教程：允许用户使用Microsoft Entra自助密码重置来解锁其帐户或重置密码

Microsoft Entra自助密码重置（SSPR）使用户能够更改或重置其密码，无需管理员或技术支持参与。 如果Microsoft Entra ID锁定了用户帐户，或者用户忘记了密码，他们可以按照提示操作自行解锁并恢复工作。 当用户无法登录到其设备或应用程序时，此功能可减少呼叫支持人员的次数，降低生产力损失。

本教程介绍如何执行下列操作：

先决条件

你需有以下资源和特权才能完成本教程：

• 至少需要一个具有 Microsoft Entra ID P1 许可证的工作 Microsoft Entra 租户才能进行密码重置。 有关Microsoft Entra ID中密码更改和密码重置的许可证要求的详细信息，请参阅 Microsoft Entra自助密码重置的Licensing 要求。
• 一个至少有身份验证策略管理员角色的帐户。
• 你知道其密码的非管理员用户，例如testuser。 在本教程，你将使用此帐户测试最终用户的 SSPR 体验。
  • 如果需要创建用户，请参阅 Quickstart：将新用户添加到 Microsoft Entra ID。
• 该非管理员用户所属的组，例如SSPR-Test-Group。 在本教程中，你将为此组启用 SSPR。
  • 如果需要创建组，请参阅 创建基本组并使用 Microsoft Entra ID 添加成员。

启用自助式密码重置

Microsoft Entra ID允许为 None、selected 或 All 用户启用 SSPR。 通过这种精细化的能力，您可以选择一部分用户来测试 SSPR 注册过程和工作流。 当您对过程感到满意并且时机合适时，可以选择一组用户来与他们沟通需求，然后为他们启用 SSPR。 或者，可以为Microsoft Entra租户中的每个人启用 SSPR。

在本教程，为测试组中的一组用户设置 SSPR。 使用 SSPR-Test-Group并根据需要自行创建一个 Microsoft Entra 组。

1. 以至少作为身份验证策略管理员的权限登录到Microsoft Entra 管理中心。

2. 浏览到 Entra ID>密码重置。

3. 在“属性”页中，在“启用自助式密码重置”选项下，选择“选定”。

4. 如果组不可见，请选择未选择组，浏览并选择Microsoft Entra组，例如SSPR-Test-Group，然后选择Select。

   

5. 若要为所选用户启用 SSPR，请选择“保存”。

选择身份验证方法和注册选项

当用户需要解锁帐户或重置其密码时，系统会提示他们选择另一种确认方法。 此额外的身份验证因素可确保 Microsoft Entra ID 只完成获批的 SSPR 事件。 可以根据用户提供的注册信息，选择允许哪些身份验证方法。

1. 从“身份验证方法”页的左侧菜单中，将“重置所需的方法数”设为“2” 。

   若要提高安全性，可以增加 SSPR 所需的身份验证方法数。

2. 选择组织允许的“可供用户使用的方法”。 对于本教程，请启用以下方法：

   • 移动应用通知
   • 移动应用代码
   • 电子邮件
   • 移动电话

3. 若要应用身份验证方法，请选择“保存”。

用户必须先登记其联系信息，然后才能解锁其帐户或重置密码。 Microsoft Entra ID将此联系信息用于在前面的步骤中设置的不同身份验证方法。

管理员可以手动提供此联系信息，或者用户可以转到注册门户来自行提供信息。 在本教程中，设置Microsoft Entra ID，以便在下次登录时提示用户注册。

1. 在“注册”页的左侧菜单中，对“要求用户在登录时注册”选择“是”。

2. 将要求用户重新确认其身份验证信息的天数设置为180。

   务必将联系人信息保持最新状态。 如果 SSPR 事件启动时存在过时的联系信息，则用户可能无法解锁其帐户或重置其密码。

3. 若要应用注册设置，请选择“保存”。

配置通知和自定义设置

若要使用户了解帐户活动，可以设置Microsoft Entra ID，以在发生 SSPR 事件时发送电子邮件通知。 这些通知可以涵盖普通用户帐户和管理员帐户。 对于管理员帐户，当使用 SSPR 重置高权限管理员帐户密码时，此通知将提供额外的提醒。 当有人在管理员帐户上使用 SSPR 时，Microsoft Entra ID可以通知所有管理员。

1. 在“通知”页面的左侧菜单中，设置以下选项：

   • 将“重置密码时通知用户?”选项设置为“是”。
   • 将“当其他管理员重置其密码时通知所有管理员?”设置为“是”。

2. 若要应用通知首选项，请选择“保存”。

如果用户需要更多有关 SSPR 过程的帮助，可以自定义 “联系管理员” 链接。 用户可以在 SSPR 注册过程中，以及用户解锁帐户或重置密码时选择此链接。 为确保用户获得所需的支持，我们建议提供自定义的支持电子邮件或 URL。

1. 在“自定义”页的左侧菜单中，将“自定义支持链接”设置为“是”。
2. 在自定义帮助台电子邮件或 URL字段中，提供一个用户可以从你的组织获得更多帮助的电子邮件地址或网址，例如 https://support.contoso.com/
3. 若要应用自定义链接，请选择“保存”。

测试自助式密码重置

启用并配置 SSPR 后，使用在上一部分所选组（例如 Test-SSPR-Group）中的用户测试 SSPR 过程。 下面的示例使用 testuser 帐户。 提供你自己的用户帐户。 它属于本教程第一部分中为 SSPR 启用的组。

1. 若要查看手动注册过程，请以 InPrivate 或 incognito 模式打开新的浏览器窗口，并浏览到 https://mysignins.windowsazure.cn/security-info。 Microsoft Entra ID下次登录时将用户定向到此注册门户。

2. 使用非管理员测试用户（如 testuser）登录并注册身份验证方法的联系信息。

3. 完成后，选择标记为“看起来不错”的按钮并关闭浏览器窗口。

4. 在 InPrivate 或 incognito 模式下打开新的浏览器窗口并浏览到 https://passwordreset.activedirectory.windowsazure.cn。

5. 输入非管理员测试用户的用户帐户信息（如 testuser）、来自 CAPTCHA 的字符，然后选择“下一步”。

   

6. 按验证步骤重置密码。 完成后，会收到一条电子邮件通知，表明密码已重置。

清理资源

在本系列的后续教程中，你将设置密码写回。 此功能会将Microsoft Entra SSPR 的密码更改写回到本地 AD 环境。 若要继续学习本教程系列来设置密码写回，请不要立即禁用 SSPR。

如果不想再使用本教程中配置的 SSPR 功能，请使用以下步骤将 SSPR 状态设置为“无”：

1. 以至少 身份为 Authentication Policy Administrator 登录到 Microsoft Entra 管理中心。
2. 浏览到 Entra ID>密码重置。
3. 在“属性”页的“已启用自助式密码重置”选项下，选择“无”。
4. 若要应用 SSPR 更改，请选择“保存”。

常见问题

本部分介绍管理员和最终用户尝试 SSPR 的常见问题：

• 为什么在 SSPR 期间不显示本地密码策略？

  目前，Microsoft Entra Connect 和云同步不支持与云共享密码策略详细信息。 SSPR 仅显示云密码策略详细信息，无法显示本地策略。

• 为什么联合用户在看到已重置你的密码之后最多等待 2 分钟后，才可以使用从本地同步的密码？

  对于已同步其密码的联合用户，密码的颁发机构来源为本地。 因此，SSPR 仅更新本地密码。 每两分钟同步一次密码哈希到微软 Entra ID。

• 预先填充 SSPR 数据（如电话和电子邮件）的新建用户访问 SSPR 注册页时，会显示“不要失去对帐户的访问权限！”作为页面标题。 为什么预先填充 SSPR 数据的其他用户看不到该消息？

  看到“不要失去对帐户的访问权限！”的用户是为租户配置的 SSPR/合并注册组的成员。 看不到 的用户不会失去对帐户的访问权限！ 不属于 SSPR/合并注册组。

• 当某些用户进行 SSPR 过程并重置其密码时，为什么看不到密码强度指示器？

  未看到弱/强密码强度的用户已启用密码写回同步功能。 由于 SSPR 无法确定客户本地环境的密码策略，因此无法验证密码强弱。

后续步骤

在本教程中，你为所选用户组启用了Microsoft Entra自助密码重置。 你已了解如何执行以下操作：