A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) felhasználói hitelesítési kapcsolattartási adatainak előzetes feltöltése
A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) használatához a felhasználó hitelesítési adatainak meg kell jelenniük. A legtöbb szervezetnél a felhasználók maguk regisztrálják a hitelesítési adataikat, miközben adatokat gyűjtenek az MFA-hoz. Egyes szervezetek szívesebben indítják el ezt a folyamatot a Active Directory tartományi szolgáltatások (AD DS) már meglévő hitelesítési adatok szinkronizálásával. Ezek a szinkronizált adatok felhasználói beavatkozás nélkül elérhetővé válnak a Microsoft Entra ID és az SSPR számára. Ha a felhasználóknak módosítaniuk vagy alaphelyzetbe kell állítaniuk a jelszavukat, akkor is megtehetik, ha korábban még nem regisztrálták a kapcsolattartási adataikat.
A hitelesítési kapcsolattartási adatokat előre feltöltheti, ha megfelel az alábbi követelményeknek:
- Megfelelően formázta az adatokat a helyszíni címtárban.
- Konfigurálta a Microsoft Entra Csatlakozás a Microsoft Entra-bérlőhöz.
Telefon számoknak +CountryCode Telefon Number formátumban kell lenniük, például +1 4251234567.
Megjegyzés:
Az országkód és a telefonszám között szóköznek kell lennie.
A jelszó-visszaállítás nem támogatja a telefonbővítményeket. Még a +1 4251234567X12345 formátumban is eltávolítja a bővítményeket a hívás indítása előtt.
Mezők kitöltve
Ha a Microsoft Entra Csatlakozás alapértelmezett beállításait használja, a rendszer a következő leképezéseket hajtja végre az SSPR hitelesítési kapcsolattartási adatainak feltöltéséhez:
| Helyszíni Active Directory | Microsoft Entra ID |
|---|---|
| telephoneNumber | Munkahelyi telefon |
| mobil | Mobile phone |
Miután egy felhasználó ellenőrizte a mobiltelefonszámát, a Microsoft Entra ID-ban a Hitelesítés kapcsolattartási adatai csoportban lévő Telefon mező is ezzel a számmal lesz kitöltve.
Hitelesítési kapcsolattartási adatok
A Microsoft Entra felügyeleti központban található Microsoft Entra-felhasználók hitelesítési módszereinek lapján a globális Rendszergazda istrator manuálisan állíthatja be a hitelesítési kapcsolattartási adatokat. A meglévő metódusokat a Használható hitelesítési módszerek szakaszban vagy a +Hitelesítési módszerek hozzáadása szakaszban tekintheti át, ahogyan az alábbi képernyőképen látható:
A hitelesítési kapcsolattartási adatokra a következő szempontok vonatkoznak:
- Ha a Telefon mező ki van töltve, és a mobiltelefon engedélyezve van az SSPR-házirendben, a felhasználó ezt a számot a jelszó-visszaállítás regisztrációs oldalán és a jelszó-visszaállítási munkafolyamat során látja.
- Ha az E-mail mező ki van töltve, és az E-mail engedélyezve van az SSPR-házirendben, a felhasználó ezt az e-mailt a jelszó-visszaállítás regisztrációs oldalán és a jelszó-visszaállítási munkafolyamat során látja.
Biztonsági kérdések és válaszok
A biztonsági kérdések és válaszok biztonságosan vannak tárolva a Microsoft Entra-bérlőben, és csak a Felhasználók számára érhetők el a My Security-Info kombinált regisztrációs felületén keresztül. Rendszergazda felhasználók nem láthatják, nem állíthatják be és nem módosíthatják más felhasználók kérdéseinek és válaszainak tartalmát.
Mi történik, ha egy felhasználó regisztrál?
Amikor egy felhasználó regisztrál, a regisztrációs oldal a következő mezőket állítja be:
- Hitelesítési Telefon
- Hitelesítési e-mail
- Biztonsági kérdések és válaszok
Ha megadott egy értéket a mobiltelefonhoz vagy a másodlagos e-mailhez, a felhasználók azonnal felhasználhatják ezeket az értékeket a jelszavak alaphelyzetbe állításához, még akkor is, ha még nem regisztráltak a szolgáltatásra.
A felhasználók az első regisztrációkor is láthatják ezeket az értékeket, és tetszés szerint módosíthatják őket. A sikeres regisztráció után ezek az értékek megmaradnak a Hitelesítési Telefon és a Hitelesítési e-mail mezőkben.
A hitelesítési adatok beállítása és olvasása a PowerShell-lel
A következő mezők állíthatók be a PowerShell-lel:
- Másodlagos e-mail
- Mobiltelefon
- Irodai telefon
- Csak akkor állítható be, ha nem szinkronizál helyszíni címtárral.
A Microsoft Graph PowerShell használatával kezelheti a Microsoft Entra-azonosítót, vagy használhatja a Microsoft Graph REST API-t a hitelesítési módszerek kezeléséhez.
A Microsoft Graph PowerShell használata
Első lépésként töltse le és telepítse a Microsoft Graph PowerShell-modult.
A PowerShell legújabb, támogatott Install-Moduleverzióiból való gyors telepítéshez futtassa az alábbi parancsokat. Az első sor ellenőrzi, hogy a modul már telepítve van-e:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
A modul telepítése után az alábbi lépésekkel konfigurálhatja az egyes mezőket.
A hitelesítési adatok beállítása a Microsoft Graph PowerShell használatával
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
A hitelesítési adatok olvasása a Microsoft Graph PowerShell-lel
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
További lépések
Miután a hitelesítési kapcsolattartási adatok előre fel vannak töltve a felhasználók számára, végezze el az alábbi oktatóanyagot az önkiszolgáló jelszó-visszaállítás engedélyezéséhez: