Microsoft Entra ID 中的自助式密码重置指的是什么?
你的零售组织要求你评估降低组织中支持人员成本的方法。 你注意到支持人员为用户重置密码花费了大量时间。 用户经常会抱怨此过程的延迟问题,这些延迟会影响工作效率。 你需要了解如何配置 Azure 以允许用户管理自己的密码。
在此单元中,你将了解自助式密码重置 (SSPR) 在 Microsoft Entra ID 中的工作原理。
为什么使用 SSPR?
在 Microsoft Entra ID 中,任何用户在已登录的情况下都可以更改其密码。 但如果他们未登录,忘记了密码或密码已过期,则他们需要重置其密码。 借助 SSPR,用户可在 Web 浏览器中或通过 Windows 登录屏幕重置其密码,从而再次有权访问 Azure、Microsoft 365 以及使用 Microsoft Entra ID 进行身份验证的任何其他应用程序。
SSPR 减少了管理员的负担,因为用户可以自行解决密码问题,而无需求助于支持人员。 此外,它还可以最大程度地减少忘记密码或密码过期对工作效率的影响。 用户无需等到管理员有空时就可重置其密码。
SSPR 的工作原理
用户可以直接转到密码重置门户,或者选择登录页面上的“无法访问帐户”链接来启动密码重置。 重置门户会执行以下步骤:
- 本地化:门户检查浏览器的区域设置,并以适当的语言呈现 SSPR 页。
- 验证:用户输入其用户名和验证码,以确保操作者是用户而非机器人。
- 身份验证:用户输入所需数据以进行身份验证。 他们可能会输入代码或回答安全问题。
- 密码重置:如果用户通过了身份验证测试,则他们可以输入新的密码并进行确认。
- 通知:向用户发送消息来确认此重置操作。
有几种自定义 SSPR 用户体验的方式。 例如,可以将公司徽标添加到登录页,以便用户知道他们在正确的位置重置密码。
对密码重置进行身份验证
必须先验证用户身份才能允许密码重置,这一点非常重要。 恶意用户可能会利用系统中的任何弱点来模拟该用户。 Azure 支持通过六种不同的方法对重置请求进行身份验证。
管理员可以选择要在配置 SSPR 时使用的方法。 启用其中两种或更多方法,以便用户可以选择其可轻松使用的方法。 方法有:
| 身份验证方法 | 注册方法 | 如何对密码重置进行身份验证 |
|---|---|---|
| 移动应用通知 | 将 Microsoft Authenticator 应用安装在移动设备上,然后在多重身份验证设置页上注册它。 | Azure 会向应用程序发送通知,你可以接受验证或拒绝。 |
| 移动应用代码 | 此方法还使用 Authenticator 应用,并以相同的方式安装和注册。 | 输入应用中的代码。 |
| 电子邮件 | 提供 Azure 和 Microsoft 365 外部的电子邮件地址。 | Azure 会向该地址发送代码,然后你在重置向导中输入此代码。 |
| 移动电话 | 提供移动电话号码。 | Azure 会向电话发送包含一条代码的短信,你应在重置向导中输入该代码。 也可以选择获取自动电话呼叫。 |
| 办公电话 | 提供一个非移动电话号码。 | 你会接收到自动拨打此号码的电话呼叫,然后按 #。 |
| 安全性问题 | 选择问题,例如“你母亲在哪个城市出生?”,并保存其答案。 | 回答问题。 |
在试用版的 Microsoft Entra 组织中,不支持电话呼叫选项。
身份验证方法所需的数量
可以指定用户必须设置的最小方法数,即 1 或 2。 例如,你可以启用移动应用代码、电子邮件、办公电话和安全问题方法,并指定最少两个方法。 然后,用户可以选择他们喜欢的两种方法,例如移动应用代码和电子邮件。
对于安全问题方法,你可以指定用户为注册此方法而必须设置的最小问题数量。 还可以指定他们必须正确回答才能重置其密码的问题的最小数量。
用户为指定的最小数量的方法注册所需的信息后,便视为他们已注册 SSPR。
建议
- 启用两个或多个身份验证重置请求方法。
- 使用移动应用通知或代码作为主要方法。 但同时请启用电子邮件或办公电话的方法,来支持没有移动设备的用户。
- 不建议使用移动电话方法,因为用户可能收到欺诈性短信。
- 安全问题选项是最不推荐的方法,因为其他人可能知道安全问题的答案。 仅在结合至少一个其他方法时使用安全问题方法。
与管理员角色关联的帐户
- 无论其他用户的配置如何,对具有管理员角色的帐户始终会应用强大的双方法身份验证策略。
- 安全问题方法不适用于与管理员角色关联的帐户。
配置通知
管理员可以选择如何向用户通知密码更改。 可以启用以下两个选项:
- 重置密码时通知用户:重置自己密码的用户将在其主要和次要电子邮箱中收到通知。 如果重置操作是由某个恶意用户发起的,此通知会提醒用户,用户可以采取缓解措施。
- 当其他管理员重置其密码时通知所有管理员:当某个管理员重置密码时,所有其他管理员都会收到通知。
许可要求
Microsoft Entra ID 有两个版本:高级 P1 和高级 P2。 可以使用的密码重置功能取决于版本。
不管 Microsoft Entra ID 的版本是什么,已登录的用户都可以更改其密码。
如果尚未登录,并且忘记了密码,或者密码已过期,会发生什么情况? 在这种情况下,可以使用 Microsoft Entra ID P1 或 P2 中的 SSPR。 它还可与 Microsoft 365 商业应用版或 Microsoft 365 一起使用。
在混合情况下,如果在本地有 Active Directory,在云中有 Microsoft Entra ID,则必须将云中的任何密码更改写回到本地目录。 Microsoft Entra ID P1 或 P2 中提供了此写回支持。 Microsoft 365 商业应用版也提供了此功能。
SSPR 部署选项
可根据用户需求,使用 Microsoft Entra Connect 或云同步通过密码写回来部署 SSPR。 可以将每个选项并行部署在不同的域中,以面向不同的用户组。 这有助于本地现有用户写回密码更改,同时为因公司合并或拆分而断开连接的域中的用户添加选项。 现有本地域中的用户可使用 Microsoft Entra Connect,而因合并而出现的新用户可在另一个域中使用云同步。
云同步还可提高可用性,因为它不依赖于单个 Microsoft Entra Connect 实例。 有关这两个部署选项之间的功能比较,请参阅 Microsoft Entra Connect 与云同步之间的比较。