подлинности.
- Уведомление мобильного приложения
- Код мобильного приложения
- Эл. почта
- Мобильный телефон
- Рабочий телефон (доступно только для клиентов с платными подписками)
- Контрольные вопросы:
Пользователи могут сбрасывать пароль только в том случае, если они регистрируют метод проверки подлинности, включенный администратором.
Предупреждение
Для учетных записей, которым назначены роли администратора Azure, необходимо использовать методы, описанные в разделе о различиях в политиках сброса паролей для роли администратора.
Необходимое количество методов проверки подлинности
Можно настроить количество имеющихся методов проверки подлинности, которые должен использовать пользователь, чтобы сбросить или разблокировать свой пароль. Для этого параметра можно задать значение один или два.
Пользователи должны зарегистрировать несколько методов проверки подлинности, чтобы они могли войти в систему другим способом, если они не смогут получить доступ к одному методу.
Если пользователь не регистрирует минимальное количество обязательных методов, при попытке использовать SSPR отображается страница ошибок. Им нужно запросить, чтобы администратор сбросил пароль. Дополнительные сведения см. в разделе "Изменение методов проверки подлинности".
Мобильное приложение и самостоятельный сброс пароля
При использовании мобильного приложения в качестве метода сброса пароля, например Microsoft Authenticator, следует учитывать, если организация не перенесена в централизованную политику методов проверки подлинности:
- Когда администраторы требуют использовать один метод для сброса пароля, применение кода проверки является единственным доступным вариантом.
- Если администраторам требуются два метода, пользователи смогут сбросить пароль с помощью уведомления ИЛИ с помощью кода проверки в дополнение к любым другим включенным методам.
Число требуемых методов для сброса | Единица | Два |
---|---|---|
Доступные функции мобильного приложения | Код | Код или уведомление |
Вместо этого они смогут зарегистрировать мобильное приложение по адресу https://aka.ms/mfasetup или в службе регистрации сведений о безопасности по адресу https://aka.ms/setupsecurityinfo.
Внимание
Authenticator нельзя выбрать в качестве единственного метода проверки подлинности, если требуется только один метод. Аналогичным образом, Authenticator и только один дополнительный метод нельзя выбрать, если требуется два метода.
При настройке политик самостоятельного сброса пароля, в которых приложение Authenticator указано в качестве метода, необходимо выбрать по крайней мере один дополнительный метод, если требуется один метод, а при настройке двух методов необходимо выбрать не менее двух дополнительных методов.
Изменение методов проверки подлинности
Что случится, если начать с политики, в которой зарегистрирован только один обязательный метод проверки подлинности для сброса или разблокировки, а затем изменить его на два?
Число зарегистрированных методов | Число обязательных методов | Результат |
---|---|---|
1 или более | 1 | Есть возможность сброса или разблокировки |
1 | 2 | Нет возможности сброса или разблокировки |
минимум 2 | 2 | Есть возможность сброса или разблокировки |
Изменение доступных методов проверки подлинности также может вызвать проблемы для пользователей. Если изменить доступные методы проверки подлинности, пользователи без минимального объема доступных данных не могут использовать SSPR.
Рассмотрим следующий сценарий в качестве примера:
- Настроена исходная политика с двумя методами проверки подлинности. Она использует только номер рабочего телефона и контрольные вопросы.
- Администратор изменяет политику таким образом, чтобы больше не использовались контрольные вопросы, а использовались номер мобильного телефона и запасной адрес электронной почты.
- Пользователи, у которых не заполнены поля мобильного телефона или запасного адреса электронной почты, не могут сбрасывать свои пароли.
Notifications
Чтобы улучшить осведомленность о событиях, связанных с паролями, функция самостоятельного сброса пароля позволяет настраивать уведомления как для пользователей, так и для администраторов удостоверений.
"Уведомлять пользователей о сбросе пароля"
Если для этого параметра задать значение Да, пользователи, сбрасывающие пароль, получат письмо, в котором указано, что пароль изменен. Электронная почта отправляется через портал SSPR на их основные и альтернативные адреса электронной почты, хранящиеся в идентификаторе Microsoft Entra. Если основной или альтернативный адрес электронной почты не определен, SSPR попытается отправить уведомление по электронной почте с помощью имени участника-пользователя (UPN). Больше это уведомление никому не отправляется.
"Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли"
Если для этого параметра задано значение "Да", глобальные администраторы получают сообщение электронной почты основной адрес электронной почты, хранящиеся в идентификаторе Microsoft Entra. В сообщении будет указано, что другой администратор изменил пароль с помощью SSPR.
Примечание.
Уведомления по электронной почте из службы SSPR будут отправляться со следующих адресов на основе облака Azure, с которым вы работаете:
- Общедоступная: [email protected], [email protected]
- Microsoft Azure, управляемый 21Vianet (Azure в Китае): [email protected]@21vianet.com
- Azure для государственных организаций США: [email protected]@microsoftonline.us
Если при получении уведомлений возникают проблемы, проверьте параметры спама.
Если вы хотите, чтобы пользовательские администраторы получали уведомления по электронной почте, используйте настройки SSPR и настройте настраиваемую ссылку службы технической поддержки или электронную почту.
Локальная интеграция
В гибридной среде можно настроить облачную синхронизацию Microsoft Entra Connect для записи событий изменения пароля обратно с идентификатора Microsoft Entra в локальный каталог.
Идентификатор Microsoft Entra проверяет текущее гибридное подключение и предоставляет сообщения в Центре администрирования Microsoft Entra. Сведения об устранении возможных ошибок см. в статье "Устранение неполадок Microsoft Entra Connect".
Чтобы приступить к работе с обратной записью SSPR, ознакомьтесь со следующим руководством.
"Включить обратную запись паролей в локальный каталог"
Вы можете включить обратную запись паролей с помощью Центра администрирования Microsoft Entra. Вы также можете временно отключить обратную запись паролей, не перенастроив Microsoft Entra Connect.
- Если для параметра задано значение Да, обратная запись включена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей могут сбрасывать свои пароли.
- Если параметр имеет значение Нет, обратная запись отключена. Пользователи, использующие федеративную, сквозную проверку подлинности или синхронизацию хэшей паролей не могут сбрасывать свои пароли.
Разрешить пользователям разблокировать учетные записи без сброса пароля
По умолчанию идентификатор Microsoft Entra разблокирует учетные записи при выполнении сброса пароля. Для обеспечения гибкости можно разрешить пользователям разблокировать свои локальные учетные записи без необходимости сбрасывать свои пароли. Используйте данный параметр, чтобы разделить эти две операции.
- Если выбрано значение Да, пользователи могут сбросить пароль и разблокировать учетную запись или разблокировать учетную запись без сброса пароля.
- Если значение — Нет, пользователи могут разблокировать учетную запись только после сброса пароля.
Фильтры паролей локальной службы Active Directory
Функция самостоятельного сброса пароля выполняет в Active Directory действие, эквивалентное сбросу пароля, инициированного администратором. Если вы используете сторонний фильтр паролей для применения пользовательских правил паролей и требуется, чтобы этот фильтр паролей был проверен во время самостоятельного сброса пароля Microsoft Entra, убедитесь, что стороннее решение фильтра паролей настроено для применения в сценарии сброса пароля администратора. Защита паролей Microsoft Entra для служб домен Active Directory поддерживается по умолчанию.
Сброс пароля для пользователей B2B
Сброс и изменение пароля полностью поддерживается во всех конфигурациях B2B. Сброс паролей для пользователей B2B поддерживается в трех случаях:
- Пользователи из партнерской организации с существующим клиентом Microsoft Entra: если у вашего партнера есть клиент Microsoft Entra, мы уважаем все политики сброса паролей в этом клиенте. Чтобы сброс пароля работал, организации-партнеру необходимо просто убедиться, что microsoft Entra SSPR включен. Плата за клиентов Microsoft 365 не взимается.
- Пользователи, которые регистрируются с помощью самостоятельной регистрации: если ваш партнер использовал функцию самостоятельной регистрации для входа в клиент, мы позволяем им сбросить пароль по электронной почте, которую они зарегистрировали.
- Пользователи B2B: все новые пользователи B2B, созданные с помощью новых возможностей Microsoft Entra B2B, также могут сбросить пароли с помощью электронной почты, зарегистрированной во время процесса приглашения.
Чтобы протестировать данный сценарий, перейдите на сайт https://passwordreset.microsoftonline.com
под одним из этих пользователей-партнеров. Если пользователь определил альтернативный адрес электронной почты или электронную почту проверки подлинности, сброс пароля будет работать должным образом.
Примечание.
Учетные записи Майкрософт, которым предоставлен гостевой доступ к клиенту Microsoft Entra, такие как Hotmail.com, Outlook.com или другие личные адреса электронной почты, не могут использовать Microsoft Entra SSPR. Дополнительные сведения см. в статье "Когда вы не можете войти в учетную запись Майкрософт".
Следующие шаги
Чтобы приступить к работе с функцией самостоятельного сброса пароля, ознакомьтесь со следующим руководством.