若要使用 Microsoft Entra 自助式密码重置 (SSPR),用户的身份验证信息必须存在。 大多数组织在收集多重身份验证信息时,都会让用户自行注册他们的身份验证数据。
某些组织倾向于通过同步 Active Directory 域服务中已存在的身份验证数据来启动此过程。 这些已同步的数据会提供给 Microsoft Entra ID 和 SSPR,无需用户交互。 用户可以根据其需要随时更改或重置其密码,即使他们以前未注册其联系信息,也是如此。
如果满足以下要求,则可以预填身份验证联系信息:
- 已正确设置本地目录中的数据的格式。
- 为 Microsoft Entra 租户配置了 Microsoft Entra Connect 。
电话号码格式必须是“+国家/地区代码 电话号码”,如 +1 4251234567。 进一步的限制如下:
- 在国家/地区代码和电话号码之间必须有一个空格。
- 密码重置不支持电话分机。 即使采用“1 4251234567X12345”格式,在拨出电话前也会删除分机。
如果使用 Microsoft Entra Connect 中的默认设置,将进行以下映射以填充 SSPR 的身份验证联系信息。
本地 Active Directory | Microsoft Entra 身份识别系统 |
---|---|
telephoneNumber |
办公电话 |
mobile |
移动电话 |
用户验证其移动电话号码后,Microsoft Entra ID 中的“身份验证联系信息”下的“电话”字段也将填充该号码。
在Microsoft Entra 管理中心Microsoft Entra 用户的 身份验证方法 页上,至少分配 有特权身份验证管理员 角色的用户可以手动为任何人设置身份验证联系人信息。 可以在 “可用身份验证方法 ”部分或选择 “+添加身份验证方法”下查看现有方法。
以下注意事项适用于此身份验证联系人信息:
- 如果“电话”字段已填充且在 SSPR 策略中启用了“移动电话”,则用户会在密码重置注册页和密码重置工作流中看到该号码。
- 如果“电子邮件”字段已填充且在 SSPR 策略中启用了“电子邮件”,则用户会在密码重置注册页和密码重置工作流中看到该电子邮件。
安全问题和答案安全地存储在 Microsoft Entra 租户中,并且用户只能通过“我的 Security-Info 合并注册体验”进行访问。 管理员无法查看、设置或修改其他用户的问题和答案的内容。
当用户注册时,注册页面设置以下字段:
- 身份验证电话
- 身份验证电子邮件
- 安全问答
如果已提供“移动电话”或“备用电子邮件”的值,用户就可以立即使用这些值来重置其密码,即使他们尚未注册该服务也是如此。
用户首次注册时也会看到这些值,如果想要修改这些值,用户可以对其进行修改。 成功注册之后,这些值会分别保存在“身份验证电话”和“身份验证电子邮件”字段中。
可以通过 PowerShell 设置以下字段:
- 备用电子邮件
- 移动电话
-
办公电话
- 只有在未与本地目录同步时才可以进行设置。
可以使用 Microsoft Graph PowerShell 与 Microsoft Entra ID 进行交互。 还可以使用 Microsoft Graph REST API 来管理身份验证方法。
首先,请下载并安装 Microsoft Graph PowerShell 模块。
若要从支持 Install-Module
的 PowerShell 的最近版本中快速安装,请运行以下命令。 第一行检查是否已安装模块。
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"
安装该模块后,请按照以下步骤配置每个字段。
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
为用户预填充身份验证联系人信息后,请完成以下教程以启用自助密码重置: