Předvyplňujte kontaktní informace o ověření uživatele pro samoobslužné resetování hesla azure Active Directory (SSPR)

  • Článek
  • 4 min ke čtení

Pokud chcete použít samoobslužné resetování hesla (SSPR) Azure Active Directory (Azure AD), musí být k dispozici ověřovací informace pro uživatele. Většina organizací si při shromažďování informací pro vícefaktorové ověřování zaregistruje svá ověřovací data. Některé organizace dávají přednost spuštění tohoto procesu prostřednictvím synchronizace ověřovacích dat, která již existují v Active Directory Domain Services (AD DS). Tato synchronizovaná data jsou k dispozici pro Azure AD a SSPR bez nutnosti interakce uživatelů. Když uživatelé potřebují změnit nebo resetovat heslo, můžou to udělat i v případě, že předtím nezaregistrovali své kontaktní údaje.

Pokud splňujete následující požadavky, můžete předem naplnit kontaktní údaje pro ověřování:

  • Data jste správně naformátovali v místním adresáři.
  • Nakonfigurovali jste Azure AD Connect pro svého tenanta Azure AD.

Telefonní čísla musí být ve formátu +CountryCode PhoneNumber, například +1 4251234567.

Poznámka

Mezi kódem země a telefonním číslem musí být mezera.

Resetování hesla nepodporuje telefonní rozšíření. I ve formátu +1 4251234567X12345 se rozšíření před umístěním hovoru odeberou.

Vyplněná pole

Pokud použijete výchozí nastavení v Azure AD Connect, provede se následující mapování pro naplnění kontaktních informací o ověřování pro SSPR:

Místní služby Active Directory Azure AD
telephoneNumber Telefon do kanceláře
mobil Mobilní telefon

Jakmile uživatel ověří své mobilní telefonní číslo, pole Telefon v části Ověřovací kontaktní údaje v Azure AD se také vyplní tímto číslem.

Ověřovací kontaktní údaje

Na stránce Metody ověřování pro uživatele Azure AD v Azure Portal může globální správce ručně nastavit kontaktní údaje pro ověřování. Existující metody můžete zkontrolovat v části Použitelné metody ověřování nebo +Přidat metody ověřování, jak je znázorněno na následujícím příkladu snímku obrazovky:

Správa metod ověřování z Azure Portal

Pro tyto ověřovací kontaktní údaje platí následující aspekty:

  • Pokud je v zásadách SSPR povolené pole Telefon a mobilní telefon , uživatel uvidí toto číslo na registrační stránce pro resetování hesla a během pracovního postupu resetování hesla.
  • Pokud je vyplněné pole e-mail a e-mail je v zásadách SSPR povolený, uživatel uvidí tento e-mail na stránce registrace resetování hesla a během pracovního postupu resetování hesla.

Bezpečnostní otázky a odpovědi

Bezpečnostní otázky a odpovědi jsou bezpečně uložené ve vašem Azure AD tenantovi a jsou přístupné jenom uživatelům prostřednictvím registračního portálu SSPR. Správci neuvidí, nastaví nebo upraví obsah otázek a odpovědí jiných uživatelů.

Co se stane, když se uživatel zaregistruje

Když se uživatel zaregistruje, stránka registrace nastaví následující pole:

  • Telefon pro ověřování
  • Ověřovací e-mail
  • Bezpečnostní otázky a odpovědi

Pokud jste zadali hodnotu pro mobilní telefon nebo alternativní e-mail, můžou uživatelé tyto hodnoty okamžitě použít k resetování hesel, i když nejsou zaregistrovaní pro službu.

Uživatelé tyto hodnoty uvidí také při prvním registraci a můžou je upravit, pokud chtějí. Po úspěšném registraci se tyto hodnoty zachovají v polích Ověřovací telefon a ověřovací e-mail .

Nastavení a čtení ověřovacích dat prostřednictvím PowerShellu

Pomocí PowerShellu je možné nastavit následující pole:

  • Alternativní e-mail
  • Mobilní telefon
  • Telefon do kanceláře
    • Můžete nastavit jenom v případě, že nesynchronujete s místním adresářem.

