Поделиться через

Как это работает: самостоятельный сброс пароля Microsoft Entra

  • Статья

Самостоятельный сброс пароля Microsoft Entra (SSPR) дает пользователям возможность изменять или сбрасывать пароль без участия администратора или службы технической поддержки. Если учетная запись пользователя заблокирована или пользователь забыл пароль, выполнив несложные инструкции, он сможет выполнить разблокировку и вернуться к работе. Эта возможность снижает количество вызовов службы поддержки и потери производительности, когда пользователь не может войти на свое устройство или приложение. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra.

Это важно

В этой концептуальной статье объясняется администратору, как работает самостоятельный сброс пароля. Если вы конечный пользователь, уже зарегистрированы для самостоятельного сброса пароля и хотите восстановить доступ к учетной записи, перейдите по ссылке https://aka.ms/sspr.

Если ИТ-команда не включила возможность сброса пароля, обратитесь в службу технической поддержки для получения дополнительной помощи.

Как работает процесс сброса паролей?

Пользователь может сбросить или изменить пароль с помощью портала SSPR. Сначала они должны зарегистрировать нужные методы проверки подлинности. Когда пользователь обращается к порталу SSPR, платформа Microsoft Entra учитывает следующие факторы:

  • Как локализовать страницу?
  • Является ли учетная запись пользователя действительной?
  • Какая организация принадлежит пользователю?
  • Где управляется пароль пользователя?

Когда пользователь выбирает ссылку Не удается получить доступ к учетной записи в приложении или на странице или переходит непосредственно на https://aka.ms/sspr, язык, используемый на портале SSPR, определяется следующими параметрами:

  • По умолчанию локаль браузера используется для отображения SSPR на соответствующем языке. Процесс сброса пароля локализован на те же языки, что поддерживает Microsoft 365.
  • Если вы хотите связаться с SSPR на определенном локализованном языке, добавьте ?mkt= его в конец URL-адреса сброса пароля вместе с необходимым языковым стандартом.

После отображения портала SSPR на требуемом языке пользователю будет предложено ввести идентификатор пользователя и пройти captcha. Идентификатор Microsoft Entra теперь проверяет, что пользователь может использовать SSPR, выполнив следующие проверки:

  • Проверяет, включена ли функция SSPR для пользователя.
    • Если пользователь не подключён к ССРС, ему будет предложено обратиться к администратору, чтобы сбросить пароль.
  • Проверяет, что у пользователя есть правильные методы проверки подлинности, определенные в учетной записи в соответствии с политикой администратора.
    • Если для политики требуется только один метод, убедитесь, что у пользователя есть соответствующие данные, определенные по крайней мере для одного из методов проверки подлинности, включенных политикой администратора.
      • Если методы проверки подлинности не настроены, пользователю рекомендуется обратиться к администратору, чтобы сбросить пароль.
    • Если политика требует двух методов, убедитесь, что у пользователя есть соответствующие данные, определенные по крайней мере для двух методов проверки подлинности, включенных политикой администратора.
      • Если методы проверки подлинности не настроены, пользователю рекомендуется обратиться к администратору, чтобы сбросить пароль.
    • Если пользователю назначена роль администратора Azure, применяется строгая двухфакторная политика паролей. Для получения дополнительной информации см. раздел Различия в политике сброса администратора.
  • Проверяет, управляется ли пароль пользователя на территории организации, например, если клиент Microsoft Entra использует федеративную проверку подлинности, сквозную аутентификацию или синхронизацию хэша паролей:
    • Если настроена обратная запись SSPR и пароль пользователя управляется локально, пользователь может продолжить проверку подлинности и сброс пароля.
    • Если функция обратной записи SSPR не включена и пароль пользователя управляется в локальной сети, пользователю будет предложено обратиться к администратору, чтобы сбросить пароль.

Если все предыдущие проверки успешно завершены, пользователь проходит процесс сброса или изменения пароля под руководством.

Примечание.

SSPR может отправлять уведомления по электронной почте пользователям в рамках процесса сброса пароля. Эти сообщения отправляются с помощью службы ретрансляции SMTP, которая работает в активно-активном режиме в нескольких регионах.

