Active Directory i identiteti 12 min čitanja

Kako resetirati MFA i postaviti SSPR u Microsoft Entra ID – Vodič za helpdesk timove 2026

Praktični vodič za helpdesk timove: kako aktivirati SSPR, konfigurirati writeback i resetirati MFA u Microsoft Entra ID. S PowerShell skriptama i rješavanjem najčešćih problema u 2026.

Priya RaghavanReviewed by Karen Mitchell, May 2026
SSPR i MFA Reset Entra ID: Vodič 2026

Zamislite tipični ponedjeljak u helpdesk timu – desetak otvorenih tiketa, i gotovo svaki treći glasi: "Ne mogu se prijaviti, promijenio/la sam mobitel" ili "Zaboravio/la sam lozinku, ne primam SMS-ove". Poznato zvuči, zar ne? Prema istraživanjima, MFA reset i resetiranje lozinki čine između 30 i 40 posto svih helpdesk zahtjeva u organizacijama koje koriste Microsoft 365. Dobra vijest: Microsoft Entra ID ima ugrađene alate koji mogu drastično smanjiti taj teret – Self-Service Password Reset (SSPR) i centralizirano upravljanje metodama autentikacije.

U ovom vodiču proći ćemo kroz sve što helpdesk tim zaista treba znati: kako aktivirati SSPR, konfigurirati writeback za hibridne okoline, resetirati MFA korisniku koji je dobio novi mobitel, i riješiti najčešće probleme koji se pojavljuju u praksi. Uključujemo i PowerShell skripte koje možete odmah koristiti.

Što je SSPR i zašto ga svaki helpdesk tim treba?

Self-Service Password Reset (SSPR) je Microsoft Entra ID funkcionalnost koja korisnicima omogućuje samostalno resetiranje lozinke – bez kontaktiranja IT podrške. Korisnik posjeti https://aka.ms/sspr, verificira identitet putem prethodno registriranih metoda (mobilna aplikacija, e-mail, SMS) i postavlja novu lozinku. Bez tiketa. Bez čekanja.

Prednosti za helpdesk timove su zapravo višestruke:

  • Manje tiketa – organizacije koje implementiraju SSPR bilježe 20–40% smanjenje zahtjeva za resetiranjem lozinki
  • 24/7 dostupnost – korisnici ne moraju čekati radno vrijeme helpdeska; mogu resetirati lozinku u bilo koje doba noći ili vikenda
  • Revizijski trag – svaki reset se bilježi u audit logove dostupne putem Microsoft Entra admin centra i SIEM sustava
  • Ušteda troškova – jedan helpdesk poziv zbog resetiranja lozinke košta između 15 i 70 USD; SSPR eliminira većinu tih troškova

Važna napomena (i ovo je nešto što mnogi propuste): od 30. rujna 2025. Microsoft je ukinuo upravljanje metodama autentikacije putem starih (legacy) MFA i SSPR pravila. Sve konfiguracije sada moraju prolaziti kroz novu Authentication methods policy u Microsoft Entra admin centru. Ako vaša organizacija još nije migrirala – to bi trebao biti prioritet za ovaj tjedan, ne za sljedeći kvartal.

Preduvjeti za aktivaciju SSPR-a

Prije nego što krenete, provjerite imate li sve što treba. Kratak checklist:

  • Licenca: SSPR zahtijeva Microsoft Entra ID P1 ili P2 licencu (ili ekvivalentne pakete poput Microsoft 365 Business Premium, E3, E5). Za writeback u hibridnim okolinama P1 je minimum.
  • Administratorska uloga: Trebate biti barem Authentication Policy Administrator. Za hibridni writeback potrebna je uloga Hybrid Identity Administrator.
  • Microsoft Entra Connect: U hibridnom okruženju (on-premises AD + cloud) trebat ćete Microsoft Entra Connect verziju 1.1.443.0 ili noviju za writeback funkcionalnost.
  • Korisnici s registriranim metodama: SSPR funkcionira samo ako su korisnici prethodno registrirali metode provjere identiteta. Savjetujemo da pokrenete MFA/SSPR registracijsku kampanju prije aktivacije – jer će inače korisnici naletjeti na SSPR koji im ne može pomoći jer nisu ništa registrirali.

