Предварительно заполненные контактные данные проверки подлинности пользователей для самостоятельного сброса пароля Microsoft Entra (SSPR)
Для использования самостоятельного сброса пароля Microsoft Entra (SSPR) должны присутствовать сведения о проверке подлинности для пользователя. В большинстве организаций пользователи сами регистрируют свои данные проверки подлинности при сборе сведений для MFA. Некоторые организации предпочитают загружать этот процесс с помощью синхронизации данных проверки подлинности, которые уже существуют в доменных службах Active Directory (AD DS). Эти синхронизированные данные доступны для идентификатора Microsoft Entra и SSPR, не требуя взаимодействия с пользователем. Если пользователям необходимо изменить или сбросить пароль, они могут сделать это, даже если они ранее не регистрировали свои контактные данные.
Контактные данные проверки подлинности можно предварительно заполнить, если вы соответствуете следующим требованиям:
- Вы правильно отформатировали данные в локальном каталоге.
- Вы настроили microsoft Entra Подключение для клиента Microsoft Entra.
Номера телефонов должны иметь следующий формат: +код_страны номер_телефона, например +1 4251234567.
Примечание.
Между кодом страны и номером телефона должен быть пробел.
Функция сброса пароля не поддерживает добавочные номера. Даже добавочные номера в формате +1 4251234567X12345 будут удаляться.
Заполненные поля
Если вы используете параметры по умолчанию в Microsoft Entra Подключение, для заполнения контактных данных проверки подлинности для SSPR выполняются следующие сопоставления:
| Локальный каталог Active Directory | ИД Microsoft Entra |
|---|---|
| telephoneNumber | Рабочий телефон |
| мобильный | Мобильный телефон |
После того как пользователь проверяет свой номер мобильного телефона, поле Телефонв поле "Контактные данные проверки подлинности" в идентификаторе Microsoft Entra ID также заполняется этим номером.
Контактная информация для проверки подлинности
На странице методов проверки подлинности для пользователя Microsoft Entra в Центре администрирования Microsoft Entra глобальный Администратор istrator может вручную задать контактные данные проверки подлинности. Вы можете просмотреть существующие методы в разделе Использование методов проверки подлинности или +Добавить методы проверки подлинности, как показано в следующем примере на снимке экрана:
Следующие рекомендации относятся к контактным сведениям для проверки подлинности.
- Если в поле Телефон указан номер и использование мобильного телефона предусмотрено в политике самостоятельного сброса пароля, пользователь увидит этот номер на странице регистрации для сброса пароля, а также во время сброса пароля.
- Если в поле Электронная почта указан адрес и использование электронной почты предусмотрено в политике SSPR, пользователь увидит этот адрес на странице регистрации для сброса пароля, а также во время сброса пароля.
Контрольные вопросы и ответы на них
Вопросы безопасности и ответы хранятся безопасно в клиенте Microsoft Entra и доступны только пользователям с помощью объединенной регистрации My Security-Info. Администраторы не могут видеть, настраивать или изменять содержимое вопросов и ответов других пользователей.
Что происходит, когда пользователь проходит регистрацию?
Когда пользователь регистрируется, на странице регистрации будут заполнены следующие поля:
- Телефон для проверки подлинности;
- Адрес электронной почты для проверки подлинности;
- Security Questions and Answers (Контрольные вопросы и ответы на них).
Если вы указали значения для полей Мобильный телефон или Запасной адрес электронной почты, пользователи могут использовать их для сброса паролей, даже если они еще не прошли регистрацию в службе.
Эти значения будут отображаться для пользователей при первой регистрации, и они смогут изменить их при необходимости. После успешной регистрации эти значения будут храниться в полях Телефон для проверки подлинности и Адрес электронной почты для проверки подлинности (их нельзя будет изменить).
Установка и чтение данных проверки подлинности с помощью PowerShell
С помощью PowerShell можно заполнить следующие поля:
- Запасной адрес электронной почты;
- Мобильный телефон
- Рабочий телефон.
- Его можно указать, только если это значение не синхронизируется с локальным каталогом.
Вы можете использовать Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra ID или использовать REST API Microsoft Graph для управления методами проверки подлинности.
Использование PowerShell для Microsoft Graph
Чтобы начать работу, загрузите и установите модуль PowerShell для Microsoft Graph.
Чтобы быстро установить одну из последних версий PowerShell, поддерживающую Install-Module, выполните приведенные ниже команды. Первая строка проверяет, установлен ли модуль:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
После установки модуля вы можете выполнить следующие процедуры по настройке каждого поля.
Установление данных проверки подлинности с помощью PowerShell для Microsoft Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Считывание данных проверки подлинности с помощью PowerShell для Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Следующие шаги
После предварительного заполнения контактных данных проверки подлинности для пользователей выполните следующее руководство, чтобы включить самостоятельный сброс пароля: