为 Microsoft Entra 自助式密码重置 (SSPR) 预填用户身份验证联系信息
若要使用 Microsoft Entra 自助式密码重置 (SSPR),用户的身份验证信息必须存在。 大多数组织在收集 MFA 信息时会让用户自行注册其身份验证数据。 某些组织更希望通过同步已存在于 Active Directory 域服务 (AD DS) 中的身份验证数据来启动此过程。 这些已同步的数据会提供给 Microsoft Entra ID 和 SSPR,无需用户交互。 用户可以根据其需要随时更改或重置其密码,即使他们以前未注册其联系信息,也是如此。
如果满足以下要求,则可以预填身份验证联系信息:
- 已在本地目录中正确设置了数据的格式。
- 你已为你的 Microsoft Entra 租户配置 Microsoft Entra Connect。
电话号码格式必须是“+国家/地区代码 电话号码”,如 +1 4251234567。
注意
在国家/地区代码和电话号码之间必须有一个空格。
密码重置不支持电话分机。 即使采用“1 4251234567X12345”格式,在拨出电话前也会删除分机。
填充的字段
如果使用 Microsoft Entra Connect 中的默认设置,则会进行以下映射来为 SSPR 填充身份验证联系信息:
本地 Active Directory | Microsoft Entra ID |
---|---|
telephoneNumber | 办公电话 |
mobile | 移动电话 |
用户验证其移动电话号码后,Microsoft Entra ID 中的“身份验证联系信息”下的“电话”字段也将填充该号码。
身份验证联系人信息
在 Microsoft Entra 管理中心中 Microsoft Entra 用户的“身份验证方法”页上,全局管理员可以手动设置身份验证联系信息。 可以查看“可用身份验证方法”部分下的现有方法,或如以下示例屏幕截图中所示“+添加身份验证方法”:
以下注意事项适用于这些身份验证联系信息:
- 如果“电话”字段已填充且在 SSPR 策略中启用了“移动电话”,则用户会在密码重置注册页和密码重置工作流中看到该号码。
- 如果“电子邮件”字段已填充且在 SSPR 策略中启用了“电子邮件”,则用户会在密码重置注册页和密码重置工作流中看到该电子邮件。
安全问题和答案
安全问题和答案安全地存储在你的 Microsoft Entra 租户中,用户只能通过“我的安全信息”的合并注册体验访问它们。 管理员无法查看、设置或修改其他用户问题和答案的内容。
当用户注册时会发生什么情况?
当用户注册时,注册页面设置以下字段:
- 身份验证电话
- 身份验证电子邮件
- 安全问答
如果已提供“移动电话”或“备用电子邮件”的值,用户就可以立即使用这些值来重置其密码,即使他们尚未注册该服务也是如此。
用户在首次注册时也会看到那些值,并且可以根据需要进行修改。 成功注册之后,这些值会分别保存在“身份验证电话”和“身份验证电子邮件”字段中。
通过 PowerShell 设置和读取身份验证数据
可以通过 PowerShell 设置以下字段:
- 备用电子邮件
- 移动电话
- 办公电话
- 仅当未与本地目录同步时才能设置。
可以使用 Microsoft Graph PowerShell 与 Microsoft Entra ID 进行交互,也可以使用 Microsoft Graph REST API 来管理身份验证方法。
使用 Microsoft Graph PowerShell
首先,请下载并安装 Microsoft Graph PowerShell 模块。
若要从支持 Install-Module
的 PowerShell 的最近版本中快速安装,请运行以下命令。 第一行检查是否已安装该模块:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"
安装该模块后,请按照以下步骤配置每个字段。
使用 Microsoft Graph PowerShell 设置身份验证数据
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
使用 Microsoft Graph PowerShell 读取身份验证数据
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
后续步骤
为用户预填身份验证联系信息后,请完成以下教程以启用自助式密码重置: