为 Microsoft Entra 自助式密码重置 (SSPR) 预填用户身份验证联系信息

若要使用 Microsoft Entra 自助式密码重置 (SSPR),用户的身份验证信息必须存在。 大多数组织在收集多重身份验证信息时,都会让用户自行注册他们的身份验证数据。

某些组织倾向于通过同步 Active Directory 域服务中已存在的身份验证数据来启动此过程。 这些已同步的数据会提供给 Microsoft Entra ID 和 SSPR,无需用户交互。 用户可以根据其需要随时更改或重置其密码,即使他们以前未注册其联系信息,也是如此。

如果满足以下要求,则可以预填身份验证联系信息:

电话号码格式必须是“+国家/地区代码 电话号码”,如 +1 4251234567。 进一步的限制如下:

  • 在国家/地区代码和电话号码之间必须有一个空格。
  • 密码重置不支持电话分机。 即使采用“1 4251234567X12345”格式,在拨出电话前也会删除分机。

填充的字段

如果使用 Microsoft Entra Connect 中的默认设置,将进行以下映射以填充 SSPR 的身份验证联系信息。

本地 Active Directory Microsoft Entra 身份识别系统
telephoneNumber 办公电话
mobile 移动电话

用户验证其移动电话号码后,Microsoft Entra ID 中的“身份验证联系信息”下的“电话”字段也将填充该号码。

身份验证联系人信息

在Microsoft Entra 管理中心Microsoft Entra 用户的 身份验证方法 页上,至少分配 有特权身份验证管理员 角色的用户可以手动为任何人设置身份验证联系人信息。 可以在 “可用身份验证方法 ”部分或选择 “+添加身份验证方法”下查看现有方法。

显示如何管理身份验证方法的屏幕截图

以下注意事项适用于此身份验证联系人信息:

  • 如果“电话”字段已填充且在 SSPR 策略中启用了“移动电话”,则用户会在密码重置注册页和密码重置工作流中看到该号码。
  • 如果“电子邮件”字段已填充且在 SSPR 策略中启用了“电子邮件”,则用户会在密码重置注册页和密码重置工作流中看到该电子邮件。

安全问题和答案

安全问题和答案安全地存储在 Microsoft Entra 租户中,并且用户只能通过“我的 Security-Info 合并注册体验”进行访问。 管理员无法查看、设置或修改其他用户的问题和答案的内容。

用户注册时会发生什么情况?

当用户注册时,注册页面设置以下字段:

  • 身份验证电话
  • 身份验证电子邮件
  • 安全问答

如果已提供“移动电话”或“备用电子邮件”的值,用户就可以立即使用这些值来重置其密码,即使他们尚未注册该服务也是如此。

用户首次注册时也会看到这些值,如果想要修改这些值,用户可以对其进行修改。 成功注册之后,这些值会分别保存在“身份验证电话”和“身份验证电子邮件”字段中。

通过 PowerShell 设置和读取身份验证数据

可以通过 PowerShell 设置以下字段:

  • 备用电子邮件
  • 移动电话
  • 办公电话
    • 只有在未与本地目录同步时才可以进行设置。

可以使用 Microsoft Graph PowerShell 与 Microsoft Entra ID 进行交互。 还可以使用 Microsoft Graph REST API 来管理身份验证方法

使用 Microsoft Graph PowerShell

首先,请下载并安装 Microsoft Graph PowerShell 模块

若要从支持 Install-Module 的 PowerShell 的最近版本中快速安装,请运行以下命令。 第一行检查是否已安装模块。

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"

安装该模块后,请按照以下步骤配置每个字段。

使用 Microsoft Graph PowerShell 设置身份验证数据

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

使用 Microsoft Graph PowerShell 读取身份验证数据

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

后续步骤

为用户预填充身份验证联系人信息后,请完成以下教程以启用自助密码重置: