Udostępnij za pośrednictwem


Wstępne wypełnianie informacji kontaktowych uwierzytelniania użytkownika dla samoobsługowego resetowania hasła (SSPR) w Microsoft Entra

Aby można było używać samoobsługowego resetowania haseł firmy Microsoft (SSPR), muszą znajdować się informacje o uwierzytelnianiu użytkownika. Większość organizacji pozwala użytkownikom samodzielnie rejestrować swoje dane uwierzytelniania podczas zbierania informacji dotyczących uwierzytelniania wieloskładnikowego. Niektóre organizacje wolą zainicjować ten proces poprzez synchronizację danych uwierzytelniania, które już istnieją w usługach domenowych Active Directory (AD DS). Te zsynchronizowane dane są udostępniane firmie Microsoft Entra ID i SSPR bez wymogu interakcji użytkownika. Gdy użytkownicy muszą zmienić lub zresetować swoje hasło, mogą to zrobić, nawet jeśli wcześniej nie zarejestrowali swoich informacji kontaktowych.

Jeśli spełniasz następujące wymagania, możesz wstępnie wypełniać informacje kontaktowe dotyczące uwierzytelniania:

  • Dane zostały poprawnie sformatowane w katalogu lokalnym.
  • Skonfigurowano program Microsoft Entra Connect dla dzierżawy Microsoft Entra.

Numery telefonów muszą być w formacie +CountryCode PhoneNumber, na przykład +1 4251234567.

Uwaga

Musi istnieć spacja między kodem kraju a numerem telefonu.

Resetowanie hasła nie obsługuje rozszerzeń telefonu. Nawet w formacie +1 4251234567X12345 rozszerzenia są usuwane przed umieszczeniem wywołania.

Wypełnione pola

Jeśli używasz ustawień domyślnych w programie Microsoft Entra Connect, następujące mapowania są wykonywane w celu wypełnienia informacji kontaktowych uwierzytelniania dla samoobsługowego resetowania hasła:

Lokalna usługa Active Directory Microsoft Entra ID
numer telefonu Telefon biurowy
mobilny Telefon komórkowy

Gdy użytkownik sprawdzi swój numer telefonu komórkowego, pole Telefon w obszarze Informacje kontaktowe uwierzytelniania w identyfikatorze Entra firmy Microsoft również zostanie wypełnione tym numerem.

Dane kontaktowe do uwierzytelniania

Na stronie Metody uwierzytelniania dla użytkownika Microsoft Entra w centrum administracyjnym Microsoft Entra osoby przypisane co najmniej do roli Administrator uwierzytelniania uprzywilejowanego mogą ręcznie ustawić informacje kontaktowe uwierzytelniania dla dowolnej osoby. Istniejące metody można przejrzeć w sekcji Metody uwierzytelniania wielokrotnego użytku lub +Dodaj metody uwierzytelniania, jak pokazano na poniższym przykładowym zrzucie ekranu:

Zrzut ekranu przedstawiający sposób zarządzania metodami uwierzytelniania

Następujące zagadnienia dotyczą tych danych kontaktowych związanych z uwierzytelnianiem:

  • Jeśli pole Telefon jest wypełnione, a Telefon komórkowy jest włączony w zasadach SSPR, użytkownik zobaczy ten numer na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
  • Jeśli pole Adres e-mail jest wypełnione, a w zasadach samoobsługowego resetowania hasła jest włączona wiadomość e-mail, użytkownik zobaczy tę wiadomość e-mail na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.

Pytania i odpowiedzi dotyczące zabezpieczeń

Pytania zabezpieczające i odpowiedzi są bezpiecznie przechowywane w obszarze dzierżawcy Microsoft Entra i są dostępne tylko dla użytkowników za pośrednictwem połączonego interfejsu rejestracji My Security-Info. Administratorzy nie mogą wyświetlać, ustawiać ani modyfikować zawartości pytań i odpowiedzi innych użytkowników.

Co się stanie, gdy użytkownik zarejestruje się

Po zarejestrowaniu użytkownika strona rejestracji ustawia następujące pola:

  • Telefon uwierzytelniania
  • Adres e-mail uwierzytelniania
  • Pytania i odpowiedzi dotyczące zabezpieczeń

Jeśli podano wartość dla telefonu komórkowego lub alternatywnej poczty e-mail, użytkownicy mogą natychmiast użyć tych wartości do zresetowania swoich haseł, nawet jeśli nie zarejestrowali się w usłudze.

Użytkownicy widzą również te wartości podczas rejestrowania się po raz pierwszy i mogą je modyfikować, jeśli chcą. Po pomyślnym zarejestrowaniu te wartości są utrwalane odpowiednio w polach Adres e-mail uwierzytelniania i Telefon uwierzytelniania.

Ustawianie i odczytywanie danych uwierzytelniania za pomocą programu PowerShell

Następujące pola można ustawić za pomocą programu PowerShell:

  • Alternatywny adres e-mail
  • Telefon komórkowy
  • Telefon biurowy
    • Można ustawić tylko wtedy, gdy nie synchronizujesz się z katalogiem lokalnym.

Możesz użyć programu Microsoft Graph PowerShell do interakcji z identyfikatorem Entra firmy Microsoft lub użyć interfejsu API REST programu Microsoft Graph do zarządzania metodami uwierzytelniania.

Korzystanie z programu Microsoft Graph PowerShell

Aby rozpocząć pracę, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph.

Aby szybko zainstalować z najnowszych wersji programu PowerShell, które obsługują Install-Module, uruchom następujące polecenia. Pierwszy wiersz sprawdza, czy moduł jest już zainstalowany:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Po zainstalowaniu modułu wykonaj następujące kroki, aby skonfigurować każde pole.

Ustawianie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Odczytywanie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Następne kroki

Po wypełnieniu informacji kontaktowych do uwierzytelniania dla użytkowników, ukończ poniższy poradnik, aby włączyć samoobsługowe resetowanie haseł.