Jak to funguje: Samoobslužné resetování hesla v Microsoft Entra

Samoobslužné resetování hesla (SSPR) společnosti Microsoft Entra umožňuje uživatelům měnit nebo resetovat heslo bez zapojení správce nebo helpdesku. Pokud je účet uživatele uzamčený nebo zapomene heslo, může postupovat podle pokynů, aby se odblokoval a vrátil se do práce. Tato schopnost snižuje počet volání helpdesku a ztrátu produktivity, když se uživatel nemůže přihlásit ke svému zařízení nebo aplikaci. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID.

Důležité

Tento koncepční článek vysvětluje správci, jak samoobslužné resetování hesla funguje. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

Jak funguje proces resetování hesla?

Uživatel může resetovat nebo změnit heslo pomocí portálu SSPR. Nejprve musí zaregistrovat požadované metody ověřování. Když uživatel přistupuje k portálu SSPR, platforma Microsoft Entra považuje následující faktory:

  • Jak má být stránka lokalizována?
  • Je uživatelský účet platný?
  • Do jaké organizace uživatel patří?
  • Kde se spravuje heslo uživatele?

Když uživatel vybere odkaz Nejde získat přístup k vašemu účtu z aplikace nebo stránky nebo přejde přímo na https://aka.ms/sspr, jazyk použitý na portálu SSPR je založený na následujících možnostech:

  • Ve výchozím nastavení se národní prostředí prohlížeče používá k zobrazení SSPR v příslušném jazyce. Prostředí pro resetování hesla je lokalizované do stejných jazyků, které Microsoft 365 podporuje.
  • Pokud chcete propojit SSPR v konkrétním lokalizovaném jazyce, připojte ?mkt= se ke konci adresy URL pro resetování hesla spolu s požadovaným národním prostředím.

Po zobrazení portálu SSPR v požadovaném jazyce se uživateli zobrazí výzva k zadání ID uživatele a předání captcha. Id Microsoft Entra teď ověřuje, že uživatel může používat SSPR pomocí následujících kontrol:

  • Zkontroluje, jestli má uživatel povolené samoobslužné resetování hesla.
    • Pokud uživatel nemá povolené samoobslužné resetování hesla, zobrazí se uživateli výzva, aby kontaktoval správce a resetoval heslo.
  • Kontroluje, jestli má uživatel správné metody ověřování definované ve svém účtu v souladu se zásadami správce.
    • Pokud zásada vyžaduje jenom jednu metodu, zkontrolujte, jestli má uživatel definovaná odpovídající data pro alespoň jednu metodu ověřování povolenou zásadou správce.
      • Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli kontaktovat správce, aby resetoval heslo.
    • Pokud zásada vyžaduje dvě metody, zkontrolujte, jestli má uživatel definovaná odpovídající data pro alespoň dvě metody ověřování povolené zásadami správce.
      • Pokud metody ověřování nejsou nakonfigurované, doporučuje se uživateli kontaktovat správce, aby resetoval heslo.
    • Pokud je uživateli přiřazena role správce Azure, vynutí se silné zásady hesel se dvěma bránami. Další informace najdete v tématu Rozdíly v zásadách resetování správce.
  • Zkontroluje, jestli je heslo uživatele spravované místně, například jestli tenant Microsoft Entra používá federované, předávací ověřování nebo synchronizaci hodnot hash hesel:
    • Pokud je nakonfigurovaný zpětný zápis SSPR a heslo uživatele se spravuje místně, může uživatel pokračovat v ověřování a resetování hesla.
    • Pokud se zpětný zápis SSPR nenasadí a heslo uživatele se spravuje místně, zobrazí se uživateli výzva, aby se obrátil na správce a resetoval si heslo.

Pokud jsou všechny předchozí kontroly úspěšně dokončeny, provede se uživatel procesem resetování nebo změny hesla.

Poznámka:

SSPR může uživatelům posílat e-mailová oznámení v rámci procesu resetování hesla. Tyto e-maily se odesílají pomocí předávací služby SMTP, která funguje v režimu aktivní-aktivní napříč několika oblastmi.

Předávací služby SMTP přijímají a zpracovávají text e-mailu, ale neukládají je. Text e-mailu SSPR, který může potenciálně obsahovat informace poskytnuté zákazníkem, není uložený v protokolech předávací služby SMTP. Protokoly obsahují pouze metadata protokolu.

Pokud chcete začít používat SSPR, dokončete následující kurz:

Vyžadování registrace uživatelů při přihlášení

Můžete povolit možnost vyžadovat, aby uživatel dokončil registraci SSPR, pokud používá moderní ověřování nebo webový prohlížeč k přihlášení k aplikacím pomocí Microsoft Entra ID. Tento pracovní postup zahrnuje následující aplikace:

  • Microsoft 365
  • Centrum pro správu Microsoft Entra
  • Přístupový panel
  • Federované aplikace
  • Vlastní aplikace využívající Microsoft Entra ID

Pokud nevyžadujete registraci, uživatelé se během přihlašování nezobrazí výzva, ale můžou se ručně zaregistrovat. Uživatelé můžou buď navštívithttps://aka.ms/ssprsetup, nebo vybrat odkaz Zaregistrovat k resetování hesla na kartě Profil v Přístupový panel.

Snímek obrazovky s registrací resetování hesla pro MICROSOFT Entra ID

Poznámka:

Uživatelé můžou portál pro registraci SSPR zavřít výběrem možnosti Zrušit nebo zavřít okno. Zobrazí se však výzva k registraci pokaždé, když se přihlásí, dokud nedokončí registraci.

Toto přerušení registrace do SSPR neporuší připojení uživatele, pokud už je přihlášený.

Potvrzení ověřovacích informací

Pokud potřebujete resetovat nebo změnit heslo, ujistěte se, že metody ověřování jsou správné, můžete vyžadovat, aby uživatelé po určité době potvrdili své informace o zaregistrovaných informacích. Tato možnost je dostupná jenom v případě, že povolíte možnost Vyžadovat, aby se uživatelé při přihlašování zaregistrovali.

Platné hodnoty, které uživatele vyzve k potvrzení, že jejich registrované metody jsou od 0 do 730 dnů. Když tuto hodnotu nastavíte na 0 , znamená to, že uživatelé nebudou vyzváni k potvrzení ověřovacích údajů. Při použití kombinovaného prostředí registrace budou uživatelé muset před potvrzením svých informací potvrdit svou identitu.

Metody ověřování

Pokud je pro SSPR povolen uživatel, musí zaregistrovat alespoň jednu metodu ověřování. Důrazně doporučujeme zvolit dvě nebo více metod ověřování, aby vaši uživatelé měli větší flexibilitu v případě, že nebudou mít přístup k jedné metodě, když ji potřebují. Další informace naleznete v tématu Co jsou metody ověřování?.

Pro SSPR jsou k dispozici následující metody ověřování:

  • Oznámení v mobilní aplikaci
  • Kód mobilní aplikace
  • E-mail
  • Mobilní telefon
  • Telefon office (dostupný jenom pro tenanty s placenými předplatnými)
  • Bezpečnostní otázky

Uživatelé můžou resetovat heslo jenom v případě, že zaregistrují metodu ověřování, kterou správce povolil.

Upozorňující

K používání metod definovaných v části Rozdíly v zásadách resetování správce se vyžadují účty přiřazené správcem Azure.

Snímek obrazovky se zásadami metod ověřování pro ID Microsoft Entra

Počet požadovaných metod ověřování

Můžete nakonfigurovat počet dostupných metod ověřování, které musí uživatel zadat k resetování nebo odemknutí hesla. Tuto hodnotu lze nastavit na jednu nebo dvě.

Uživatelé by měli zaregistrovat více metod ověřování, aby se mohli přihlásit jiným způsobem, pokud nemají přístup k jedné metodě.

Pokud uživatel nezaregistruje minimální počet požadovaných metod, při pokusu o použití SSPR se mu zobrazí chybová stránka. Musí požádat správce o resetování hesla. Další informace najdete v tématu Změna metod ověřování.

Mobilní aplikace a samoobslužné resetování hesla

Pokud používáte mobilní aplikaci jako metodu pro resetování hesla, jako je Microsoft Authenticator, platí následující aspekty, pokud se organizace nemigrovala na zásady centralizovaných metod ověřování:

  • Pokud správci vyžadují použití jedné metody k resetování hesla, je jediným dostupným ověřovacím kódem.
  • Pokud správci vyžadují, aby k resetování hesla byly použity dvě metody, uživatelé můžou kromě jiných povolených metod používat i ověřovací kód NEBO oznámení.
Počet metod nutných pro resetování Jeden Dva
Dostupné funkce mobilních aplikací Kód Kód nebo oznámení

Uživatelé mohou zaregistrovat svou mobilní aplikaci na https://aka.ms/mfasetupadrese , nebo v kombinované registraci bezpečnostních údajů na adrese https://aka.ms/setupsecurityinfo.

Důležité

Ověřovací program nelze vybrat jako jedinou metodu ověřování, pokud je vyžadována pouze jedna metoda. Podobně není možné vybrat authenticator a pouze jednu další metodu, pokud požadujete dvě metody.

Při konfiguraci zásad samoobslužného resetování hesla, které zahrnují aplikaci Authenticator jako metodu, by měla být při vyžadování jedné metody vybrána alespoň jedna další metoda a při konfiguraci dvou metod by se měly vybrat aspoň dvě další metody.

Změna metod ověřování

Pokud začnete se zásadami, které mají jenom jednu požadovanou metodu ověřování pro resetování nebo odemknutí, a změníte ji na dvě metody, co se stane?

Počet registrovaných metod Počet požadovaných metod Výsledek
1 nebo více 0 Možnost resetování nebo odemknutí
1 2 Nejde resetovat nebo odemknout
2 nebo více 2 Možnost resetování nebo odemknutí

Změna dostupných metod ověřování může také způsobit problémy uživatelů. Pokud změníte dostupné metody ověřování, uživatelé bez minimálního množství dostupných dat nemůžou použít samoobslužné resetování hesla.

Zvažte následující ukázkový scénář:

  1. Původní zásada je nakonfigurovaná se dvěma požadovanými metodami ověřování. Používá jenom telefonní číslo kanceláře a bezpečnostní otázky.
  2. Správce změní zásady tak, aby už nepoužít bezpečnostní otázky, ale umožňuje používat mobilní telefon a alternativní e-mail.
  3. Uživatelé, kteří nemají vyplněná pole mobilního telefonu nebo alternativního e-mailu, teď nemůžou resetovat svá hesla.

Oznámení

Pokud chcete zlepšit povědomí o událostech hesel, SSPR umožňuje nakonfigurovat oznámení pro uživatele i správce identit.

Upozornit uživatele na resetování hesla

Pokud je tato možnost nastavená na Ano, obdrží uživatelé resetování hesla e-mail s oznámením, že se změnilo heslo. E-mail se odešle prostřednictvím portálu SSPR na primární a alternativní e-mailové adresy, které jsou uložené v Microsoft Entra ID. Pokud není definovaná primární nebo alternativní e-mailová adresa, pokusí se o e-mailové oznámení prostřednictvím hlavního názvu uživatele (UPN). O události resetování se nikdo jiný neoznámí.

Upozornit všechny správce, když ostatní správci resetují svá hesla

Pokud je tato možnost nastavená na Ano, globální správci dostanou e-mail na primární e-mailovou adresu uloženou v Microsoft Entra ID. E-mail jim oznámí, že jiný správce změnil heslo pomocí samoobslužného resetování hesla.

Poznámka:

E-mailová oznámení ze služby SSPR se posílají z následujících adres na základě cloudu Azure, se kterým pracujete:

  • Veřejná: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure provozovaný společností 21Vianet (Azure v Číně): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Pokud zaznamenáte problémy s příjmem oznámení, zkontrolujte nastavení spamu.

Pokud chcete, aby vlastní správci dostávali e-maily s oznámeními, použijte vlastní přizpůsobení samoobslužného resetování hesla a nastavte vlastní odkaz na helpdesk nebo e-mail.

Místní integrace

V hybridním prostředí můžete nakonfigurovat cloudovou synchronizaci Microsoft Entra Connect tak, aby zapisuje události změn hesel zpět z ID Microsoft Entra do místního adresáře.

