Wstępne wypełnianie informacji kontaktowych uwierzytelniania użytkownika dla usługi Microsoft Entra samoobsługowego resetowania hasła (SSPR) firmy Microsoft

Aby można było używać samoobsługowego resetowania haseł firmy Microsoft (SSPR), muszą znajdować się informacje o uwierzytelnianiu użytkownika. Większość organizacji ma użytkowników rejestrujących swoje dane uwierzytelniania podczas zbierania informacji dotyczących uwierzytelniania wieloskładnikowego. Niektóre organizacje wolą uruchamiać ten proces za pomocą synchronizacji danych uwierzytelniania, które już istnieją w usługach domena usługi Active Directory (AD DS). Te zsynchronizowane dane są udostępniane firmie Microsoft Entra ID i samoobsługowe resetowanie hasła bez konieczności interakcji z użytkownikiem. Gdy użytkownicy muszą zmienić lub zresetować swoje hasło, mogą to zrobić, nawet jeśli wcześniej nie zarejestrowali swoich informacji kontaktowych.

Jeśli spełniasz następujące wymagania, możesz wstępnie wypełniać informacje kontaktowe dotyczące uwierzytelniania:

  • Dane zostały poprawnie sformatowane w katalogu lokalnym.
  • Skonfigurowano Połączenie firmy Microsoft dla dzierżawy firmy Microsoft Entra.

Telefon liczby muszą być w formacie +CountryCode Telefon Number, takim jak +1 4251234567.

Uwaga

Musi istnieć spacja między kodem kraju a numerem telefonu.

Resetowanie hasła nie obsługuje rozszerzeń telefonu. Nawet w formacie +1 4251234567X12345 rozszerzenia są usuwane przed umieszczeniem wywołania.

Wypełnione pola

Jeśli używasz ustawień domyślnych w usłudze Microsoft Entra Połączenie, następujące mapowania są wykonywane w celu wypełnienia informacji kontaktowych uwierzytelniania dla samoobsługowego resetowania hasła:

Lokalna usługa Active Directory Identyfikator usługi Microsoft Entra
telephoneNumber Telefon biurowy
mobilnych Telefon komórkowy

Po zweryfikowaniu numeru telefonu komórkowego przez użytkownika pole Telefon w obszarze Informacje kontaktowe uwierzytelniania w identyfikatorze Entra firmy Microsoft również zostanie wypełnione tym numerem.

Informacje kontaktowe uwierzytelniania

Na stronie Metody uwierzytelniania dla użytkownika Microsoft Entra w centrum administracyjnym firmy Microsoft entra administrator globalny Administracja istrator może ręcznie ustawić informacje kontaktowe uwierzytelniania. Istniejące metody można przejrzeć w sekcji Metody uwierzytelniania wielokrotnego użytku lub +Dodaj metody uwierzytelniania, jak pokazano na poniższym przykładowym zrzucie ekranu:

Screenshot of how to manage authentication methods

Następujące zagadnienia dotyczą tych informacji kontaktowych uwierzytelniania:

  • Jeśli pole Telefon zostanie wypełnione, a telefon komórkowy jest włączony w zasadach samoobsługowego resetowania hasła, użytkownik zobaczy ten numer na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.
  • Jeśli pole Adres e-mail jest wypełnione, a w zasadach samoobsługowego resetowania hasła jest włączona wiadomość e-mail, użytkownik zobaczy tę wiadomość e-mail na stronie rejestracji resetowania hasła i podczas przepływu pracy resetowania hasła.

Pytania i odpowiedzi dotyczące zabezpieczeń

Pytania zabezpieczające i odpowiedzi są bezpiecznie przechowywane w dzierżawie firmy Microsoft Entra i są dostępne tylko dla użytkowników za pośrednictwem środowiska rejestracji połączonej usługi My Security-Info. Administracja istratorzy nie widzą, ustawiają ani nie modyfikują zawartości pytań i odpowiedzi innych użytkowników.

Co się stanie, gdy użytkownik zarejestruje się

Po zarejestrowaniu użytkownika strona rejestracji ustawia następujące pola:

  • Telefon uwierzytelniania
  • Adres e-mail uwierzytelniania
  • Pytania i odpowiedzi dotyczące zabezpieczeń

Jeśli podano wartość dla telefonu komórkowego lub alternatywnej poczty e-mail, użytkownicy mogą natychmiast użyć tych wartości do zresetowania swoich haseł, nawet jeśli nie zarejestrowali się w usłudze.

Użytkownicy widzą również te wartości podczas rejestrowania się po raz pierwszy i mogą je modyfikować, jeśli chcą. Po pomyślnym zarejestrowaniu te wartości są utrwalane odpowiednio w polach Uwierzytelnianie Telefon i Adres e-mail uwierzytelniania.

Ustawianie i odczytywanie danych uwierzytelniania za pomocą programu PowerShell

Następujące pola można ustawić za pomocą programu PowerShell:

  • Alternatywny adres e-mail
  • Telefon komórkowy
  • Telefon biurowy
    • Można ustawić tylko wtedy, gdy nie synchronizujesz się z katalogiem lokalnym.

Możesz użyć programu Microsoft Graph PowerShell do interakcji z identyfikatorem Entra firmy Microsoft lub użyć interfejsu API REST programu Microsoft Graph do zarządzania metodami uwierzytelniania.

Korzystanie z programu Microsoft Graph PowerShell

Aby rozpocząć pracę, pobierz i zainstaluj moduł Programu PowerShell programu Microsoft Graph.

Aby szybko zainstalować z ostatnich wersji programu PowerShell, które obsługują Install-Moduleprogram , uruchom następujące polecenia. Pierwszy wiersz sprawdza, czy moduł jest już zainstalowany:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

Po zainstalowaniu modułu wykonaj następujące kroki, aby skonfigurować każde pole.

Ustawianie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

Odczytywanie danych uwierzytelniania za pomocą programu Microsoft Graph PowerShell

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

Następne kroki

Gdy informacje kontaktowe uwierzytelniania są wstępnie wypełniane dla użytkowników, ukończ następujący samouczek, aby włączyć samoobsługowe resetowanie haseł: