Předběžné naplnění kontaktních údajů pro samoobslužné resetování hesla Microsoft Entra (SSPR)
Pokud chcete použít samoobslužné resetování hesla Microsoft Entra (SSPR), musí být k dispozici ověřovací informace pro uživatele. Většina organizací si při shromažďování informací pro vícefaktorové ověřování zaregistruje svá ověřovací data sami. Některé organizace dávají přednost spuštění tohoto procesu prostřednictvím synchronizace ověřovacích dat, která již existují ve službě Doména služby Active Directory Services (AD DS). Tato synchronizovaná data jsou dostupná pro Microsoft Entra ID a SSPR bez nutnosti interakce uživatele. Když uživatelé potřebují změnit nebo resetovat heslo, můžou to udělat i v případě, že si předtím nezaregistrovali své kontaktní údaje.
Pokud splňujete následující požadavky, můžete předem naplnit kontaktní údaje pro ověřování:
- Data jste správně naformátovali v místním adresáři.
- Nakonfigurovali jste Microsoft Entra Connect pro vašeho tenanta Microsoft Entra.
Telefonní čísla musí být ve formátu +CountryCode PhoneNumber, například +1 4251234567.
Poznámka:
Mezi kódem země a telefonním číslem musí být mezera.
Resetování hesla nepodporuje telefonní rozšíření. I ve formátu +1 4251234567X12345 se rozšíření odeberou před umístěním hovoru.
Vyplněná pole
Pokud ve službě Microsoft Entra Connect použijete výchozí nastavení, vytvoří se následující mapování pro naplnění kontaktních informací o ověřování pro SSPR:
Místní služby Active Directory | Microsoft Entra ID |
---|---|
telephoneNumber | Telefon do kanceláře |
mobilní | Mobilní telefon |
Jakmile uživatel ověří své číslo mobilního telefonu, pole Telefon v části Ověřovací kontaktní údaje v Microsoft Entra ID se vyplní také tímto číslem.
Ověřovací kontaktní údaje
Na stránce Metody ověřování pro uživatele Microsoft Entra v Centru pro správu Microsoft Entra mohou ti, kteří mají přiřazenou alespoň roli Správce privilegovaného ověřování, ručně nastavit kontaktní informace o ověřování pro každého. Existující metody můžete zkontrolovat v části Použitelné metody ověřování nebo +Přidat metody ověřování, jak je znázorněno na následujícím příkladu snímku obrazovky:
U těchto kontaktních údajů pro ověřování platí následující aspekty:
- Pokud je v zásadách SSPR povolené pole Telefon a mobilní telefon, uživatel uvidí toto číslo na stránce registrace resetování hesla a během pracovního postupu resetování hesla.
- Pokud se vyplní pole E-mail a v zásadách samoobslužného resetování hesla je povolený e-mail, uživatel uvidí tento e-mail na stránce registrace resetování hesla a během pracovního postupu resetování hesla.
Otázky a odpovědi týkající se zabezpečení
Bezpečnostní otázky a odpovědi jsou bezpečně uložené ve vašem tenantovi Microsoft Entra a jsou přístupné jenom uživatelům prostřednictvím kombinovaného registračního prostředí My Security-Info. Správci nemůžou zobrazit, nastavit nebo upravit obsah otázek a odpovědí jiných uživatelů.
Co se stane, když se uživatel zaregistruje
Když se uživatel zaregistruje, stránka registrace nastaví následující pole:
- Telefon pro ověřování
- Ověřovací e-mail
- Bezpečnostní otázky a odpovědi
Pokud jste zadali hodnotu mobilního telefonu nebo alternativního e-mailu, uživatelé můžou tyto hodnoty okamžitě použít k resetování hesel, i když nejsou zaregistrovaní ve službě.
Uživatelé tyto hodnoty uvidí také při prvním registraci a můžou je upravit, pokud chtějí. Po úspěšné registraci se tyto hodnoty zachovají v polích Ověřovací telefon a Ověřovací e-mail .
Nastavení a čtení ověřovacích dat prostřednictvím PowerShellu
Pomocí PowerShellu je možné nastavit následující pole:
- Alternativní e-mail
- Mobilní telefon
- Telefon do kanceláře
- Dá se nastavit jenom v případě, že nesynchronujete s místním adresářem.
K interakci s ID Microsoft Entra můžete použít Microsoft Graph PowerShell nebo ke správě metod ověřování použít rozhraní Microsoft Graph REST API.
Použití Microsoft Graph PowerShellu
Začněte tím, že si stáhnete a nainstalujete modul Microsoft Graph PowerShellu.
Pokud chcete rychle nainstalovat z nedávných verzí PowerShellu, které podporují Install-Module
, spusťte následující příkazy. První řádek zkontroluje, jestli je modul již nainstalovaný:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Po instalaci modulu nakonfigurujte každé pole pomocí následujících kroků.
Nastavení ověřovacích dat pomocí Microsoft Graph PowerShellu
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Čtení ověřovacích dat pomocí Microsoft Graph PowerShellu
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Další kroky
Po předvyplnění kontaktních informací pro ověřování pro uživatele dokončete následující kurz, který umožňuje samoobslužné resetování hesla: