Share via


Contactgegevens voor gebruikersverificatie vooraf invullen voor selfservice voor wachtwoordherstel van Microsoft Entra (SSPR)

Als u selfservice voor wachtwoordherstel (SSPR) van Microsoft Entra wilt gebruiken, moeten verificatiegegevens voor een gebruiker aanwezig zijn. De meeste organisaties hebben gebruikers hun verificatiegegevens zelf registreren tijdens het verzamelen van informatie voor MFA. Sommige organisaties bootstrapen dit proces liever door middel van synchronisatie van verificatiegegevens die al bestaan in Active Directory-domein Services (AD DS). Deze gesynchroniseerde gegevens worden beschikbaar gesteld aan Microsoft Entra-id en SSPR zonder tussenkomst van de gebruiker. Wanneer gebruikers hun wachtwoord moeten wijzigen of opnieuw instellen, kunnen ze dit ook doen als ze hun contactgegevens nog niet eerder hebben geregistreerd.

U kunt de contactgegevens voor verificatie vooraf invullen als u aan de volgende vereisten voldoet:

  • U hebt de gegevens correct opgemaakt in uw on-premises map.
  • U hebt Microsoft Entra Connect geconfigureerd voor uw Microsoft Entra-tenant.

Telefoonnummers moeten de notatie +CountryCode PhoneNumber hebben, zoals +1 4251234567.

Notitie

Er moet een spatie zijn tussen het landnummer en het telefoonnummer.

Wachtwoordherstel biedt geen ondersteuning voor telefoonextensies. Zelfs in de indeling +1 4251234567X12345 worden extensies verwijderd voordat de oproep wordt geplaatst.

Ingevulde velden

Als u de standaardinstellingen in Microsoft Entra Connect gebruikt, worden de volgende toewijzingen gemaakt om de contactgegevens voor verificatie voor SSPR in te vullen:

On-premises Active Directory Microsoft Entra-id
telephoneNumber Telefoon op kantoor
mobiel Mobiele telefoon

Nadat een gebruiker zijn mobiele telefoonnummer heeft geverifieerd, wordt het veld Telefoon onder Contactgegevens voor verificatie in Microsoft Entra ID ook gevuld met dat nummer.

Contactgegevens voor verificatie

Op de pagina Verificatiemethoden voor een Microsoft Entra-gebruiker in het Microsoft Entra-beheercentrum kunnen gebruikers die ten minste de rol Privileged Authentication Administrator hebben toegewezen, handmatig de contactgegevens voor verificatie voor iedereen instellen. U kunt bestaande methoden bekijken in de sectie Bruikbare verificatiemethoden of +Verificatiemethoden toevoegen, zoals wordt weergegeven in de volgende voorbeeldschermafbeelding:

Schermopname van het beheren van verificatiemethoden

De volgende overwegingen zijn van toepassing op deze contactgegevens voor verificatie:

  • Als het veld Telefoon is ingevuld en mobiele telefoon is ingeschakeld in het SSPR-beleid, ziet de gebruiker dat nummer op de registratiepagina voor wachtwoordherstel en tijdens de werkstroom voor wachtwoordherstel.
  • Als het veld E-mail is ingevuld en E-mail is ingeschakeld in het SSPR-beleid , ziet de gebruiker dat e-mailbericht op de registratiepagina voor wachtwoordherstel en tijdens de werkstroom voor wachtwoordherstel.

Beveiligingsvragen en -antwoorden

De beveiligingsvragen en antwoorden worden veilig opgeslagen in uw Microsoft Entra-tenant en zijn alleen toegankelijk voor gebruikers via de gecombineerde registratie-ervaring van My Security-Info. Beheerders kunnen de inhoud van vragen en antwoorden van andere gebruikers niet zien, instellen of wijzigen.

Wat gebeurt er wanneer een gebruiker zich registreert

Wanneer een gebruiker zich registreert, worden op de registratiepagina de volgende velden ingesteld:

  • Telefoon voor verificatie
  • E-mail voor verificatie
  • Beveiligingsvragen en -antwoorden

Als u een waarde hebt opgegeven voor mobiele telefoon of alternatieve e-mail, kunnen gebruikers deze waarden onmiddellijk gebruiken om hun wachtwoorden opnieuw in te stellen, zelfs als ze zich niet hebben geregistreerd voor de service.

Gebruikers zien deze waarden ook wanneer ze zich voor het eerst registreren en ze kunnen ze desgewenst wijzigen. Nadat ze zijn geregistreerd, worden deze waarden behouden in respectievelijk de velden Telefoon en Verificatie-e-mail .

De verificatiegegevens instellen en lezen via PowerShell

De volgende velden kunnen worden ingesteld via PowerShell:

  • Alternatief e-mailbericht
  • Mobiele telefoon
  • Telefoon op kantoor
    • Kan alleen worden ingesteld als u niet synchroniseert met een on-premises map.

U kunt Microsoft Graph PowerShell gebruiken om te communiceren met Microsoft Entra ID of de Microsoft Graph REST API gebruiken voor het beheren van verificatiemethoden.

Microsoft Graph PowerShell gebruiken

Download en installeer de Microsoft Graph PowerShell-module om aan de slag te gaan.

Als u snel wilt installeren vanuit recente versies van PowerShell die ondersteuning bieden Install-Module, voert u de volgende opdrachten uit. De eerste regel controleert of de module al is geïnstalleerd:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Nadat de module is geïnstalleerd, gebruikt u de volgende stappen om elk veld te configureren.

De verificatiegegevens instellen met Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

De verificatiegegevens lezen met Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Volgende stappen

Zodra de contactgegevens voor verificatie vooraf zijn ingevuld voor gebruikers, voltooit u de volgende zelfstudie om selfservice voor wachtwoordherstel in te schakelen: