SSPR - Self-Service Password Reset (in ontwikkeling)
Configureer Self-Service Password Reset voor Microsoft 365 gebruikers, zodat leerlingen en medewerkers zelf hun wachtwoord kunnen resetten zonder ICT-beheerder.
đ Overzicht
SSPR (Self-Service Password Reset) stelt gebruikers in staat om zelfstandig hun Microsoft 365 wachtwoord te resetten zonder tussenkomst van een ICT-beheerder. Dit vermindert de werkdruk voor ICT en geeft gebruikers meer zelfstandigheid.
â Voordelen
- ⢠Minder werkdruk voor ICT-servicedesk
- ⢠Gebruikers kunnen tijdens schooluren zelf makkelijk hun wachtwoord/MFA resetten
- ⢠Veilige verificatie via meerdere factoren
- ⢠Integratie met Azure AD omgeving
- ⢠Audit logging voor beveiliging
đ Vereisten
- ⢠Microsoft 365 / Azure AD tenant
- ⢠Globale beheerder rechten voor eerste setup
- ⢠App registratie in Azure AD
- ⢠Graph API permissies geconfigureerd
- ⢠Toegang tot SSPR instellingen in EduDisplay
đĄ Belangrijk
SSPR vereist een eenmalige configuratie per EduDisplay portaal (tenant). Na deze inrichting kan het portaal zelfstandig wachtwoordresets uitvoeren voor gebruikers via de SSPR API of een (optioneel) eigen wachtwoordportaal.
đ¤ Gebruiker Setup
Elke beheerder die SSPR wil gebruiken, moet eerst een tenant autorisatie instellen. Dit is een eenmalige actie die de verbinding tussen EduDisplay en uw Microsoft 365 tenant tot stand brengt.
Stap 1: Ga naar User Setup
- Log in op het EduDisplay portaal
- Navigeer naar SSPR â User Setup
- U ziet een overzicht van uw geautoriseerde tenants (indien aanwezig)
Stap 2: Tenant autoriseren
- Klik op Nieuwe Tenant Autoriseren
- Vul de volgende gegevens in:
- Naam: Een beschrijvende naam voor deze tenant (bijv. "Schoolnaam SSPR")
- Primair domein: Het primaire domein van uw Microsoft 365 tenant (bijv. "schoolnaam.nl")
- Klik op Autoriseren
- U wordt doorgestuurd naar Microsoft voor admin consent
Stap 3: Admin Consent verlenen
- Log in met een account met Globale beheerder rechten
- Controleer de gevraagde permissies:
User.ReadWrite.All- Voor wachtwoord resetDirectory.AccessAsUser.All- Voor directory toegangUserAuthenticationMethod.ReadWrite.All- Voor MFA reset
- Klik op Accepteren om de permissies te verlenen
- U wordt automatisch teruggeleid naar EduDisplay
Stap 4: Delegated Tokens verkrijgen
- Na admin consent wordt u automatisch doorgestuurd naar token acquisitie
- Log opnieuw in met uw Microsoft account (dezelfde als bij admin consent)
- Geef toestemming voor de gevraagde permissies
- De tokens worden automatisch opgeslagen
- U ziet een bevestiging dat de setup succesvol is voltooid
â Setup voltooid
Na voltooiing van deze stappen is uw tenant geautoriseerd en kunt u SSPR gebruiken. U kunt de verbinding testen via de Verbinding testen knop in het dashboard.
â ď¸ Belangrijk
- ⢠Admin consent hoeft maar ÊÊn keer per tenant te worden verleend
- ⢠Elke gebruiker kan alleen zijn/haar eigen tenants zien en beheren
- ⢠Superusers kunnen alle tenants zien en beheren
âď¸ Instellingen
Via de SSPR instellingen pagina kunt u de wachtwoord policy, verificatiefactoren en andere opties configureren voor uw SSPR implementatie.
Toegang tot instellingen
- Ga naar SSPR â Instellingen in het EduDisplay portaal
- U ziet verschillende secties voor configuratie
Wachtwoord Policy
| Instelling | Beschrijving | Standaard |
|---|---|---|
| Minimale lengte | Minimaal aantal tekens in wachtwoord | 8 |
| Speciale tekens | Minimaal aantal speciale tekens (!@#$% etc.) | 1 |
| Cijfers | Minimaal aantal cijfers | 1 |
| Hoofdletters | Minimaal aantal hoofdletters | 1 |
| Kleine letters | Minimaal aantal kleine letters | 1 |
| Persoonlijke info check | Controleer op persoonlijke informatie in wachtwoord | Ingeschakeld |
Verificatie Factoren
Wachtwoord Reset
Configureer welke factoren vereist zijn voor wachtwoord reset:
- ⢠Email: Verificatiecode via email
- ⢠Wachtwoord: Verificatie via huidig wachtwoord
- ⢠Schoolpas: Verificatie via ICT-beheerder badge
Stel het minimaal aantal vereiste factoren in (bijv. 2 van de 3).
