Включите самообслуживание сброса пароля для Office 365

Ваша команда подвергается нашествию запросов на сброс пароля? Признавайтесь, пользователи часто забывают свои пароли или умудряются заблокировать себя время от времени. Пришло время разрешить самостоятельный сброс пароля для Office 365 и позволить вашим пользователям справляться с этим сами.

Пользователи могут быстро ощутить неудобство и разочарование, вынужденно проходя через процесс управления случаями, чтобы сбросить свои пароли. Если пользователь не является ВИП-пользователем, большинство запросов на сброс пароля рассматриваются как низкоприоритетные и могут занимать несколько дней до их обработки.

Эти проблемы можно решить, реализовав самостоятельный сброс пароля в Office 365 или SSPR. С помощью SSPR пользователю можно разрешить выполнять операции по сбросу пароля для своих собственных учетных записей. Внедрение SSPR может существенно улучшить опыт пользователя и снизить количество запросов на сброс пароля.

В этой статье вы узнаете, как включить, настроить и протестировать службу самостоятельного сброса пароля. Вы узнаете, как SSPR может быть реализован для организаций, использующих только облако, а также для гибридных организаций.

Современизируйте безопасность идентификации с помощью MFA, SSO и самостоятельного сброса пароля. Загрузите ManageEngine ADSelfService Plus.

Предварительные требования

Эта статья – это пошаговое руководство, и если вы планируете следовать за ней, у вас должны быть выполнены следующие требования.

• A working Azure AD or Microsoft 365 Tenant. If you do not have this yet, you can request for a trial account.
• A Global Administrator user account. This account will be used for the configuration and management of SSPR.
• A non-administrator cloud-only account. This account will be used for testing the SSPR user experience. In this article, the cloud-only account named CloudUser will be used.
• Настроенная служба Azure AD Connect для синхронизации с локальным каталогом Active Directory Windows. Это необходимо только в случае, если вы планируете включить обратную запись паролей в локальный каталог Active Directory Windows.
  • Учетная запись без прав администратора в Windows AD, синхронизированная с Azure AD. В этой статье будет использоваться учетная запись пользователя *HybridUser *****.

• A group to which the non-administrator account is a member. This group will be used as the target to allow SSPR. In this article, SSPR will be enabled to target only the members of the group named SSPR-Users.
• В зависимости от предполагаемой реализации функций SSPR может потребоваться другая лицензия или подписка. Пожалуйста, обратитесь к изображению ниже, показывающему функции и необходимые лицензии.

Знание опций состояния сброса пароля через самообслуживание

Процесс включения сброса пароля через самообслуживание для Office 365 довольно прост. Однако, включение не то же самое, что тщательная реализация.

Одной из основных проблем при внедрении новых функций является влияние на пользователей. Хорошо, что сброс пароля через самообслуживание можно включить только для членов выбранной группы. Это помогает минимизировать возможное влияние, особенно при внедрении SSPR по частям.

Существует три состояния для SSPR. Каждое состояние определяет, как SSPR применяется (или не применяется) к пользователям.

• Отсутствует – В этом состоянии SSPR отключен для всех пользователей вашего арендатора.

Примечание: Для администраторов SSPR всегда включен, даже если состояние SSPR установлено в “Отсутствует”. Для сброса своих паролей с использованием SSPR администраторы должны использовать два метода аутентификации.

• Выбранный – В этом состоянии SSPR применяется только к выбранной группе. Это полезно при поэтапном внедрении. Используя это состояние, вы можете добавлять пользователей в целевую группу пакетами. Это состояние SSPR, которое будет использоваться в этой статье.

Примечание: SSPR позволяет выбрать только одну группу в качестве цели при выборе состояния Выбранный. Однако разрешены вложенные группы.

• Все – Если выбрано включение SSPR в этом состоянии, SSPR будет применяться ко всем пользователям вашего арендатора.

Включение SSPR для организаций с облачной конфигурацией

Для организаций, работающих только в облаке, включение самообслуживания сброса пароля для Office 365 сводится к переключению переключателя для его включения и применения самой базовой конфигурации. Ниже приведены шаги, которые научат вас делать именно это.

Сначала войдите в портал Microsoft Azure с использованием вашей учетной записи глобального администратора и перейдите на лезвие Активный каталог Azure.

На странице Активного каталога Azure, в разделе Управление найдите и щелкните Сброс пароля.

На лезвии Сброс пароля, в разделе Управление щелкните лезвие Свойства. Затем вам будет предоставлено текущее состояние самообслуживания сброса пароля для Office 365. Как видно на скриншоте ниже, текущее состояние самообслуживания сброса пароля для Office 365 – Нет, что означает, что SSPR в настоящее время отключено для всех конечных пользователей.

Далее измените статус SSPR на Выбрано. Затем нужно указать целевую группу безопасности, члены которой будут включены для сброса пароля через самообслуживание для Office 365. В данном примере ниже указано имя выбранной группы – SSPR-Users. Нажмите на кнопку Выбрать после выбора целевой группы.

Как видно на изображении ниже, выбранная группа SSPR-Users уже выбрана. Теперь нажмите Сохранить, чтобы окончательно включить SSPR.

Включение SSPR для организаций с гибридной настройкой

В предыдущем разделе вы узнали, как включить SSPR, что применяется к выбранной группе пользователей только из облака. В этом разделе вы узнаете, что нужно сделать, если пользователи вашей организации синхронизированы из корпоративного каталога на локальном сервере с использованием Azure AD Connect.

Связано:Как подключить Azure AD к Office 365 с помощью Azure AD Connect

Поскольку гибридные учетные записи пользователей сначала создаются в локальном каталоге, пароль, который был сброшен, должен быть записан обратно в локальный каталог. И для этого функция Запись пароля обратно должна быть включена в Azure AD Connect.

Включение функции записи пароля обратно в Azure AD Connect

Чтобы включить функцию записи пароля обратно, у вас должен быть доступ к серверу, где установлен Azure AD Connect. Следуйте этим шагам, чтобы включить функцию записи пароля обратно.

Запустите программу конфигурации Azure AD Connect, затем щелкните Настроить.

Затем, в разделе Дополнительные задачи, выберите Настроить параметры синхронизации. Нажмите Далее.

На странице Подключение к Azure AD введите учетные данные своего глобального администратора. Нажмите Далее.

Продолжайте нажимать кнопку “Далее” до тех пор, пока не дойдете до страницы Дополнительные функции. Установите флажок в поле Синхронизация паролей и нажмите Далее.

Затем, на странице Готов к конфигурации, щелкните Настроить. Затем дождитесь завершения процесса конфигурации.

Вы должны увидеть такой же статус, как на изображении ниже, указывающий на успешное завершение конфигурации. Нажмите Выход.

Настройка сброса пароля самообслуживания для Office 365 Options

До сих пор в этой статье вы узнали, как включить SSPR с настройками по умолчанию. Даже с настройками по умолчанию SSPR уже функционирует.

Однако можно настроить и настроить дополнительные параметры, которые могут помочь вам дополнительно контролировать SSPR в соответствии с требованиями вашей организации. Эти параметры включают методы аутентификации, регистрацию, уведомления, ссылки или электронную почту для контакта с поддержкой и интеграцию с внутренним AD.

Настройка параметров регистрации

Перед тем как пользователи смогут использовать сброс пароля через самообслуживание для Office 365, им необходимо будет зарегистрировать свою аутентификационную информацию. В меню Регистрация есть два параметра конфигурации, как вы увидите на скриншоте ниже.

Как видно на изображении выше, два варианта:

1. Требовать регистрацию пользователей при входе? – Эта настройка управляет тем, будут ли пользователи вынуждены регистрировать свою аутентификационную информацию при следующем входе. Если установлено значение Нет, администраторам придется научить пользователей, как вручную зарегистрировать свою информацию для сброса пароля через самообслуживание. По умолчанию эта настройка установлена на Да.
2. Количество дней до запроса повторного подтверждения аутентификационной информации пользователей – Это значение определяет, когда пользователи должны будут обновить или повторно подтвердить свою аутентификационную информацию для SSPR. По умолчанию значение этой настройки установлено на 180 дней.

В этой статье будет использоваться конфигурация по умолчанию.

Настройка методов аутентификации

При попытке пользователей сбросить свой собственный пароль, сброс пароля через самообслуживание для Office 365 потребует, чтобы пользователи подтвердили свою личность. Вы можете настроить SSPR на требование до двух методов аутентификации.

Как видно на изображении выше, есть две настройки:

1. Количество необходимых методов для сброса – Это определяет, сколько методов аутентификации требуется для пользователей, когда они пытаются сбросить свои собственные пароли. По умолчанию для этого параметра установлено 1.
2. Доступные методы для пользователей – Это показывает список возможных способов аутентификации для пользователей перед тем, как они смогут сбросить пароли учетных записей. Среди этих методов: использование приложения Microsoft Authenticator (код и уведомление), электронная почта, SMS, рабочий телефон и вопросы безопасности.

В этой статье будет использована конфигурация по умолчанию.

Настройка уведомлений

Хорошей идеей является уведомление пользователей и администраторов по электронной почте каждый раз, когда выполняется операция сброса пароля на их соответствующих учетных записях.

Когда пользователи уведомлены, им разрешено подтвердить, что это были они, кто выполнил сброс пароля.

На изображении выше показано, что у вас есть возможность Уведомить пользователей о сбросе пароля и Уведомить всех администраторов, когда другие администраторы сбрасывают свой пароль.

В этой статье будет использована конфигурация по умолчанию.

Настройка контактной информации поддержки

Другая доступная конфигурация – это настройка индивидуальной контактной информации для поддержки SSPR. Эта конфигурация предоставляет пользователям возможность связаться с вашим службой поддержки или администраторами.

Как вы можете видеть ниже, настройка по умолчанию для 1) настройки ссылки службы поддержки установлена на Нет. Изменение этой опции на Да позволит вам указать 2) пользовательскую электронную почту или URL службы поддержки.

В этой статье будет использоваться конфигурация по умолчанию.

Настройка Интеграции на Премисах

В меню интеграции на Премисах вам будет показан статус доступности клиента для записи на пемисах. Вы сможете подтвердить, работает ли функция записи пароля на Премисах или нет.

Как видно на изображении выше, у вас есть возможность:

1. Включить или выключить опцию записи пароля в каталоге на Премисах.
2. Включить или выключить возможность пользователя разблокировать свои заблокированные учетные записи без изменения пароля.

В этой статье будет использоваться конфигурация по умолчанию.

Тестирование Опыта Пользователя Переустановки Пароля Самообслуживания

До сих пор в этой статье вы узнали, как включить функцию сброса пароля самообслуживания в Office 365, а также различные доступные параметры конфигурации. В этом разделе вы сможете протестировать и ознакомиться с опытом пользователя по сбросу пароля самообслуживания.

Регистрация Информации Аутентификации для Сброса Пароля Самообслуживания

По умолчанию, после включения сброса пароля через самообслуживание для Office 365, пользователей автоматически приглашают зарегистрировать свою аутентификационную информацию. Пользователи также могут вручную перейти по ссылке регистрации SSPR (https://aka.ms/ssprsetup) сами.

Смотрите демонстрацию ниже в качестве примера, когда пользователь CloudUser входит в портал Office 365.

Как видно из демонстрации, успешно войдя в портал Office 365, пользователю предложено зарегистрировать аутентификационную информацию. Поскольку для регистрации SSPR требуется всего один метод аутентификации, достаточно было зарегистрировать только номер телефона.

Выполнение сброса пароля

Если пользователь зарегистрирован для сброса пароля через самообслуживание и ему нужно сбросить пароль учетной записи, ему необходимо перейти по URL для сброса пароля https://aka.ms/sspr.

На демонстрации ниже показано, как выполнить сброс пароля через самообслуживание.

Как видно из демонстрации, после успешной аутентификации с использованием SMS-кода пароль можно было изменить.

На изображении ниже показано уведомление о сбросе пароля, отправленное пользователю в рамках процесса сброса пароля через самообслуживание.

Модернизируйте безопасность идентификации с помощью MFA, SSO и самостоятельного сброса пароля. Скачайте ManageEngine ADSelfService Plus.

Сводка

Самостоятельный сброс пароля для Office 365 доказывает, что это удобный и безопасный способ для пользователей и администраторов сбрасывать свои собственные пароли.

Когда пользователи получают возможность сбросить свои пароли, время ожидания решения уменьшается, а прерывание производительности минимизируется.

В этой статье вы узнали, как включить самостоятельный сброс пароля и применить его к определенной группе. Вы также узнали о различных вариантах конфигурации, доступных для более тесного контроля над тем, как SSPR работает в вашей организации.

Вы также узнали пошагово, как работает самостоятельное сброс пароля, включая процесс регистрации и уведомление по электронной почте.

Больше конфигураций можно интегрировать с SSPR, чем то, что рассматривается в этой статье, например, настройка политик и запрет паролей. Теперь у вас есть знания, которые должны сделать вас более уверенными в реализации SSPR для вашего арендатора Office 365.