Microsoft Entra自助密码重置(SSPR)使用户能够更改或重置其密码,无需管理员或技术支持参与。 如果用户的帐户被锁定或用户忘记了自己的密码,他们可以按照提示取消对自己的阻止,回到工作状态。 当用户无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。
重要
此概念文章向管理员介绍了自助式密码重置的工作原理。 如果你是已注册自助式密码重置的最终用户并且需要返回到你的帐户,请转到 https://passwordreset.activedirectory.windowsazure.cn 。
如果你的 IT 团队尚未启用重置自己密码的功能,请联系支持人员以获得更多帮助。
密码重置过程如何工作?
用户可以使用 SSPR 门户来重置或更改其密码。 此外,默认情况下,不会为租户启用管理员的 SSPR,因为 SSPR 仅适用于最终用户。 用户必须首先注册其所需的身份验证方法。 当用户访问 SSPR 门户时,Microsoft Entra平台会考虑以下因素:
- 如何本地化该页面?
- 用户帐户是否有效?
- 该用户属于哪个组织?
- 该用户的密码在哪个位置管理?
当用户从某个应用程序或页面点击“无法访问您的帐户”链接,或直接访问时,SSPR门户使用的语言基于以下选项:
- 默认情况下,将使用浏览器区域设置以相应的语言显示 SSPR。 密码重置体验已本地化为 Microsoft 365 支持的语言。
- 如果要链接到采用特定本地化语言的 SSPR,请将
?mkt=连同所需的区域设置一起追加到密码重置 URL 末尾。- 例如,若要指定西班牙语 (es-us) 区域设置,请使用
?mkt=es-us- 。
- 例如,若要指定西班牙语 (es-us) 区域设置,请使用
在使用所需语言显示 SSPR 门户后,系统会提示用户输入用户标识并通过验证码。 Microsoft Entra ID现在通过执行以下操作来验证用户是否能够使用 SSPR:
- 检查用户是否已启用 SSPR。
- 如果用户未启用 SSPR,则会要求用户联系其管理员来重置其密码。
- 检查用户是否具有针对其帐户定义且符合管理员策略的正确身份验证方法。
- 如果策略仅要求使用一种方法,请检查用户是否为通过管理员策略启用的至少一种身份验证方法定义了合适的数据。
- 如果未配置身份验证方法,则建议用户联系其管理员来重置其密码。
- 如果策略要求使用两种方法,请检查用户是否为通过管理员策略启用的至少两种身份验证方法定义了合适的数据。
- 如果未配置身份验证方法,则建议用户联系其管理员来重置其密码。
- 如果将Azure管理员角色分配给用户,则会强制实施强双门密码策略。 有关详细信息,请参阅管理员重置策略差异。
- 如果策略仅要求使用一种方法,请检查用户是否为通过管理员策略启用的至少一种身份验证方法定义了合适的数据。
- 检查用户密码是否在本地进行管理,例如Microsoft Entra租户是否使用联合身份验证或密码哈希同步技术:
- 如果已配置 SSPR 写回且在本地管理用户密码,则允许用户继续进行身份验证并重置其密码。
- 如果未部署 SSPR 写回且用户密码在本地管理,则用户需联系管理员以重置密码。
如果前面的所有检查都已成功完成,则指导用户完成重置或更改其密码的过程。
注意
SSPR 可能会在密码重置过程中向用户发送电子邮件通知。 这些电子邮件是使用 SMTP 中继服务发送的,该服务跨多个区域以主动-主动模式运行。
SMTP 中继服务接收并处理电子邮件正文,但不存储它。 可能包含客户提供的信息的 SSPR 电子邮件正文未存储在 SMTP 中继服务日志中。 这些日志只包含协议元数据。
若要开始使用 SSPR,请完成以下教程:
要求用户在登录时注册
