Contactgegevens voor gebruikersverificatie vooraf invullen voor selfservice voor wachtwoordherstel van Microsoft Entra (SSPR)
Als u selfservice voor wachtwoordherstel (SSPR) van Microsoft Entra wilt gebruiken, moeten verificatiegegevens voor een gebruiker aanwezig zijn. De meeste organisaties hebben gebruikers hun verificatiegegevens zelf registreren tijdens het verzamelen van informatie voor MFA. Sommige organisaties bootstrapen dit proces liever door middel van synchronisatie van verificatiegegevens die al bestaan in Active Directory-domein Services (AD DS). Deze gesynchroniseerde gegevens worden beschikbaar gesteld aan Microsoft Entra-id en SSPR zonder tussenkomst van de gebruiker. Wanneer gebruikers hun wachtwoord moeten wijzigen of opnieuw instellen, kunnen ze dit ook doen als ze hun contactgegevens nog niet eerder hebben geregistreerd.
U kunt de contactgegevens voor verificatie vooraf invullen als u aan de volgende vereisten voldoet:
- U hebt de gegevens correct opgemaakt in uw on-premises map.
- U hebt Microsoft Entra Connect geconfigureerd voor uw Microsoft Entra-tenant.
Telefoonnummers moeten de notatie +CountryCode PhoneNumber hebben, zoals +1 4251234567.
Notitie
Er moet een spatie zijn tussen het landnummer en het telefoonnummer.
Wachtwoordherstel biedt geen ondersteuning voor telefoonextensies. Zelfs in de indeling +1 4251234567X12345 worden extensies verwijderd voordat de oproep wordt geplaatst.
Ingevulde velden
Als u de standaardinstellingen in Microsoft Entra Connect gebruikt, worden de volgende toewijzingen gemaakt om de contactgegevens voor verificatie voor SSPR in te vullen:
| On-premises Active Directory | Microsoft Entra-id |
|---|---|
| telephoneNumber | Telefoon op kantoor |
| mobiel | Mobiele telefoon |
Nadat een gebruiker zijn mobiele telefoonnummer heeft geverifieerd, wordt het veld Telefoon onder Contactgegevens voor verificatie in Microsoft Entra ID ook gevuld met dat nummer.
Contactgegevens voor verificatie
Op de pagina Verificatiemethoden voor een Microsoft Entra-gebruiker in het Microsoft Entra-beheercentrum kunnen gebruikers die ten minste de rol Privileged Authentication Administrator hebben toegewezen, handmatig de contactgegevens voor verificatie voor iedereen instellen. U kunt bestaande methoden bekijken in de sectie Bruikbare verificatiemethoden of +Verificatiemethoden toevoegen, zoals wordt weergegeven in de volgende voorbeeldschermafbeelding:
De volgende overwegingen zijn van toepassing op deze contactgegevens voor verificatie:
- Als het veld Telefoon is ingevuld en mobiele telefoon is ingeschakeld in het SSPR-beleid, ziet de gebruiker dat nummer op de registratiepagina voor wachtwoordherstel en tijdens de werkstroom voor wachtwoordherstel.
- Als het veld E-mail is ingevuld en E-mail is ingeschakeld in het SSPR-beleid , ziet de gebruiker dat e-mailbericht op de registratiepagina voor wachtwoordherstel en tijdens de werkstroom voor wachtwoordherstel.
Beveiligingsvragen en -antwoorden
De beveiligingsvragen en antwoorden worden veilig opgeslagen in uw Microsoft Entra-tenant en zijn alleen toegankelijk voor gebruikers via de gecombineerde registratie-ervaring van My Security-Info. Beheerders kunnen de inhoud van vragen en antwoorden van andere gebruikers niet zien, instellen of wijzigen.
Wat gebeurt er wanneer een gebruiker zich registreert
Wanneer een gebruiker zich registreert, worden op de registratiepagina de volgende velden ingesteld:
- Telefoon voor verificatie
- E-mail voor verificatie
- Beveiligingsvragen en -antwoorden
Als u een waarde hebt opgegeven voor mobiele telefoon of alternatieve e-mail, kunnen gebruikers deze waarden onmiddellijk gebruiken om hun wachtwoorden opnieuw in te stellen, zelfs als ze zich niet hebben geregistreerd voor de service.
Gebruikers zien deze waarden ook wanneer ze zich voor het eerst registreren en ze kunnen ze desgewenst wijzigen. Nadat ze zijn geregistreerd, worden deze waarden behouden in respectievelijk de velden Telefoon en Verificatie-e-mail .
De verificatiegegevens instellen en lezen via PowerShell
De volgende velden kunnen worden ingesteld via PowerShell:
- Alternatief e-mailbericht
- Mobiele telefoon
- Telefoon op kantoor
- Kan alleen worden ingesteld als u niet synchroniseert met een on-premises map.
U kunt Microsoft Graph PowerShell gebruiken om te communiceren met Microsoft Entra ID of de Microsoft Graph REST API gebruiken voor het beheren van verificatiemethoden.
Microsoft Graph PowerShell gebruiken
Download en installeer de Microsoft Graph PowerShell-module om aan de slag te gaan.
Als u snel wilt installeren vanuit recente versies van PowerShell die ondersteuning bieden Install-Module, voert u de volgende opdrachten uit. De eerste regel controleert of de module al is geïnstalleerd:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
Nadat de module is geïnstalleerd, gebruikt u de volgende stappen om elk veld te configureren.
De verificatiegegevens instellen met Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
De verificatiegegevens lezen met Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Volgende stappen
Zodra de contactgegevens voor verificatie vooraf zijn ingevuld voor gebruikers, voltooit u de volgende zelfstudie om selfservice voor wachtwoordherstel in te schakelen: