教學課程:讓使用者使用 Microsoft Entra 自助式密碼重設來解除鎖定其帳戶或重設密碼

Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者變更或重設其密碼,而不需要系統管理員或技術支援中心介入。 如果 Microsoft Entra ID 鎖定使用者帳戶,或他們忘記其密碼,他們可以遵循提示來解除封鎖自己並返回工作。 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 建議您在 Microsoft Entra ID 中啟用和設定 SSPR 的這段影片。 我們也為IT系統管理員提供一段影片,說明 使用SSPR解決六個最常見的使用者錯誤訊息。

重要

本教學課程說明系統管理員如何啟用自助式密碼重設。 如果您是已註冊自助式密碼重設的使用者,且需要返回您的帳戶,請移至 Microsoft Online 密碼重設 頁面。

如果您的 IT 小組尚未啟用重設您自己的密碼的能力,請連絡技術服務人員以取得其他協助。

在本教學課程中,您將了解如何:

  • 為 Microsoft Entra 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程式

重要

在 2023 年 3 月,我們宣佈淘汰在舊版多重要素驗證和自助式密碼重設 (SSPR) 原則中管理驗證方法。 從 2024 年 9 月 30 日起,這些舊版 MFA 和 SSPR 原則無法管理驗證方法。 我們建議客戶使用手動移轉控件,依淘汰日期移轉至驗證方法原則。

影片教學課程

您也可以遵循相關影片: 如何在 Microsoft Entra 識別符中啟用和設定 SSPR。

必要條件

若要完成本教學課程,您需要下列資源和許可權:

  • 至少已啟用 Microsoft Entra 識別符免費或試用版授權的工作 Microsoft Entra 租使用者。 在免費層中,SSPR 僅適用於 Microsoft Entra ID 中的雲端使用者。 免費層支持密碼變更,但密碼重設則不受支援。
    • 針對本系列稍後的教學課程,您將需要 Microsoft Entra ID P1 或內部部署密碼回寫的試用版授權。
    • 如有需要, 請免費建立 Azure 帳戶。
  • 具有全域 管理員 istrator 或驗證原則 管理員 istrator 許可權的帳戶。
  • 具有您知道密碼的非系統管理員使用者,例如 testuser。 在本教學課程中,您將使用此帳戶來測試使用者 SSPR 體驗。
  • 非系統管理員用戶所屬的群組,例如 SSPR-Test-Group。 在本教學課程中,您將為此群組啟用 SSPR。

啟用自助式密碼重設

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

Microsoft Entra ID 可讓您為 [無]、 [選取] 或 [所有使用者 ] 啟用 SSPR。 此細微的功能可讓您選擇一部分用戶來測試 SSPR 註冊程式和工作流程。 當您熟悉此程式,且時間適合與一組更廣泛的用戶溝通需求時,您可以選取一組用戶來啟用 SSPR。 或者,您可以為 Microsoft Entra 租使用者中的每個人啟用 SSPR。

注意

目前,您只能使用 Microsoft Entra 系統管理中心為 SSPR 啟用一個 Microsoft Entra 群組。 在更廣泛的 SSPR 部署中,Microsoft Entra ID 支援巢狀群組。

在本教學課程中,為測試群組中的一組用戶設定 SSPR。 使用 SSPR-Test-Group,並視需要提供您自己的 Microsoft Entra 群組:

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  2. 從左側功能表流覽至 [保護>密碼重設]。

  3. 從 [屬性] 頁面的 [已啟用自助式密碼重設] 選項底下,選擇 [已選取]。

  4. 如果看不到您的群組,請選擇 [未選取群組],流覽並選取您的 Microsoft Entra 群組,例如 SSPR-Test-Group,然後選擇 [ 選取]。

    Select a group to enable for self-service password reset

  5. 若要為選取的使用者啟用 SSPR,請選取 [ 儲存]。

選取驗證方法和註冊選項

當使用者需要解除鎖定其帳戶或重設其密碼時,系統會提示他們輸入另一個確認方法。 這個額外的驗證因素可確保 Microsoft Entra ID 只完成已核准的 SSPR 事件。 您可以根據使用者提供的註冊資訊,選擇要允許的驗證方法。

  1. 從 [驗證方法] 頁面左側的功能表中,將重設為 2 所需的方法數目。

    若要改善安全性,您可以增加 SSPR 所需的驗證方法數目。

  2. 選擇組織想要允許之使用者可用的方法。 在本教學課程中,核取方塊以啟用下列方法:

    • 行動應用程式通知
    • 行動應用程式程序代碼
    • Email
    • 行動電話

    您可以視需要啟用其他驗證方法,例如 Office 電話安全性問題,以符合您的商務需求。

  3. 若要套用驗證方法,請選取 [ 儲存]。

用戶必須先註冊其連絡資訊,才能解除鎖定其帳戶或重設密碼。 Microsoft Entra ID 會針對先前步驟中設定的不同驗證方法使用此連絡資訊。

系統管理員可以手動提供此連絡資訊,或者使用者可以移至註冊入口網站,自行提供資訊。 在本教學課程中,設定 Microsoft Entra ID,以便在下次登入時提示用戶註冊。

  1. 從 [註冊] 頁面左側的功能表中,針對 [需要使用者在登入時註冊] 選取 []。

  2. 設定 要求使用者將驗證資訊 重新確認為 180之前的天數。

    請務必讓連絡資訊保持在最新狀態。 如果 SSPR 事件啟動時存在過期的連絡資訊,使用者可能無法解除鎖定其帳戶或重設其密碼。

  3. 若要套用註冊設定,請選取 [ 儲存]。

注意

只有在符合設定上設定設定的條件時,才會中斷要求註冊連絡資訊的要求,而且只會套用至啟用使用 Microsoft Entra 自助式密碼重設來重設密碼的使用者和系統管理員帳戶。

