通过

自助密码重置部署选项

  • 项目

重要

2022 年 9 月,Microsoft 宣布弃用 Azure 多重身份验证服务器。 从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署不再服务多重身份验证(MFA)请求。 Azure 多重身份验证服务器的客户必须改为将自定义 MFA 提供程序与 MIM SSPR 配合使用,或者Microsoft Entra SSPR 而不是 MIM SSPR。

对于获得Microsoft Entra ID P1 或 P2 许可的新客户,我们建议使用 Microsoft Entra 自助密码重置来提供最终用户体验。 Microsoft Entra 自助密码重置为用户提供基于 Web 和 Windows 的集成体验来重置自己的密码,并支持与 MIM 相同的许多功能,包括备用电子邮件和 Q&A 门。 部署 Microsoft Entra 自助密码重置时,可以将 Microsoft Entra Connect 配置为将新密码写回到 AD DS,MIM 密码更改通知服务可用于将密码转发到其他系统,例如其他供应商的目录服务器。 部署 MIM 进行 密码管理 不需要部署 MIM 服务或 MIM 自助密码重置或注册门户。 相反,可以按照以下步骤操作:

  • 首先,如果需要将密码发送到除 Microsoft Entra ID 和 AD DS 以外的目录,请将 MIM 与连接器同步部署到Active Directory 域服务和任何其他目标系统,为密码管理配置 MIM 并部署密码更改通知服务
  • 然后,如果需要将密码发送到除 Microsoft Entra ID 以外的目录,请配置 Microsoft Entra Connect,以便 将新密码写回到 AD DS
  • (可选) 预注册用户
  • 最后, 向最终用户推出 Microsoft Entra 自助服务密码重置。

对于获得Microsoft Entra ID P1 或 P2 许可的 Forefront Identity Manager(FIM)或 MIM 客户,我们建议计划过渡到 Microsoft Entra 自助服务密码重置。 可以通过同步或设置用户的备用电子邮件地址或移动电话号码,将最终用户转换为 Microsoft Entra 自助密码重置,而无需重新注册。 在用户注册Microsoft Entra 自助密码重置后,可以停用 FIM 密码重置门户。

使用 Microsoft Entra MFA 的 MIM 2016 部署应迁移到将 MIM SSPR 与自定义 MFA 提供程序配合使用,或 Microsoft Entra 自助式密码重置。 新部署应使用自定义 MFA 提供程序或 Microsoft Entra 自助式密码重置

使用自定义提供程序部署 MIM 自助密码重置门户进行多重身份验证

以下部分介绍如何使用提供程序进行多重身份验证来部署 MIM 自助密码重置门户。 这些步骤仅适用于未为其用户使用 Microsoft Entra 自助密码重置的客户。

使用 MFA,用户通过外部提供程序进行身份验证,以便在尝试重新获取对其帐户和资源的访问权限时验证其身份。 可以通过短信或电话呼叫进行身份验证。 身份验证越强,试图获取访问权限的人确实是拥有标识的真实用户,就越有信心。 通过身份验证后,用户可以选择要替换旧密码的新密码。

使用 MFA 设置自助帐户解锁和密码重置的先决条件

本部分假定已下载并完成 Microsoft Identity Manager 2016 MIM 同步、MIM 服务和 MIM 门户组件的部署,包括以下组件和服务:

  • 具有指定域的Active Directory 域控制器(“公司”域)

  • 定义帐户锁定的组策略

  • MIM 2016 同步服务(同步)安装在已加入 AD 域的服务器上运行

  • MIM 2016 服务和门户(包括 SSPR 注册门户和 SSPR 重置门户)安装在服务器上并运行(可与同步共存)

  • MIM 同步配置为 AD-MIM 标识同步,包括:

    • 配置 Active Directory 管理代理(ADMA),以便连接到 AD DS 并运行配置文件,以便从中导入标识数据并将其导出到 Active Directory。

    • 配置 MIM 管理代理(MIM MA)以连接到 FIM 服务数据库并运行配置文件,以便从中导入标识数据并将其导出到 FIM 数据库。

    • 在 MIM 门户中配置同步规则,以允许用户数据同步并促进 MIM 服务中基于同步的活动。

  • MIM 2016 加载项和扩展(包括 SSPR Windows 登录集成客户端)部署在服务器或单独的客户端计算机上。

准备 MIM 以使用 MFA

配置 MIM 同步以支持密码重置和帐户解锁功能。 有关详细信息,请参阅安装 FIM 加载项和扩展安装 FIM SSPR、SSPR 身份验证入口和 SSPR 测试实验室指南

配置电话入口或一次性密码 SMS 入口

  1. 启动 Internet Explorer 并导航到 MIM 门户,以 MIM 管理员身份进行身份验证,然后单击 左侧导航栏中的工作流

    MIM 门户导航图像

  2. 检查 密码重置身份验证工作流

    MIM 门户工作流映像

  3. 单击“活动”选项卡,然后向下滚动到“添加活动”。

  4. 选择 “电话门 ”或 “一次性密码短信门 ”,单击“ 选择 ”,然后单击 “确定”。

    注意

    如果使用生成一次性密码本身的另一个提供程序,请确保配置的长度字段与 MFA 提供程序生成的长度相同。

你的组织中的用户现在可以注册以进行密码重置。 在此过程中,他们将输入其电话号码或手机号码,这样系统就知道如何呼叫他们(或向他们发送 SMS 消息)。

注册用户以进行密码重置

  1. 用户将启动 Web 浏览器并导航到 MIM 密码重置注册门户。 (通常此门户将使用 Windows 身份验证配置)。 在该门户中,他们将再次提供其用户名和密码以确认其身份。

    他们需要进入密码注册门户,并使用他们的用户名和密码进行身份验证。

  2. 在“电话号码”或“移动电话”字段中,他们必须输入国家/地区代码、空格和电话号码,然后单击“下一步”。

    MIM 电话验证图像

    MIM 移动电话验证图像

它是如何为用户提供服务的?

现在,所有内容均已配置并且正在运行,你可能想要知道用户在度假前重置了密码,但在回来后却意识到已经完全忘记了密码将经历哪些过程。

用户可通过两种方式使用密码重置和帐户解锁功能,无论是从 Windows 登录屏幕还是从自助服务门户。

通过在通过你组织的网络连接到 MIM 服务的加入域的计算机上安装 MIM 外接和扩展插件,用户可以在桌面登录时恢复忘记的密码。 以下步骤将引导你完成该过程。

集成了 Windows 桌面登录的密码重置

  1. 如果用户多次输入错误的密码,请在登录屏幕中单击“ 问题”

    登录屏幕图像

    单击此链接会将他们转到 MIM 密码重置屏幕,可在其中更改其密码或解锁其帐户。

    MIM 密码重置映像

  2. 将引导用户进行身份验证。 如果已配置 MFA,用户将接到一个电话。

  3. 在后台,发生的情况是,MFA 提供商随后向用户在注册服务时提供号码发出电话呼叫。

  4. 当用户接听电话时,系统可能会要求他们交互,例如,按手机上的井号键 # 。 然后,用户单击门户中的“ 下一步 ”。

    如果还设置了其他入口,将要求在后续屏幕中提供详细信息。

    注意

    如果用户不耐烦,在按井号键 #之前单击“下一步,身份验证将失败。

  5. 身份验证成功后,将提供给用户两个选项:解锁帐户并保持当前密码,或设置一个新密码。

  6. 然后,用户需要输入新密码两次才重置密码。

从自助服务门户访问

  1. 用户可以打开 Web 浏览器,导航到 密码重置门户 并输入其用户名,然后单击“ 下一步”。

    如果已配置 MFA,用户将接到一个电话。 在后台,发生的情况是,Microsoft Entra 多重身份验证,然后拨打用户注册服务时给出的号码的电话呼叫。

    当用户接听电话时,他们将需要按下手机上的井号键 #。 然后,用户单击门户中的“ 下一步 ”。

  2. 如果还设置了其他入口,将要求在后续屏幕中提供详细信息。

    注意

    如果用户不耐烦,在按井号键 #之前单击“下一步,身份验证将失败。

  3. 用户必须选择是否要重置其密码或解锁其帐户。 如果他们选择解锁其帐户,则会解锁该帐户。

    MIM 登录助手帐户解锁映像

  4. 身份验证成功后,将为用户提供两个选项,即保留其当前密码或设置新密码。

  5. MIM 帐户解锁成功映像

  6. 如果用户选择重置其密码,则必须键入新密码两次,然后单击“下一步更改密码。