Salasanojen resetointi itsepalveluna:
Microsoft 365 -tenantit eivät oletuksena hyödynnä käyttäjien salasanojen resetointia itsepalveluna (SSPR). Toiminnollisuus voidaan kuitenkin ottaa käyttöön Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Properties.
Oletuksena SSPR ei ole käytössä kenelläkään, paitsi tenantin järjestelmänvalvojilla. Toiminto voidaan ottaa päälle kaikille organisaation käyttäjille, tai vain halutulle ryhmälle. Luonnollisesti muutosta tehdessä kannattaa harkita oman organisaation tietoturvapolitiikkaa ja -käytäntöjä. SSPR ei sovi kaikkiin organisaatioihin ja voi heikentää tietoturvaa. Itse olen luonut omaan tenanttiin Self_Password_Reset -turvallisuusryhmän (security group).
Olen määrittänyt salasanan resetoinnin itsepalveluna toimimaan vain kyseisen ryhmän käyttäjillä:
Tunnistautumistavat:
Kun toiminto on otettu käyttöön halutulle joukolle käyttäjiä, kannattaa määrittää tunnistautumistavat, joilla käyttäjät voivat todistaa identiteettinsä salasanan resetoinnin yhteydessä. Tunnistatumistavat voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Authentication methods.
Itse edellytän kahta tunnistautumistapaa identiteetin todentamiseksi. Rekisteröitäviä tapoja olen sallinut neljä: Microsoft Authenticator -sovellukseen saapuvan ilmoituksen hyväksyminen, Microsoft Authenticator -sovellukseen saapuva kertakäyttökoodi, toissijainen sähköpostiosoite ja puhelinnumero.
Rekisteröityminen:
Jos tunnistautumistapoja ei ole määritetty, ei salasanaa voida palauttaa itsepalveluna. Siksi on suositeltavaa, että edellytetään automaattisesti käyttäjältä tunnistautumistietojen määritystä seuraavan sisäänkirjautumisen yhteydessä. Automaattinen rekisteröityminen salasanaresetointiin voidaan määrittää Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/PasswordReset > Registration.
Samassa yhteydessä voidaan määrittää, kuinka usein käyttäjien tulee vahvistaa tunnistautumistapojen ajantasaisuus. Itse olen asettanut sen 180 päivän välein.
Rekisteröintivaiheessa käyttäjä ohjataan oletuksena MFA:sta tuttuun portaaliin http://aka.ms/mfasetup tietojen määrittämiseksi. Azure AD:sta voidaan myös määrittää käyttäjille uusi portaali käyttöön, jolloin heidät ohjataan sivulle: https://mysignins.microsoft.com/security-info. Tuo uudempi portaali saadaan päälle Azure AD:sta navigoimalla: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/ > User settings > Manage user feature preview settings > Users can use the combined security information registration experience: All tai Selected.
Salasanan resetointi:
Rekisteröinnin jälkeen käyttäjät voivat itse vaihtaa salasanansa linkin https://passwordreset.microsoftonline.com/ tai lyhytlinkin https://aka.ms/sspr kautta.