教程:让用户能够使用 Microsoft Entra 自助式密码重置来解锁其帐户或重置密码

Microsoft Entra 自助式密码重置 (SSPR) 让用户能够更改或重置其密码,而不需要管理员或技术支持。 如果 Microsoft Entra ID 锁定用户帐户或用户忘记了自己的密码,他们可以按照提示自行解锁,恢复工作。 当用户无法登录其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。 建议观看如何在 Microsoft Entra ID 中启用和配置 SSPR 中的这段视频。 我们还为 IT 管理员提供了有关如何使用 SSPR 解决六个最常见的最终用户错误消息的视频。

重要

本教程向管理员展示如何启用自助式密码重置。 如果你是已注册自助式密码重置的最终用户并且需要恢复帐户,请转到 Microsoft Online 密码重置页面。

如果 IT 团队尚未启用重置自己密码的功能,请联系支持人员获得更多帮助。

本教程介绍如何执行下列操作:

  • 为一组 Microsoft Entra 用户启用自助式密码重置
  • 设置身份验证方法和注册选项
  • 以用户身份测试 SSPR 过程

重要

2023 年 3 月,我们宣布弃用旧版多重身份验证和自助式密码重置 (SSPR) 策略中的管理身份验证方法的操作。 从 2025 年 9 月 30 日开始,无法在这些旧版 MFA 和 SSPR 策略中管理身份验证方法。 建议客户使用手动迁移控制,在弃用日期之前迁移到身份验证方法策略。

视频教程

还可以按照下列相关视频中的说明进行操作:如何在 Microsoft Entra ID 中启用和配置 SSPR

先决条件

需要具有以下资源和特权才能完成本教程:

启用自助服务密码重置

提示

本文中的步骤可能因开始使用的门户而略有不同。

Microsoft Entra ID 允许为“无”、“选定”或“所有”用户启用 SSPR。 借助这种粒度,可以选择一部分用户来测试 SSPR 注册过程和工作流。 如果很熟悉与一组更广泛的用户传达相关要求的过程和时机,则可以选择一组用户来为他们启用 SSPR。 或者,可为 Microsoft Entra 租户中的每个人启用 SSPR。

注意

目前,只能使用 Microsoft Entra 管理中心为 SSPR 启用一个 Microsoft Entra 组。 Microsoft Entra ID 作为 SSPR 更广泛部署的一部分,可以支持嵌套组。

在本教程,将为测试组中的一组用户设置 SSPR。 使用 SSPR-Test-Group 并根据需要提供自己的 Microsoft Entra 组:

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 从左侧菜单中,浏览到“保护”>“密码重置”。

  3. 在“属性”页的“启用自助式密码重置”选项下,选择“选定”。

  4. 如果组不可见,请选择“未选择组”,浏览并选择 Microsoft Entra 组(如 SSPR-Test-Group),然后选择“选择”。

    选择要启用自助式密码重置的组

  5. 要为所选用户启用 SSPR,请选择“保存”。

选择身份验证方法和注册选项

用户需要解锁帐户或重置其密码时,系统会提示他们选择另一种确认方法。 这一额外的身份验证因素确保 Microsoft Entra ID 仅完成已批准的 SSPR 事件。 可以根据用户提供的注册信息,选择允许哪些身份验证方法。

  1. 从“身份验证方法”页面的左侧菜单中,将“需要重置的方法数”设为“2”。

    如果要提高安全性,可以增加 SSPR 所需的身份验证方法数。

  2. 选择组织允许的“可供用户使用的方法”。 对于本教程,请选中相应的框来启用以下方法:

    • 移动应用通知
    • 移动应用代码
    • 电子邮件
    • 移动电话

    可以根据需要启用“办公电话”或“安全性问题”等其他身份验证方法,来满足业务要求。

  3. 如果要应用身份验证方法,请选择“保存”。

用户必须先登记其联系人信息,然后才能解锁其帐户或重置密码。 Microsoft Entra ID 使用此联系人信息来实现前面步骤中的不同身份验证方法设置。

管理员可以手动提供此联系人信息,或者用户可以转到注册门户来自行提供信息。 在本教程,将 Microsoft Entra ID 设置为在用户下次登录时提示其进行注册。

  1. 在“注册”页面的左侧菜单中,对于“要求用户在登录时注册”选择“是”。

  2. 将“要求用户重新确认其身份验证信息的天数”设置为“180”。

    务必将联系人信息保持最新状态。 如果在启动 SSPR 事件时联系人信息已过时,用户可能无法解锁帐户或重置密码。

  3. 要应用注册设置,请选择“保存”。

注意

只有在满足设置上配置的条件时,才会中断在登录期间注册联系人信息的请求,并且仅适用于已启用使用 Microsoft Entra ID 自助式密码重置重置密码的用户和管理员帐户。

配置通知和自定义项

要通知用户帐户活动,可以设置 Microsoft Entra ID 在发生 SSPR 事件时发送电子邮件通知。 这些通知可以涵盖普通用户帐户和管理员帐户。 对于管理员帐户,使用 SSPR 重置特权管理员帐户密码时,此通知将提供另外一层意识。 如果有人对管理员帐户使用 SSPR,Microsoft Entra ID 会通知所有管理员。

  1. 在“通知”页面的左侧菜单中,设置以下选项:

    • 将“是否在重置密码时通知用户?”选项设置为“是”。
    • 将“是否在其他管理员重置其密码时通知所有管理员?”设置为“是”。
  2. 要应用通知首选项,请选择“保存”。

如果用户在执行 SSPR 过程时需要更多帮助,可以自定义“联系管理员”链接。 用户可以在 SSPR 注册过程中,以及解锁帐户或重置密码时选择此链接。 为确保用户获得所需的支持,我们建议提供自定义的支持人员电子邮件或 URL。

  1. 在“自定义”页面的左侧菜单中,将“自定义支持人员链接”设置为“是”。
  2. 在“自定义支持人员电子邮件或 URL”字段中提供电子邮件地址或网页 URL(例如 https://support.contoso.com/);通过此链接,用户可从贵组织获得更多帮助
  3. 要应用自定义链接,请选择“保存”。

测试自助式密码重置

启用并设置 SSPR 后,使用在上一部分所选组(例如 Test-SSPR-Group)中的用户测试 SSPR 过程。 下面的示例使用 testuser 帐户。 提供你自己的用户帐户。 它属于本教程第一部分中为 SSPR 启用的组。

注意

测试自助式密码重置时,请使用非管理员帐户。 默认情况下,Microsoft Entra ID 为管理员启用自助式密码重置。 管理员需要使用两种身份验证方法重置密码。 有关详细信息,请参阅管理员重置策略差异

  1. 若要查看手动注册过程,请以 InPrivate 或 incognito 模式打开新的浏览器窗口,并浏览到 https://aka.ms/ssprsetup。 Microsoft Entra ID 将在用户下次登录时将其定向到此注册门户。

  2. 使用非管理员测试用户(如 testuser)登录,并注册身份验证方法的联系人信息。

  3. 完成后,选择标记为“看起来不错”的按钮并关闭浏览器窗口。

  4. 以 InPrivate 或 incognito 模式打开新的浏览器窗口并浏览到 https://aka.ms/sspr

  5. 输入非管理员测试用户的用户帐户信息(如 testuser)、来自 CAPTCHA 的字符,然后选择“下一步”。

    输入用户帐户信息来重置密码

  6. 按照验证步骤重置密码。 完成后,会收到一条电子邮件通知,表明密码已重置。

清理资源

在本系列的后续教程中,将设置密码写回。 此功能将 Microsoft Entra SSPR 中的密码更改写回到本地 AD 环境。 如果要继续学习本教程系列来设置密码写回,请不要立即禁用 SSPR。

如果不想再使用本教程中配置的 SSPR 功能,请使用以下步骤将 SSPR 状态设置为“无”:

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”。
  3. 在“属性”页的“已启用自助式密码重置”选项下,选择“无”。
  4. 要应用 SSPR 更改,请选择“保存”。

常见问题

本部分介绍管理员和最终用户尝试 SSPR 时遇见的常见问题:

  • 为什么在 SSPR 期间不显示本地密码策略?

    目前,Microsoft Entra Connect 和云同步不支持与云共享密码策略详细信息。 SSPR 仅显示云密码策略详细信息,无法显示本地策略。

  • 为什么联合用户在看到“已重置你的密码”之后要等待长达 2 分钟的时间,才可以使用从本地同步的密码?

    对于已同步其密码的联合用户,密码的颁发机构来源为本地。 因此,SSPR 仅更新本地密码。 每 2 分钟计划一次密码哈希同步回 Microsoft Entra ID。

  • 预先填充 SSPR 数据(如电话和电子邮件)的新建用户访问 SSPR 注册页面时,页面标题会显示“不要失去对帐户的访问权限!” 为什么预先填充 SSPR 数据的其他用户看不到该消息?

    看到“不要失去对帐户的访问权限!”的用户是为租户配置的 SSPR/合并注册组的成员。 没有看到“不要失去对帐户的访问权限!”的用户不属于 SSPR/合并注册组。

  • 某些用户进行 SSPR 过程并重置其密码时,为什么看不到密码强度指示器?

    看不到弱/强密码强度的用户已启用同步密码写回。 由于 SSPR 无法确定客户本地环境的密码策略,因此无法验证密码强弱。

后续步骤

在本教程,为选定的用户组启用了 Microsoft Entra 自助式密码重置。 已了解如何执行以下操作:

  • 为一组 Microsoft Entra 用户启用自助式密码重置
  • 设置身份验证方法和注册选项
  • 以用户身份测试 SSPR 过程