Så här fungerar det: Självbetjäning av lösenordsåterställning i Microsoft Entra

Microsoft Entra-självbetjäning av lösenordsåterställning (SSPR) ger användarna möjlighet att ändra eller återställa sitt lösenord, utan administratörs- eller supportavdelningsengagemang. Om en användares konto är låst eller om de glömmer sitt lösenord kan de följa anvisningarna för att avblockera sig själva och återgå till arbetet. Den här möjligheten minskar supportsamtal och produktivitetsförlust när en användare inte kan logga in på sin enhet eller ett program. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID.

Viktigt!

Den här konceptuella artikeln förklarar för en administratör hur självbetjäning av lösenordsåterställning fungerar. Om du är en slutanvändare som redan är registrerad för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

Hur fungerar processen för lösenordsåterställning?

En användare kan återställa eller ändra sitt lösenord med hjälp av SSPR-portalen. De måste först registrera önskade autentiseringsmetoder. När en användare kommer åt SSPR-portalen tar Microsoft Entra-plattformen hänsyn till följande faktorer:

  • Hur ska sidan lokaliseras?
  • Är användarkontot giltigt?
  • Vilken organisation tillhör användaren?
  • Var hanteras användarens lösenord?

När en användare väljer länken Kan inte komma åt ditt konto från ett program eller en sida, eller går direkt till https://aka.ms/sspr, baseras språket som används i SSPR-portalen på följande alternativ:

  • Som standard används webbläsarspråket för att visa SSPR på rätt språk. Funktionen för lösenordsåterställning lokaliseras till samma språk som Microsoft 365 stöder.
  • Om du vill länka till SSPR på ett specifikt lokaliserat språk lägger du till i slutet av url:en för lösenordsåterställning ?mkt= tillsammans med det språk som krävs.

När SSPR-portalen visas på det språk som krävs uppmanas användaren att ange ett användar-ID och skicka en captcha. Microsoft Entra-ID verifierar nu att användaren kan använda SSPR genom att göra följande kontroller:

  • Kontrollerar att användaren har SSPR aktiverat.
    • Om användaren inte är aktiverad för SSPR uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
  • Kontrollerar att användaren har rätt autentiseringsmetoder som definierats för deras konto i enlighet med administratörsprincipen.
    • Om principen bara kräver en metod kontrollerar du att användaren har rätt data definierade för minst en av de autentiseringsmetoder som aktiveras av administratörsprincipen.
      • Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
    • Om principen kräver två metoder kontrollerar du att användaren har rätt data definierade för minst två av de autentiseringsmetoder som aktiveras av administratörsprincipen.
      • Om autentiseringsmetoderna inte har konfigurerats uppmanas användaren att kontakta administratören för att återställa sitt lösenord.
    • Om en Azure-administratörsroll tilldelas användaren tillämpas den starka lösenordsprincipen med två portar. Mer information finns i Principskillnader för administratörsåterställning.
  • Kontrollerar om användarens lösenord hanteras lokalt, till exempel om Microsoft Entra-klienten använder federerad autentisering, direktautentisering eller synkronisering av lösenordshash:
    • Om SSPR-tillbakaskrivning har konfigurerats och användarens lösenord hanteras lokalt kan användaren fortsätta att autentisera och återställa sitt lösenord.
    • Om SSPR-tillbakaskrivning inte distribueras och användarens lösenord hanteras lokalt uppmanas användaren att kontakta administratören för att återställa sitt lösenord.

Om alla tidigare kontroller har slutförts vägleds användaren genom processen för att återställa eller ändra sitt lösenord.

Kommentar

SSPR kan skicka e-postaviseringar till användare som en del av processen för lösenordsåterställning. Dessa e-postmeddelanden skickas med smtp-relätjänsten, som fungerar i ett aktivt-aktivt läge i flera regioner.

SMTP-relätjänster tar emot och bearbetar e-posttexten, men lagrar den inte. Brödtexten i SSPR-e-postmeddelandet som potentiellt kan innehålla kundinformation lagras inte i SMTP Relay-tjänstloggarna. Loggarna innehåller endast protokollmetadata.

