Met behulp van Self-Service Password Reset (SSPR) kan een gebruiker zelf zijn/haar wachtwoord wijzigen en/of account deblokkeren, zonder tussenkomst van een helpdesk. Hierdoor wordt de helpdesk minder belast en kan de betreffende medewerker snel weer aan de slag.
Configuratie van SSPR binnen Azure AD
Een Microsoft 365 beheerder kan de SSPR functionaliteit binnen Azure AD inschakelen. Het is mogelijk om SSPR in te schakelen voor de gehele omgeving, of voor een bepaalde groep mensen. Ik adviseer altijd om SSPR eerst te activeren voor een ‘pilot’ groep. Zodoende kan men de functionaliteit testen en draagkracht creëren binnen de organisatie.
Verificatiemethoden
Om je wachtwoord te kunnen resetten moet Microsoft wel kunnen valideren dat het daadwerkelijk om jouw account gaat. Dit doet men door verificatiemethoden te configureren. De Microsoft 365 beheerder kan ook bepalen of één of twee verificatiemethoden benodigd zijn om je wachtwoord te resetten of je account te deblokkeren. Zie onderstaand screenshot voor een voorbeeld van deze inrichting.
Registratie
De gebruiker dient bij voorkeur zelf deze gegevens te configureren. Hierdoor is het mogelijk de gebruiker te forceren om de registratie te doorlopen wanneer hij/zij de volgende keer inlogt binnen Microsoft 365. Het is mogelijk om dit niet te forceren, echter dienen dan alle gegevens door de Microsoft 365 beheerder ingevuld te worden. Indien dit niet gebeurt dan is de SSPR functionaliteit ook niet beschikbaar voor de betreffende eindgebruiker.
Daarnaast kan men instellen dat gebruikers om de xxx aantal dagen (standaard 180) hun verificatiemethodes moeten valideren. Indien deze waarde op ‘0’ wordt gezet dan hoeft dit niet. Zie onderstaand screenshot voor een voorbeeld van deze inrichting.
Indien men nog géén gebruik maakt van Multi-Factor Authenticatie (MFA), adviseer ik om de registratie van MFA en SSPR te combineren. Zodoende dienen de eindgebruikers slechts eenmalig een registratie te doorlopen!
Notificaties
Het is mogelijk om notificaties te verzenden wanneer een wachtwoord via het SSPR portaal gewijzigd wordt. Hierbij zijn er twee mogelijkheden, zoals te zien in onderstaande afbeelding.
Integratie met lokale Active Directory
Indien men een hybride omgeving heeft en over de juiste licentie beschikt (minimaal Azure Active Directory Premium P1) is het mogelijk om gebruik te maken van ‘Password Writeback’. Hierdoor wordt het wachtwoord dat via het SSPR portaal wordt gewijzigd ook terug gesynchroniseerd naar de lokale Active Directory omgeving.
Conclusie
In de praktijk zien we nog vaak dat de helpdesk dagelijks verzoeken krijgt om een wachtwoord te resetten. Veelal omdat de gebruiker zelf niet de mogelijkheid heeft om dit te doen. Meestal gaat er flink wat tijd overheen voordat dit soort verzoeken verwerkt zijn (melding maken – registratie door de helpdesk – uitvoering van de helpdesk – terugkoppeling naar de eindgebruiker – testen).
Wanneer men gebruik maakt van SSPR is bovenstaande verleden tijd. De gebruiker kan zelf zijn/haar wachtwoord opnieuw instellen of het account deblokkeren. Zodoende wordt de helpdesk minder belast én kan de gebruiker sneller aan het werk. Persoonlijk vind ik deze functionaliteit een must voor ieder bedrijf!