Korak po korak: Aktivacija SSPR-a

Evo točno kako se to radi:

  1. Prijavite se na Microsoft Entra admin centar (entra.microsoft.com) s ulogom Authentication Policy Administrator ili višom.
  2. U lijevom izborniku idite na Protection → Password reset.
  3. Na kartici Properties, pod opcijom "Self service password reset enabled", odaberite jednu od tri opcije:
    • None – SSPR isključen za sve
    • Selected – SSPR aktivan samo za odabranu grupu (preporučeno za pilot fazu!)
    • All – SSPR aktivan za sve korisnike tenanta
  4. Kliknite Save.
  5. Prijeđite na karticu Authentication methods i odaberite koje metode korisnici mogu koristiti za verifikaciju.
  6. Na kartici Registration, postavite "Require users to register when signing in" na Yes – korisnici će biti automatski preusmjereni na registraciju pri prvoj prijavi.
  7. Na kartici Notifications, omogućite obavijesti korisnicima i administratorima.

Pro savjet: Na kartici Customization postavite vlastitu helpdesk e-mail adresu ili URL. Kad korisnik nailazi na probleme, prikazuje se gumb "Kontaktirajte administratora" koji vodi direktno na vaš helpdesk. Ovaj korak se često zaboravi – a napravit će razliku kad netko zaglavi u pola noći.

Metode autentikacije za SSPR

Microsoft preporuča da korisnici registriraju minimalno dvije metode provjere identiteta. Evo što je dostupno:

  • Microsoft Authenticator app (preporučeno kao primarna metoda) – push notifikacije ili jednokratni kodovi
  • SMS – jednokratni kod na mobilni broj
  • E-mail – jednokratni kod na alternativnu e-mail adresu (važno: ne poslovnu!)
  • Telefonski poziv – automatski poziv s kodom
  • Sigurnosna pitanja – dostupno, ali ne preporučamo zbog niske sigurnosti
  • FIDO2 sigurnosni ključevi – za napredne scenarije

Kombinacija Microsoft Authenticator + SMS backup pokriva 99% scenarija. Sigurnosna pitanja zvuče primamljivo jer su "jednostavna za korisnike", ali zapravo snižavaju sigurnosnu razinu – izbjegavajte ih gdje god je moguće.

Writeback lozinki za hibridne okoline

Jedna od najčešćih – i najpotrestnijih – grešaka pri implementaciji SSPR-a je zaboravljanje writebacka. U hibridnim okolinama (on-premises AD + Entra ID), resetiranje lozinke u cloudu ne propagira automatski na lokalni AD. Bez writebacka, korisnik resetira lozinku u cloudu ali se i dalje ne može prijaviti na domenom priključeno računalo. Savršen recept za gnjevni tiket u 8:05 ujutro.

Više o tome kako funkcionira veza između lokalnog AD-a i Entra ID-a pročitajte u vodiču za rješavanje problema sinkronizacije Active Directory i Microsoft Entra ID, koji pokriva osnove hibridnog identiteta i česte pogreške pri sinkronizaciji.

Aktivacija writebacka u Microsoft Entra Connect

  1. Na serveru s instaliranim Microsoft Entra Connectom pokrenite Azure AD Connect configuration wizard.
  2. Odaberite Configure, zatim Customize synchronization options.
  3. Unesite Hybrid Administrator credentials.
  4. Prolazite kroz stranice dok ne dođete do Optional features.
  5. Označite Password writeback i kliknite Next, zatim Configure.

Aktivacija writebacka u SSPR portalu

  1. U Microsoft Entra admin centru idite na Protection → Password reset → On-premises integration.
  2. Postavite "Write back passwords to your on-premises directory" na Yes.
  3. Opcionalno: omogućite "Allow users to unlock accounts without resetting their password" – praktično za zaključane račune.
  4. Kliknite Save.

Važno: Writeback koristi outbound HTTPS (port 443) prema Azure Service Bus relayju. Ne zahtijeva inbound firewall pravila – što je dobra vijest za vaše sigurnosne timove. No, provjerite da proxy ili firewall ne blokira outbound HTTPS promet prema Microsoft Entra servisima. I ako writeback ne funkcionira, uvijek prvo provjerite TLS 1.2 konfiguraciju na Entra Connect serveru.

Poznati problem: Čak i nakon uspješnog writebacka, korisnici ponekad ne mogu odmah se prijaviti na laptopove priključene na domenu. To se događa zbog cachiranih credentials koji još nisu sinkronizirani s lokalnim DC-om. Rješenje: korisnik treba VPN ili fizički dolazak u ured, zaključati uređaj (Win+L) i unijeti novu lozinku.

Helpdesk scenariji: Resetiranje MFA korisnicima

Ovo je sekcija koju će vaš helpdesk tim koristiti svaki dan. Pokrivamo četiri najčešća scenarija.