Slutför följande självstudie för att komma igång med SSPR:

Kräv att användare registrerar sig när de loggar in

Du kan aktivera alternativet för att kräva att en användare slutför SSPR-registreringen om de använder modern autentisering eller webbläsare för att logga in på program som använder Microsoft Entra-ID. Det här arbetsflödet innehåller följande program:

  • Microsoft 365
  • Microsoft Entra administrationscenter
  • Åtkomstpanel
  • Federerade program
  • Anpassade program med Microsoft Entra-ID

När du inte behöver registrera dig uppmanas användarna inte att göra det under inloggningen, men de kan registrera sig manuellt. Användare kan antingen besöka https://aka.ms/ssprsetup eller välja länken Registrera för lösenordsåterställning under fliken Profil i Tabla za pristup.

Skärmbild av registrering av lösenordsåterställning för Microsoft Entra-ID.

Kommentar

Användare kan stänga SSPR-registreringsportalen genom att välja Avbryt eller genom att stänga fönstret. De uppmanas dock att registrera sig varje gång de loggar in tills de har slutfört registreringen.

Det här avbrottet för att registrera sig för SSPR bryter inte användarens anslutning om de redan är inloggade.

Bekräfta autentiseringsinformationen igen

För att säkerställa att autentiseringsmetoderna är korrekta när de behövs för att återställa eller ändra sitt lösenord kan du kräva att användarna bekräftar sin registrerade information efter en viss tidsperiod. Det här alternativet är bara tillgängligt om du aktiverar alternativet Kräv att användare registrerar sig när de loggar in .

Giltiga värden för att uppmana en användare att bekräfta att deras registrerade metoder är mellan 0 och 730 dagar. Om det här värdet anges till 0 uppmanas användarna aldrig att bekräfta sin autentiseringsinformation. När du använder den kombinerade registreringsupplevelsen måste användarna bekräfta sin identitet innan de bekräftar sin information igen.

Autentiseringsmetoder

När en användare är aktiverad för SSPR måste de registrera minst en autentiseringsmetod. Vi rekommenderar starkt att du väljer två eller flera autentiseringsmetoder så att användarna får större flexibilitet om de inte kan komma åt en metod när de behöver den. Mer information finns i Vad är autentiseringsmetoder?.

Följande autentiseringsmetoder är tillgängliga för SSPR:

  • Meddelanden via mobilapp
  • Kod för mobilapp
  • Email
  • Mobiltelefon
  • Office-telefon (endast tillgängligt för klienter med betalda prenumerationer)
  • Säkerhetsfrågor

Användare kan bara återställa sitt lösenord om de registrerar en autentiseringsmetod som administratören har aktiverat.

Varning

Konton som tilldelats Azure-administratörsroller krävs för att använda metoder enligt definitionen i avsnittet Principskillnader för administratörsåterställning.

Skärmbild av principen Autentiseringsmetoder för Microsoft Entra-ID.

Antal autentiseringsmetoder som krävs

Du kan konfigurera antalet tillgängliga autentiseringsmetoder som en användare måste ange för att återställa eller låsa upp sitt lösenord. Det här värdet kan anges till antingen ett eller två.

Användare bör registrera flera autentiseringsmetoder så att de kan logga in på ett annat sätt om de inte kan komma åt en metod.

Om en användare inte registrerar det minsta antalet obligatoriska metoder visas en felsida när de försöker använda SSPR. De måste begära att en administratör återställer sitt lösenord. Mer information finns i Ändra autentiseringsmetoder.

