Prepopolate user authentication contact information for Microsoft Entra self-service password reset (SSPR)
Per usare la reimpostazione della password self-service di Microsoft Entra, è necessario che siano presenti informazioni di autenticazione per un utente. La maggior parte delle organizzazioni ha utenti che registrano i propri dati di autenticazione durante la raccolta di informazioni per l'autenticazione a più fattori. Alcune organizzazioni preferiscono eseguire il bootstrap di questo processo tramite la sincronizzazione dei dati di autenticazione già esistenti in Dominio di Active Directory Services (AD DS). Questi dati sincronizzati vengono resi disponibili per Microsoft Entra ID e reimpostazione della password self-service senza richiedere l'interazione dell'utente. Quando gli utenti devono modificare o reimpostare la password, possono farlo anche se non hanno registrato in precedenza le informazioni di contatto.
Se si soddisfano i requisiti seguenti, è possibile prepopopolare le informazioni di contatto di autenticazione:
- I dati sono stati formattati correttamente nella directory locale.
- È stato configurato Microsoft Entra Connessione per il tenant di Microsoft Entra.
Telefono numeri devono essere nel formato +CountryCode Telefono Number, ad esempio +1 4251234567.
Nota
Deve essere presente uno spazio tra il codice paese e il numero di telefono.
La reimpostazione della password non supporta le estensioni del telefono. Anche nel formato +1 4251234567X12345, le estensioni vengono rimosse prima della chiamata.
Campi popolati
Se si usano le impostazioni predefinite in Microsoft Entra Connessione, vengono eseguiti i mapping seguenti per popolare le informazioni di contatto di autenticazione per la reimpostazione della password self-service:
| Active Directory locale | Microsoft Entra ID |
|---|---|
| telephoneNumber | Telefono ufficio |
| per dispositivi mobili | Telefono cellulare |
Dopo che un utente ha verificato il numero di telefono cellulare, il campo Telefono in Informazioni di contatto di autenticazione in Microsoft Entra ID viene popolato anche con tale numero.
Informazioni di contatto per l'autenticazione
Nella pagina Metodi di autenticazione per un utente di Microsoft Entra nell'interfaccia di amministrazione di Microsoft Entra, un Amministrazione istrator globale può impostare manualmente le informazioni di contatto di autenticazione. È possibile esaminare i metodi esistenti nella sezione Metodi di autenticazione utilizzabili o +Aggiungi metodi di autenticazione, come illustrato nello screenshot di esempio seguente:
Per queste informazioni di contatto di autenticazione si applicano le considerazioni seguenti:
- Se il campo Telefono viene popolato e il telefono cellulare è abilitato nei criteri SSPR, l'utente visualizza tale numero nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
- Se il campo Posta elettronica viene popolato e l'indirizzo di posta elettronica è abilitato nei criteri di reimpostazione della password self-service, l'utente visualizza il messaggio di posta elettronica nella pagina di registrazione per la reimpostazione della password e durante il flusso di lavoro di reimpostazione della password.
Domande di sicurezza e risposte
Le domande e le risposte di sicurezza vengono archiviate in modo sicuro nel tenant di Microsoft Entra e sono accessibili solo agli utenti tramite l'esperienza di registrazione combinata di My Security-Info. Gli amministratori non possono vedere, impostare o modificare il contenuto di domande e risposte di altri utenti.
Cosa accade quando un utente si registra
Quando un utente si registra, i campi seguenti vengono impostati nella pagina di registrazione:
- Telefono per l'autenticazione
- Indirizzo di posta elettronica per l'autenticazione
- Domande di sicurezza e risposte
Se è stato specificato un valore per Telefono cellulare o Indirizzo di posta elettronica alternativo, gli utenti possono usare immediatamente tali valori per reimpostare le password, anche se non sono state registrate per il servizio.
Gli utenti visualizzano anche questi valori quando si registrano per la prima volta e possono modificarli se lo desiderano. Dopo la registrazione, questi valori vengono salvati in modo permanente rispettivamente nei campi Authentication Telefono e Authentication Email (Posta elettronica di autenticazione).
Impostare e leggere i dati di autenticazione tramite PowerShell
I campi seguenti possono essere impostati tramite PowerShell:
- Indirizzo di posta elettronica alternativo
- Telefono cellulare
- Telefono ufficio
- Può essere impostato solo se non si esegue la sincronizzazione con una directory locale.
È possibile usare Microsoft Graph PowerShell per interagire con Microsoft Entra ID oppure usare l'API REST Di Microsoft Graph per gestire i metodi di autenticazione.
Usare Microsoft Graph PowerShell
Per iniziare, scaricare e installare il modulo Microsoft Graph PowerShell.
Per eseguire rapidamente l'installazione da versioni recenti di PowerShell che supportano Install-Module, eseguire i comandi seguenti. La prima riga verifica se il modulo è già installato:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Dopo aver installato il modulo, seguire questa procedura per configurare ogni campo.
Impostare i dati di autenticazione con Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Leggere i dati di autenticazione con Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Passaggi successivi
Dopo aver prepopolato le informazioni di contatto di autenticazione per gli utenti, completare l'esercitazione seguente per abilitare la reimpostazione della password self-service: