Nasıl çalışır: Microsoft Entra self servis parola sıfırlama

Microsoft Entra self servis parola sıfırlama (SSPR), kullanıcılara yönetici veya yardım masası katılımı olmadan parolalarını değiştirme veya sıfırlama olanağı sağlar. Bir kullanıcının hesabı kilitliyse veya parolasını unutursa, engelini kaldırmak ve işe geri dönmek için istemleri izleyebilir. Bu özellik, kullanıcı cihazında veya uygulamada oturum açamazsa yardım masası çağrılarını ve üretkenlik kaybını azaltır. Microsoft Entra Id'de SSPR'yi etkinleştirme ve yapılandırma hakkında bu video önerilir.

Önemli

Bu kavramsal makalede, bir yöneticiye self servis parola sıfırlamanın nasıl çalıştığı açıklanmaktadır. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.

BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.

Parola sıfırlama işlemi nasıl çalışır?

Bir kullanıcı SSPR portalını kullanarak parolasını sıfırlayabilir veya değiştirebilir. Önce istenen kimlik doğrulama yöntemlerini kaydetmeleri gerekir. Bir kullanıcı SSPR portalına eriştiğinde, Microsoft Entra platformu aşağıdaki faktörleri dikkate alır:

  • Sayfa nasıl yerelleştirilmelidir?
  • Kullanıcı hesabı geçerli mi?
  • Kullanıcı hangi kuruluşa üye?
  • Kullanıcının parolası nerede yönetilir?

Kullanıcı bir uygulamadan veya sayfadan hesabınıza erişemiyor bağlantısını seçtiğinde veya doğrudan https://aka.ms/sspradresine gittiğinde, SSPR portalında kullanılan dil aşağıdaki seçeneklere bağlıdır:

  • Varsayılan olarak, tarayıcı yerel ayarı SSPR'yi uygun dilde görüntülemek için kullanılır. Parola sıfırlama deneyimi, Microsoft 365'in desteklediği dillerle yerelleştirilir.
  • Belirli bir yerelleştirilmiş dilde SSPR'ye bağlanmak istiyorsanız, gerekli yerel ayar ile birlikte parola sıfırlama URL'sinin sonuna ekleyin ?mkt= .

SSPR portalı gerekli dilde görüntülendikten sonra kullanıcıdan bir kullanıcı kimliği girmesi ve bir captcha geçirmesi istenir. Microsoft Entra Id artık aşağıdaki denetimleri yaparak kullanıcının SSPR'yi kullanabileceğini doğrular:

  • Kullanıcının SSPR'yi etkinleştirdiğini denetler.
    • Kullanıcı SSPR için etkinleştirilmemişse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.
  • Kullanıcının hesaplarında yönetici ilkesine uygun olarak tanımlanmış doğru kimlik doğrulama yöntemlerine sahip olduğunu denetler.
    • İlke yalnızca bir yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az biri için tanımlanmış uygun verilere sahip olup olmadığını denetleyin.
      • Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlaması için yöneticisine başvurması tavsiye edilir.
    • İlke iki yöntem gerektiriyorsa, kullanıcının yönetici ilkesi tarafından etkinleştirilen kimlik doğrulama yöntemlerinden en az ikisi için tanımlanmış uygun verilere sahip olup olmadığını denetleyin.
      • Kimlik doğrulama yöntemleri yapılandırılmamışsa, kullanıcının parolasını sıfırlaması için yöneticisine başvurması tavsiye edilir.
    • Kullanıcıya bir Azure yönetici rolü atanırsa, güçlü iki kapılı parola ilkesi zorlanır. Daha fazla bilgi için bkz . Yönetici sıfırlama ilkesi farklılıkları.
  • Kullanıcının parolasının şirket içinde yönetilip yönetilmediğini denetler. Örneğin, Microsoft Entra kiracısı federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlemesi kullanıyorsa:
    • SSPR geri yazma yapılandırılırsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcının kimliğini doğrulamasına ve parolasını sıfırlamasına izin verilir.
    • SSPR geri yazma dağıtılmazsa ve kullanıcının parolası şirket içinde yönetilirse, kullanıcıdan parolasını sıfırlamak için yöneticisine başvurması istenir.

Önceki tüm denetimler başarıyla tamamlanırsa, kullanıcıya parolasını sıfırlama veya değiştirme işlemi boyunca yol gösterilir.

Not

SSPR, parola sıfırlama işleminin bir parçası olarak kullanıcılara e-posta bildirimleri gönderebilir. Bu e-postalar, birkaç bölgede etkin-etkin modda çalışan SMTP geçiş hizmeti kullanılarak gönderilir.

SMTP geçiş hizmetleri e-posta gövdesini alır ve işler, ancak depolamaz. Müşteri tarafından sağlanan bilgileri içerebilecek SSPR e-postasının gövdesi SMTP geçiş hizmeti günlüklerinde depolanmaz. Günlükler yalnızca protokol meta verilerini içerir.

SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Kullanıcıların oturum açarken kaydolmasını gerektir

Microsoft Entra Id kullanarak herhangi bir uygulamada oturum açmak için modern kimlik doğrulaması veya web tarayıcısı kullanan bir kullanıcının SSPR kaydını tamamlamasını zorunlu tutma seçeneğini etkinleştirebilirsiniz. Bu iş akışı aşağıdaki uygulamaları içerir:

  • Microsoft 365
  • Microsoft Entra yönetim merkezi
  • Erişim Paneli
  • Federasyon uygulamaları
  • Microsoft Entra Id kullanan özel uygulamalar

Kayıt gerektirmediğinizde, kullanıcılar oturum açma sırasında istenmez, ancak el ile kaydolabilir. Kullanıcılar Erişim Paneli Profil sekmesinin altındaki Parola sıfırlamaya kaydol bağlantısını ziyaret https://aka.ms/ssprsetup edebilir veya seçebilir.

Microsoft Entra Id için parola sıfırlama kaydının ekran görüntüsü.

Not

Kullanıcılar iptal et'i seçerek veya pencereyi kapatarak SSPR kayıt portalını kapatabilir. Ancak, kayıt işlemlerini tamamlayana kadar her oturum açtıklarında kaydolmaları istenir.

SSPR'ye kaydolmaya yönelik bu kesme, kullanıcının zaten oturum açmışsa bağlantısını kesmez.

Kimlik doğrulama bilgilerini yeniden doğrulama

Kimlik doğrulama yöntemlerinin parolalarını sıfırlaması veya değiştirmesi gerektiğinde doğru olduğundan emin olmak için, kullanıcıların bilgileri kayıtlı bilgilerini belirli bir süre sonra onaylamasını zorunlu kılabilirsiniz. Bu seçenek yalnızca Kullanıcıların oturum açarken kaydolmasını gerektir seçeneğini etkinleştirdiğinizde kullanılabilir.

Bir kullanıcıdan kayıtlı yöntemlerinin 0 ila 730 gün olduğunu onaylamasını isteyen geçerli değerler. Bu değeri 0 olarak ayarlamak, kullanıcıların kimlik doğrulama bilgilerini asla onaylamalarının istenmeyeceğini gösterir. Birleşik kayıt deneyimini kullanırken, kullanıcıların bilgilerini yeniden onaylamadan önce kimliklerini onaylamaları gerekir.

Kimlik doğrulama yöntemleri

Bir kullanıcı SSPR için etkinleştirildiğinde en az bir kimlik doğrulama yöntemi kaydetmesi gerekir. Kullanıcılarınızın ihtiyaç duyduklarında bir yönteme erişememesi durumunda daha fazla esnekliğe sahip olması için iki veya daha fazla kimlik doğrulama yöntemi seçmenizi kesinlikle öneririz. Daha fazla bilgi için bkz . Kimlik doğrulama yöntemleri nelerdir?.

SSPR için aşağıdaki kimlik doğrulama yöntemleri kullanılabilir:

  • Mobil uygulama bildirimi
  • Mobil uygulama kodu
  • E-posta
  • Cep telefonu
  • Office telefonu (yalnızca ücretli abonelikleri olan kiracılar için kullanılabilir)
  • Güvenlik soruları

Kullanıcılar parolalarını yalnızca yöneticinin etkinleştirdiği bir kimlik doğrulama yöntemini kaydettikleri takdirde sıfırlayabilir.

Uyarı

Azure yönetici rollerine atanan hesapların, Yönetici sıfırlama ilkesi farklılıkları bölümünde tanımlanan yöntemleri kullanması gerekir.

Microsoft Entra Id için Kimlik doğrulama yöntemleri ilkesinin ekran görüntüsü.

Gerekli kimlik doğrulama yöntemlerinin sayısı

Bir kullanıcının parolasını sıfırlamak veya kilidini açmak için sağlaması gereken kullanılabilir kimlik doğrulama yöntemlerinin sayısını yapılandırabilirsiniz. Bu değer bir veya iki olarak ayarlanabilir.

Kullanıcılar, bir yönteme erişemedikleri takdirde başka bir şekilde oturum açabilmeleri için birden çok kimlik doğrulama yöntemi kaydetmelidir.

Bir kullanıcı en az sayıda gerekli yöntemi kaydetmezse, SSPR'yi kullanmaya çalıştığında bir hata sayfası görür. Bir yöneticinin parolasını sıfırlamasını istemesi gerekir. Daha fazla bilgi için bkz . Kimlik doğrulama yöntemlerini değiştirme.

Mobil uygulama ve SSPR

Microsoft Authenticator gibi parola sıfırlama yöntemi olarak bir mobil uygulama kullanılırken, bir kuruluş merkezi Kimlik Doğrulama yöntemleri ilkesine geçirilmemişse aşağıdaki noktalar geçerlidir:

  • Yöneticiler parola sıfırlamak için tek bir yöntem kullanılmasını gerektirdiğinde, doğrulama kodu tek seçenektir.
  • Yöneticiler parola sıfırlamak için iki yöntem kullanılmasını gerektirdiğinde, kullanıcılar diğer etkin yöntemlere ek olarak bildirim veya doğrulama kodunu da kullanabilir.
Sıfırlama için gereken yöntemlerin sayısı Bir İki
Kullanılabilir mobil uygulama özellikleri Kod Kod veya Bildirim

Kullanıcılar mobil uygulamalarını adresine https://aka.ms/mfasetupveya konumundaki birleşik güvenlik bilgileri kaydına https://aka.ms/setupsecurityinfokaydedebilir.

Önemli

Yalnızca bir yöntem gerektiğinde kimlik doğrulayıcı tek kimlik doğrulama yöntemi olarak seçilemiyor. Benzer şekilde, iki yönteme ihtiyacınız varsa Authenticator ve yalnızca bir ek yöntem seçilemiyor.

Authenticator uygulamasını içeren SSPR ilkelerini bir yöntem olarak yapılandırırken, bir yöntem gerektiğinde en az bir ek yöntem seçilmeli ve iki yöntem yapılandırılırken en az iki ek yöntem seçilmelidir.

Kimlik doğrulama yöntemlerini değiştirme

Sıfırlama veya kilidinin açılması için yalnızca bir gerekli kimlik doğrulama yöntemi olan bir ilkeyle başlarsanız ve bunu iki yöntemle değiştirirseniz ne olur?

Kayıtlı yöntem sayısı Gerekli yöntem sayısı Sonuç
1 veya daha fazla 1 Sıfırlama veya kilidini açabilme
1 2 Sıfırlanamıyor veya kilidi açılamıyor
2 veya daha fazla 2 Sıfırlama veya kilidini açabilme

Kullanılabilir kimlik doğrulama yöntemlerinin değiştirilmesi de kullanıcılar için sorunlara neden olabilir. Kullanılabilir kimlik doğrulama yöntemlerini değiştirirseniz, kullanılabilir en düşük veri miktarına sahip olmayan kullanıcılar SSPR'yi kullanamaz.

Aşağıdaki örnek senaryoyu düşünün:

  1. Özgün ilke, gereken iki kimlik doğrulama yöntemiyle yapılandırılır. Yalnızca ofis telefon numarasını ve güvenlik sorularını kullanır.
  2. Yönetici, ilkeyi artık güvenlik sorularını kullanamayacak şekilde değiştirir, ancak cep telefonu ve alternatif e-posta kullanımına izin verir.
  3. Cep telefonu veya alternatif e-posta alanları doldurulan kullanıcılar artık parolalarını sıfırlayamaz.

Notifications

SSPR, parola olaylarının farkındalığını artırmak için hem kullanıcılar hem de kimlik yöneticileri için bildirimleri yapılandırmanıza olanak tanır.

Parola sıfırlamayı kullanıcılara bildir

Bu seçenek Evet olarak ayarlanırsa, parolalarını sıfırlayan kullanıcılara parolalarının değiştirildiğini bildiren bir e-posta gönderilir. E-posta, SSPR portalı aracılığıyla Microsoft Entra Kimliği'nde depolanan birincil ve alternatif e-posta adreslerine gönderilir. Birincil veya alternatif e-posta adresi tanımlanmadıysa, SSPR kullanıcıların Kullanıcı Asıl Adı (UPN) aracılığıyla e-posta bildirimini dener. Sıfırlama olayıyla ilgili başka kimseye bildirim yapılmaz.

Diğer yöneticiler parolalarını sıfırladığında tüm yöneticilere bildirme

Bu seçenek Evet olarak ayarlanırsa, Genel Yöneticiler Microsoft Entra Kimliği'nde depolanan birincil e-posta adreslerine bir e-posta alır. E-posta, başka bir yöneticinin SSPR kullanarak parolasını değiştirdiğini bildirir.

Not

SSPR hizmetinden gelen e-posta bildirimleri, çalıştığınız Azure bulutu temelinde aşağıdaki adreslerden gönderilir:

  • Genel: msonlineservicesteam@microsoft.com, msonlineservicesteam@microsoftonline.com
  • 21Vianet tarafından sağlanan Microsoft Azure (Çin'de Azure): msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
  • US Government için Azure: msonlineservicesteam@azureadnotifications.us, msonlineservicesteam@microsoftonline.us

Bildirimleri alırken sorunlarla karşılaşırsanız lütfen istenmeyen posta ayarlarınızı denetleyin.

Özel yöneticilerin bildirim e-postalarını almasını istiyorsanız, SSPR özelleştirmelerini kullanın ve özel bir yardım masası bağlantısı veya e-posta ayarlayın.

Yerinde tümleştirme

Karma bir ortamda, Microsoft Entra Connect bulut eşitlemesini, parola değiştirme olaylarını Microsoft Entra Id'den şirket içi dizine geri yazacak şekilde yapılandırabilirsiniz.

Microsoft Entra Id ile şirket içi tümleştirme için etkinleştirilen parola geri yazma özelliğinin ekran görüntüsü.

Microsoft Entra ID geçerli karma bağlantınızı denetler ve Microsoft Entra yönetim merkezinde iletiler sağlar. Olası hataları çözme konusunda yardım için bkz . Microsoft Entra Connect sorunlarını giderme.

SSPR geri yazma ile çalışmaya başlamak için aşağıdaki öğreticiyi tamamlayın:

Şirket içi dizininize parolaları geri yazma

Microsoft Entra yönetim merkezini kullanarak parola geri yazmayı etkinleştirebilirsiniz. Ayrıca, Microsoft Entra Connect'i yeniden yapılandırmak zorunda kalmadan parola geri yazma özelliğini geçici olarak devre dışı bırakabilirsiniz.

  • Seçenek Evet olarak ayarlanırsa geri yazma etkinleştirilir. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayabilir.
  • Seçenek Hayır olarak ayarlanırsa geri yazma devre dışı bırakılır. Federasyon, doğrudan kimlik doğrulaması veya parola karması eşitlenmiş kullanıcılar parolalarını sıfırlayamaz.

Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin verme

Varsayılan olarak, Microsoft Entra Id parola sıfırlama gerçekleştirdiğinde hesapların kilidini açar. Esneklik sağlamak için kullanıcıların parolalarını sıfırlamak zorunda kalmadan şirket içi hesaplarının kilidini açmasına izin vermeyi seçebilirsiniz. Bu iki işlemi ayırmak için bu ayarı kullanın.

  • Evet olarak ayarlanırsa, kullanıcılara parolalarını sıfırlama ve hesabın kilidini açma veya parolayı sıfırlamak zorunda kalmadan hesabının kilidini açma seçeneği verilir.
  • Hayır olarak ayarlanırsa, kullanıcılar yalnızca birleştirilmiş parola sıfırlama ve hesap kilidi açma işlemi gerçekleştirebilir.

Şirket içi Active Directory parola filtreleri

SSPR, Active Directory'de yönetici tarafından başlatılan parola sıfırlamanın eşdeğerini gerçekleştirir. Özel parola kurallarını zorunlu kılmak için üçüncü taraf parola filtresi kullanıyorsanız ve Microsoft Entra self servis parola sıfırlama sırasında bu parola filtresinin denetlenmesini istiyorsanız, üçüncü taraf parola filtresi çözümünün yönetici parola sıfırlama senaryosunda uygulanacak şekilde yapılandırıldığından emin olun. Active Directory Etki Alanı Hizmetleri için Microsoft Entra parola koruması varsayılan olarak desteklenir.

B2B kullanıcıları için parola sıfırlama

Parola sıfırlama ve değişiklik tüm işletmeler arası (B2B) yapılandırmalarda tam olarak desteklenir. B2B kullanıcı parola sıfırlaması aşağıdaki üç durumda desteklenir:

  • Var olan bir Microsoft Entra kiracısı olan bir iş ortağı kuruluşundaki kullanıcılar: İş ortağınızın bir Microsoft Entra kiracısı varsa, bu kiracıda etkinleştirilen parola sıfırlama ilkelerine saygı gösteririz. Parola sıfırlamanın çalışması için iş ortağı kuruluşunun Yalnızca Microsoft Entra SSPR'nin etkinleştirildiğinden emin olması gerekir. Microsoft 365 müşterileri için başka ücret alınmaz.
  • Self servis kaydolma yoluyla kaydolan kullanıcılar: İş ortağınız bir kiracıya girmek için self servis kaydolma özelliğini kullandıysa, kayıtlı oldukları e-postayla parolayı sıfırlamalarına izin veririz.
  • B2B kullanıcıları: Yeni Microsoft Entra B2B özellikleri kullanılarak oluşturulan tüm yeni B2B kullanıcıları, davet işlemi sırasında kaydettikleri e-posta ile parolalarını da sıfırlayabilir.

Bu senaryoya test etmek için https://passwordreset.microsoftonline.com bu iş ortağı kullanıcılarından biriyle adresine gidin. Kullanıcı alternatif bir e-posta veya kimlik doğrulama e-postası tanımladıysa parola sıfırlama beklendiği gibi çalışır.

Not

Hotmail.com, Outlook.com veya diğer kişisel e-posta adresleri gibi Microsoft Entra kiracınıza konuk erişimi verilen Microsoft hesapları Microsoft Entra SSPR'yi kullanamaz. Daha fazla bilgi için bkz . Microsoft hesabınızda oturum açamıyorsanız.

Sonraki adımlar

SSPR'yi kullanmaya başlamak için aşağıdaki öğreticiyi tamamlayın: