Samoobsługowe resetowanie hasła (SSPR, z ang. Self-Service Password Reset) to wbudowana funkcja Microsoft Entra ID, która pozwala użytkownikom samodzielnie zmienić lub zresetować hasło — bez dzwonienia do helpdesku i bez angażowania administratora IT. Po poprawnej konfiguracji SSPR w panelu Entra ID użytkownicy otrzymują możliwość odblokowania konta i ustawienia nowego hasła przez przeglądarkę w czasie poniżej 2 minut.
W skrócie
- Co to jest SSPR? — samoobsługowy reset hasła dostępny przez portal aka.ms/sspr, który eliminuje zgłoszenia do IT przy zapomnianym haśle lub zablokowanym koncie.
- Kto może z niego korzystać? — każdy użytkownik w dzierżawie Microsoft Entra ID, który ma przypisaną odpowiednią licencję i został objęty polityką SSPR przez administratora.
- Jakie licencje są potrzebne? — SSPR w chmurze działa już od planu Microsoft 365 Business Standard; zapis zwrotny do Active Directory on-premises (password writeback) wymaga Entra ID P1, P2 lub Microsoft 365 Business Premium.
- Bezpieczeństwo — Microsoft zaleca wymuszenie minimum 2 metod weryfikacyjnych (MFA); dla kont administratorów i tak obowiązuje polityka „dwóch bramek".
- Migracja 2025 — od 30 września 2025 r. Microsoft wyłączył zarządzanie metodami SSPR przez stare, legacy polityki MFA/SSPR; konfigurację przeniesiono do scentralizowanego panelu Authentication methods policy.
Jak działa SSPR — logika procesu resetowania
Gdy użytkownik trafia na stronę aka.ms/sspr, platforma Entra ID wykonuje w tle kilka kontroli w ciągu ułamka sekundy:
- Czy użytkownik jest objęty polityką SSPR? — jeśli nie, widzi komunikat o konieczności kontaktu z administratorem.
- Czy użytkownik zarejestrował wymagane metody uwierzytelniania? — polityka administratora może wymagać 1 lub 2 metod (np. telefon i e-mail); brak choćby jednej z wymaganych kończy się odrzuceniem próby resetu.
- Czy hasło jest zarządzane on-premises? — jeśli organizacja używa hybrydowego Entra Connect i włączono password writeback, użytkownik przechodzi dalej; jeśli writeback nie jest skonfigurowany, reset nie jest możliwy dla kont synchronizowanych z AD.
- Czy konto ma rolę administratora Entra ID? — konta uprzywilejowane zawsze przechodzą politykę dwubramkową (wymóg 2 metod, nawet jeśli polityka ogólna dopuszcza 1).
Po pomyślnych kontrolach użytkownik przechodzi przez interaktywny kreator: wybiera metodę weryfikacji, odbiera kod/powiadomienie, potwierdza tożsamość i ustawia nowe hasło. Całość trwa średnio 60-90 sekund.
Wymagania wstępne i licencjonowanie
Przed przystąpieniem do konfiguracji SSPR upewnij się, że spełnione są następujące warunki:
| Wymaganie | Szczegóły |
|---|---|
| Dzierżawa Microsoft Entra ID | Dowolna działająca dzierżawa (osobna lub zsynchronizowana z AD on-premises) |
| Licencje | Microsoft 365 Business Standard (SSPR w chmurze), Business Premium lub Entra ID P1/P2 (SSPR + writeback); Entra ID Free NIE obsługuje resetu hasła w chmurze |
| Rola administratora | minimum Authentication Policy Administrator (do konfiguracji SSPR) |
| Grupa testowa | zalecane jest wdrożenie pilotażowe na wybranej grupie użytkowników przed objęciem całej organizacji |
| Microsoft Entra Connect (opcjonalnie) | wymagane tylko dla organizacji z Active Directory on-premises i funkcją password writeback |
Porównanie poziomów licencji
| Funkcja | Entra ID Free | Business Standard | Business Premium / P1 / P2 |
|---|---|---|---|
| Zmiana hasła w chmurze | ✔ | ✔ | ✔ |
| Reset hasła w chmurze | ✘ | ✔ | ✔ |
| Reset + writeback do AD on-premises | ✘ | ✘ | ✔ |
| Powiadomienia e-mail o resecie | ✘ | ✔ | ✔ |
| Custom helpdesk link | ✘ | ✔ | ✔ |
Konfiguracja SSPR — krok po kroku
1. Włącz SSPR dla wybranych użytkowników
- Zaloguj się do Microsoft Entra admin center (entra.microsoft.com) jako Authentication Policy Administrator.
- Przejdź do Protection → Password reset.
- Na karcie Properties ustaw opcję Self service password reset enabled na Selected.
- Kliknij No groups selected i wskaż grupę pilotową (np.
SSPR-Pilot). Microsoft obsługuje również grupy zagnieżdżone. - Kliknij Save.
Wskazówka: zacznij od 10-30 użytkowników testowych. Po tygodniu bezproblemowego działania rozszerz SSPR na całą organizację ustawiając opcję na All.
2. Skonfiguruj metody uwierzytelniania
W zakładce Authentication methods:
- Ustaw Number of methods required to reset na 2 (Microsoft rekomenduje ≥2 dla bezpieczeństwa).
- Wybierz dostępne metody. Dla SSPR wspierane są:
- Powiadomienia push Microsoft Authenticator
- Kod weryfikacyjny z aplikacji Authenticator
- E-mail na adres alternatywny
- SMS na numer telefonu komórkowego
- Połączenie głosowe na telefon stacjonarny
- Pytania bezpieczeństwa (coraz rzadziej zalecane)
- Kliknij Save.
Uwaga: od 30 września 2025 r. metodami autoryzacyjnymi zarządza się wyłącznie przez scentralizowaną Authentication methods policy (Protection → Authentication methods → Policies). Legacy panel MFA/SSPR został wycofany.
3. Wymuś rejestrację danych kontaktowych
W zakładce Registration:
- Ustaw Require users to register when signing in na Yes.
- Określ Number of days before users are asked to reconfirm — zalecane 180 dni.
Przy następnym logowaniu (do Microsoft 365, portalu Entra, aplikacji firmowej) każdy objęty polityką użytkownik zobaczy ekran rejestracji z prośbą o podanie metod weryfikacyjnych. Rejestrację można też wykonać ręcznie pod adresem aka.ms/ssprsetup.
4. Skonfiguruj powiadomienia
W zakładce Notifications:
- Notify users on password resets? → Yes — użytkownik dostanie e-mail na adres główny i alternatywny po każdej zmianie hasła.
- Notify all admins when other admins reset their password? → Yes — dodatkowa warstwa bezpieczeństwa dla kont uprzywilejowanych.
5. (Hybryda) Włącz password writeback
Dla organizacji z lokalnym Active Directory:
- Przejdź do Protection → Password reset → On-premises integration.
- Ustaw Write back passwords to your on-premises directory na Yes.
- Opcjonalnie włącz Allow users to unlock accounts without resetting their password (osobne operacje odblokowania i resetu).
- Upewnij się, że Microsoft Entra Connect (lub Entra Connect cloud sync) działa poprawnie i ma włączoną opcję Password writeback.
Writeback działa w trybie zbliżonym do czasu rzeczywistego — nowe hasło trafia do lokalnego AD w ciągu kilkunastu sekund od resetu.
Niestandardowy link pomocy i branding
W zakładce Customization możesz ustawić własny adres pomocy technicznej:
- Customize helpdesk link → Yes
- Custom helpdesk email or URL → np.
https://helpdesk.twoja-firma.pl
Link pojawia się użytkownikom na każdym ekranie SSPR — podczas rejestracji, resetu i w przypadku błędów.
Testowanie SSPR — sprawdź, czy działa
- Otwórz okno incognito/InPrivate w przeglądarce.
- Przejdź do aka.ms/sspr.
- Wprowadź login użytkownika testowego (NIE administratora — testujesz zwykłe konto z grupy pilotowej).
- Przejdź weryfikację CAPTCHA i potwierdź tożsamość przez zarejestrowane metody.
- Ustaw nowe, silne hasło zgodne z polityką organizacji (min. 8 znaków, mała + wielka litera + cyfra).
- Po resecie sprawdź skrzynkę pocztową — powinna zawierać powiadomienie z adresu
msonlineservicesteam@microsoftonline.com.
Typowe problemy i ich rozwiązania
Użytkownik widzi komunikat „Skontaktuj się z administratorem"
Przyczyna: użytkownik nie jest objęty polityką SSPR albo nie zarejestrował wymaganych metod. Sprawdź, czy grupa zawierająca użytkownika jest wybrana w Password reset → Properties i czy użytkownik przeszedł rejestrację przez aka.ms/ssprsetup.
Reset hasła nie zapisuje się w Active Directory on-premises
Sprawdź, czy password writeback jest włączony zarówno w portalu Entra (On-premises integration), jak i w kreatorze Entra Connect (zakładka Optional features → Password writeback). Sprawdź też logi w podglądzie zdarzeń na serwerze Entra Connect — błędy synchronizacji są tam szczegółowo opisywane.
