Hasła, wszędzie hasła! Niech użytkownicy sami je resetują!

Azure MFA
Azure MFA

Hasła są nieodłączną częścią weryfikacji tożsamości użytkowników. W dużych organizacjach stanowią podstawową metodę weryfikacji tożsamości użytkowników, w połączeniu z loginem. Jednak, kiedy użytkownik tego hasła zapomni, to najczęściej męczy najbliżej położonego członka zespołu IT, aby hasło mu zresetować. A co, gdyby wykorzystać wbudowane w Microsoft 365 rozwiązanie i pozwolić użytkownikom, aby sami resetowali swoje hasła?

Aaaale co z bezpieczeństwem? Warto zadbać o odpowiednią edukację pracowników z zakresu bezpieczeństwa! Jak sprawdzić użytkowników pod tym kątem, napiszę już wkrótce, teraz skupmy się na hasłach!

Czego potrzebujemy, aby użytkownicy mogli resetować swoje hasła samemu?

Żeby zapewnić naszym użytkownikom możliwość resetu haseł przez Azure AD, będziemy potrzebować:

  • Działającą usługę AzureAD w naszej Organizacji
  • Konta z poziomem dostępu Global Administrator
  • Testowego konta, aby przeprowadzić testy powdrożeniowe
  • Grupy użytkowników w AzureAD, aby włączyć im samodzielne resetowanie haseł.

Włączamy Self Service Password Recovery dla naszego tenanta

 Akcję hasłową rozpoczynamy od zalogowania się do portalu Azure kontem z uprawnieniami Global Administrator. Następnie odszukujemy panel Manage Azure Active Directory. Po kliknięciu na View przywita nas panel konfiguracyjny AzureAD. 

Panel Azure Active Directory

Z listy po lewej stronie wybieramy opcję Password Reset która przeniesie nas do kolejnego panelu

Włączenie opcji samodzielnego resetu hasła przez użytkowników.
Włączenie opcji samodzielnego resetu hasła przez użytkowników.

W wyświetlonym oknie mamy możliwość konfiguracji, którzy użytkownicy będą mogli skorzystać z opcji samodzielnego resetu swoich poświadczeń. Domyślnie ta opcja jest wyłączona, jak Administrator, mamy możliwość włączenia jej dla wybranych grup AzureAD lub dla wszystkich użytkowników w organizacji. Po włączeniu wybranej przez nas opcji i zapisaniu zmian musimy pamiętać, przejdźmy do konfiguracji wymagań niezbędnych do spełnienia, aby zweryfikować tożsamość użytkownika.

Kiedy naszemu użytkownikowi przyjdzie zresetować swoje hasło przez Self Service Password Reset, musimy się upewnić, że jest to ten użytkownik. Bez właściwego uwierzytelnienia nie powinniśmy nikomu nigdy resetować hasła! AzureAD daje nam na szczęście możliwość sprawdzenia, czy osoba próbująca zresetować hasło, jest tym, za kogo się podaje. W portalu Azure mamy możliwość skonfigurowania aż 6 metod, z których możemy wybrać te, które zaimplementujemy dla naszych użytkowników. 

Oczywiście najlepszym i najskuteczniejszym sposobem będzie użycie uwierzytelniania wieloskładnikowego, o którym już pisałem na tym blogu. Oprócz niego mamy możliwość włączenia następujących metod:

  • Powiadomienie w aplikacji MS Authenticator (dostępne, jeżeli mamy wymagane 2 sposoby weryfikacji użytkownika)
  • Kod z aplikacji MS Authenticator
  • Email z kodem odzyskiwania
  • Telefon od Microsoftu z kodem na wcześniej podany numer telefonu komórkowego
  • Telefon od Microsoftu z kodem na wcześniej podany numer telefonu stacjonarnego
  • Pytania bezpieczeństwa, które skonfigurowaliśmy, aby były zadawane podczas tworzenia konta.

Podczas rejestracji do AzureAD użytkownicy powinni zostać skierowani na stronę Ustawień Bezpieczeństwa i skonfigurować swoje metody uwierzytelniania. 

No a jak użytkownik ma odzyskać swoje hasło?

To akurat proste. Aby zresetować swoje hasło, użytkownik musi skierować swoje kroki na stronę

https://passwordreset.microsoftonline.com/ 

 

Formularz przypominania hasła usługi Microsoft Online
Formularz przypominania hasła usługi Microsoft Online
 

Po wejściu na nią, podaje on swój adres e-mail, potwierdza, że nie jest robotem, następnie klika Next. co przeniesie go do okna, w którym wybierze on metodę swojego uwierzytelnienia.

Weryfikacja tożsamości użytkownika w usłudze Microsoft Online
Weryfikacja tożsamości użytkownika w usłudze Microsoft Online
Wybór nowego hasła do konta AzureAD
Wybór nowego hasła do konta AzureAD

Jeżeli wszystko pójdzie zgodnie z planem, użytkownik zostanie o tym fakcie poinformowany stosownym komunikatem.

Potwierdzenie udanej zmiany hasła
Potwierdzenie udanej zmiany hasła

Jeżeli natomiast użytkownik nie konfigurował nigdy opcji odzyskiwania, zostanie poinformowany o tym fakcie i poproszony o kontakt z Administratorem lub ustawienie pytań zabezpieczających. 

Jeżeli użytkownik nie ustawił opcji odzyskiwania hasła, zobaczy taką informację
Jeżeli użytkownik nie ustawił opcji odzyskiwania hasła, zobaczy taką informację

Arek Kożuch

Cześć, jestem Arek! Na co dzień informatyk, w wolnych chwilach pasjonat druku 3D, nowych technologii i ciągłego doskonalenia się. W życiu najbardziej cenię sobie radość i ludzi, którzy mnie otaczają każdego dnia.

Może Ci się również spodoba