Snímek obrazovky se zpětným zápisem hesla povoleným pro ID Microsoft Entra do místní integrace

ID Microsoft Entra kontroluje vaše aktuální hybridní připojení a poskytuje zprávy v Centru pro správu Microsoft Entra. Nápovědu k řešení možných chyb najdete v tématu Řešení potíží s Microsoft Entra Connect.

Pokud chcete začít se zpětným zápisem SSPR, dokončete následující kurz:

Zápis hesel do místního adresáře

Zpětný zápis hesla můžete povolit pomocí Centra pro správu Microsoft Entra. Zpětný zápis hesla můžete také dočasně zakázat, aniž byste museli překonfigurovat Microsoft Entra Connect.

  • Pokud je tato možnost nastavená na Ano, je povolený zpětný zápis. Federovaní, předávací ověřování nebo synchronizovaní uživatelé hodnot hash hesel můžou resetovat svá hesla.
  • Pokud je tato možnost nastavená na Ne, je zpětný zápis zakázaný. Federovaní, předávací ověřování nebo synchronizovaní uživatelé hodnot hash hesel nemůžou resetovat svá hesla.

Povolit uživatelům odemknout účty bez resetování hesla

Ve výchozím nastavení Microsoft Entra ID odemkne účty, když provádí resetování hesla. Pokud chcete zajistit flexibilitu, můžete uživatelům povolit odemknout místní účty, aniž by museli resetovat heslo. Toto nastavení použijte k oddělení těchto dvou operací.

  • Pokud je nastavená hodnota Ano, uživatelé mají možnost resetovat heslo a odemknout účet nebo odemknout svůj účet, aniž by museli resetovat heslo.
  • Pokud je nastavená hodnota Ne, uživatelé můžou provádět jenom kombinovanou operaci resetování hesla a odemknutí účtu.

Místní filtry hesel služby Active Directory

SSPR provádí ekvivalent resetování hesla iniciovaného správcem ve službě Active Directory. Pokud k vynucení vlastních pravidel hesel používáte filtr hesel třetí strany a vyžadujete, aby se tento filtr hesel kontroloval během samoobslužného resetování hesla Microsoft Entra, ujistěte se, že je řešení filtru hesel třetí strany nakonfigurované tak, aby se použilo ve scénáři resetování hesla správce. Služba Microsoft Entra pro Doména služby Active Directory Services je ve výchozím nastavení podporovaná.

Resetování hesla pro uživatele B2B

Resetování a změna hesla jsou plně podporovány ve všech konfiguracích B2B (business-to-business). Resetování hesla uživatele B2B se podporuje v následujících třech případech:

  • Uživatelé z partnerské organizace se stávajícím tenantem Microsoft Entra: Pokud má váš partner tenanta Microsoft Entra, respektujeme všechny zásady resetování hesel, které jsou v tomto tenantovi povolené. Aby resetování hesla fungovalo, musí partnerská organizace jenom zajistit, aby byla povolená služba Microsoft Entra SSPR. Pro zákazníky Microsoftu 365 se neúčtují žádné další poplatky.
  • Uživatelé, kteří se registrují prostřednictvím samoobslužné registrace: Pokud váš partner použil funkci samoobslužné registrace k přihlášení do tenanta, necháme jim resetovat heslo e-mailem, který zaregistroval.
  • Uživatelé B2B: Všichni noví uživatelé B2B, kteří vytvořili pomocí nových funkcí Microsoft Entra B2B, můžou také resetovat hesla e-mailem, který zaregistrovali během procesu pozvání.

Pokud chcete tento scénář otestovat, přejděte k https://passwordreset.microsoftonline.com některému z těchto partnerských uživatelů. Pokud uživatel definoval alternativní e-mail nebo ověřovací e-mail, resetování hesla funguje podle očekávání.

Poznámka:

Účty Microsoft, kterým je udělen přístup hosta k vašemu tenantovi Microsoft Entra, jako jsou účty Hotmail.com, Outlook.com nebo jiné osobní e-mailové adresy, nemůžou používat samoobslužné resetování hesla Microsoft Entra. Další informace najdete v tématu Když se nemůžete přihlásit ke svému účtu Microsoft.

Další kroky

Pokud chcete začít používat SSPR, dokončete následující kurz: