为 Microsoft Entra 自助式密码重置 (SSPR) 预填用户身份验证联系信息

  • 项目

若要使用 Microsoft Entra 自助式密码重置 (SSPR),用户的身份验证信息必须存在。 大多数组织在收集 MFA 信息时会让用户自行注册其身份验证数据。 某些组织更希望通过同步已存在于 Active Directory 域服务 (AD DS) 中的身份验证数据来启动此过程。 这些已同步的数据会提供给 Microsoft Entra ID 和 SSPR,无需用户交互。 用户可以根据其需要随时更改或重置其密码,即使他们以前未注册其联系信息,也是如此。

如果满足以下要求,则可以预填身份验证联系信息:

  • 已在本地目录中正确设置了数据的格式。
  • 你已为你的 Microsoft Entra 租户配置 Microsoft Entra Connect

电话号码格式必须是“+国家/地区代码 电话号码”,如 +1 4251234567。

注意

在国家/地区代码和电话号码之间必须有一个空格。

密码重置不支持电话分机。 即使采用“1 4251234567X12345”格式,在拨出电话前也会删除分机。

填充的字段

如果使用 Microsoft Entra Connect 中的默认设置,则会进行以下映射来为 SSPR 填充身份验证联系信息:

本地 Active Directory Microsoft Entra ID
telephoneNumber 办公电话
mobile 移动电话

用户验证其移动电话号码后,Microsoft Entra ID 中的“身份验证联系信息”下的“电话”字段也将填充该号码。

身份验证联系人信息

在 Microsoft Entra 管理中心中 Microsoft Entra 用户的“身份验证方法”页上,全局管理员可以手动设置身份验证联系信息。 可以查看“可用身份验证方法”部分下的现有方法,或如以下示例屏幕截图中所示“+添加身份验证方法”:

Screenshot of how to manage authentication methods

以下注意事项适用于这些身份验证联系信息:

  • 如果“电话”字段已填充且在 SSPR 策略中启用了“移动电话”,则用户会在密码重置注册页和密码重置工作流中看到该号码。
  • 如果“电子邮件”字段已填充且在 SSPR 策略中启用了“电子邮件”,则用户会在密码重置注册页和密码重置工作流中看到该电子邮件。

安全问题和答案

安全问题和答案安全地存储在你的 Microsoft Entra 租户中,用户只能通过“我的安全信息”的合并注册体验访问它们。 管理员无法查看、设置或修改其他用户问题和答案的内容。

当用户注册时会发生什么情况?

当用户注册时,注册页面设置以下字段:

  • 身份验证电话
  • 身份验证电子邮件
  • 安全问答

如果已提供“移动电话”或“备用电子邮件”的值,用户就可以立即使用这些值来重置其密码,即使他们尚未注册该服务也是如此。

用户在首次注册时也会看到那些值,并且可以根据需要进行修改。 成功注册之后,这些值会分别保存在“身份验证电话”和“身份验证电子邮件”字段中。

通过 PowerShell 设置和读取身份验证数据

可以通过 PowerShell 设置以下字段:

  • 备用电子邮件
  • 移动电话
  • 办公电话
    • 仅当未与本地目录同步时才能设置。

可以使用 Microsoft Graph PowerShell 与 Microsoft Entra ID 进行交互,也可以使用 Microsoft Graph REST API 来管理身份验证方法

使用 Microsoft Graph PowerShell

首先,请下载并安装 Microsoft Graph PowerShell 模块

若要从支持 Install-Module 的 PowerShell 的最近版本中快速安装,请运行以下命令。 第一行检查是否已安装该模块:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Environment China -Scopes "User.ReadWrite.All"

安装该模块后,请按照以下步骤配置每个字段。

使用 Microsoft Graph PowerShell 设置身份验证数据

Connect-MgGraph -Environment China -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

使用 Microsoft Graph PowerShell 读取身份验证数据

Connect-MgGraph -Environment China -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

后续步骤

为用户预填身份验证联系信息后,请完成以下教程以启用自助式密码重置:

启用 Microsoft Entra 自助式密码重置