Scenarij 1: Korisnik je dobio novi mobitel

Daleko najčešći zahtjev. Korisnik je promijenio mobitel i Microsoft Authenticator više ne radi na novom uređaju.

  1. Prijavite se na Microsoft Entra admin centar (entra.microsoft.com).
  2. Idite na Identity → Users → All Users i pronađite korisnika.
  3. Kliknite na korisnika, zatim otvorite karticu Authentication methods.
  4. Kliknite na "Require re-register multifactor authentication".
  5. Potvrdite akciju.

Ova akcija briše sve registrirane MFA metode (Authenticator app, SMS brojeve, OATH tokene). Sljedeći put kad se korisnik prijavi, bit će zamoljen da postavi novu metodu. Brzo i čisto.

Savjet: Uvijek savjetujte korisnike da najprije prenesu Authenticator na novi uređaj putem opcije "Transfer accounts" u samoj aplikaciji – prije nego što predaju stari mobitel. Ovaj jedan savjet eliminira velik postotak MFA reset tiketa.

Scenarij 2: Uklanjanje samo jedne specifične metode

Ako korisnik još uvijek ima pristup Authenticatoru ali treba promijeniti backup telefonski broj:

  1. Idite na Identity → Users → [korisnik] → Authentication methods.
  2. Vidjet ćete popis svih registriranih metoda.
  3. Kliknite na tri točke (…) pored metode koju želite ukloniti i odaberite Delete.
  4. Korisnik može odmah dodati novu metodu putem https://aka.ms/mysecurityinfo.

Scenarij 3: Opoziv MFA sesije bez brisanja metoda

Ponekad trebate prisiliti korisnika na ponovnu MFA provjeru (recimo, sumnjate na neovlašteni pristup) – ali bez brisanja metoda:

  1. Na kartici Authentication methods, kliknite "Revoke MFA sessions".
  2. Ova akcija poništava sve zapamćene MFA sesije; korisnik prolazi kroz MFA pri sljedećoj prijavi.

Scenarij 4: Global Administrator je zaključan

Kritična situacija: jedini Global Administrator nema pristup jer MFA ne funkcionira i nema drugog admina koji može pomoći. U tom slučaju:

  • Kontaktirajte Microsoft Support i otvorite Data Protection / Tenant Recovery zahtjev.
  • Microsoft verificira vlasništvo nad tenantom i pomaže s oporavkom pristupa.
  • Prevencija je jedino pravo rješenje: uvijek imajte barem dva Global Administratora s različitim MFA metodama, plus break-glass accountove – emergency pristupne račune bez MFA, pohranjene u fizičkom sefu.

PowerShell skripte za helpdesk

Sve skripte ispod koriste Microsoft Graph PowerShell modul. Ako ga nemate, instalirajte ga s Install-Module Microsoft.Graph -Scope CurrentUser.

Provjera registriranih metoda za pojedinog korisnika

# Spoji se na Microsoft Graph
Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All", "User.Read.All"

# Provjeri registrirane metode autentikacije
$UserPrincipalName = "[email protected]"
$userId = (Get-MgUser -UserPrincipalName $UserPrincipalName).Id

Get-MgUserAuthenticationMethod -UserId $userId | 
  Select-Object @{N="Vrsta metode";E={$_.AdditionalProperties["@odata.type"]}}

Bulk provjera – korisnici bez SSPR registracije

Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All", "User.Read.All", "AuditLog.Read.All"

$report = Get-MgReportAuthenticationMethodUserRegistrationDetail -All |
  Where-Object { $_.IsSsprRegistered -eq $false -and $_.IsAdmin -eq $false } |
  Select-Object UserPrincipalName, DisplayName, IsMfaRegistered, IsSsprRegistered

$report | Export-Csv -Path "C:\helpdesk\sspr-neregistrirani.csv" -Encoding UTF8 -NoTypeInformation
Write-Host "Pronađeno $($report.Count) korisnika bez SSPR registracije"

Reset MFA za korisnika putem PowerShell-a

Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All", "User.Read.All"

$UserPrincipalName = "[email protected]"
$userId = (Get-MgUser -UserPrincipalName $UserPrincipalName).Id

$methods = Get-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId $userId
foreach ($method in $methods) {
    Remove-MgUserAuthenticationMicrosoftAuthenticatorMethod -UserId $userId `
      -MicrosoftAuthenticatorAuthenticationMethodId $method.Id
    Write-Host "Uklonjena Authenticator metoda: $($method.DisplayName)"
}

Write-Host "MFA reset završen. Korisnik će morati registrirati novu metodu."

Česte greške i kako ih riješiti

Iz prakse – ovo su situacije koje zbune i iskusne helpdesk timove:

  • "Korisnik je resetirao lozinku ali se ne može prijaviti na laptop"
    Uzrok: Cachiranje credentials na domenom priključenom uređaju. Rješenje: VPN ili fizički dolazak u ured + lock/unlock uređaja da se sinkronizira s DC-om.
  • "SSPR opcija nije vidljiva u Entra admin centru"
    Uzrok: Administrator nema Entra ID licencu ili Authentication Policy Administrator ulogu. Provjerite licenciranje i dodijeljena prava.
  • "Writeback je aktivan ali lozinka se ne sinkronizira na AD"
    Uzrok: TLS 1.2 nije pravilno konfiguriran na Entra Connect serveru ili proxy blokira outbound port 443. Pokrenite Entra Connect Health i pregledajte event log.
  • "Korisnik ne prima SMS kod"
    Uzrok: Netočan telefonski broj ili mobilni operater blokira shortcode SMS-ove. Prebacite korisnika na Microsoft Authenticator ili alternativni e-mail.
  • "Nakon MFA reseta korisnik prima greške u Outlooku ili Teamsu"
    Uzrok: Office aplikacije cachiraju authentication tokene. Korisnik treba odjaviti se iz svih Office aplikacija (File → Account → Sign Out) i prijaviti se ponovno. Detaljnu uputu naći ćete u vodiču za rješavanje problema s Outlookom za helpdesk timove.

Često postavljana pitanja

Može li korisnik koristiti SSPR za resetiranje lozinke bez da kontaktira helpdesk?

Da, upravo to je svrha SSPR-a. Korisnik posjeti https://aka.ms/sspr, unese korisničko ime, verificira identitet putem prethodno registrirane metode (Authenticator, SMS ili e-mail) i postavlja novu lozinku samostalno – bez ijednog helpdesk tiketa.

Koliko MFA metoda korisnik mora imati registrirano za SSPR?

Microsoft preporuča minimalno dvije registrirane metode. Administratori mogu konfigurirati broj potrebnih metoda (1 ili 2) u SSPR postavkama. Dvije metode su preporučene kako bi korisnici imali backup u slučaju gubitka primarnog uređaja.

Što napraviti ako Global Administrator ne može pristupiti zbog zaključanog MFA-a?

Ako postoji drugi administrator s ulogom Privileged Authentication Administrator, on može resetirati MFA prvom administratoru. Ako nema dostupnog admina, kontaktirajte Microsoft Support za Data Protection / Tenant Recovery postupak. Prevencija je ključna – uvijek imajte break-glass accountove i višestruke administratore.

Radi li SSPR za hibridne korisnike čija se lozinka upravlja lokalno?

Da, ali samo uz aktiviran Password Writeback. Bez writebacka, korisnik u hibridnoj okolini ne može koristiti SSPR i bit će preusmjeren da kontaktira administratora. Writeback se konfigurira u Microsoft Entra Connect i Entra admin centru – siguran je jer koristi outbound HTTPS i ne zahtijeva inbound firewall pravila.

Koje su Entra ID licence potrebne za SSPR?

SSPR zahtijeva Microsoft Entra ID P1 ili P2 licencu za korisnike koji će ga koristiti. Ove licence dolaze u sklopu Microsoft 365 Business Premium, E3 i E5 paketa. Za writeback u hibridnim okolinama P1 je minimum.

O Autoru Priya Raghavan

Priya is an 8-year Windows endpoint engineer who came up through service desk tier 2 at TCS, then spent three years at Insight Enterprises building Autopilot deployment profiles for retail and healthcare clients. She moved in-house in 2023 to run desktop engineering for a 2,800-employee insurance group, where she owns the SCCM-to-Intune co-management roadmap. She writes mostly about Autopilot, Win32 app packaging with the IntuneWinAppUtil, and the very specific pain of PowerShell detection scripts that work in test rings and fail in production. Her last big project was migrating 1,400 kiosk machines off Windows 10 LTSC 2019 to Windows 11 IoT Enterprise without losing the bespoke shell launcher config - a story she still tells at user group meetups in Manchester. She holds MD-102 and SC-300 and is slowly working through the Azure Solutions Architect track on weekends.

Web stranica@praghavan_endpt

Povezani Članci