Wstępne wypełnianie informacji kontaktowych uwierzytelniania użytkownika dla usługi Microsoft Entra samoobsługowego resetowania hasła (SSPR) firmy Microsoft
Aby można było używać samoobsługowego resetowania haseł firmy Microsoft (SSPR), muszą znajdować się informacje o uwierzytelnianiu użytkownika. Większość organizacji ma użytkowników rejestrujących swoje dane uwierzytelniania podczas zbierania informacji dotyczących uwierzytelniania wieloskładnikowego. Niektóre organizacje wolą uruchamiać ten proces za pomocą synchronizacji danych uwierzytelniania, które już istnieją w usługach domena usługi Active Directory (AD DS). Te zsynchronizowane dane są udostępniane firmie Microsoft Entra ID i samoobsługowe resetowanie hasła bez konieczności interakcji z użytkownikiem. Gdy użytkownicy muszą zmienić lub zresetować swoje hasło, mogą to zrobić, nawet jeśli wcześniej nie zarejestrowali swoich informacji kontaktowych.
Jeśli spełniasz następujące wymagania, możesz wstępnie wypełniać informacje kontaktowe dotyczące uwierzytelniania:
- Dane zostały poprawnie sformatowane w katalogu lokalnym.
- Skonfigurowano program Microsoft Entra Connect dla dzierżawy firmy Microsoft Entra.
Numery telefonów muszą być w formacie +CountryCode PhoneNumber, na przykład +1 4251234567.
Uwaga
Musi istnieć spacja między kodem kraju a numerem telefonu.
Resetowanie hasła nie obsługuje rozszerzeń telefonu. Nawet w formacie +1 4251234567X12345 rozszerzenia są usuwane przed umieszczeniem wywołania.
Wypełnione pola
Jeśli używasz ustawień domyślnych w programie Microsoft Entra Connect, następujące mapowania są wykonywane w celu wypełnienia informacji kontaktowych uwierzytelniania dla samoobsługowego resetowania hasła:
| Lokalna usługa Active Directory | Microsoft Entra ID |
|---|---|
| telephoneNumber | Telefon biurowy |
| mobilnych | Telefon komórkowy |
Gdy użytkownik sprawdzi swój numer telefonu komórkowego, pole Telefon w obszarze Informacje kontaktowe uwierzytelniania w identyfikatorze Entra firmy Microsoft również zostanie wypełnione tym numerem.
Informacje kontaktowe uwierzytelniania
Na stronie Metody uwierzytelniania użytkownika entra firmy Microsoft w centrum administracyjnym firmy Microsoft Entra osoby przypisane co najmniej do roli Administrator uwierzytelniania uprzywilejowanego mogą ręcznie ustawić informacje kontaktowe uwierzytelniania dla każdej osoby. Istniejące metody można przejrzeć w sekcji Metody uwierzytelniania wielokrotnego użytku lub +Dodaj metody uwierzytelniania, jak pokazano na poniższym przykładowym zrzucie ekranu:
Następujące zagadnienia dotyczą tych informacji kontaktowych uwierzytelniania:
- Jeśli pole Telefon jest wypełnione, a telefon komórkowy jest włączony w zasadach samoobsługowego resetowania hasła, użytkownik zobaczy ten numer na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
- Jeśli pole Adres e-mail jest wypełnione, a w zasadach samoobsługowego resetowania hasła jest włączona wiadomość e-mail, użytkownik zobaczy tę wiadomość e-mail na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
Pytania i odpowiedzi dotyczące zabezpieczeń
Pytania zabezpieczające i odpowiedzi są bezpiecznie przechowywane w dzierżawie firmy Microsoft Entra i są dostępne tylko dla użytkowników za pośrednictwem środowiska rejestracji połączonej usługi My Security-Info. Administratorzy nie mogą wyświetlać, ustawiać ani modyfikować zawartości pytań i odpowiedzi innych użytkowników.
Co się stanie, gdy użytkownik zarejestruje się
Po zarejestrowaniu użytkownika strona rejestracji ustawia następujące pola:
- Telefon uwierzytelniania
- Adres e-mail uwierzytelniania
- Pytania i odpowiedzi dotyczące zabezpieczeń
Jeśli podano wartość dla telefonu komórkowego lub alternatywnej poczty e-mail, użytkownicy mogą natychmiast użyć tych wartości do zresetowania swoich haseł, nawet jeśli nie zarejestrowali się w usłudze.
Użytkownicy widzą również te wartości podczas rejestrowania się po raz pierwszy i mogą je modyfikować, jeśli chcą. Po pomyślnym zarejestrowaniu te wartości są utrwalane odpowiednio w polach Adres e-mail uwierzytelniania i Telefon uwierzytelniania.
Ustawianie i odczytywanie danych uwierzytelniania za pomocą programu PowerShell
Następujące pola można ustawić za pomocą programu PowerShell:
- Alternatywny adres e-mail
- Telefon komórkowy
- Telefon biurowy
- Można ustawić tylko wtedy, gdy nie synchronizujesz się z katalogiem lokalnym.
Możesz użyć programu Microsoft Graph PowerShell do interakcji z identyfikatorem Entra firmy Microsoft lub użyć interfejsu API REST programu Microsoft Graph do zarządzania metodami uwierzytelniania.
Korzystanie z programu Microsoft Graph PowerShell
Aby rozpocząć pracę, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph.
Aby szybko zainstalować z ostatnich wersji programu PowerShell, które obsługują Install-Moduleprogram , uruchom następujące polecenia. Pierwszy wiersz sprawdza, czy moduł jest już zainstalowany:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Po zainstalowaniu modułu wykonaj następujące kroki, aby skonfigurować każde pole.
Ustawianie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Odczytywanie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Następne kroki
Gdy informacje kontaktowe uwierzytelniania są wstępnie wypełniane dla użytkowników, ukończ następujący samouczek, aby włączyć samoobsługowe resetowanie haseł: