A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) felhasználói hitelesítési kapcsolattartási adatainak előzetes feltöltése
A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) használatához a felhasználó hitelesítési adatainak meg kell jelenniük. A legtöbb szervezetnél a felhasználók maguk regisztrálják a hitelesítési adataikat, miközben adatokat gyűjtenek az MFA-hoz. Egyes szervezetek szívesebben indítják el ezt a folyamatot a Active Directory tartományi szolgáltatások (AD DS) már meglévő hitelesítési adatok szinkronizálásával. Ezek a szinkronizált adatok felhasználói beavatkozás nélkül elérhetővé válnak a Microsoft Entra ID és az SSPR számára. Ha a felhasználóknak módosítaniuk vagy alaphelyzetbe kell állítaniuk a jelszavukat, akkor is megtehetik, ha korábban még nem regisztrálták a kapcsolattartási adataikat.
A hitelesítési kapcsolattartási adatokat előre feltöltheti, ha megfelel az alábbi követelményeknek:
- Megfelelően formázta az adatokat a helyszíni címtárban.
- Konfigurálta a Microsoft Entra Connectet a Microsoft Entra-bérlőhöz.
A telefonszámok formátuma +CountryCode PhoneNumber, például +1 4251234567.
Jegyzet
Az országkód és a telefonszám között szóköznek kell lennie.
A jelszó-visszaállítás nem támogatja a telefonbővítményeket. Még a +1 4251234567X12345 formátumban is eltávolítja a bővítményeket a hívás indítása előtt.
Mezők kitöltve
Ha az alapértelmezett beállításokat használja a Microsoft Entra Connectben, a következő leképezések segítségével töltjük fel az SSPR hitelesítési kapcsolattartási adatait:
Helyszíni Active Directory | Microsoft Entra-azonosító |
---|---|
telephoneNumber | Office-telefon |
mobil | Mobiltelefon |
Miután egy felhasználó ellenőrizte a mobiltelefonszámát, a Microsoft Entra ID-ban a Hitelesítés kapcsolattartási adatai csoportban lévő Telefon mező is ezzel a számmal lesz kitöltve.
Hitelesítési kapcsolattartási adatok
A Microsoft Entra felügyeleti központban lévő Microsoft Entra-felhasználók hitelesítési módszereinek lapján azok, akik legalább a Privileged Authentication Administrator szerepkörhöz tartoznak, manuálisan beállíthatják a hitelesítési kapcsolattartási adatokat bárki számára. A meglévő metódusokat a Használható hitelesítési módszerek szakaszban vagy a +Hitelesítési módszerek hozzáadása szakaszban tekintheti át, ahogyan az alábbi képernyőképen látható:
A hitelesítési kapcsolattartási adatokra a következő szempontok vonatkoznak:
- Ha a Telefon mező ki van töltve, és a mobiltelefon engedélyezve van az SSPR-házirendben, a felhasználó ezt a számot a jelszó-visszaállítás regisztrációs oldalán és a jelszó-visszaállítási munkafolyamat során látja.
- Ha az E-mail mező ki van töltve, és az E-mail engedélyezve van az SSPR-házirendben, a felhasználó ezt az e-mailt a jelszó-visszaállítás regisztrációs oldalán és a jelszó-visszaállítási munkafolyamat során látja.
Biztonsági kérdések és válaszok
A biztonsági kérdések és válaszok biztonságosan vannak tárolva a Microsoft Entra-bérlőben, és csak a Felhasználók számára érhetők el a My Security-Info kombinált regisztrációs felületén keresztül. A rendszergazdák nem láthatják, nem állíthatják be és nem módosíthatják egy másik felhasználó kérdéseinek és válaszainak tartalmát.
Mi történik, ha egy felhasználó regisztrál?
Amikor egy felhasználó regisztrál, a regisztrációs oldal a következő mezőket állítja be:
- Hitelesítési telefon
- Hitelesítési e-mail
- Biztonsági kérdések és válaszok
Ha megadott egy értéket a mobiltelefonhoz vagy a másodlagos e-mailhez, a felhasználók azonnal felhasználhatják ezeket az értékeket a jelszavak alaphelyzetbe állításához, még akkor is, ha még nem regisztráltak a szolgáltatásra.
A felhasználók az első regisztrációkor is láthatják ezeket az értékeket, és tetszés szerint módosíthatják őket. A sikeres regisztráció után ezek az értékek megmaradnak a Hitelesítési telefon és a Hitelesítés e-mail mezőiben.
A hitelesítési adatok beállítása és olvasása a PowerShell-lel
A következő mezők állíthatók be a PowerShell-lel:
- Másodlagos e-mail
- Mobiltelefon
- Office-telefon
- Csak akkor állítható be, ha nem szinkronizál helyszíni címtárral.
A Microsoft Graph PowerShell használatával kezelheti a Microsoft Entra-azonosítót, vagy használhatja a Microsoft Graph REST API-t a hitelesítési módszerek kezeléséhez.
A Microsoft Graph PowerShell használata
Első lépésként töltse le és telepítse a Microsoft Graph PowerShell-modult.
A PowerShell legújabb, támogatott Install-Module
verzióiból való gyors telepítéshez futtassa az alábbi parancsokat. Az első sor ellenőrzi, hogy a modul már telepítve van-e:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
A modul telepítése után az alábbi lépésekkel konfigurálhatja az egyes mezőket.
A hitelesítési adatok beállítása a Microsoft Graph PowerShell használatával
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
A hitelesítési adatok olvasása a Microsoft Graph PowerShell-lel
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Következő lépések
Miután a hitelesítési kapcsolattartási adatok előre fel vannak töltve a felhasználók számára, végezze el az alábbi oktatóanyagot az önkiszolgáló jelszó-visszaállítás engedélyezéséhez: