Wstępne wypełnianie informacji kontaktowych uwierzytelniania użytkownika dla samoobsługowego resetowania hasła (SSPR) w Microsoft Entra
Aby można było używać samoobsługowego resetowania haseł firmy Microsoft (SSPR), muszą znajdować się informacje o uwierzytelnianiu użytkownika. Większość organizacji pozwala użytkownikom samodzielnie rejestrować swoje dane uwierzytelniania podczas zbierania informacji dotyczących uwierzytelniania wieloskładnikowego. Niektóre organizacje wolą zainicjować ten proces poprzez synchronizację danych uwierzytelniania, które już istnieją w usługach domenowych Active Directory (AD DS). Te zsynchronizowane dane są udostępniane firmie Microsoft Entra ID i SSPR bez wymogu interakcji użytkownika. Gdy użytkownicy muszą zmienić lub zresetować swoje hasło, mogą to zrobić, nawet jeśli wcześniej nie zarejestrowali swoich informacji kontaktowych.
Jeśli spełniasz następujące wymagania, możesz wstępnie wypełniać informacje kontaktowe dotyczące uwierzytelniania:
- Dane zostały poprawnie sformatowane w katalogu lokalnym.
- Skonfigurowano program Microsoft Entra Connect dla dzierżawy Microsoft Entra.
Numery telefonów muszą być w formacie +CountryCode PhoneNumber, na przykład +1 4251234567.
Uwaga
Musi istnieć spacja między kodem kraju a numerem telefonu.
Resetowanie hasła nie obsługuje rozszerzeń telefonu. Nawet w formacie +1 4251234567X12345 rozszerzenia są usuwane przed umieszczeniem wywołania.
Wypełnione pola
Jeśli używasz ustawień domyślnych w programie Microsoft Entra Connect, następujące mapowania są wykonywane w celu wypełnienia informacji kontaktowych uwierzytelniania dla samoobsługowego resetowania hasła:
| Lokalna usługa Active Directory | Microsoft Entra ID |
|---|---|
| numer telefonu | Telefon biurowy |
| mobilny | Telefon komórkowy |
Gdy użytkownik sprawdzi swój numer telefonu komórkowego, pole Telefon w obszarze Informacje kontaktowe uwierzytelniania w identyfikatorze Entra firmy Microsoft również zostanie wypełnione tym numerem.
Dane kontaktowe do uwierzytelniania
Na stronie Metody uwierzytelniania dla użytkownika Microsoft Entra w centrum administracyjnym Microsoft Entra osoby przypisane co najmniej do roli Administrator uwierzytelniania uprzywilejowanego mogą ręcznie ustawić informacje kontaktowe uwierzytelniania dla dowolnej osoby. Istniejące metody można przejrzeć w sekcji Metody uwierzytelniania wielokrotnego użytku lub +Dodaj metody uwierzytelniania, jak pokazano na poniższym przykładowym zrzucie ekranu:
Następujące zagadnienia dotyczą tych danych kontaktowych związanych z uwierzytelnianiem:
- Jeśli pole Telefon jest wypełnione, a Telefon komórkowy jest włączony w zasadach SSPR, użytkownik zobaczy ten numer na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
- Jeśli pole Adres e-mail jest wypełnione, a w zasadach samoobsługowego resetowania hasła jest włączona wiadomość e-mail, użytkownik zobaczy tę wiadomość e-mail na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
Pytania i odpowiedzi dotyczące zabezpieczeń
Pytania zabezpieczające i odpowiedzi są bezpiecznie przechowywane w obszarze dzierżawcy Microsoft Entra i są dostępne tylko dla użytkowników za pośrednictwem połączonego interfejsu rejestracji My Security-Info. Administratorzy nie mogą wyświetlać, ustawiać ani modyfikować zawartości pytań i odpowiedzi innych użytkowników.
Co się stanie, gdy użytkownik zarejestruje się
Po zarejestrowaniu użytkownika strona rejestracji ustawia następujące pola:
- Telefon uwierzytelniania
- Adres e-mail uwierzytelniania
- Pytania i odpowiedzi dotyczące zabezpieczeń
Jeśli podano wartość dla telefonu komórkowego lub alternatywnej poczty e-mail, użytkownicy mogą natychmiast użyć tych wartości do zresetowania swoich haseł, nawet jeśli nie zarejestrowali się w usłudze.
Użytkownicy widzą również te wartości podczas rejestrowania się po raz pierwszy i mogą je modyfikować, jeśli chcą. Po pomyślnym zarejestrowaniu te wartości są utrwalane odpowiednio w polach Adres e-mail uwierzytelniania i Telefon uwierzytelniania.
Ustawianie i odczytywanie danych uwierzytelniania za pomocą programu PowerShell
Następujące pola można ustawić za pomocą programu PowerShell:
- Alternatywny adres e-mail
- Telefon komórkowy
-
Telefon biurowy
- Można ustawić tylko wtedy, gdy nie synchronizujesz się z katalogiem lokalnym.
Możesz użyć programu Microsoft Graph PowerShell do interakcji z identyfikatorem Entra firmy Microsoft lub użyć interfejsu API REST programu Microsoft Graph do zarządzania metodami uwierzytelniania.
Korzystanie z programu Microsoft Graph PowerShell
Aby rozpocząć pracę, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph.
Aby szybko zainstalować z najnowszych wersji programu PowerShell, które obsługują Install-Module, uruchom następujące polecenia. Pierwszy wiersz sprawdza, czy moduł jest już zainstalowany:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Po zainstalowaniu modułu wykonaj następujące kroki, aby skonfigurować każde pole.
Ustawianie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Odczytywanie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Następne kroki
Po wypełnieniu informacji kontaktowych do uwierzytelniania dla użytkowników, ukończ poniższy poradnik, aby włączyć samoobsługowe resetowanie haseł.