什麼是 Microsoft Entra ID 中的自助式密碼重設?
您被要求評估在您的零售組織中降低技術支援中心成本的方式。 您注意到支援人員花很多時間重設使用者的密碼。 使用者通常會抱怨這個程序的延遲,而且這些延遲會影響其生產力。 您想了解如何設定 Azure,以允許使用者管理其自己的密碼。
在此單元中,您會了解 Microsoft Entra ID 中自助式密碼重設 (SSPR) 的運作方式。
為什麼要使用 SSPR?
在 Microsoft Entra ID 中,任何使用者登入後都可以變更密碼。 但是,如果他們未登入、忘記其密碼或密碼過期,即需要重設其密碼。 透過 SSPR,使用者可在網頁瀏覽器或從 Windows 登入畫面重設密碼,重新取得 Azure、Microsoft 365,或任何使用 Microsoft Entra ID 驗證的其他應用程式存取權。
SSPR 可降低管理員的負荷,因為使用者可以自行解決密碼問題,而不必致電技術支援中心。 此外,SSPR 也可將忘記密碼或密碼過期對生產力的影響降至最低。 使用者不必等候管理員代為重設密碼。
SSPR 的運作方式
使用者直接前往密碼重設入口網站,或選取登入頁面上的 [無法存取帳戶] 連結,即可啟動密碼重設。 重設入口網站會進行下列步驟:
- 當地語系化:入口網站會檢查瀏覽器的地區設定,並以適當的語言轉譯 SSPR 頁面。
- 驗證:使用者輸入使用者名稱並傳遞 CAPTCHA,以確保其為使用者,而不是 Bot。
- 驗證:使用者輸入必要資料,驗證身分識別。 他們可以輸入驗證碼或回答安全性問題。
- 密碼重設:如果使用者通過驗證測試,便可輸入並確認新密碼。
- 通知:系統傳送訊息給使用者確認是否重設。
您有數種方式可以自訂 SSPR 使用者體驗。 例如,您可以將公司標誌新增至登入頁面,讓使用者知道他們位於重設其密碼的正確位置。
驗證密碼重設
允許密碼重設前,請務必驗證使用者的身分識別。 惡意使用者可能會利用系統中的任何弱點來模擬該使用者。 Azure 支援六種驗證重設要求的方式。
身為管理員,您可以在設定 SSPR 時選擇要使用的方法。 請啟用這些方法中兩個以上的方法,讓使用者可以選擇方便的方法。 這些方法包括:
| 驗證方法 | 如何註冊 | 如何驗證密碼重設 |
|---|---|---|
| 行動應用程式通知 | 在您的行動裝置上安裝 Microsoft Authenticator 應用程式,然後在多重要素驗證設定頁面上註冊。 | Azure 會傳送通知至應用程式,您可以確認或拒絕。 |
| 行動應用程式驗證碼 | 此方法也會使用 Authenticator 應用程式,可用相同的方式安裝並註冊。 | 輸入來自應用程式的代碼。 |
| 電子郵件 | 提供 Azure 和 Microsoft 365 外部的電子郵件地址。 | Azure 會傳送驗證碼至電子郵件地址,請在重設精靈中輸入該驗證碼。 |
| 行動電話 | 提供行動電話號碼。 | Azure 會以簡訊訊息傳送驗證碼至手機,請在重設精靈中輸入驗證碼。 您也可以選擇自動語音來電。 |
| 辦公室電話 | 提供非行動電話號碼。 | 您會收到撥打至此電話號碼的自動語音來電,然後按 #。 |
| 安全性問題 | 選取「您的母親在哪個城市出生?」等問題,並儲存其回應。 | 回答問題。 |
在試用 Microsoft Entra 組織中,不支援撥打電話的選項。
要求驗證方法的數目下限
您可以指定使用者必須設定的最少方法數目,可以是一種或兩種。 例如,您可以啟用行動應用程式驗證碼、電子郵件、辦公室電話和安全性問題方法,並指定至少使用兩種方法。 然後,使用者可以選擇慣用的兩種方法,例如,行動應用程式驗證碼和電子郵件。
如果是安全性問題方法,您可以指定問題數目下限,使用者必須設定達該數目的問題才能註冊。 您也可以指定重設密碼必須正確回答的問題數目下限。
在使用者針對您指定的方法數目下限註冊必要的資訊後,系統會視為已註冊 SSPR。
建議
- 啟用兩個或多個驗證重設要求方法。
- 使用行動應用程式通知或驗證碼作為主要方法。 但也啟用電子郵件或辦公室電話方法,以支援沒有行動裝置的使用者。
- 行動電話方法不是建議的方法,因為可能會傳送詐騙簡訊訊息。
- 安全性問題選項是最不建議的方法,因為其他人可能知道安全性問題的答案。 若要使用安全性問題方法,請務必結合至少一個其他方法。
與系統管理員角色相關的帳戶
- 無論其他使用者的設定為何,管理員角色的帳戶一律套用強式的兩個方法驗證原則。
- 安全性問題方法不適用與系統管理員角色相關聯的帳戶。
設定通知
管理員可以選擇使用者收到密碼變更通知的方式。 您可以啟用兩個選項:
- 密碼重設時通知使用者:重設自己密碼的使用者會透過主要和次要電子郵件地址收到通知。 如果重設是由惡意使用者進行,則此通知可以警示使用者,使用者便可以採取風險降低步驟。
- 在其他管理員重設密碼時,通知所有管理員:在其他管理員重設密碼時,所有管理員都會收到通知。
授權需求
Microsoft Entra ID 有兩個版本:Premium P1 和 Premium P2。 您可以使用的密碼重設功能取決於您的版本。
無論 Microsoft Entra ID 的版本為何,任何登入的使用者都可變更其密碼。
如果您未登入,且忘記密碼或密碼已過期,該怎麼辦? 在此情況下,您可以使用 Microsoft Entra ID P1 或 P2 中的 SSPR。 Microsoft 365 Apps 商務版或 Microsoft 365 也提供此功能。
在混合式情況,也就是您在內部部署使用 Active Directory 並在雲端使用 Microsoft Entra ID 時,雲端中任何的密碼變更都必須寫回內部部署目錄。 Microsoft Entra ID P1 或 P2 中提供此回寫支援。 Microsoft 365 Apps 商務版也提供此功能。
SSPR 部署選項
您可以根據使用者需求,使用 Microsoft Entra Connect 或雲端同步,部署具有密碼回寫的 SSPR。 您可以並存部署每個選項在不同的網域,以便以不同的使用者集合為目標。 這有助於現有的內部部署使用者回寫密碼變更,同時為因公司合併或分割而處於中斷連線網域的使用者增加一個選擇。 來自現有內部部署網域的使用者可以使用 Microsoft Entra Connect,而來自合併的新使用者則可在另一個網域中使用雲端同步。
雲端同步也可提供更高的可用性,因為雲端同步不依賴 Microsoft Entra Connect 的單一執行個體。 如需兩個部署選項之間的功能比較,請參閱 Microsoft Entra Connect 與雲端同步之間的比較。