Mobilapp och SSPR

När du använder en mobilapp som en metod för lösenordsåterställning, till exempel Microsoft Authenticator, gäller följande överväganden om en organisation inte har migrerat till principen för centraliserade autentiseringsmetoder:

  • När administratörer kräver att en metod används för att återställa ett lösenord är verifieringskoden det enda tillgängliga alternativet.
  • När administratörer kräver att två metoder används för att återställa ett lösenord kan användarna använda meddelande - eller verifieringskod utöver andra aktiverade metoder.
Antal metoder som krävs för återställning En Två
Tillgängliga mobilappfunktioner Kod Kod eller meddelande

Användare kan registrera sin mobilapp på https://aka.ms/mfasetup, eller i den kombinerade säkerhetsinformationsregistreringen på https://aka.ms/setupsecurityinfo.

Viktigt!

Autentisering kan inte väljas som den enda autentiseringsmetoden när endast en metod krävs. På samma sätt kan inte Authenticator och endast en ytterligare metod väljas om du behöver två metoder.

När du konfigurerar SSPR-principer som innehåller Authenticator-appen som en metod bör minst en ytterligare metod väljas när en metod krävs, och minst två ytterligare metoder bör väljas när två metoder konfigureras.

Ändra autentiseringsmetoder

Vad händer om du börjar med en princip som bara har en obligatorisk autentiseringsmetod för återställning eller upplåsning registrerad och du ändrar den till två metoder?

Antal registrerade metoder Antal metoder som krävs Result
1 eller mer 1 Det går att återställa eller låsa upp
1 2 Det går inte att återställa eller låsa upp
2 eller fler 2 Det går att återställa eller låsa upp

Om du ändrar de tillgängliga autentiseringsmetoderna kan det också orsaka problem för användarna. Om du ändrar vilka autentiseringsmetoder som är tillgängliga kan användare utan minsta tillgängliga mängd data inte använda SSPR.

Föreställ dig följande exempel:

  1. Den ursprungliga principen konfigureras med två autentiseringsmetoder som krävs. Den använder endast office-telefonnumret och säkerhetsfrågorna.
  2. Administratören ändrar principen så att den inte längre använder säkerhetsfrågorna, men tillåter användning av en mobiltelefon och ett alternativt e-postmeddelande.
  3. Användare utan de mobiltelefon- eller alternativa e-postfält som fyllts i nu kan inte återställa sina lösenord.

Meddelanden

För att öka medvetenheten om lösenordshändelser kan du med SSPR konfigurera meddelanden för både användare och identitetsadministratörer.

Meddela användare om lösenordsåterställning

Om det här alternativet är inställt på Ja får användare som återställer sitt lösenord ett e-postmeddelande om att lösenordet har ändrats. E-postmeddelandet skickas via SSPR-portalen till deras primära och alternativa e-postadresser som lagras i Microsoft Entra-ID. Om ingen primär eller alternativ e-postadress har definierats försöker SSPR skicka e-postavisering via användarens användarhuvudnamn (UPN). Ingen annan meddelas om återställningshändelsen.

Meddela alla administratörer när andra administratörer återställer sina lösenord

Om det här alternativet är inställt på Ja får globala administratörer ett e-postmeddelande till sin primära e-postadress som lagras i Microsoft Entra-ID. E-postmeddelandet meddelar dem att en annan administratör har ändrat sitt lösenord med hjälp av SSPR.

Kommentar

E-postmeddelanden från SSPR-tjänsten skickas från följande adresser baserat på det Azure-moln som du arbetar med:

  • Offentlig: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • Microsoft Azure drivs av 21Vianet (Azure i Kina): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • Azure for US Government: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Om du ser problem med att ta emot meddelanden kontrollerar du inställningarna för skräppost.

Om du vill att anpassade administratörer ska få e-postmeddelandena använder du SSPR-anpassningar och konfigurerar en anpassad supportlänk eller e-post.

Lokal integration

I en hybridmiljö kan du konfigurera Microsoft Entra Connect-molnsynkronisering för att skriva tillbaka händelser för lösenordsändring från Microsoft Entra-ID till en lokal katalog.

Skärmbild av tillbakaskrivning av lösenord aktiverat för Microsoft Entra-ID till en lokal integrering.