Службы ретранслятора SMTP получают и обрабатывают текст электронной почты, но не сохраняют его. Текст сообщения электронной почты SSPR, который может содержать предоставленные клиентом сведения, не хранится в журналах службы ретранслятора SMTP. Журналы содержат только метаданные протокола.

Чтобы приступить к работе с SSPR, выполните следующее руководство.

Руководство пользователя: Включение самостоятельного сброса пароля (SSPR)

Требовать, чтобы пользователи регистрируются при входе

Вы можете включить параметр, требующий от пользователя завершения регистрации SSPR, если он использует современную проверку подлинности или веб-браузер для входа в любые приложения, использующие идентификатор Microsoft Entra. Этот рабочий процесс включает следующие приложения:

  • Microsoft 365
  • Центр администрирования Microsoft Entra
  • Панель доступа
  • Федеративные приложения
  • Пользовательские приложения на основе Microsoft Entra ID

Если регистрация не требуется, пользователям не нужно предоставлять какие-либо данные при входе, но они могут зарегистрироваться вручную. Пользователи могут посетить https://aka.ms/ssprsetup или выбрать ссылку "Регистрация для сброса пароля " на вкладке "Профиль " на панели доступа.

Скриншот регистрации сброса пароля для Microsoft Entra ID.

Примечание.

Пользователи могут закрыть портал регистрации SSPR, выбрав отмену или закрыв окно. Им предлагается каждый раз регистрироваться при входе в систему, пока они не завершат регистрацию.

Это прерывание регистрации для SSPR не прерывает подключение пользователя, если он уже вошел в систему.

Повторно подтвердите сведения для аутентификации

Вы можете требовать от пользователей подтверждения сведений о проверке подлинности через определенный период времени. Этот параметр доступен только в том случае, если вы активируете опцию Требовать от пользователей регистрацию при входе.

Допустимые значения для запроса пользователя подтвердить данные аутентификации составляют от 0 до 730 дней. Установка этого значения в 0 означает, что от пользователей никогда не требуется подтверждение сведений о проверке подлинности. Пользователям необходимо войти, прежде чем они смогут подтвердить свои сведения.

Примечание.

Если для SSPR требуется использование более чем одного метода аутентификации, то пользователю, удаляющему метод, не нужно подтверждать свои данные для аутентификации до тех пор, пока не истечет заданное число дней, после чего пользователям будет предложено повторно подтвердить сведения о проверке подлинности.

Методы проверки подлинности

Если пользователь включен для SSPR, он должен зарегистрировать по крайней мере один метод проверки подлинности. Мы настоятельно рекомендуем выбрать два или более методов проверки подлинности, чтобы пользователи имели большую гибкость в случае, если им не удается получить доступ к одному методу, когда им нужен. Дополнительные сведения см. в разделе Какие методы проверки подлинности доступны?.

Для SSPR доступны следующие методы проверки подлинности.

  • Уведомление мобильного приложения
  • Код мобильного приложения
  • Аппаратный токен OATH
  • Программный токен OATH
  • Сообщение электронной почты
  • Мобильный телефон
  • Телефон Office (доступен только для клиентов с платными подписками)
  • Вопросы безопасности

Пользователи могут сбросить пароль только в том случае, если они регистрируют метод аутентификации, который был разрешён администратором.

Предупреждение

Учетные записи, назначенные ролям администратора Azure, обязаны использовать методы, определенные в разделе «Различия политик сброса администратора».

Снимок экрана: политика методов проверки подлинности для идентификатора Microsoft Entra.

Количество необходимых методов проверки подлинности

Можно настроить количество доступных методов проверки подлинности, которые пользователь должен предоставить для сброса или разблокировки пароля. Это значение можно задать как одному , так и двум.

Пользователи должны зарегистрировать несколько методов проверки подлинности, чтобы они могли войти в систему другим способом, если они не смогут получить доступ к одному методу.

Если пользователь не регистрирует минимальное количество обязательных методов, при попытке использовать SSPR отображается страница ошибок. Им необходимо запросить, чтобы администратор сбросил их пароль. Дополнительные сведения см. в разделе "Изменение методов проверки подлинности".

Мобильное приложение и SSPR

При использовании мобильного приложения в качестве метода сброса пароля, например Microsoft Authenticator, следует учитывать следующее, если организация еще не осуществила переход на централизованную политику методов аутентификации:

  • Если администраторам требуется использовать один метод для сброса пароля, код проверки является единственным доступным вариантом.
  • Если администраторам требуется использовать два метода для сброса пароля, пользователи могут использовать код уведомления ИЛИ проверки в дополнение к любым другим включенным методам.
Количество методов, необходимых для сброса Один Два
Доступные функции мобильного приложения Код Код или уведомление

Пользователи могут зарегистрировать свое мобильное приложение по https://aka.ms/mfasetupадресу или в рамках объединенной регистрации информации безопасности на https://aka.ms/setupsecurityinfo.

Это важно

Authenticator нельзя выбрать в качестве единственного метода проверки подлинности, если требуется только один метод. Аналогичным образом, Authenticator и только один дополнительный метод нельзя выбрать, если требуется два метода.

При настройке политик SSPR, включающих приложение Authenticator в качестве метода, необходимо выбрать хотя бы один дополнительный метод, если требуется один метод, и при настройке двух методов необходимо выбрать по крайней мере два дополнительных метода.

Изменение методов проверки подлинности

Если вы начинаете с политики, в которой зарегистрирован только один обязательный метод проверки подлинности для сброса или разблокировки, и вы изменяете его на два метода, что происходит?

Количество зарегистрированных методов Количество обязательных методов Результат
1 или более 1 Возможность сбросить или разблокировать
1 2 Не удалось сбросить или разблокировать
2 или более 2 Способен сбросить или разблокировать

Изменение доступных методов проверки подлинности также может привести к проблемам для пользователей. Если изменить доступные методы проверки подлинности, пользователи без минимального объема доступных данных не могут использовать SSPR.

Рассмотрим следующий сценарий в качестве примера:

  1. Исходная политика настроена так, что требуется два метода проверки подлинности. Он использует только номер телефона офиса и вопросы безопасности.
  2. Администратор изменяет политику, чтобы больше не использовать вопросы безопасности, но позволяет использовать мобильный телефон и альтернативный адрес электронной почты.
  3. Пользователи без мобильного телефона или альтернативных полей электронной почты, заполненных теперь не могут сбросить свои пароли.

Уведомления

Чтобы повысить осведомленность о событиях паролей, SSPR позволяет настроить уведомления как для пользователей, так и для администраторов удостоверений.

"Уведомлять пользователей о сбросе пароля"

Если для этого параметра задано значение "Да", пользователи, сбрасывающие пароль, получают сообщение электронной почты, уведомляющее их о том, что пароль был изменен. Электронная почта отправляется через портал SSPR на их основные и альтернативные адреса электронной почты, хранящиеся в идентификаторе Microsoft Entra. Если основной или альтернативный адрес электронной почты не определен, SSPR попытается отправить уведомление по электронной почте с помощью имени участника-пользователя (UPN). Никто другой не уведомляется о событии сброса.

Уведомлять всех администраторов о сбросе паролей другими администраторами

Если этот параметр имеет значение "Да", глобальные администраторы получают сообщение электронной почты по основному адресу электронной почты, хранящейся в идентификаторе Microsoft Entra. Сообщение электронной почты уведомляет их о том, что другой администратор изменил пароль с помощью SSPR.

Примечание.

Уведомления по электронной почте из службы SSPR будут отправляться с следующих адресов на основе облака Azure, с которым вы работаете:

Если вы наблюдаете проблемы с получением уведомлений, проверьте параметры нежелательной почты.

Если вы хотите, чтобы пользовательские администраторы получали уведомления по электронной почте, используйте настройки SSPR и настройте настраиваемую ссылку службы технической поддержки или электронную почту.

Локальная интеграция

В гибридной среде можно настроить облачную синхронизацию Microsoft Entra Connect для записи событий изменения пароля обратно с идентификатора Microsoft Entra в локальный каталог.

