預先填入 Microsoft Entra 自助式密碼重設的使用者驗證連絡資訊 (SSPR)

若要使用 Microsoft Entra 自助式密碼重設 (SSPR),使用者必須存在驗證資訊。 大部分的組織在收集 MFA 的資訊時,都會自行註冊其驗證資料。 某些組織偏好透過同步處理已存在於 Active Directory 網域服務 (AD DS) 中的驗證資料來啟動此程式。 這項同步處理的資料可供 Microsoft Entra ID 和 SSPR 使用,而不需要使用者互動。 當使用者需要變更或重設其密碼時,即使他們先前尚未註冊其連絡資訊,也可以這麼做。

如果您符合下列需求,您可以預先填入驗證連絡資訊:

  • 您已正確格式化內部部署目錄中的資料。
  • 您已為 Microsoft Entra 租使用者設定 Microsoft Entra 連線

電話數位的格式必須是 +CountryCode 電話Number ,例如 +1 4251234567

注意

國家/地區代碼與電話號碼之間必須有空格。

密碼重設不支援電話擴充功能。 即使在 +1 4251234567X12345 格式中,在呼叫放置之前,也會移除延伸模組。

填入的欄位

如果您在 Microsoft Entra 連線中使用預設設定,則會進行下列對應,以填入 SSPR 的驗證連絡資訊:

內部部署 Active Directory Microsoft Entra ID
telephoneNumber 辦公室電話
行動 行動電話

使用者驗證其行動電話號碼之後, Microsoft Entra ID 中 [驗證連絡人資訊 ] 底下的 [電話 ] 欄位也會填入該號碼。

驗證連絡人資訊

在 Microsoft Entra 系統管理中心的 Microsoft Entra 使用者的 [驗證方法 ] 頁面上,全域管理員istrator 可以手動設定驗證連絡人資訊。 您可以在 [可用驗證方法] 區段或 [+新增驗證方法 ] 區段下 檢閱現有的方法 ,如下列範例螢幕擷取畫面所示:

Screenshot of how to manage authentication methods

下列考慮適用于此驗證連絡人資訊:

  • 如果填入 [電話 ] 欄位,並在 SSPR 原則中啟用行動電話 ,使用者就會在密碼重設註冊頁面上以及在密碼重設工作流程期間看到該號碼。
  • 如果 [電子郵件 ] 欄位已填入,且 SSPR 原則中已啟用 [電子郵件 ],則使用者會在密碼重設註冊頁面和密碼重設工作流程期間看到該電子郵件。

安全性問題和解答

安全性問題和解答會安全地儲存在您的 Microsoft Entra 租使用者中,且只能透過 My Security-Info 的 合併註冊體驗 存取使用者。 管理員istrators 看不到、設定或修改其他使用者的問題和解答的內容。

當使用者註冊時會發生什麼事

當使用者註冊時,註冊頁面會設定下欄欄位:

  • 驗證電話
  • 驗證電子郵件
  • 安全性問題和解答

如果您為行動電話 替代電子郵件 提供值 ,使用者就可以立即使用這些值來重設其密碼,即使他們尚未註冊服務也一樣。

使用者第一次註冊時也會看到這些值,並可以視需要修改這些值。 成功註冊之後,這些值會分別保存在 [驗證電話 ] 和 [驗證電子郵件 ] 欄位中。

透過 PowerShell 設定和讀取驗證資料

您可以透過 PowerShell 設定下欄欄位:

  • 替代電子郵件
  • 行動電話
  • 辦公室電話
    • 只有在您未與內部部署目錄進行同步處理時,才能設定。

您可以使用 Microsoft Graph PowerShell 與 Microsoft Entra ID 互動,或使用 Microsoft Graph REST API 來管理驗證方法

使用 Microsoft Graph PowerShell

若要開始使用, 請下載並安裝 Microsoft Graph PowerShell 模組

若要從支援 Install-Module 的最新版本 PowerShell 快速安裝 ,請執行下列命令。 第一行會檢查模組是否已安裝:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

安裝模組之後,請使用下列步驟來設定每個欄位。

使用 Microsoft Graph PowerShell 設定驗證資料

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

使用 Microsoft Graph PowerShell 讀取驗證資料

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

下一步

為使用者預先填入驗證連絡人資訊之後,請完成下列教學課程以啟用自助式密碼重設: