Hasło administratora globalnego (Global Administrator) w Microsoft 365 zmienia się na dwa sposoby: samodzielnie przez zalogowanego administratora w panelu Moje konto lub przez innego administratora w centrum administracyjnym Microsoft 365. Jeśli administrator zapomniał hasła i nie ma drugiej osoby z odpowiednią rolą, konieczne jest skorzystanie z samoobsługowego resetowania hasła (SSPR) — pod warunkiem, że zostało wcześniej skonfigurowane.
KluczeSoft jest niezależnym sprzedawcą licencji Microsoft i nie jest powiązany z Microsoft Corporation. Poniższy przewodnik opiera się na oficjalnej dokumentacji Microsoft Learn oraz aktualnych procedurach obowiązujących w maju 2026 roku.
W skrócie
- Zalogowany administrator zmienia własne hasło przez mysignins.microsoft.com/security-info → Hasło → Zmień.
- Inny administrator resetuje hasło kolegi przez admin.microsoft.com → Użytkownicy → Aktywni użytkownicy → Resetuj hasło.
- Do resetowania haseł innych administratorów potrzebna jest rola Administrator globalny lub Administrator uwierzytelniania uprzywilejowanego.
- Microsoft od lutego 2026 wymaga MFA dla wszystkich kont administracyjnych — bez skonfigurowanego drugiego składnika nie przejdziesz procedury resetu.
- Jeśli żaden administrator nie może się zalogować, a SSPR nie jest włączone — jedyną drogą jest kontakt z pomocą techniczną Microsoft.
Kto może zmienić hasło administratora globalnego?
Nie każda rola administratorska w Microsoft 365 / Entra ID ma uprawnienia do resetowania haseł kont uprzywilejowanych. Oto zestawienie ról, które mają tę możliwość:
| Rola | Może resetować hasła administratorów? | Może resetować własne hasło? | Wymagana licencja |
|---|---|---|---|
| Administrator globalny | ✅ Tak — wszystkich użytkowników, w tym innych administratorów globalnych | ✅ Tak — przez Moje konto lub SSPR | Microsoft 365 Business Basic lub wyższa |
| Administrator uwierzytelniania uprzywilejowanego (Privileged Authentication Administrator) | ✅ Tak — wszystkich użytkowników (admin i nie-admin) | ✅ Tak | Microsoft Entra ID P1 lub P2 (lub Microsoft 365 E3/E5) |
| Administrator użytkowników (User Administrator) | ⚠️ Tylko hasła nie-administratorów i ograniczone role | ✅ Tak | Microsoft 365 Business Basic lub wyższa |
| Administrator haseł (Password Administrator) | ⚠️ Tylko hasła nie-administratorów | ✅ Tak | Microsoft 365 Business Basic lub wyższa |
| Helpdesk Administrator | ❌ Tylko nie-administratorzy | ✅ Tak | Microsoft 365 Business Basic lub wyższa |
Ważne: Od 30 sierpnia 2024 Microsoft usunął możliwość wysyłania nowego hasła e-mailem z poziomu centrum administracyjnego. Wygenerowane hasło tymczasowe należy zapisać jako PDF i przekazać użytkownikowi w bezpieczny sposób.
Metoda 1: Administrator zmienia własne hasło (gdy zna obecne)
Jeśli jesteś administratorem globalnym, znasz swoje dotychczasowe hasło i po prostu chcesz je zmienić na nowe, wykonaj poniższe kroki:
- Przejdź do mysignins.microsoft.com/security-info i zaloguj się na swoje konto administracyjne.
- Na stronie Informacje zabezpieczające wybierz kafelek Hasło.
- Kliknij Zmień — system poprosi o aktualne hasło, a następnie o dwukrotne wpisanie nowego.
- Nowe hasło musi spełniać politykę haseł organizacji (domyślnie Microsoft 365 wymaga minimum 8 znaków, zawierających małą i wielką literę, cyfrę oraz znak specjalny).
- Po pomyślnej zmianie wyloguj się ze wszystkich sesji — przejdź do mysignins.microsoft.com/sessions i wybierz Wyloguj wszędzie.
Ta metoda działa wyłącznie, gdy znasz aktualne hasło. Jeśli hasło zostało zapomniane — przejdź do metody trzeciej (SSPR).