設定通知和自定義

若要讓使用者知道帳戶活動,您可以設定 Microsoft Entra ID,以在 SSPR 事件發生時傳送電子郵件通知。 這些通知可以涵蓋一般使用者帳戶和系統管理員帳戶。 針對系統管理員帳戶,此通知會在使用SSPR重設特殊許可權系統管理員帳戶密碼時,提供另一層感知。 當有人在系統管理員帳戶上使用 SSPR 時,Microsoft Entra 識別碼將會通知所有全域系統管理員。

  1. 從 [通知] 頁面左側的功能表中,設定下列選項:

    • 將 [密碼重設時通知使用者?] 選項設定為 []。
    • 將 [當其他系統管理員重設其密碼時通知所有系統管理員嗎? ] 設定為 []。
  2. 若要套用通知喜好設定,請選取 [ 儲存]。

如果使用者需要更多 SSPR 程式的協助,您可以自定義「連絡您的系統管理員」連結。 用戶可以在 SSPR 註冊程式中選取此連結,並在他們解除鎖定帳戶或重設其密碼時選取。 若要確保您的用戶獲得所需的支持,建議您提供自定義技術服務人員電子郵件或URL。

  1. 從 [自定義] 頁面左側的功能表中,將 [自定義技術服務人員] 鏈接設定為 []。
  2. 在 [ 自定義技術服務人員電子郵件或 URL ] 欄位中,提供電子郵件地址或網頁 URL,讓使用者可從您的組織取得更多協助,例如 https://support.contoso.com/
  3. 若要套用自定義連結,請選取 [ 儲存]。

測試自助式密碼重設

啟用並設定 SSPR 之後,請使用您在上一節中選取群組的使用者測試 SSPR 程式,例如 Test-SSPR-Group。 下列範例會使用 testuser 帳戶。 提供您自己的用戶帳戶。 這是您在本教學課程第一節中為 SSPR 啟用的群組的一部分。

注意

當您測試自助式密碼重設時,請使用非系統管理員帳戶。 根據預設,Microsoft Entra ID 會為系統管理員啟用自助式密碼重設。 他們必須使用兩個驗證方法來重設其密碼。 如需詳細資訊,請參閱 管理員 istrator 重設原則差異

  1. 若要查看手動註冊程式,請在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,然後流覽至 https://aka.ms/ssprsetup。 下次登入時,Microsoft Entra ID 會將用戶導向至此註冊入口網站。

  2. 使用非系統管理員測試使用者登入,例如 testuser,並註冊您的驗證方法連絡資訊。

  3. 完成後,選取標示為 [ 外觀良好 ] 的按鈕,然後關閉瀏覽器視窗。

  4. 在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,然後流覽至 https://aka.ms/sspr

  5. 輸入非系統管理員測試使用者的帳戶資訊,例如 testuser、CAPTCHA 中的字元,然後選取 [ 下一步]。

    Enter user account information to reset the password

  6. 請遵循驗證步驟重設密碼。 完成後,您會收到密碼重設的電子郵件通知。

清除資源

在本系列稍後的教學課程中,您將設定密碼回寫。 此功能會將密碼變更從 Microsoft Entra SSPR 寫回內部部署 AD 環境。 如果您想要繼續進行本教學課程系列來設定密碼回寫,請不要立即停用 SSPR。

如果您不想再使用您在本教學課程中設定的 SSPR 功能,請使用下列步驟將 SSPR 狀態設定為 [無 ]:

  1. 以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>密碼重設]。
  3. 從 [屬性] 頁面的 [已啟用自助式密碼重設] 選項底下,選取 []。
  4. 若要套用 SSPR 變更,請選取 [ 儲存]。

常見問題集

本節說明嘗試 SSPR 的系統管理員和終端使用者的常見問題:

  • 為什麼 SSPR 期間不會顯示內部部署密碼原則?

    目前,Microsoft Entra 連線 和雲端同步不支援與雲端共用密碼原則詳細數據。 SSPR 只會顯示雲端密碼原則詳細數據,且無法顯示內部部署原則。

  • 為什麼同盟使用者會在他們看到 您的密碼重設 後等候最多 2 分鐘,才能使用從內部部署同步處理的密碼?

    對於同步處理密碼的同盟使用者,密碼的授權來源為內部部署。 因此,SSPR 只會更新內部部署密碼。 密碼哈希同步處理會排定每 2 分鐘一次回到 Microsoft Entra ID。

  • 當新建立的用戶預先填入 SSPR 數據,例如電話和電子郵件瀏覽 SSPR 註冊頁面時, 請勿失去您帳戶的存取權! 會顯示為頁面標題。 為什麼沒有預先填入 SSPR 數據的其他使用者會看到訊息?

    看到 [不要失去帳戶存取權的使用者!] 是針對租用戶設定的 SSPR/合併註冊群組成員。 未看到 [不要失去帳戶存取權] 的使用者! 不是 SSPR/合併註冊群組的一部分。

  • 當某些使用者經歷 SSPR 程式並重設其密碼時,為什麼他們看不到密碼強度指標?

    未看到弱式/強密碼強度的使用者已啟用同步密碼回寫。 由於 SSPR 無法判斷客戶內部部署環境的密碼原則,因此無法驗證密碼強度或弱點。

下一步

在本教學課程中,您已為選取的使用者群組啟用 Microsoft Entra 自助式密碼重設。 您已了解如何︰

  • 為 Microsoft Entra 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程式