Microsoft 365 – Salasanan resetointi itsepalveluna (SSPR)

Salasanojen resetointi itsepalveluna:

Microsoft 365 -tenantit eivät oletuksena hyödynnä käyttäjien salasanojen resetointia itsepalveluna (SSPR). Toiminnollisuus voidaan kuitenkin ottaa käyttöön Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Properties.

Oletuksena SSPR ei ole käytössä kenelläkään, paitsi tenantin järjestelmänvalvojilla. Toiminto voidaan ottaa päälle kaikille organisaation käyttäjille, tai vain halutulle ryhmälle. Luonnollisesti muutosta tehdessä kannattaa harkita oman organisaation tietoturvapolitiikkaa ja -käytäntöjä. SSPR ei sovi kaikkiin organisaatioihin ja voi heikentää tietoturvaa. Itse olen luonut omaan tenanttiin Self_Password_Reset -turvallisuusryhmän (security group).

Olen määrittänyt salasanan resetoinnin itsepalveluna toimimaan vain kyseisen ryhmän käyttäjillä:


Tunnistautumistavat:

Kun toiminto on otettu käyttöön halutulle joukolle käyttäjiä, kannattaa määrittää tunnistautumistavat, joilla käyttäjät voivat todistaa identiteettinsä salasanan resetoinnin yhteydessä. Tunnistatumistavat voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Authentication methods.

Itse edellytän kahta tunnistautumistapaa identiteetin todentamiseksi. Rekisteröitäviä tapoja olen sallinut neljä: Microsoft Authenticator -sovellukseen saapuvan ilmoituksen hyväksyminen, Microsoft Authenticator -sovellukseen saapuva kertakäyttökoodi, toissijainen sähköpostiosoite ja puhelinnumero.


Rekisteröityminen:

Jos tunnistautumistapoja ei ole määritetty, ei salasanaa voida palauttaa itsepalveluna. Siksi on suositeltavaa, että edellytetään automaattisesti käyttäjältä tunnistautumistietojen määritystä seuraavan sisäänkirjautumisen yhteydessä. Automaattinen rekisteröityminen salasanaresetointiin voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Registration.

Samassa yhteydessä voidaan määrittää, kuinka usein käyttäjien tulee vahvistaa tunnistautumistapojen ajantasaisuus. Itse olen asettanut sen 180 päivän välein.

Rekisteröintivaiheessa käyttäjä ohjataan oletuksena MFA:sta tuttuun portaaliin http://aka.ms/mfasetup tietojen määrittämiseksi. Azure AD:sta voidaan myös määrittää käyttäjille uusi portaali käyttöön, jolloin heidät ohjataan sivulle: https://mysignins.microsoft.com/security-info. Tuo uudempi portaali saadaan päälle Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/ > User settings > Manage user feature preview settings > Users can use the combined security information registration experience: All tai Selected.


Salasanan resetointi:

Rekisteröinnin jälkeen käyttäjät voivat itse vaihtaa salasanansa linkin https://passwordreset.microsoftonline.com/ tai lyhytlinkin https://aka.ms/sspr kautta.


TÄTÄ DOKUMENTTIA SAA KOPIOIDA JA MUOKATA GNU GENERAL PUBLIC LICENSE (VERSIO 3 TAI UUDEMPI) MUKAISESTI. HTTP://WWW.GNU.ORG/LICENSES/GPL.HTML
MARKUS PYHÄRANTA

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top