Důležité

Azure AD PowerShell je naplánován pro vyřazení. Můžete začít používat Microsoft Graph PowerShell k interakci s Azure AD stejně jako v Azure AD PowerShellu nebo pomocí rozhraní MICROSOFT Graph REST API pro správu metod ověřování.

Použití Azure AD PowerShellu verze 1

Pokud chcete začít, stáhněte a nainstalujte Azure AD modul PowerShellu. Po instalaci nakonfigurujte jednotlivá pole pomocí následujících kroků.

Nastavení ověřovacích dat pomocí Azure AD PowerShellu verze 1

Connect-MsolService

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com")
Set-MsolUser -UserPrincipalName user@domain.com -MobilePhone "+1 4251234567"
Set-MsolUser -UserPrincipalName user@domain.com -PhoneNumber "+1 4252345678"

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com") -MobilePhone "+1 4251234567" -PhoneNumber "+1 4252345678"

Čtení ověřovacích dat pomocí Azure AD PowerShellu verze 1

Connect-MsolService

Get-MsolUser -UserPrincipalName user@domain.com | select AlternateEmailAddresses
Get-MsolUser -UserPrincipalName user@domain.com | select MobilePhone
Get-MsolUser -UserPrincipalName user@domain.com | select PhoneNumber

Get-MsolUser | select DisplayName,UserPrincipalName,AlternateEmailAddresses,MobilePhone,PhoneNumber | Format-Table

Čtení možností ověřovacího telefonu a ověřovacího e-mailu

Pokud chcete přečíst ověřovací e-mail a ověřovací e-mail při použití PowerShellu verze 1, použijte následující příkazy:

Connect-MsolService
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select PhoneNumber
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select Email

Použití Azure AD PowerShellu verze 2

Pokud chcete začít, stáhněte a nainstalujte modul PowerShellu verze Azure AD verze 2.

Pokud chcete rychle nainstalovat z posledních verzí PowerShellu, které podporují Install-Module, spusťte následující příkazy. První řádek zkontroluje, jestli je modul již nainstalovaný:

Get-Module AzureAD
Install-Module AzureAD
Connect-AzureAD

Po instalaci modulu nakonfigurujte každé pole pomocí následujícího postupu.

Nastavení ověřovacích dat pomocí Azure AD PowerShellu verze 2

Connect-AzureAD

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("email@domain.com")
Set-AzureADUser -ObjectId user@domain.com -Mobile "+1 4251234567"
Set-AzureADUser -ObjectId user@domain.com -TelephoneNumber "+1 4252345678"

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("emails@domain.com") -Mobile "+1 4251234567" -TelephoneNumber "+1 4252345678"

Čtení ověřovacích dat pomocí Azure AD PowerShellu verze 2

Connect-AzureAD

Get-AzureADUser -ObjectID user@domain.com | select otherMails
Get-AzureADUser -ObjectID user@domain.com | select Mobile
Get-AzureADUser -ObjectID user@domain.com | select TelephoneNumber

Get-AzureADUser | select DisplayName,UserPrincipalName,otherMails,Mobile,TelephoneNumber | Format-Table

Použití Microsoft Graph PowerShellu

Začněte tím, že si stáhnete a nainstalujete modul Microsoft Graph PowerShellu.

Pokud chcete rychle nainstalovat z posledních verzí PowerShellu, které podporují Install-Module, spusťte následující příkazy. První řádek zkontroluje, jestli je modul již nainstalovaný:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Po instalaci modulu nakonfigurujte každé pole pomocí následujícího postupu.

Nastavení ověřovacích dat pomocí Microsoft Graph PowerShellu

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Čtení ověřovacích dat pomocí Microsoft Graph PowerShellu

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Další kroky

Jakmile jsou kontaktní informace pro uživatele předem vyplněné, dokončete následující kurz, který umožňuje samoobslužné resetování hesla:

Povolení samoobslužného resetování hesla Azure AD