如果用户使用新式身份验证或 Web 浏览器登录到任何使用Microsoft Entra ID的应用程序,则可以启用该选项以要求用户完成 SSPR 注册。 此工作流包括以下应用程序:
- Microsoft 365
- Microsoft Entra 管理中心
- 访问面板
- 联合应用程序
- 使用 Microsoft Entra ID 的自定义应用程序
如果不需要注册,则在登录时不会提示用户,但用户可以手动注册。 用户可以访问 https://mysignins.windowsazure.cn/security-info,或在访问面板的 profile 选项卡下选择密码重置的 Register 链接。
注意
用户可以通过选择“取消”或关闭窗口来关闭 SSPR 注册门户。 但是,在完成注册之前,每当他们登录时,系统都会提示他们注册。
如果用户已登录,则用于注册 SSPR 的此中断不会中断用户的连接。
重新确认身份验证信息
你可以要求用户在一段时间后确认其身份验证信息。 仅当你启用了“要求用户在登录时注册”选项时,此选项才可用。
提示用户确认其身份验证信息的有效值为 0 到 730 天。 将此值设置为 0 意味着永远不会要求用户确认其身份验证信息。 用户需要登录才能重新确认其信息。
注意
如果 SSPR 需要多个身份验证方法,则用户在删除某个方法后,不需要立即确认其身份验证信息,直到达到要求用户重新确认身份验证信息之前的天数。
身份验证方法
如果为用户启用了 SSPR,则他们必须注册至少一种身份验证方法。 强烈建议你选择两种或更多种身份验证方法,让用户在无法使用所需的一种方法时,能够更灵活地选择其他方法。 有关详细信息,请参阅什么是身份验证方法?。
以下身份验证方法可用于 SSPR:
用户只有在注册了管理员启用的身份验证方法后,才能重置自己的密码。
警告
分配Azure administrator角色的帐户需要使用Administrator 重置策略差异中定义的方法。
所需身份验证方法的数量
你可以配置用户为了重置或解锁其密码而必须提供的可用身份验证方法的数目。 可将此值设置为 1 或 2。
用户应注册多种身份验证方法,以便在无法访问某一种方法时以另一种方式登录。
如果用户没有注册所需方法的最小数量,当用户尝试使用 SSPR 时,会看到错误页。 用户需要请求管理员重置其密码。 有关详细信息,请参阅更改身份验证方法。
移动应用和 SSPR
将移动应用用作密码重置方法(如Microsoft Authenticator)时,如果组织未迁移到集中式身份验证方法策略,则以下注意事项适用:
- 当管理员要求使用一种方法来重置密码时,验证码是唯一可用的选项。
- 当管理员要求使用两种方法来重置密码时,用户可以使用通知或验证码进行重置,此外还能使用其他任何已启用的方法。
| 重置所需的方法数 | 一个 | 两个 |
|---|---|---|
| 可用的移动应用功能 | Code | 代码或通知 |
用户可以在 https://account.activedirectory.windowsazure.cn/proofup.aspx?culture=en-US 中,或者在组合的安全信息注册 (https://mysignins.windowsazure.cn/security-info) 中注册其移动应用。
重要
当只要求使用一种方法时,不能选择 Authenticator 作为唯一的身份验证方法。 同样,如果要求使用两种方法,则不能选择 Authenticator 和另一种其他方法。
在配置将 Authenticator 应用作为一种方法的 SSPR 策略时,如果要求在使用一种方法时应选择至少一种额外的方法,则当要求配置两种方法时,应选择至少两种额外的方法。
更改身份验证方法
如果最初的策略仅注册了一种身份验证方法用于重置或解锁,将其更改为两种方法会发生什么情况?
| 注册的方法数 | 必选方法数 | 结果 |
|---|---|---|
| 1 或更多 | 1 | 能够重置或解锁 |
| 1 | 2 | 不可重置或解锁 |
| 2 或更多 | 2 | 能够重置或解锁 |
更改可用的身份验证方法也可能会给用户带来问题。 如果更改了可用的身份验证方法,则不具有可用的最小数据量的用户无法使用 SSPR。
请考虑以下示例场景:
- 原始策略配置为需要两种身份验证方法。 该策略仅使用办公电话号码和安全问题。
- 管理员将策略更改为不再使用安全提问,而是允许使用移动电话和备用电子邮件。
- 未填写移动电话或备用电子邮件字段的用户现在无法重置密码。
通知
SSPR 允许你为用户和标识管理员配置通知,以便及时获知密码事件。
重置密码时通知用户
如果此选项设置为“是”,则重置其密码的用户会收到一封告知其密码已更改的电子邮件。 该电子邮件通过 SSPR 门户发送到存储在Microsoft Entra ID中的主电子邮件地址和备用电子邮件地址。 如果未定义主电子邮件地址或备用电子邮件地址,SSPR 将尝试通过用户主体名称 (UPN) 发送电子邮件通知。 不会向其他任何人告知已发生重置事件。
当其他管理员重置其密码时通知所有管理员
如果此选项设置为 Yes,则全局管理员将收到存储在Microsoft Entra ID中的主要电子邮件地址的电子邮件。 该电子邮件告知另一位管理员已使用 SSPR 更改了他们的密码。
注意
SSPR 服务的电子邮件通知将根据你正在使用的Azure云从以下地址发送:
- 公用:msonlineservicesteam@microsoft.com、msonlineservicesteam@microsoftonline.com
- Microsoft Azure 由世纪互联运营(中国 Azure):msonlineservicesteam@oe.21vianet.com,21Vianetonlineservicesteam@21vianet.com
如果发现接收通知时出现问题,请检查垃圾邮件设置。
如果希望自定义管理员接收通知电子邮件,请使用 SSPR 自定义并设置自定义支持链接或电子邮件。
本地集成
在混合环境中,可以将 Microsoft Entra Connect 云同步配置为将密码更改事件从Microsoft Entra ID写回本地目录。
Microsoft Entra ID检查当前的混合连接并在Microsoft Entra 管理中心中提供消息。 有关解决可能错误的帮助,请参阅 Troubleshoot Microsoft Entra Connect。
若要开始 SSPR 写回,请完成以下教程:
将密码写回到本地目录
可以使用 Microsoft Entra 管理中心 启用密码写回。 还可以暂时禁用密码写回,而无需重新配置 Microsoft Entra Connect。
- 如果将此选项设置为“是”,则会启用写回。 联合的或密码哈希同步的用户能够重置其密码。
- 如果将此选项设置为“否”,则会禁用写回。 联合的或密码哈希同步的用户无法重置其密码。
允许用户在不重置密码的情况下解锁帐户
默认情况下,Microsoft Entra ID执行密码重置时解锁帐户。 为了提供灵活性,你可以选择允许用户在不需重置其密码的情况下解锁其本地帐户。 使用此设置可区分这两项操作。
- 如果设置为“是”,将为用户提供重置其密码和解锁帐户的选项,或者在无需重置密码的情况下解锁其帐户的选项。
- 如果设置为“否”,用户只能同时执行密码重置和帐户解锁的操作。
本地Active Directory密码筛选器
SSPR 执行的操作相当于在Active Directory中由管理员发起的密码重置。 如果使用第三方密码筛选器强制实施自定义密码规则,并且要求在Microsoft Entra自助密码重置期间检查此密码筛选器,请确保第三方密码筛选器解决方案配置为在管理员密码重置方案中应用。 默认情况下支持 Microsoft Entra 密码保护 for Active Directory 域服务。
B2B 用户的密码重置
所有企业到企业 (B2B) 配置完全支持密码重置和更改。 以下三种情况支持 B2B 用户密码重置:
- 来自具有现有Microsoft Entra租户的合作伙伴组织的用户:如果合作伙伴具有Microsoft Entra租户,我们将遵循在该租户上启用的任何密码重置策略。 若要使密码重置正常工作,合作伙伴组织只需确保已启用 Microsoft Entra SSPR。 Microsoft 365客户没有其他费用。
- 通过自助注册方式注册的用户:如果合作伙伴使用自助注册功能来访问租户,则可以使用已注册的电子邮件来重置密码。
- B2B 用户:使用新的 Microsoft Entra B2B 功能创建的任何新 B2B 用户还可以使用他们在邀请过程中注册的电子邮件重置其密码。
若要测试此情境,请使用其中一个合作伙伴用户登录并转到 https://passwordreset.activedirectory.windowsazure.cn。 如果用户指定了备用电子邮件或身份验证电子邮件,则密码重置可按预期方式工作。
注意
Microsoft向Microsoft Entra租户授予来宾访问权限的帐户(例如来自 Hotmail.com、Outlook.com 或其他个人电子邮件地址的帐户)不能使用 Microsoft Entra SSPR。 有关详细信息,请参阅 无法登录到 Microsoft 帐户。
后续步骤
若要开始使用 SSPR,请完成以下教程: