Hopp til hovedinnhold

Aktuelt og fagblogg

AzureMicrosoft 365Sikkerhet

Azure AD Selvbetjent tilbakestilling av passord

Logo letter
Evelon AS
Jon-Alfred Smith

Microsoft 365 støtter passordløs pålogging med FIDO2-sikkerhetsnøkler og Microsoft Authenticator. Men vi har fortsatt en lang vei å gå før vi helt kan kvitte oss med passord. Med Azure AD Password Protection kan du konfigurere regler som øker kravene til passord og bidrar til å beskytte dem. Med Azure AD Self-Service Password Reset (SSPR) avlaster du helpdesk i betydelig grad ved å la brukere endre passord. Det har også et sikkerhetsaspekt. Du kan ha mistanke om at påloggingsinformasjonen din er kommet på avveie. Azure AD Identity Protection kan tvinge frem at du tilbakestiller passordet om Microsofts trusselintelligens fastslår en identitetslekkasje.

Aktivere Selvbetjent tilbakestilling av passord

tilbakestillepassord1

For å bruke Self-Service Password Reset må du først aktivere mekanismen. I et rent skymiljø gjør du dette i administrasjonssentret for Azure Active Directory. Gå til Users, Password reset. Her kan du aktivere den for ingen, en brukergruppe eller alle. Funksjonen gjelder bare for vanlige brukerkontoer. Som standard er den allerede satt opp for alle administratorkontoer. For at en administrator skal kunne tilbakestille sitt eget passord, kreves det minst to autentiseringsmetoder.@

Autentiseringsmetoder

tilbakestillepassord2

Under Authentication methods velger du autentiseringsmetodene en bruker kan benytte for å tilbakestille passordet. Du må også konfigurere hvor mange metoder som kreves. To er anbefalt.

  • Mobile app notification (varsel fra mobilapp) er bare tilgjengelig om du trenger to metoder for å tilbakestille passordet. Med Microsoft Authenticator godkjenner du et push-varsel på mobilenheten din.
  • Mobile app code (kode fra mobilapp) fra Microsoft Authenticator kan også brukes som ekstra autentiseringsfaktor.
  • Email (e-post) er et tveegget sverd. E-postadressene kan ikke tilhøre organisasjonen din. Det er praktisk når du ikke får logget deg på. Samtidig har du ingen garanti for sikkerheten til den eksterne kontoen sin. Den kan være kompromittert og føre til at en angriper misbruker din personlige e-postkonto for å tilbakestille passordet.
  • Mobile phone (mobiltelefon) lar deg legge til et mobilnummer som autentisering. Bruker mottar enten en automatisk oppringing de må godkjenne ved å bruke #-tasten, eller en tekstmelding med en engangskode som må oppgis under tilbakestillingen av passordet.
  • Office phone (kontortelefon) gir deg anledning til å benytte et kontortelefonnummer som kan brukes til taleanrop som godkjenningsmetode.
  • Security questions (sikkerhetsspørsmål) er en kontroversiell metode. Enkelte oppfatter den som sikrere enn tekstmeldinger, andre mener det er for lett å gjette svarene. Du kan sette opp antallet som må besvares, det er en omfattende liste over forhåndsdefinerte spørsmål, og du kan legge til dine egne.

Alternativer for registrering

tilbakestillepassord3

Innstilligen her avgjør om brukerregistrering skal skje ved neste pålogging, samt antall dager før bruker må bekrefte autentiseringsinformasjonen på nytt. Hvis du setter Require users to register when signing in til No, må administrator spesifisere nødvendige godkjenningsopplysninger for å tilbakestille passord i egenskapene for hver bruker under Authentication Methods. Eller instruer brukerne om å gå til registreringsportalen direkte (https://aka.ms/ssprsetup/).

Du angir også tidsperioden før registrerte brukere blir bedt om å bekrefte at deres eksisterende autentiseringsinformasjon fortsatt er gyldig, som maksimalt kan være 730 dager. 0 dager betyr at brukerne aldri blir bedt om å bekrefte informasjonen. Innstillingene gjelder bare for sluttbrukere i organisasjonen din. Når du aktiverer funksjonen Selvbetjent tilbakestilling av passord, må du informere brukerne dine nøye.

Varsling

tilbakestillepassord4

Det er mulig å sette opp varsler for å informere brukere når passordet deres tilbakestilles, også varsle administratorer når en annen administrator tilbakestiller passordet.

Tilpasset brukerassistanse

tilbakestillepassord5

Du kan også konfigurere en tilpasset helpdesk-kobling eller e-postadresse for brukere som sliter med denne funksjonen.

Integrasjon med lokalt Windows AD

tilbakestillepassord6

Du kan innlemme tilbakestilling av passord i Windows Active Directory (AD). Da må du slå på alltid låse opp kontoer når du utfører en tilbakestilling av passord. Innstillingen lar deg skille de to operasjonene. Feilmeldingen ovenfor sier at funksjonen ikke kan koble seg til den lokale klienten for tilbakeskriving.

Write back passwords to your on-premises directory for å få integrasjonen til å virke. Allow users to unlock accounts without resetting their password angir om brukere skal få muligheten til å låse opp sine lokale Active Directory-kontoer uten å tilbakestille passordet. Som standard vil Azure AD

tilbakestillepassord7

Det krever at du har krysset av for Password writeback. Hvis du ikke har gjort det, kan du kjøre Azure AD Connect en gang til med en tilpasset installasjon og velge Optional Features. Tjenestekontoen for Azure AD Connect må ha nødvendige tillatelser for å oppdatere passordobjekter i lokalt Windows Active Directory. MVP Brian Reid har skrevet en utmerket artikkel om trinnene du må fullføre for å gjøre det. Innlegget finner du her.

Brukerregistrering for å tilbakestille passord

Brukere kan fullføre registreringsprosessen ved å gå til https://aka.ms/ssprsetup/. Bruker blir bedt om å oppgi bruker-ID og blir ført til neste side. Nåværende passord må eventuelt angis på nytt. Det kommer opp en melding om at organisasjonen trenger mer informasjon.

tilbakestillepassord8

Her er det valgt to metoder: Microsoft Authenticator på en ny og gammel iPhone pluss en ekstern e-postadresse. Send kode i melding eller Ring meg anses ikke som like trygt lenger.

Tilbakestille passord

tilbakestillepassord9

Hvis noen trenger å tilbakestille passordet, kan de gjøre det ved å gå til https://aka.ms/sspr/. Skriv inn bruker-ID-en din og bekreft med CAPTCHA. Klikk så på Neste. Så velger de godkjenningsmetode.

tilbakestillepassord10

Hos oss valgte jeg først Godkjenn et varsel i godkjenningsappen, så Send e-post til den alternative e-postadressen min. Der mottok jeg en sekssifret kode som måtte tastes inn som bekreftelse.

Kombinert registrering av sikkerhetsinformasjon

tilbakestillepassord11

Du kan foreta en kombinert registrering av Selvbetjent tilbakestilling av passord og multifaktor-autentisering (MFA). Velg Users, User settings, Manage user feature preview settings. Fra og med 15. august 2020 ble alle nye Azure AD-leietakere automatisk aktivert for kombinert registrering.

Tilbakestille passord fra Windows-påloggingsskjermen

tilbakestillepassord12

Du kan gi brukere muligheten til å tilbakestille passord fra påloggingsskjermen for Windows 10 før de logger på datamaskinen. For å aktivere denne integrasjonen må du bruke Endepunktbehandling (https://endpoint.microsoft.com) og konfigurere alternativet «Tillat tilbakestilling av passord».

tilbakestillepassord13

Naviger til Devices, Windows, Configuration Profile. Klikk på Create Profile og velg innstillingene:

  • Platform: Windows 10 and later
  • Profile type: Settings Catalog (preview)

Gi profilen et meningsfylt navn, for eksempel Reset password from the Windows login screen eller Tilbakestill passord fra Windows-påloggingsskjermen. Det er valgfritt med en beskrivelse, men kan være lurt etter hvert som du bygger opp et helt bibliotek med konfigurasjonsprofiler. Klikk på Add settings på siden for Configuration settings. Det åpner ruten Settings picker. Søk etter «reset». Alternativt kan du også lete etter «Aad Password Reset». Klikk på Authentication. Kryss av for Allow Aad Password Reset. Slå på Allow Aad Password Reset i venstre rute (blad). Når du har fullført disse trinnene, tilordner du policyen til brukere (eller enheter) som du vil aktivere funksjonen for.

Overvåking av selvbetjent tilbakestilling av passord og MFA

tilbakestillepassord14

Overvåking, loggføring og rapportering er sentralt for funksjonene i Azure AD. Under Password Reset finner du Usage & Insights. Dashbordet lar deg identifisere hvilke brukere som har registrert seg for MFA og / eller selvbetjent tilbakestilling av passord, og hvem som ikke har gjort det. Du får også øye på brukere som har opplevd problemer med det. Revisjonsloggene kan benyttes til å overvåke og gjennomgå alle tilbakestillinger av passord de siste 30 dagene.

Lisensiering

Azure AD Gratis, som følger med alle abonnementer, gir bare muligheten til å endre et kjent passord. Med Azure AD for Office 365-apper kan du tilbakestille passord for skybrukere. Azure AD Premium P1 støtter alle funksjoner som er nevnt her, og inngår i Microsoft 365 Business Premium, E3 og E5.

Avsluttende ord

Når du ruller ut Selvbetjent tilbakestilling av passord, bør du først teste den med en pilotgruppe. Aktiver tjenesten for bestemte brukere, helst grupper. Før du distribuerer den til alle, må du sørge for at du kommuniserer effektivt med brukerne dine og informere dem om at funksjonen snart vil være tilgjengelig for dem. Som standard kan brukere registrere seg for multifaktor-autentisering (MFA) eller Selvbetjent tilbakestilling av passord fra en hvilken som helst enhet eller plassering. Om du setter opp den nye kombinerte registreringsopplevelsen, kan du benytte Betinget tilgang til å håndheve registreringen. Da kan du kvalifisere at dette bare kan gjøres fra enheter som er registrert i Intune, Microsofts plattform for mobil enhets- og applikasjonsbehandling. Det gjør livet vanskeligere for hackere.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt

Relevante kundeprosjekter

Dette leverer vi for våre kunder

Mer fra fagbloggen

Få faglig påfyll og bli inspirert!