Konto administratora nie może skorzystać z SSPR
Konta z rolami administratora Entra ID (Global Administrator, Authentication Policy Administrator itd.) zawsze przechodzą politykę dwubramkową — wymagane są dokładnie 2 metody. Jeśli administrator zarejestrował tylko jedną, reset nie powiedzie się. Rozwiązanie: zarejestruj dwie metody przez aka.ms/mfasetup.
Użytkownicy sfederowani czekają na synchronizację hasła
Dla kont zsynchronizowanych przez Entra Connect nowe hasło trafia do chmury w następnym cyklu synchronizacji (domyślnie co 2 minuty). Jeśli użytkownik próbuje zalogować się natychmiast po resecie chmurowym, może otrzymać błąd — wystarczy odczekać do 120 sekund.
Brak wskaźnika siły hasła podczas resetu
Jeśli włączono password writeback, Microsoft Entra ID nie zna polityki haseł obowiązującej w Twoim lokalnym Active Directory i nie wyświetla paska siły hasła. Warto wtedy dodać własny komunikat w zakładce Customization, informujący użytkownika o firmowych wymaganiach.
Częste pytania
Czy SSPR wymaga licencji Entra ID P1?
Nie we wszystkich scenariuszach. Reset hasła wyłącznie w chmurze (cloud-only) działa już z licencją Microsoft 365 Business Standard. Licencja Entra ID P1, P2 lub Microsoft 365 Business Premium jest wymagana dopiero wtedy, gdy chcesz używać password writeback — czyli zapisywać nowe hasło z powrotem do lokalnego Active Directory.
Czy SSPR działa z Microsoft Authenticator?
Tak — i jest to wręcz zalecana metoda. Użytkownicy mogą potwierdzać reset przez powiadomienie push w Authenticatorze (szybkie, phishing-resistant) lub przez 6-cyfrowy kod TOTP generowany w aplikacji. Microsoft promuje Authenticator jako domyślną metodę MFA i SSPR dla wszystkich dzierżaw.
Jak długo trwa pierwsza konfiguracja SSPR przez administratora?
Przygotowanie podstawowej konfiguracji (włączenie SSPR, wybór grupy pilotażowej, ustawienie metod, rejestracji i powiadomień) zajmuje około 10–15 minut. Jeśli dodajesz password writeback z konfiguracją Entra Connect, dodaj kolejne 10 minut na weryfikację połączenia.
Czy można używać pytań bezpieczeństwa jako metody SSPR?
Technicznie tak — pytania bezpieczeństwa wciąż figurują jako dostępna metoda. Microsoft jednak odradza ich stosowanie ze względów bezpieczeństwa (odpowiedzi często są odgadywalne lub publicznie dostępne w mediach społecznościowych). Lepiej postawić na Authenticator, SMS i e-mail.
Co się stanie, gdy użytkownik zgubi telefon z Authenticatorem?
Jeśli użytkownik zarejestrował minimum 2 metody (zgodnie z zaleceniami), używa zapasowej — np. kodu SMS lub alternatywnego adresu e-mail. Jeśli miał tylko jedną metodę i ją stracił, administrator Entra ID musi ręcznie zresetować mu hasło (lub tymczasowo wyłączyć MFA). Dlatego polityka „2 metody" jest tak istotna.
Jaka jest różnica między SSPR a zmianą hasła przez „My Account"?
Zmiana hasła (password change) przez portal myaccount.microsoft.com wymaga znajomości starego hasła — użytkownik autoryzuje operację bieżącym poświadczeniem. SSPR działa właśnie wtedy, gdy użytkownik nie zna starego hasła — przechodzi pełną weryfikację tożsamości metodami pomocniczymi i ustawia nowe bez podawania poprzedniego.
Czy SSPR może odblokować konto bez resetowania hasła?
Tak — o ile włączono opcję Allow users to unlock accounts without resetting their password w ustawieniach integracji on-premises. Działa to jednak wyłącznie dla kont synchronizowanych z lokalnym Active Directory. Użytkownik widzi wtedy osobny przycisk „Odblokuj konto" obok opcji resetu hasła.
Potrzebujesz licencji Microsoft 365 dla swojej organizacji?
Wdrożenie SSPR — zwłaszcza z funkcją password writeback — wymaga odpowiedniego poziomu licencji. Sklep KluczeSoft.pl oferuje legalne, w pełni zgodne z prawem UE licencje Microsoft 365 w cenach niższych nawet o 60% od oficjalnego cennika Microsoft (zgodnie z wyrokiem Trybunału Sprawiedliwości UE w sprawie UsedSoft).
→ Sprawdź ofertę: Microsoft 365 Business Premium — od 88 zł/mies./użytkownik