使用英语阅读

通过

自定义 Microsoft Entra 自助密码重置的用户体验

  • 2025/05/23

自助服务密码重置(SSPR)使用户能够在 Microsoft Entra ID 中更改或重置其密码,无需管理员或支持人员参与。 如果用户的帐户被锁定或用户忘记了自己的密码,他们可以按照提示取消对自己的阻止,回到工作状态。 当用户无法登录到其设备或应用程序时,此功能可减少支持人员呼叫和工作效率损失。

若要改善用户的 SSPR 体验,可以自定义密码重置页面、电子邮件通知或登录页面的外观。 自定义选项有助于让用户清楚地了解自己处于正确的位置,并让他们确信他们正在访问公司资源。

本文介绍如何为用户、公司品牌和 Active Directory 联合身份验证服务(AD FS)登录页链接自定义 SSPR 电子邮件链接。 分配了 身份验证策略管理员 角色的任何人都可以自定义其中大多数选项。

为了帮助用户联系 SSPR 的帮助,密码重置门户中会显示“ 联系管理员” 链接。 如果用户选择此链接,将执行以下两项操作之一:

  • 如果此联系人链接处于默认状态,则会向管理员发送电子邮件,并要求他们帮助更改用户的密码。 以下示例电子邮件显示了此默认电子邮件消息:

    显示重置发送给管理员的电子邮件的示例请求的屏幕截图。

  • 如果自定义了此联系人链接,它将用户发送到网页,或向管理员指定的地址发送电子邮件以获取帮助。

    • 如果自定义此链接,建议将其设置为用户已熟悉的支持内容。

    警告

    如果使用需要密码重置的电子邮件地址和帐户自定义此设置,用户可能无法寻求帮助。

默认电子邮件行为

默认的联系电子邮件按以下顺序发送给收件人:

  1. 如果已分配“支持管理员”角色或“密码管理员”角色,则会通知具有这些角色的管理员。
  2. 如果未分配支持管理员和密码管理员,则会通知具有“用户管理员”角色的管理员。
  3. 如果上述角色均未分配,则会通知“全局管理员”。

在所有情况下,最多会向 100 个收件人发送通知。

若要详细了解不同的管理员角色以及如何分配这些角色,请参阅 Microsoft Entra ID 中的“分配管理员角色”。

禁用“联系管理员”电子邮件

如果组织不想通知管理员密码重置请求,可以使用以下配置选项:

  • 自定义帮助台链接,以提供可让用户获得帮助的 Web URL 地址。 可在“密码重置” “自定义” >“自定义支持人员电子邮件或 URL” 下面找到此选项。
  • 为所有用户启用自助式密码重置。 可在“密码重置”“属性”下找到此选项。> 如果不希望用户重置其自己的密码,可以将访问权限限制为某个空组。 我们不建议使用此选项 。

自定义登录页面和访问面板

例如,可以自定义登录页,以添加与适合公司品牌的图像一起显示的徽标。 有关如何配置公司品牌的详细信息,请参阅将公司品牌添加到 Microsoft Entra ID 中的登录页面

你选择的图形显示在以下情况下:

  • 用户输入用户名后。
  • 如果用户访问自定义的 URL:
    • 将参数传递给 whr 密码重置页,例如 https://login.partner.microsoftonline.cn/?whr=contoso.com
    • username参数传递给密码重置页面,例如https://login.partner.microsoftonline.cn/?username=admin@contoso.com

SSPR 遵循浏览器语言设置。 当浏览器语言有自定义项时,页面将显示在浏览器语言自定义中。 否则,它属于默认的区域设置自定义。

目录名称

若要使事情看起来更个性化,可以在门户中和自动通信中更改组织名称。

若要更改 Microsoft Entra 管理中心中的目录名称属性,请执行以下作:

重要

Microsoft 建议使用权限最少的角色。 这种做法有助于提高组织的安全性。 全局管理员是一个高度特权的角色,应仅限于紧急方案,或者无法使用现有角色时。

  1. 全局管理员身份登录到 Microsoft Entra 管理中心
  2. 依次浏览至“标识”>“概述”>“属性”。
  3. 更新此名称。
  4. 选择“保存”

此组织名称选项在自动电子邮件中最为可见,如以下示例所示:

  • 电子邮件显示名称:例如,CONTOSO演示由微软代表
  • 电子邮件主题行:例如 ,CONTOSO 演示帐户电子邮件验证码

自定义 AD FS 登录页面

如果将 AD FS 用于用户登录事件,则可以使用文章中的指南添加 登录页说明的链接。

为用户提供该页面的链接(例如 https://passwordreset.activedirectory.windowsazure.cn ),让他们进入 SSPR 工作流。 若要添加 AD FS 登录页面的链接,请在 AD FS 服务器上使用以下命令:

Set-ADFSGlobalWebContent -SigninPageDescriptionText "<p><a href='https://passwordreset.activedirectory.windowsazure.cn' target='_blank'>Can't access your account?</a></p>"

相关内容