Microsoft Entra ID – Self-Service Password Reset (SSPR)
SSPR - käyttöönotto ja testaus
Microsoft Entra Self-Service Password Reset (SSPR) – Mitä, miksi ja miten?
Microsoft Entran Self-Service Password Reset (SSPR) antaa käyttäjille mahdollisuuden nollata tai vaihtaa unohtuneen salasanansa ilman IT-tuen apua. Jos käyttäjä lukittuu ulos tililtään tai unohtaa salasanansa, hän voi itse palauttaa pääsyn työympäristöön. Tämä vähentää tukipyyntöjä ja parantaa tuottavuutta.
Miten SSPR toimii?
- Käyttäjä siirtyy SSPR-portaaliin, esimerkiksi:
- Kirjautumisruudun “Can’t access your account?” -linkistä
- Suoralla URL-osoitteella:
👉 https://aka.ms/sspr
Tämä linkki vie suoraan Microsoftin SSPR-portaaliin, ja toimii myös mobiililaitteilla tai toisella laitteella.
- Palvelu tarkistaa:
- Käyttäjän tilin kelpoisuuden SSPR:ään
- Onko salasana hallinnassa pilvessä vai paikallisessa AD:ssä
- Onko käyttäjä rekisteröinyt vaaditut todennusmenetelmät
-
Käyttäjä suorittaa todennuksen esimerkiksi puhelinnumeron, sähköpostin tai Authenticator-sovelluksen avulla.
- Prosessin lopuksi käyttäjä voi:
- Nollata salasanansa, jos se on unohtunut tai vanhentunut
- Poistaa tililukituksen, jos niin on sallittu asetuksissa
Lukituksen avaaminen ilman salasanan vaihtoa
Aiemmin SSPR:n asetuksissa oli mahdollista sallia käyttäjille tilin lukituksen avaaminen ilman salasanan vaihtoa, esimerkiksi tilanteissa, joissa käyttäjä oli lukinnut tilinsä toistuvilla virheellisillä kirjautumisyrityksillä.
Tämä tehtiin asetuksella:
“Allow users to unlock account without resetting password”
Nykytila (2025)
Tämä asetus ei enää näy useimmissa ympäristöissä seuraavista syistä:
- Microsoft on poistanut näkyvyyden asetukseen Entra-hallintakeskuksen käyttöliittymästä uusissa tai päivitettyissä tenanteissa.
- Vanha AzureAD PowerShell -moduuli, jonka kautta asetusta aiemmin hallittiin (
Get-AzureADPolicy), on poistettu käytöstä. - Microsoft Graph PowerShell SDK ei tällä hetkellä tarjoa suoraa komentoa kyseisen asetuksen hallintaan.
Mitä tämä tarkoittaa?
Jos et näe asetusta tenantissasi:
- Et voi muuttaa käyttäytymistä manuaalisesti.
- Microsoftin järjestelmä hallinnoi asetusta taustalla, mahdollisesti oletusarvoisesti sallien tai estäen toiminnon riippuen tenantin muista määrityksistä ja pilviversiosta.
Suositus
Jos tilin lukituksen avaaminen ilman salasanan vaihtoa on tärkeä osa käyttötapauksia, suosittelemme seuraavaa:
- Testaa käyttäjäskenaario käytännössä: lukitse testikäyttäjä ja katso, voiko hän avata tilinsä
https://aka.ms/sspr-sivun kautta ilman salasanan vaihtoa. - Seuraa Microsoftin päivityksiä, sillä authentication methods -politiikka on jatkuvasti kehittyvä osa Entraa.
Hybridituki ja “password writeback”
Monissa organisaatioissa käyttäjätunnukset ja salasanat hallitaan edelleen paikallisessa Active Directoryssä (AD DS). Tässä tilanteessa Microsoft Entra -ympäristön SSPR voidaan yhdistää paikalliseen AD:hen password writeback -toiminnolla.
Miten password writeback toimii?
Kun käyttäjä nollaa salasanansa pilven kautta SSPR:llä:
- Microsoft Entra ID vastaanottaa salasanan vaihdon pyynnön.
- Microsoft Entra Connect -komponentti ottaa yhteyden paikalliseen Active Directoryyn.
- Uusi salasana kirjoitetaan takaisin (writeback) AD:hen.
- Käyttäjä voi kirjautua normaalisti kaikissa järjestelmissä, jotka käyttävät AD-tunnistautumista.
Vaatimukset:
- Microsoft Entra Connect käyttöön otettu on-premises ympäristössä
- Password writeback aktivoitu Entra Connectin asetuksissa
- Käyttäjän tili synkronoitu Enta ID:hen
- Entra Connect palvelutunnuksella riittävät Active Directory käyttöoikeudet writeback-operaatioihin
Salasana resetointi B2B käyttäjillä
Microsoft Entra tukee myös B2B (Business-to-Business) käyttäjien salasanojen palauttamista, mikä helpottaa yhteistyötä ulkoisten kumppaneiden kanssa.
Miten B2B käyttäjätunnuksen resetointi toimii?
- B2B-käyttäjä voi käyttää SSPR:ää aivan kuten organisaation oma käyttäjä, jos hän käyttää Microsoft-tiliä tai hänen oma Entra-hakemistonsa tukee SSPR:ää.
- Käyttäjä ohjataan omaan organisaatioonsa palauttamaan salasana.
- Jos kumppanin ympäristö ei tue SSPR:ää, salasanan palautus ei ole mahdollista Microsoftin kautta.
Huomioitavaa
- Organisaatio ei voi pakottaa toisen organisaation B2B-käyttäjää käyttämään tiettyjä palautusmenetelmiä.
- B2B-käyttäjän salasana palautetaan heidän oman identiteetin tarjoajansa kautta, ei isäntäympäristössä.
Hallinta ja seuranta
- Lisenssit: Vähintään Entra ID P1 / P2 -lisenssi vaaditaan.
- Autentikointimenetelmät: Voit sallia esim. puhelin, sähköposti, Microsoft Authenticator -sovellus, turvakysymykset jne.
- Auditointi: Rekisteröinti- ja palautustoiminnot kirjataan, ja niitä voi seurata myös SIEM-järjestelmissä.
- Kohdistus: Voit rajata, mitkä käyttäjät saavat käyttää SSPR:ää (esim. ryhmäperusteisesti).
Hyödyt
- Kustannustehokas: Vähemmän helpdesk-tikettejä.
- Käyttäjäystävällinen: Pääsy palautuu nopeasti.
- Turvallinen: Auditointi, vahva todennus ja hallittu käyttöönotto.
Ota käyttöön Microsoft Entra Self‑Service Password Reset (SSPR)
Tämä ohje kuvaa, miten SSPR otetaan käyttöön Microsoft Entra ID -ympäristössä testiryhmälle – ja tarvittaessa laajennetaan koko organisaatioon.
Vaatimukset
- Lisenssi: Tarvitaan vähintään Microsoft Entra ID P1-lisenssi
- Käyttöoikeus: Sinulla tulee olla vähintään Authentication Policy Administrator -oikeus
SSPR:n aktivointi
- Kirjaudu sisään Microsoft Entra -hallintakeskukseen.
- Siirry kohtaan: Entra ID → Password reset.
- Ominaisuusvalikosta (
Properties) valitse Self service password reset enabled:- None – Ei käytössä
- Selected – Käytössä valituille ryhmille
- All – Käytössä kaikille käyttäjille
- Jos valitset Selected, hae ja valitse ryhmä kohdassa Select Group, kuten
SSPR-Test-Group. - Tallenna asetukset klikkaamalla Save
Autentikointimenetelmät ja rekisteröinti (2025)
Mene kohtaan:
Entra ID → Password reset → Authentication methods
Tässä näkymässä näkyy enää vain Security questions, koska muut menetelmät hallitaan nyt Authentication Methods Policylla.
- Voit edelleen valita, haluatko sallia Security questions osaksi SSPR-prosessia.
- Määritä myös:
- Number of methods required to reset → esim. 1 tai 2, riippuen turvallisuuspolitiikastasi.
Mikäli tarpeen on tarkastella ja mahdollisesti muuttaa muita käytössä olevia todennuskäytäntöjä niin siirry hallintakeskuksessa kohtaan:
Entra ID → Authentication methods
Olen kirjoittanut blogikirjoituksen todennuskäytännöistä Linkki kirjoitukseen
Siirry kohtaan:
Entra ID → Password reset → Registration
Täältä voit määrittää:
- Require users to register when signing in → Suositellaan Yes
- Number of days before users are asked to reconfirm their authentication information → Esimerkiksi 180 päivää
Tämä varmistaa, että käyttäjien todennustiedot pysyvät ajan tasalla.
Ilmoitukset (Notifications)
SSPR:n avulla voit lähettää ilmoituksia sekä käyttäjille että ylläpitäjille salasanan palautustapahtumista. Tämä parantaa valvontaa ja tietoturvaa.
Asetusten sijainti:
Entra ID → Password reset → Notifications
Täällä on kaksi tärkeää asetusta:
-
Notify users on password resets?
→ Kun tämä on Yes, käyttäjille lähetetään sähköposti-ilmoitus, kun heidän salasanansa on nollattu – riippumatta siitä, kuka sen teki. -
Notify all admins when other admins reset their password?
→ Kun tämä on Yes, kaikki Entra-järjestelmänvalvojat saavat ilmoituksen, jos jonkun toisen ylläpitäjän salasana palautetaan.
Testaa rekisteröinti ja salasanan palautus
Käyttöönoton jälkeen kannattaa testata SSPR-toiminto alusta loppuun testikäyttäjällä.
- Rekisteröinti:
- Avaa inkognito-selain.
- Siirry osoitteeseen: https://aka.ms/ssprsetup
- Kirjaudu sisään testikäyttäjällä.
- Rekisteröi vaaditut todennustavat (esim. sähköposti, puhelin, Authenticator).
- Salasanan palautus:
- Siirry osoitteeseen: https://aka.ms/sspr
- Syötä käyttäjätunnus ja seuraa ohjeita salasanan palauttamiseksi.
- Tarkista, että ilmoitukset lähtevät onnistuneesti sekä käyttäjälle että ylläpitäjälle (jos kyseessä admin-tili).
SSPR:n poistaminen käytöstä (tarvittaessa)
- Mene Entra ID → Password reset.
- Aseta Self service password reset enabled arvoon None.
- Tallenna muutos. Näin SSPR otetaan kokonaan pois käytöstä