教學課程:讓使用者使用 Azure Active Directory 自助式密碼重設來解除鎖定其帳戶或重設密碼

Azure Active Directory (Azure AD) 自助式密碼重設 (SSPR) 可讓使用者直接變更或重設其密碼,而無需系統管理員或技術支援中心介入。 如果 Azure AD 鎖定使用者的帳戶或忘記其密碼,他們可以遵循提示來解除封鎖,並回到工作。 當使用者無法登入其裝置或應用程式時,這項功能將可減少技術服務中心的通話量,並避免失去生產力。 建議您在 Azure AD 中啟用和設定 SSPR的影片。 我們也提供影片給 IT 系統管理員 ,以使用 SSPR 解決六個最常見的終端使用者錯誤訊息

重要

此教學課程將說明系統管理員如何啟用自助式密碼重設。 如果您是已註冊自助式密碼重設的終端使用者,且需要取回您的帳戶,請移至 Microsoft Online 密碼重設 頁面。

如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。

在本教學課程中,您將了解如何:

  • 對 Azure AD 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程序

必要條件

若要完成本教學課程,您需要下列資源和許可權:

  • 至少已啟用 Azure AD 免費或試用版授權的工作 Azure AD 租使用者。 在免費層中,SSPR 僅可供 Azure AD 中的雲端使用者使用。 免費層中支援密碼變更,但密碼重設不是。
    • 如需本系列中稍後的教學課程,您將需要內部部署密碼回寫的 Azure AD Premium P1 或試用版授權。
    • 如有需要,請 建立免費的 Azure 帳戶
  • 具有「全域系統管理員」權限的帳戶。
  • 具有您已知密碼的非系統管理員使用者,例如 testuser。 在本教學課程中,您將使用此帳戶來測試終端使用者 SSPR 體驗。
  • 非系統管理員使用者為其成員的群組,贊 SSPR-測試群組。 您將在本教學課程中為此群組啟用 SSPR。

啟用自助式密碼重設

Azure AD 可讓您針對 [無]、[已選取] 或 [所有] 使用者啟用 SSPR。 這項細微的功能可讓您選擇一部分的使用者來測試 SSPR 註冊程序和工作流程。 當您熟悉此程式,而且時間是向一組更廣泛的使用者傳達需求的時候,您可以選取要啟用 SSPR 的使用者群組。 或者,您可以為 Azure AD 租用戶中的每個人啟用 SSPR。

注意

目前,您只能使用 Azure 入口網站為 SSPR 啟用一個 Azure AD 群組。 在更廣泛的 SSPR 部署中,Azure AD 支援嵌套群組。

在本教學課程中,請針對測試群組中的一組使用者設定 SSPR。 使用 SSPR-測試群組 ,並視需要提供您自己的 Azure AD 群組:

  1. 使用具備「全域系統管理員」權限的帳戶登入 Azure 入口網站

  2. 搜尋並選取 [ Azure Active Directory],然後從左側功能表中選取 [密碼重設]。

  3. 從 [屬性] 頁面的 [已啟用自助式密碼重設] 選項底下,選取 [選取群組]。

  4. 流覽並選取您的 Azure AD 群組,例如 [ SSPR-測試-群組],然後選擇 [ 選取]。

    在 Azure 入口網站中選取要啟用自助式密碼重設的群組

  5. 若要為所選的使用者啟用 SSPR,請選取 [儲存]。

選取驗證方法和註冊選項

當使用者需要解除鎖定其帳戶或重設其密碼時,系統會提示他們提供另一種確認方法。 這個額外的驗證因素可確保 Azure AD 僅完成已核准的 SSPR 事件。 您可以根據使用者所提供的註冊資訊,選擇允許使用的驗證方法。

  1. 從 [ 驗證方法 ] 頁面左側的功能表中,將 重設所需的方法數目 設定為 1

    若要提升安全性,您可以增加 SSPR 所需的驗證方法數目。

  2. 選擇貴組織想要允許的 [使用者可用方法]。 在本教學課程中,請勾選方塊以啟用下列方法:

    • 行動應用程式通知
    • 行動應用程式程式碼
    • 電子郵件
    • 行動電話

    您可以視需要啟用其他驗證方法,例如 Office 的電話安全性問題,以滿足您的業務需求。

  3. 若要套用驗證方法,請選取 [儲存]。

使用者必須先註冊其連絡人資訊,才能解除鎖定其帳戶或重設密碼。 Azure AD 在先前的步驟中設定的不同驗證方法會使用此連絡人資訊。

系統管理員可以手動提供此連絡人資訊,或使用者可以前往註冊入口網站來自行提供資訊。 在本教學課程中,設定 Azure AD 以提示使用者下次登入時進行註冊。

  1. 註冊 頁面左側的功能表中,選取 [是要求使用者在登入時註冊]。

  2. 將 [要求使用者重新確認其驗證資訊的等候天數] 設定為 180

    將連絡人資訊保持在最新狀態是很重要的。 如果 SSPR 事件啟動時存在過時的連絡人資訊,使用者可能無法解除鎖定其帳戶或重設其密碼。

  3. 若要套用註冊設定,請選取 [儲存]。

設定通知和自訂

若要讓使用者知道帳戶活動,您可以設定 Azure AD 在 SSPR 事件發生時傳送電子郵件通知。 這些通知可以涵蓋一般使用者帳戶和系統管理員帳戶。 針對系統管理員帳戶,此通知會在使用 SSPR 重設特殊許可權的系統管理員帳戶密碼時,提供另一個感知層。 當有人在系統管理員帳戶上使用 SSPR 時,Azure AD 會通知所有全域管理員。

  1. 從 [ 通知 ] 頁面左側的功能表中,設定下列選項:

    • 將 [通知使用者密碼重設] 選項設定為 [是]。
    • 將 [當其他系統管理員重設其密碼時通知所有系統管理員] 設定為 [是]。
  2. 若要套用通知喜好設定,請選取 [儲存]。

如果使用者需要更多有關 SSPR 程式的協助,您可以自訂 [洽詢您的系統管理員] 連結。 使用者可以在 SSPR 註冊程式中,以及在使用者解除鎖定其帳戶或重設其密碼時,選取此連結。 為了確保您的使用者能獲得所需的支援,強烈建議您提供自訂的技術服務人員電子郵件或 URL。

  1. 從 [ 自訂 ] 頁面左側的功能表中,將 [ 自訂技術支援 中心] 連結設定為 [是]
  2. 在 [ 自訂技術支援中心電子郵件或 url ] 欄位中,提供電子郵件地址或網頁 url,讓您的使用者可以在您的組織中取得更多協助,例如 HTTPs: / /support.contoso.com/
  3. 若要套用自訂連結,請選取 [儲存]。

測試自助式密碼重設

啟用並設定 SSPR 之後,請使用您在上一節中選取之群組的一部分(例如 SSPR-group)來測試 SSPR 流程。 下列範例會使用 testuser 帳戶。 提供您自己的使用者帳戶。 它是您在本教學課程的第一節中為 SSPR 啟用的群組的一部分。

注意

當您測試自助式密碼重設時,請使用非系統管理員帳戶。 Azure AD 預設會啟用系統管理員的自助式密碼重設。 您必須使用兩種驗證方法來重設其密碼。 如需詳細資訊,請參閱系統管理員重設原則差異

  1. 若要查看手動註冊程式,請在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,然後流覽至 HTTPs: / /aka.ms/ssprsetup。 Azure AD 會在下一次登入時將使用者導向此註冊入口網站。

  2. 使用非系統管理員測試使用者(例如 testuser)登入,並註冊您的驗證方法連絡人資訊。

  3. 完成之後,選取標示為 [ 外觀良好 ] 的按鈕,然後關閉瀏覽器視窗。

  4. 在 InPrivate 或 incognito 模式中開啟新的瀏覽器視窗,然後流覽至 HTTPs: / /aka.ms/sspr

  5. 輸入非系統管理員測試使用者的帳戶資訊,例如 testuser、CAPTCHA 中的字元,然後選取 [下一步]

    輸入使用者帳戶資訊以重設密碼

  6. 依照驗證步驟重設您的密碼。 完成時,您會收到電子郵件通知,指出您的密碼已重設。

清除資源

在本系列稍後的教學課程中,您將設定密碼回寫。 這項功能會將密碼變更從 Azure AD SSPR 寫回內部部署 AD 環境。 如果您想要繼續進行本教學課程系列來設定密碼回寫,請不要立即停用 SSPR。

如果您不想再使用您在本教學課程中設定的 SSPR 功能,請使用下列步驟將 SSPR 狀態設定為 [ ]:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 [ Azure Active Directory],然後從左側功能表中選取 [密碼重設]。
  3. 從 [ 屬性 ] 頁面的 [ 已啟用自助式密碼重設] 選項下,選取 [ ]。
  4. 若要套用 SSPR 變更,請選取 [儲存]。

常見問題集

本節說明系統管理員和嘗試 SSPR 之使用者的常見問題:

  • 為什麼同盟使用者在看到 您的密碼 之後,最多等候2分鐘的時間才會使用從內部部署同步處理的密碼?

    針對已同步處理密碼的同盟使用者,密碼的授權來源是在內部部署。 因此,SSPR 只會更新內部部署密碼。 密碼雜湊同步處理回到 Azure AD 的排程為每2分鐘。

  • 當新建立的使用者預先填入 SSPR 資料(例如電話和電子郵件)時,請造訪 SSPR 註冊頁面,而 不會遺失您帳戶的存取權! 顯示為頁面的標題。 為什麼未預先填入 SSPR 資料的其他使用者會看到訊息?

    看到的使用者 不會失去您帳戶的存取權! 是為租使用者設定之 SSPR/合併註冊群組的成員。 沒有看到您的 帳戶存取權的使用者不會遺失您帳戶的存取權! 不是 SSPR/合併註冊群組的一部分。

  • 當某些使用者經歷 SSPR 程式並重設其密碼時,為什麼他們看不到密碼強度指標?

    未看見弱/強式密碼強度的使用者已啟用同步處理的密碼回寫。 因為 SSPR 無法判斷客戶內部部署環境的密碼原則,所以無法驗證密碼強度或弱點。

後續步驟

在本教學課程中,您已針對所選的使用者群組啟用了 Azure AD 自助式密碼重設。 您已了解如何︰

  • 對 Azure AD 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程序