Снимок экрана с функцией обратной записи пароля, включенной для Microsoft Entra ID в локальную интеграцию.

Идентификатор Microsoft Entra проверяет текущее гибридное подключение и предоставляет сообщения в Центре администрирования Microsoft Entra. Сведения об устранении возможных ошибок см. в статье "Устранение неполадок Microsoft Entra Connect".

Чтобы приступить к работе с обратной записью SSPR, выполните следующее руководство.

Руководство: Включение функции возврата самостоятельного сброса пароля (SSPR)

Обратная запись паролей в локальный каталог

Вы можете включить обратную запись паролей с помощью Центра администрирования Microsoft Entra. Вы также можете временно отключить обратную запись паролей, не перенастроив Microsoft Entra Connect.

  • Если для параметра задано значение "Да", функция обратной записи включена. Пользователи с федеративной, сквозной аутентификацией или синхронизацией хэша паролей могут сбрасывать свои пароли.
  • Если для параметра задано значение "Нет", обратная запись отключена. Пользователи с федеративной, сквозной аутентификацией или с хешировано-синхронизированными паролями не могут сбросить свои пароли.

Разрешить пользователям разблокировать учетные записи без сброса пароля

По умолчанию идентификатор Microsoft Entra разблокирует учетные записи при выполнении сброса пароля. Чтобы обеспечить гибкость, вы можете разрешить пользователям разблокировать свои локальные учетные записи, не сбрасывая пароль. Используйте этот параметр для разделения этих двух операций.

  • Если задано значение "Да", пользователи получают возможность сброса пароля и разблокировки учетной записи или разблокировки учетной записи без необходимости сброса пароля.
  • Если задано значение "Нет", пользователи смогут выполнять только объединенную операцию сброса пароля и разблокировки учетной записи.

Локальные фильтры паролей Active Directory

SSPR выполняет эквивалент сброса пароля, инициированного администратором, в Active Directory. Если вы используете сторонний фильтр паролей для применения пользовательских правил паролей и требуется, чтобы этот фильтр паролей был проверен во время самостоятельного сброса пароля Microsoft Entra, убедитесь, что стороннее решение фильтра паролей настроено для применения в сценарии сброса пароля администратора. Защита паролей Microsoft Entra для доменных служб Active Directory поддерживается по умолчанию.

Сброс пароля для пользователей B2B

Сброс и изменение пароля полностью поддерживаются в всех конфигурациях между бизнесами (B2B). Сброс пароля пользователя B2B поддерживается в следующих трех случаях:

  • Пользователи из партнерской организации с существующим клиентом Microsoft Entra: если у вашего партнера есть клиент Microsoft Entra, мы уважаем все политики сброса паролей в этом клиенте. Чтобы сброс пароля работал, организации-партнеру необходимо просто убедиться, что Microsoft Entra SSPR включен. Для клиентов Microsoft 365 нет дополнительных сборов.
  • Пользователи, которые регистрируются с помощью самостоятельной регистрации: если ваш партнёр использовал функцию самостоятельной регистрации для входа в арендатора, мы позволяем им сбросить пароль с помощью зарегистрированного ими адреса электронной почты.
  • Пользователи B2B: все новые пользователи B2B, созданные с помощью новых возможностей Microsoft Entra B2B, также могут сбросить пароли с помощью электронной почты, зарегистрированной во время процесса приглашения.

Чтобы протестировать этот сценарий, зайдите на https://passwordreset.microsoftonline.com с одним из этих пользователей-партнеров. Если пользователь определил альтернативный адрес электронной почты или электронную почту проверки подлинности, сброс пароля будет работать должным образом.

Примечание.

Учетные записи Майкрософт, которым предоставлен гостевой доступ к клиенту Microsoft Entra, такие как Hotmail.com, Outlook.com или другие личные адреса электронной почты, не могут использовать Microsoft Entra SSPR. Дополнительные сведения см. в статье "Когда вы не можете войти в учетную запись Майкрософт".

Дальнейшие действия

Чтобы приступить к работе с SSPR, выполните следующее руководство.

Руководство пользователя: Включение самостоятельного сброса пароля (SSPR)