Metoda 2: Inny administrator resetuje hasło administratora globalnego
Gdy jeden administrator globalny nie może się zalogować, a w organizacji jest drugi administrator z odpowiednią rolą, procedura jest prosta:
- Zaloguj się do centrum administracyjnego Microsoft 365 pod adresem admin.microsoft.com.
- W lewym menu przejdź do Użytkownicy → Aktywni użytkownicy.
- Znajdź na liście konto administratora, którego hasło chcesz zresetować, i kliknij jego nazwę.
- W panelu konta kliknij przycisk Resetuj hasło.
- Wybierz jedną z opcji:
- Automatycznie generuj hasło — system tworzy silne, losowe hasło tymczasowe.
- Wprowadź hasło ręcznie — samodzielnie definiujesz hasło tymczasowe.
- Kliknij Resetuj. Wygenerowane hasło tymczasowe pojawi się na ekranie.
- Wydrukuj dane konta jako PDF i przekaż je administratorowi w bezpieczny sposób (np. menedżerem haseł lub osobiście). Nie wysyłaj hasła mailem ani komunikatorem.
- Administrator przy pierwszym logowaniu zostanie poproszony o zmianę hasła tymczasowego na własne.
Metoda 3: Samoobsługowe resetowanie hasła (SSPR) — gdy administrator zapomniał hasła
Samoobsługowe resetowanie hasła (Self-Service Password Reset, SSPR) to mechanizm pozwalający administratorowi odzyskać dostęp bez pomocy drugiej osoby. SSPR dla administratorów globalnych jest domyślnie włączone w Microsoft Entra ID, ale administrator musi wcześniej zarejestrować metody weryfikacyjne.
Warunki wstępne
- Organizacja musi posiadać licencję Microsoft Entra ID P1 lub P2 (dostępne w ramach Microsoft 365 Business Premium, E3, E5).
- Administrator musi mieć zarejestrowane co najmniej 2 metody uwierzytelniania (np. aplikacja Microsoft Authenticator + telefon). Microsoft wymaga dwóch metod dla kont administracyjnych.
- SSPR musi być skonfigurowane w portalu Entra ID: entra.microsoft.com → Ochrona → Resetowanie hasła.
Procedura krok po kroku
- Przejdź do passwordreset.microsoftonline.com.
- Wprowadź adres e-mail swojego konta administratora i znaki z obrazka CAPTCHA. Kliknij Dalej.
- Wybierz pierwszą metodę weryfikacji:
- Aplikacja Microsoft Authenticator — zatwierdź powiadomienie push lub wprowadź 6-cyfrowy kod TOTP.
- SMS na numer telefonu — wprowadź kod otrzymany w wiadomości.
- E-mail alternatywny — kliknij link lub wprowadź kod z wiadomości.
- Połączenie telefoniczne — odbierz połączenie i naciśnij #.
- Wybierz drugą metodę weryfikacji i potwierdź ją analogicznie.
- Ustaw nowe hasło (dwukrotnie). System poinformuje Cię, jeśli hasło nie spełnia polityki organizacji.
- Po komunikacie Hasło zostało zresetowane zaloguj się nowym hasłem. Zmiana na kontach z synchronizacją haseł z Active Directory lokalnie może potrwać do 2 minut — tyle trwa cykl synchronizacji Microsoft Entra Connect.
Konfiguracja zapasowych metod weryfikacji (zanim stracisz dostęp)
Najlepszy moment na przygotowanie się do ewentualnej utraty hasła to zanim do niej dojdzie. Każdy administrator globalny powinien mieć skonfigurowane minimum 2, a najlepiej 3 metody weryfikacji:
| Metoda | Bezpieczeństwo | Działa offline? | Uwagi |
|---|---|---|---|
| Klucz sprzętowy FIDO2 (YubiKey) | 🔒 Bardzo wysokie | ✅ Tak | Odporny na phishing, zalecany przez Microsoft |
| Microsoft Authenticator (powiadomienia push) | 🔒 Wysokie | ❌ Wymaga internetu | Najwygodniejsza metoda |
| Microsoft Authenticator (kod TOTP) | 🔒 Wysokie | ✅ Tak | Działa na Google Authenticator, ale tylko Microsoft Authenticator obsługuje push |
| Numer telefonu (SMS) | ⚠️ Średnie | ✅ Tak | Podatny na SIM-swap, używaj jako ostateczność |
| Alternatywny adres e-mail | ⚠️ Średnie | ❌ Wymaga internetu | E-mail nie może być w tej samej organizacji Microsoft 365 |
Konfiguracja: przejdź do aka.ms/mysecurityinfo → Dodaj metodę logowania → wybierz metodę i postępuj zgodnie z instrukcjami. Microsoft zaleca co najmniej jedną metodę odporną na phishing (FIDO2 lub Microsoft Authenticator).
Microsoft Authenticator jako podstawowe narzędzie administratora
Aplikacja Microsoft Authenticator (darmowa, dostępna na iOS i Androida) pełni podwójną rolę:
- Jako metoda MFA — zatwierdzasz logowania jednym kliknięciem (powiadomienie push) lub 6-cyfrowym kodem.
- Jako metoda SSPR — używasz jej do potwierdzenia tożsamości przy resecie hasła.
- Jako logowanie bezhasłowe (passwordless) — w połączeniu z biometrią telefonu (FaceID/odcisk palca) możesz całkowicie wyeliminować hasło.
Microsoft od lutego 2026 wymaga MFA dla wszystkich operacji administracyjnych w portalu Azure, Microsoft 365 admin center i Entra ID. Jeśli Twoje konto administratora nie ma skonfigurowanego MFA, nie przejdziesz procedury resetu hasła, ponieważ system nie będzie w stanie zweryfikować Twojej tożsamości.
Co zrobić, gdy żaden administrator nie ma dostępu? (scenariusz awaryjny)
Jeśli w organizacji jest tylko jeden administrator globalny, który zapomniał hasła, a SSPR nie zostało wcześniej włączone — nie ma samoobsługowej drogi odzyskania dostępu. W takiej sytuacji należy:
- Skontaktować się z pomocą techniczną Microsoft przez support.microsoft.com — wybierz produkt Microsoft 365 i opcję Nie mogę się zalogować.
- Przygotować dokumenty potwierdzające własność domeny i organizacji (faktura za usługę Microsoft 365, dane rejestrowe firmy, dokument tożsamości).
- Procedura weryfikacji własności domeny trwa zazwyczaj 24–72 godziny. Microsoft doda tymczasowego administratora, który odzyska dostęp do tenant'a.
Lekcja na przyszłość: każda organizacja powinna mieć co najmniej dwóch administratorów globalnych i włączone SSPR z zarejestrowanymi metodami — to kosztuje 5 minut konfiguracji, a może uratować dni przestoju.
Dobre praktyki bezpieczeństwa haseł administracyjnych
| Praktyka | Dlaczego |
|---|---|
| Hasło min. 16 znaków, unikalne dla Microsoft 365 | Krótkie hasła są łamane w sekundy atakiem brute-force |
| Menedżer haseł (Bitwarden, 1Password, KeePass) | Nie da się zapamiętać silnych, unikalnych haseł do wszystkich serwisów |
| Brak współdzielenia kont administratora | Każdy admin powinien mieć własne konto — umożliwia to audyt i indywidualny reset hasła |
| Konto "break glass" (awaryjne konto administracyjne) | Nieprzypisane do konkretnej osoby, wyłączone z MFA i Conditional Access, z hasłem przechowywanym fizycznie w sejfie |
| Regularny przegląd ról administratorskich | Minimum 1× na kwartał — usuwaj konta byłych pracowników i nadmiarowe uprawnienia |
Częste pytania
Czy mogę zmienić hasło administratora globalnego przez PowerShell?
Tak, użyj modułu Microsoft Graph PowerShell. Zaloguj się poleceniem Connect-MgGraph -Scopes "User.ReadWrite.All", a następnie wykonaj Update-MgUser -UserId "admin@firma.pl" -PasswordProfile @{Password = "NoweHaslo2026!"; ForceChangePasswordNextSignIn = $true}. Wymaga to roli Administrator globalny lub Administrator uwierzytelniania uprzywilejowanego. Hasło musi spełniać politykę organizacji, a konto wykonujące polecenie musi przejść uwierzytelnianie MFA.
Czy reset hasła administratora globalnego wylogowuje go ze wszystkich urządzeń?
Tak — reset hasła przez centrum administracyjne automatycznie unieważnia wszystkie tokeny odświeżania (refresh tokens) i wylogowuje administratora ze wszystkich sesji (przeglądarki, Outlook, Teams, aplikacje mobilne, Azure CLI). Administrator musi zalogować się ponownie z nowym hasłem na każdym urządzeniu.
Co się stanie, jeśli zmienię hasło administratora, który jest używany do synchronizacji Entra Connect?
Konto używane przez Microsoft Entra Connect (często konto administratora globalnego) po zmianie hasła przestanie synchronizować dane między lokalnym Active Directory a chmurą. Należy natychmiast po zmianie hasła zaktualizować poświadczenia w kreatorze Entra Connect na serwerze — uruchom AzureADConnect.exe i przejdź przez konfigurację, podając nowe hasło.
Czy SSPR działa z kontami zsynchronizowanymi z lokalnego Active Directory?
Tak, ale wymaga to skonfigurowania zwrotnego zapisywania haseł (password writeback) w Microsoft Entra Connect. Funkcja ta zapisuje hasło zmienione w chmurze z powrotem do lokalnego AD i wymaga licencji Microsoft Entra ID P1 lub P2. Bez writebacku hasło zostanie zmienione tylko w chmurze, co spowoduje rozbieżność między chmurą a AD.
Dlaczego po resecie hasła nie mogę się zalogować przez kilka minut?
W organizacjach z synchronizacją haseł (password hash sync) zmiana hasła w chmurze musi zostać zsynchronizowana do lokalnego Active Directory. Microsoft Entra Connect wykonuje synchronizację co 2 minuty — w tym oknie nowe hasło może jeszcze nie działać na wszystkich punktach końcowych. Dodatkowo rozproszona architektura Microsoft 365 oznacza, że zmiana propaguje się między centrami danych Microsoftu z opóźnieniem do 5 minut.
Czy mogę zmienić hasło administratora z poziomu aplikacji mobilnej Microsoft 365 Admin?
Aplikacja mobilna Microsoft 365 Admin (dostępna na iOS i Androida) umożliwia resetowanie haseł użytkowników, w tym innych administratorów, pod warunkiem że zalogowane konto ma odpowiednią rolę (Administrator globalny lub Administrator uwierzytelniania uprzywilejowanego). Funkcjonalność jest tożsama z centrum administracyjnym w przeglądarce — znajdziesz ją w sekcji Użytkownicy → [nazwa użytkownika] → Resetuj hasło.
Czy Microsoft wymusza okresową zmianę hasła administratora?
Od 2024 roku Microsoft nie zaleca już okresowej wymiany haseł (tzw. password expiration) jako domyślnej polityki — zamiast tego rekomenduje silne, unikalne hasła + MFA. W Microsoft 365 możesz samodzielnie ustawić politykę ważności haseł (lub ją wyłączyć) w admin.microsoft.com → Ustawienia → Ustawienia organizacji → Zasady wygasania haseł. Standard NIST SP 800-63B, na którym Microsoft opiera swoje rekomendacje, odradza wymuszanie rotacji haseł bez podejrzenia naruszenia.
Potrzebujesz licencji Microsoft 365 dla swojej organizacji?
Zmiana i resetowanie haseł administratorów globalnych to podstawowa funkcjonalność dostępna w każdej subskrypcji Microsoft 365. Jednak zaawansowane mechanizmy bezpieczeństwa — samoobsługowe resetowanie hasła (SSPR), zwrotne zapisywanie haseł do lokalnego AD czy logowanie bezhasłowe — wymagają licencji Microsoft 365 Business Premium lub Microsoft 365 E3/E5, które zawierają Microsoft Entra ID P1/P2.
→ Microsoft 365 Business Premium — od 88 zł/mies./użytkownik → Microsoft 365 E3 — zaawansowane bezpieczeństwo i zgodność
Artykuł opracowano na podstawie oficjalnej dokumentacji Microsoft Learn oraz Microsoft Entra ID, stan na maj 2026. KluczeSoft jest niezależnym sprzedawcą używanych licencji Microsoft — legalnych na terenie Unii Europejskiej zgodnie z orzeczeniem Trybunału Sprawiedliwości UE w sprawie UsedSoft (C-128/11).