MFA Reset
Configureer welke factoren vereist zijn voor MFA reset:
- ⢠Email: Verificatiecode via email
- ⢠Wachtwoord: Verificatie via huidig wachtwoord
- ⢠Schoolpas: Verificatie via ICT-beheerder badge
MFA reset vereist meestal meerdere factoren voor extra beveiliging.
ICT Beheerder Badges
Badge beheer
ICT-beheerders kunnen badges toevoegen die gebruikt worden voor verificatie tijdens wachtwoord- en MFA-resets.
- Klik op Badge Toevoegen in de instellingen
- Scan uw badge met een badge-lezer of voer de badge ID handmatig in
- Geef de badge een beschrijvende naam
- De badge kan nu gebruikt worden voor verificatie
Gebruikersfoto's
Upload gebruikersfoto's om de gebruikerservaring te verbeteren tijdens het reset proces. Foto's worden gebruikt voor visuele verificatie.
- Klik op Foto's Uploaden
- Upload een ZIP-bestand met foto's (PNG, JPG, JPEG)
- Bestandsnamen moeten overeenkomen met leerlingnummers of email prefixes
- Foto's worden automatisch verwerkt en opgeslagen
Tip: Gebruik consistente bestandsnamen (bijv. leerlingnummer zonder extensie) voor eenvoudige matching.
Custom Portalen
U kunt optioneel uw eigen wachtwoord reset of MFA reset pagina gebruiken in plaats van de standaard EduDisplay SSPR pagina.
- ⢠Aangepast Wachtwoord Reset: Schakel in en voer uw URL in
- ⢠Aangepast MFA Reset: Schakel in en voer uw URL in
- ⢠De API blijft beschikbaar voor integratie met uw eigen portaal
đĄ Tips voor gebruik
đ Beveiliging
- ⢠Gebruik altijd meerdere verificatiefactoren (minimaal 2)
- ⢠Controleer regelmatig de audit logs
- ⢠Houd beheerderbadges veilig en beperk toegang
âď¸ Configuratie
- ⢠Test de configuratie eerst met een testaccount
- ⢠Start met een een kleine groep gebruikers
- ⢠Documenteer de instellingen
đĽ Gebruikerservaring
- ⢠Geef duidelijke instructies aan gebruikers
- ⢠Zorg voor eenvoudige toegang tot SSPR
- ⢠Gebruik gebruikersfoto's voor visuele verificatie
đ Monitoring
- ⢠Controleer regelmatig de audit logs, waaronder mislukte reset pogingen
- ⢠Houd statistieken bij van gebruik
đŤ Inzet op school
Aanbevolen configuratie voor scholen
Voor leerlingen en medewerkers
- ⢠Wachtwoord lengte: minimaal 12 tekens
- ⢠Verificatie: minimaal 2 sterke factoren (bijv. Email + Schoolpas, of Email + Password)
- ⢠Wachtwoord suggesties: Ingeschakeld (voor gebruiksvriendelijkheid)
- ⢠Persoonlijke info check: Ingeschakeld
đ Problemen oplossen
đ Verbindingsproblemen
Admin consent niet verleend
- Controleer of u ingelogd bent met een account met globale beheerder rechten
- Verifieer dat alle permissies correct zijn aangevraagd
- Probeer de autorisatie opnieuw te starten
Client secret verlopen
- Controleer in de Azure Portal of het Client Secret nog geldig is.
- Maak zo nodig een nieuw Client Secret aan met een geldigheid van 730 dagen (24 maanden).
- Werk de SSPR-configuratie in EduDisplay bij met het nieuwe Client Secret en herhaal zo nodig de autorisatie.
- Noteer de nieuwe verloopdatum in uw agenda zodat u ruim op tijd kunt verlengen.
đ Wachtwoord reset problemen
Gebruiker niet gevonden
- Controleer of het emailadres correct is
- Verifieer dat de gebruiker bestaat in Microsoft 365
- Check of de gebruiker in de juiste tenant zit
Verificatie mislukt
- Controleer of de verificatiecode correct is ingevoerd
- Verifieer dat de code niet verlopen is (15 minuten geldig)
- Check of de email correct is aangekomen
- Controleer spam/junk folder
Wachtwoord voldoet niet aan policy
- Controleer de wachtwoord policy instellingen
- Zorg dat het wachtwoord voldoet aan alle vereisten
- Gebruik wachtwoord suggesties indien beschikbaar
đ¸ Foto upload problemen
ZIP bestand wordt niet geaccepteerd
- Controleer of het bestand een .zip extensie heeft
- Verifieer dat het bestand niet groter is dan 200MB
- Test of het ZIP bestand niet beschadigd is
Foto's worden niet gematcht
- Controleer of bestandsnamen overeenkomen met leerlingnummers
- Verifieer dat alleen ondersteunde formaten gebruikt worden (PNG, JPG, JPEG)
- Check of bestandsnamen geen speciale tekens bevatten
đŹ Hulp nodig?
Als de bovenstaande oplossingen niet helpen, neem dan contact met ons op
đ§ support@edudisplay.nl