針對 Azure Active Directory 自助式密碼重設 (SSPR) 預先填入使用者驗證連絡人資訊

若要使用 Azure Active Directory (Azure AD) 自助式密碼重設 (SSPR),使用者的驗證連絡人資訊必須存在。 有些組織會讓使用者自行註冊自己的驗證資料。 其他組織則偏好從已經存在於 Active Directory Domain Services (AD DS) 中的驗證資料進行同步處理。 同步處理的資料可供 Azure AD 和 SSPR 使用而無須使用者互動。 當使用者需要變更或重設其密碼時,即使他們先前未註冊其連絡人資訊,也可以完成操作。

如果您符合下列需求,您可以預先填入驗證連絡人資訊:

  • 您已將內部部署目錄中的資料正確格式化。
  • 您已為您的 Azure AD 租用戶設定 Azure AD Connect

電話號碼的格式必須是 +CountryCode PhoneNumber,例如 +1 4251234567

注意

國碼 (地區碼) 和電話號碼之間必須有空格。

密碼重設不支援電話分機。 即使採用 +1 4251234567X12345 格式,撥號之前都會移除分機號碼。

填入的欄位

如果您使用 Azure AD Connect 中的預設設定,則會執行下列對應以針對 SSPR 填入驗證連絡人資訊:

內部部署 Active Directory Azure AD
telephoneNumber 辦公室電話
mobile 行動電話

使用者確認其行動電話號碼之後,在 Azure AD [驗證連絡資訊] 下方的 [電話] 欄位也會填入該號碼。

驗證聯絡資訊

在 Azure 入口網站中 Azure AD 使用者的 [驗證方法] 頁面上,全域系統管理員可以手動設定驗證連絡人資訊。 您可以在 [可使用的驗證方法] 區段底下檢視現有的方法,或是 [+新增驗證方法],如下列範例螢幕擷取畫面所示:

Manage authentication methods from the Azure portal

下列考量適用於此驗證連絡人資訊:

  • 如果 [電話] 欄位已填入,且 SSPR 原則中的 [行動電話] 已啟用,則使用者會在密碼重設註冊頁面上及密碼重設工作流程中看到此號碼。
  • 如果 [電子郵件] 欄位已填入,且 SSPR 原則中的 [電子郵件] 已啟用,則使用者會在密碼重設註冊頁面上及密碼重設工作流程中看到此電子郵件。

安全性問題和答案

安全性問題和答案會安全地儲存在 Azure AD 租用戶中,且僅供使用者透過 SSPR 註冊入口網站存取。 系統管理員無法看到、設定或修改其他使用者的問題和答案內容。

使用者註冊時的情況

當使用者註冊時,註冊頁面會設定下列欄位:

  • 驗證電話
  • 驗證電子郵件
  • 安全性問題和答案

如果您提供 [行動電話] 或 [備用電子郵件] 的值,使用者即使尚未註冊此服務,也可以立即使用這些值來重設其密碼。

使用者也會在第一次註冊時看到這些值,並可視需要加以修改。 成功註冊之後,這些值就會分別保存在 [驗證電話] 和 [驗證電子郵件] 欄位中。

透過 PowerShell 設定和讀取驗證資料

以下是可透過 PowerShell 設定的欄位:

  • 備用電子郵件
  • 行動電話
  • 辦公室電話
    • 只有在未與內部部署目錄同步處理時才能設定。

重要

PowerShell v1 與 PowerShell v2 之間的命令功能已知缺乏同位。 適用於驗證方法的 Microsoft Graph REST API 搶鮮版 (Beta) 是為了提供新式互動的目前工程重心。

使用 PowerShell 第 1 版

首先,下載並安裝 Azure AD PowerShell 模組。 安裝之後,請使用下列步驟來設定每個欄位。

使用 PowerShell 第 1 版來設定驗證資料

Connect-MsolService

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com")
Set-MsolUser -UserPrincipalName user@domain.com -MobilePhone "+1 4251234567"
Set-MsolUser -UserPrincipalName user@domain.com -PhoneNumber "+1 4252345678"

Set-MsolUser -UserPrincipalName user@domain.com -AlternateEmailAddresses @("email@domain.com") -MobilePhone "+1 4251234567" -PhoneNumber "+1 4252345678"

使用 PowerShell 第 1 版來讀取驗證資料

Connect-MsolService

Get-MsolUser -UserPrincipalName user@domain.com | select AlternateEmailAddresses
Get-MsolUser -UserPrincipalName user@domain.com | select MobilePhone
Get-MsolUser -UserPrincipalName user@domain.com | select PhoneNumber

Get-MsolUser | select DisplayName,UserPrincipalName,AlternateEmailAddresses,MobilePhone,PhoneNumber | Format-Table

讀取 [驗證電話] 和 [驗證電子郵件] 選項

使用 PowerShell 第 1 版時,若要讀取 [驗證電話] 和 [驗證電子郵件],請使用下列命令:

Connect-MsolService
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select PhoneNumber
Get-MsolUser -UserPrincipalName user@domain.com | select -Expand StrongAuthenticationUserDetails | select Email

使用 PowerShell 第 2 版

首先,下載並安裝 Azure AD 第 2 版 PowerShell 模組

若要從支援 Install-Module 的最新 PowerShell 版本快速安裝,請執行下列命令。 第一行會檢查是否已經安裝模組:

Get-Module AzureADPreview
Install-Module AzureADPreview
Connect-AzureAD

安裝模組之後,請使用下列步驟來設定每個欄位。

使用 PowerShell 第 2 版來設定驗證資料

Connect-AzureAD

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("email@domain.com")
Set-AzureADUser -ObjectId user@domain.com -Mobile "+1 4251234567"
Set-AzureADUser -ObjectId user@domain.com -TelephoneNumber "+1 4252345678"

Set-AzureADUser -ObjectId user@domain.com -OtherMails @("emails@domain.com") -Mobile "+1 4251234567" -TelephoneNumber "+1 4252345678"

使用 PowerShell 第 2 版來讀取驗證資料

Connect-AzureAD

Get-AzureADUser -ObjectID user@domain.com | select otherMails
Get-AzureADUser -ObjectID user@domain.com | select Mobile
Get-AzureADUser -ObjectID user@domain.com | select TelephoneNumber

Get-AzureADUser | select DisplayName,UserPrincipalName,otherMails,Mobile,TelephoneNumber | Format-Table

後續步驟

為使用者預先填入驗證連絡人資訊之後,請完成下列教學課程以啟用自助式密碼重設: