自助式密碼重設的部署選項

若您是具有 Azure Active Directory Premium 授權的新客戶,建議您使用 Azure AD 自助式密碼重設來提供終端使用者體驗。 Azure AD 自助式密碼重設可為使用者提供網頁型和 Windows 整合體驗,以重設自己的密碼,並支援許多與 MIM 相同的功能,包括備用電子郵件和 Q a 的網 & 關。 部署 Azure AD 自助式密碼重設時,Azure AD Connect 可支援將新密碼回寫至 AD DS,並使用 MIM 的密碼變更通知服務將密碼轉送至其他系統,例如其他廠商的目錄伺服器等。 部署 MIM 以進行密碼管理時,並不需要部署 MIM 服務、MIM 自助密碼重設或註冊入口網站。 相反地,您可以遵循下列步驟:

對於先前已部署 Forefront identity Manager (FIM) 以進行自助式密碼重設並獲得 Azure Active Directory Premium 授權的現有客戶,我們建議您規劃轉換成 Azure AD 自助式密碼重設。 您可以透過 PowerShell 同步處理或設定使用者的備用電子郵件地址或行動電話號碼,將終端使用者轉換到 Azure AD 自助式密碼重設,而不需要讓他們重新註冊。 當使用者註冊 Azure AD 自助式密碼重設之後,FIM 密碼重設入口網站即可解除任務。

若是尚未替使用者部署 Azure AD 自助式密碼重設的客戶,MIM 也會提供自助式密碼重設入口網站。 相較於 FIM,MIM 2016 包含下列變更:

  • MIM Self-Service 密碼重設入口網站和 Windows 登入畫面可讓使用者解除鎖定其帳戶,而不需要變更其密碼。
  • MIM 已新增電話閘道這個新的驗證閘道。 這可讓使用者透過 Microsoft Azure Multi-Factor Authentication (MFA) 服務以電話方式進行驗證。

4.5.26.0 以下版本的 MIM 2016 發行組建需仰賴客戶下載 Azure Multi-Factor Authentication 軟體開發套件 (Azure MFA SDK)。 該 SDK 已淘汰,客戶應該移至使用 MIM SSPR 搭配 Azure MFA 伺服器,或 Azure AD 自助式密碼重設。 本文說明如何使用適用於多重要素驗證的 Azure Multi-Factor Authentication Server,更新您部署的 MIM 自助式密碼重設入口網站和 PAM 設定。

使用適用於多重要素驗證的 Azure MFA,部署 MIM 自助式密碼重設入口網站

下一節會說明如何使用適用於多重要素驗證的 Azure MFA,部署 MIM 自助式密碼重設入口網站。 只有當客戶的使用者尚未使用 Azure AD 自助式密碼重設時,才需要採取這些步驟。

Microsoft Azure Multi-Factor Authenticatio 是一種驗證服務,會要求使用者透過行動應用程式、手機或簡訊驗證其登入嘗試。 此服務可與 Microsoft Azure Active Directory 搭配使用,也可用為雲端及內部部署企業應用程式的服務。

Azure MFA 提供額外的驗證機制,可強化現有的驗證程序,例如由 MIM 為自助式登入小幫手所執行的機制。

使用 Azure MFA 時,使用者在嘗試重新存取其帳戶和資源時,必須向系統驗證以確認他們的身分。 可透過 SMS 或透過電話進行驗證。 驗證越強,表示嘗試存取之人員就是該身分真正使用者的信心就越強。 驗證之後,使用者可選擇新密碼以取代舊密碼。

使用 MFA 來設定自助帳戶解除鎖定和密碼重設的必要條件

本節假設您已下載並完成 Microsoft Identity Manager 2016 MIM 同步、MIM 服務和 MIM 入口網站元件的部署,包括下列元件和服務:

  • Windows Server 2008 R2 或更新版本已設定為 Active Directory 伺服器,包括含指定網域 (「公司」網域) 的 AD 網域服務和網域控制站

  • 群組原則是針對帳戶鎖定所定義

  • 在已加入 AD 網域的伺服器上安裝並執行 MIM 2016 同步處理 (同步) 服務。

  • 在伺服器 (可能與同步處理共置) 上,安裝並執行包括 SSPR 註冊入口網站和 SSPR 重設入口網站的 MIM 2016 服務 & 入口網站

  • 為 AD-MIM 身分識別同步處理設定 MIM 同步處理,包括:

    • 設定 Active Directory 管理代理程式 (ADMA) 連線到 AD DS 的能力,並可將身分資料匯至 Active Directory 及從中匯出。

    • 設定 MIM 管理代理程式 (MIM MA) 連線到 FIM 服務 DB 的能力,並可將身分資料匯至 FIM 資料庫及從中匯出。

    • 在 MIM 入口網站中設定同步處理規則,允許在 MIM 服務中執行使用者資料同步處理,及執行以同步處理為基礎的活動 。

  • 在伺服器或個別的用戶端電腦上,部署包括 SSPR Windows 登入整合式用戶端的 MIM 2016 增益集 & 延伸模組。

此案例需要您具備適用於使用者的 MIM CAL 以及 Azure MFA 訂用帳戶。

準備讓 MIM 搭配 Multi-Factor Authentication 使用

設定 MIM 同步處理以支援密碼重設和帳戶解除鎖定功能。 如需詳細資訊,請參閱 Installing the FIM Add-ins and Extensions (安裝 FIM 增益集和延伸模組)Installing FIM SSPR (安裝 FIM SSPR)SSPR Authentication Gates (SSPR 驗證閘道)SSPR Test Lab Guide (SSPR 測試實驗室指南)

更新組態檔

注意

本節使用 Azure MFA SDK 提供的 ZIP 檔案,以先前的指導方針為基礎。 相反地,請使用本文中有關如何 使用 Azure Multi-Factor Authentication Server的指導方針。

  1. 以安裝 MIM 時所使用的使用者身分,登入 MIM 服務安裝所在的電腦。

  2. 在 MIM 服務的安裝目錄 (例如 C:\Program Files\Microsoft Forefront Identity Manager\2010\Service\MfaCerts) 建立新的目錄資料夾。

  3. 使用 Windows 檔案總管,流覽至上一節中所下載之 ZIP 檔案的\pf\certs 解壓縮資料夾,然後將檔案cert_key的檔案複製到新目錄。

  4. 在 SDK ZIP 檔案的資料夾 \pf 中,開啟檔案 pf_auth.cs

  5. 尋找這三個參數:LICENSE_KEY, GROUP_KEY, CERT_PASSWORD

    pf_auth.cs 程式碼影像

  6. C:\Program Files\Microsoft Forefront Identity Manager\2010\Service中,開啟檔案: MfaSettings.xml。

  7. 將 pf_aut.cs 檔中 LICENSE_KEY, GROUP_KEY, CERT_PASSWORD 參數的值,複製到其在 MfaSettings.xml 檔案中相對的 xml 元素。

  8. 在 SDK zip 檔案的 \pf\certs 下解壓縮 cert_key.p12 檔案,並將其在 MfaSettings.xml 檔案中的完整路徑輸入 xml 元素。

  9. <username> 元素中輸入任何使用者名稱。

  10. <DefaultCountryCode> 元素輸入您的預設國碼。 若是沒有國碼的使用者所註冊的電話號碼,則這是他們將取得的國碼。 萬一使用者有國際國碼,則必須在已註冊的電話號碼中加入國碼。

  11. 以同一位置中的相同名稱儲存 MfaSettings.xml 檔案。

設定電話閘道或單次密碼 SMS 閘道

  1. 啟動 Internet Explorer 並流覽至 MIM 入口網站,以 MIM 系統管理員身分進行驗證,然後按一下左側導覽列中的 [工作流程]。

    MIM 入口網站導覽影像

  2. 核取 [密碼重設驗證工作流程]

    MIM 入口網站工作流程影像

  3. 按一下 [活動] 索引標籤,然後向下捲動至 [新增活動]

  4. 選取電話閘道或單次密碼 SMS 閘道],然後按一下 [選取],再按一下[確定]

注意:如果使用的是 Azure MFA 伺服器或另一個自行產生單次密碼的提供者,請確定上述設定的欄位長度與 MFA 提供者所產生項目的長度相同。 Azure MFA 伺服器的此長度必須為 6。 Azure MFA Server 也會產生自己的訊息內文,因此會忽略 SMS 文字訊息。

您組織中的使用者現在已可註冊密碼重設。 在此過程中,使用者必須輸入他們的公司電話號碼或行動電話號碼,讓系統知道如何撥話 (或傳送 SMS 訊息) 連絡他們。

註冊使用者,以使用密碼重設功能

  1. 使用者將會啟動網頁瀏覽器,並瀏覽至 MIM 密碼重設註冊入口網站。 (此入口網站通常會設定成使用 Windows 驗證)。 在入口網站中,使用者必須再次提供他們的使用者名稱及密碼,以確認其身分。

    他們需要進入密碼註冊入口網站,並使用其使用者名稱和密碼進行驗證。

  2. 在 [電話號碼或行動電話] 欄位中,他們必須輸入國家/地區代碼、空格和電話號碼,然後按[下一步]

    MIM 電話驗證影像

    MIM 行動電話驗證影像

它如何為您的使用者運作?

既然所有項目已設定且正在執行,您可能想要知道當使用者度假後回來完全忘記密碼時,他們應該如何重設密碼。

使用者可利用兩種方法,從 Windows 登入畫面,或從自助入口網站中使用密碼重設和帳戶解除鎖定功能。

在已加入網域,並透過組織網路連線到 MIM 服務的電腦上安裝 MIM 增益集與延伸,使用者只要從桌面登入,就能復原忘記的密碼。 下列步驟將逐步引導您完成此程序。

整合密碼重設的 Windows 桌面登入

  1. 如果您的使用者輸入錯誤的密碼多次,在登入畫面中,他們將可選擇按一下 [ 登入時發生問題嗎? ]。

    登入畫面影像

    按一下這個連結會移至 [MIM 密碼重設] 畫面,他們可在其中變更其密碼或解除鎖定其帳戶。

    MIM 密碼重設影像

  2. 系統會引導使用者進行驗證。 如果已設定 MFA,使用者就會接到電話。

  3. 在背景中,當使用者撥打電話號碼註冊服務時,Azure MFA 發生什麼事。

  4. 當使用者接聽電話時,系統會要求他們按電話上的井字鍵 (#)。 使用者接著在入口網站中按 [下一步]

    如果您另外設定其他閘道,系統會要求使用者在後續畫面中提供詳細資訊。

    注意

    如果使用者感到不耐,並在按下井字鍵 (#) 之前按 [下一步],則驗證會失敗。

  5. 驗證成功之後,使用者有兩個選項可以選擇,一是解除鎖定帳戶並保留目前的密碼,一是設定新密碼。

  6. 使用者接著必須輸入新密碼兩次,隨後會重設密碼。

從自助入口網站存取

  1. 使用者可以開啟網頁瀏覽器,接著瀏覽至密碼重設入口網站,然後輸入其使用者名稱,再按 [下一步]

    如果已設定 MFA,使用者就會接到電話。 在背景中,當使用者撥打電話號碼註冊服務時,Azure MFA 發生什麼事。

    當使用者接聽電話時,系統要求他按下電話的井字鍵 (#)。 使用者接著在入口網站中按 [下一步]

  2. 如果您另外設定其他閘道,系統會要求使用者在後續畫面中提供詳細資訊。

    注意

    如果使用者感到不耐,並在按下井字鍵 (#) 之前按 [下一步],則驗證會失敗。

  3. 使用者必須選擇是否要重設其密碼,或解除鎖定其帳戶。 如果選擇解除鎖定帳戶,帳戶將會解除鎖定。

    MIM 登入小幫手帳戶解除鎖定影像

  4. 成功驗證後,會為使用者提供兩個選項,可保留其目前的密碼或設定新密碼。

  5. MIM 帳戶已解除鎖定成功映像

  6. 若使用者選擇重設密碼,必須輸入新密碼兩次,然後按 [下一步],如此才能變更密碼。