Microsoft Entra-ID kontrollerar din aktuella hybridanslutning och tillhandahåller meddelanden i administrationscentret för Microsoft Entra. Hjälp med att lösa möjliga fel finns i Felsöka Microsoft Entra Connect.

Slutför följande självstudie för att komma igång med tillbakaskrivning av SSPR:

Skriva tillbaka lösenord till din lokala katalog

Du kan aktivera tillbakaskrivning av lösenord med hjälp av administrationscentret för Microsoft Entra. Du kan också tillfälligt inaktivera tillbakaskrivning av lösenord utan att behöva konfigurera om Microsoft Entra Connect.

  • Om alternativet är inställt på Ja aktiveras tillbakaskrivning. Federerade, direktautentisering eller lösenordshash synkroniserade användare kan återställa sina lösenord.
  • Om alternativet är inställt på Nej inaktiveras tillbakaskrivningen. Federerad autentisering, direktautentisering eller lösenordshash synkroniserade användare kan inte återställa sina lösenord.

Tillåt användare att låsa upp konton utan att återställa sitt lösenord

Som standard låser Microsoft Entra ID upp konton när det utför en lösenordsåterställning. För att ge flexibilitet kan du välja att tillåta användare att låsa upp sina lokala konton utan att behöva återställa sitt lösenord. Använd den här inställningen för att separera dessa två åtgärder.

  • Om inställningen är Ja får användarna möjlighet att återställa sitt lösenord och låsa upp kontot, eller att låsa upp sitt konto utan att behöva återställa lösenordet.
  • Om värdet är Nej kan användarna bara utföra en kombinerad lösenordsåterställning och kontolåsning.

Lokala Active Directory-lösenordsfilter

SSPR utför motsvarande en administratörsinitierad lösenordsåterställning i Active Directory. Om du använder ett lösenordsfilter från tredje part för att framtvinga anpassade lösenordsregler, och du kräver att det här lösenordsfiltret kontrolleras under lösenordsåterställning med Microsoft Entra självbetjäning, kontrollerar du att lösningen för lösenordsfilter från tredje part är konfigurerad att tillämpas i scenariot för återställning av administratörslösenord. Microsoft Entra-lösenordsskydd för Usluge domena aktivnog direktorijuma stöds som standard.

Lösenordsåterställning för B2B-användare

Lösenordsåterställning och ändring stöds fullt ut i alla B2B-konfigurationer (business-to-business). B2B-användares lösenordsåterställning stöds i följande tre fall:

  • Användare från en partnerorganisation med en befintlig Microsoft Entra-klientorganisation: Om din partner har en Microsoft Entra-klientorganisation respekterar vi alla principer för lösenordsåterställning som är aktiverade för den klientorganisationen. För att lösenordsåterställning ska fungera behöver partnerorganisationen bara se till att Microsoft Entra SSPR är aktiverat. Det finns ingen annan avgift för Microsoft 365-kunder.
  • Användare som registrerar sig via självbetjäningsregistrering: Om din partner använde registreringsfunktionen för självbetjäning för att komma in i en klientorganisation låter vi dem återställa lösenordet med det e-postmeddelande som de registrerade.
  • B2B-användare: Alla nya B2B-användare som skapats med hjälp av de nya Funktionerna i Microsoft Entra B2B kan också återställa sina lösenord med e-postmeddelandet som de registrerade under inbjudan.

Om du vill testa det här scenariot går du till https://passwordreset.microsoftonline.com med en av dessa partneranvändare. Om användaren har definierat ett alternativt e-postmeddelande eller e-postmeddelande med autentisering fungerar lösenordsåterställning som förväntat.

Kommentar

Microsoft-konton som beviljas gäståtkomst till din Microsoft Entra-klientorganisation, till exempel de från Hotmail.com, Outlook.com eller andra personliga e-postadresser, kan inte använda Microsoft Entra SSPR. Mer information finns i När du inte kan logga in på ditt Microsoft-konto.

Nästa steg

Slutför följande självstudie för att komma igång med SSPR: