自助式密码重置常见问题解答

是。 只要已经启用密码重置功能并且用户已获得许可，他们就可以访问密码重置注册门户 (https://aka.ms/ssprsetup) 来注册其身份验证信息。 用户也可通过访问面板 (https://myapps.microsoft.com) 来注册。 若要通过访问面板来注册，需选择个人资料图片，然后选择“个人资料”，再选择“注册密码重置”选项。

如果启用了组合注册，用户可以同时注册 SSPR 和 Microsoft Entra 多重身份验证。

否。 已填充身份验证数据的用户不需要重新注册。

是，可以使用 Microsoft Entra Connect、PowerShell、Microsoft Entra 管理中心或 Microsoft 365 管理中心实现此目的。 有关详细信息，请参阅 Microsoft Entra 自助式密码重置使用的数据。

否。目前还做不到。

是。 当用户使用密码重置注册门户注册数据时，数据会保存到私有身份验证字段中，只有全局管理员和用户才能看到这些字段。

否。 如果为他们定义了足够的身份验证信息，用户就不必进行注册。 只要已正确设置了目录中的相应字段中存储的数据的格式，密码重置将正常工作。

在 SSPR 数据要求一文中定义了能够由全局管理员设置的字段。

密码重置注册门户只会显示为用户启用的选项。 可以在目录的“配置”选项卡的“用户密码重置策略”部分找到这些选项 。例如，如果没有启用安全问题，则用户无法针对该选项进行注册。

如果用户已至少注册了在 Microsoft Entra 管理中心中设置的“重置一个密码所需的方法数”，则此用户即会被视为已注册 SSPR。

是的。密码重置内置了安全功能来防止滥用。

用户可以尝试验证他们的信息（例如电话号码），但如果不能在 24 小时内五次证明自己的身份，就会被锁定 24 小时。

在被锁定 24 小时前的一个小时内，用户可以尝试验证电话号码、身份验证应用、发送短信或验证安全性问题并仅回答五次。

在被锁定 24 小时前，用户可以在 10 分钟内最多发送 10 次电子邮件。

一旦用户重置密码则会重置计数器。

应会在一分钟内收到或接到电子邮件、短信和电话。 正常情况下为 5 到 20 秒。 如果在此时间范围内未收到通知：

• 请检查垃圾邮件文件夹。
• 请检查所联系的号码或电子邮件是否正确。
• 请检查是否对目录中的身份验证数据进行了正确的格式设置，例如，+1 4255551234 或 user@contoso.com。

密码重置 UI、短信和语音呼叫以 Microsoft 365 支持的相同语言本地化。

密码重置门户不但会显示组织徽标，而且支持配置指向某一自定义电子邮件或 URL 的“请与管理员联系”链接。 密码重置发送的任何电子邮件都会在电子邮件正文中包括组织的徽标、颜色及名称，且都是根据该特定名称的设置自定义的。

请尝试 SSPR 部署一文中的一些建议。

可以，此页面可以在移动设备上使用。

是的。 如果用户重置其密码且已通过 Microsoft Entra Connect 部署密码写回，则当该用户重置其密码时，会自动解锁其帐户。

如果你是 Microsoft Entra ID P1 或 P2 客户，你可以在无需额外付费的情况下安装 Microsoft Identity Manager，并部署本地密码重置解决方案。

否。目前还做不到。

在 Microsoft Entra 管理中心中最多可以配置 20 个自定义安全问题。

安全问题可以是 3 到 200 个字符长。

答案的长度可以是 3 到 40 个字符。

是的，我们将拒绝重复的安全问题答案。

否。 一旦用户注册了某个特定问题，他们就不能再次注册该问题。

可以，设置一个注册限制和一个重置限制。 注册可能需要三到五个安全问题，重置也可能需要三到五个问题。

这是预期的行为。 Microsoft 为任意 Azure 管理员角色强制实施默认强双门密码重置策略。 这会阻止管理员使用安全问题。 有关此策略的详细信息，请参阅 Microsoft Entra ID 中的密码策略和限制一文。

N 个安全问题是从用户已注册的所有问题中随机选择的，其中 N 是针对“重置所需的问题数”选项设置的一个数。 例如，如果用户注册了五个安全问题，但重置密码只需三个，则会从五个问题中随机选择三个在重置时提出。 为了防止 问题攻击，如果用户提供的问题答案不正确，则选择过程会从头开始。

进行密码重置的会话生存期为 15 分钟。 从密码重置操作开始算，用户有 15 分钟的时间来重置其密码。 在密码重置会话期间，一次性密码的有效时间为 5 分钟。

可以。如果使用组来启用 SSPR，则可将用户从允许用户重置其密码的组中删除。 如果用户是全局管理员，他们将保留重置密码的权限，并且不能禁用此权限。

用户可以在能够看到其个人资料图片或图标的任何位置（例如在其 Office 365 门户或访问面板体验的右上角）更改其密码。 用户可以从访问面板个人资料页更改其密码。 如果用户的密码已过期，还可以在 Microsoft Entra ID 登录页上自动要求他们更改其密码。 最后，如果用户希望更改其密码，可以直接浏览到 Microsoft Entra ID 密码更改门户。

可以。如果使用 Active Directory 联合身份验证服务 (AD FS)，这在目前是可以的。 如果使用 AD FS，请按 Sending password policy claims with AD FS（使用 AD FS 发送密码策略声明）一文中的说明操作。 如果使用密码哈希同步，这在目前是不可以的。 我们不从本地目录同步密码策略，因此无法将过期通知发布到云体验。 在任一情况下，都还可以通过 PowerShell 向其密码即将过期的用户发送通知。

对于仅限云的用户来说，不能阻止密码更改。 对于本地用户，可将“用户不能更改密码”选项设置为选定。 选定的用户不能更改其密码。

数据应在 5 到 10 分钟内显示在密码管理报告中。 某些情况下，需要一个小时才能显示。

选择报告顶部附近列标签最右侧的小放大镜即可筛选密码管理报告。 如果希望进行更丰富的筛选，可以将报告下载到 Excel 并创建数据透视表。

密码管理报告中最多存储 75,000 个密码重置事件或密码重置注册事件，时间跨度为过去的 30 天。 我们正在努力增大此数目，以包含更多事件。

密码管理报告可显示在过去 30 天内发生的操作。 现在，如果需要存档此数据，可以定期下载报告并将它们保存在单独的位置。

是。 任一密码管理报告都最多只能显示 75,000 行，不论是 UI 中正在显示的行数还是正在下载的行数都存在此限制。

是，可通过身份验证方法活动报告或者用于获取密码重置活动的 API 来获取此信息。 还可使用审核日志 API，并按 SSPR 事件进行筛选。

请参阅密码写回的工作原理一文，了解有关启用密码写回时发生的情况以及数据如何通过系统流回本地环境的说明。

密码写回是即时的。 它是一种同步管道，其工作方式从根本上不同于密码哈希同步。 密码写回向用户提供关于其密码重置或更改操作成功的实时反馈。 成功的密码写回的平均时间少于 500 毫秒。

如果本地 ID 被禁用，则在下一个同步间隔，也会通过 Microsoft Entra Connect 禁用云 ID 和访问权限。 默认情况下，此同步是每隔 30 分钟进行一次。

是。SSPR 基于并遵守本地 Active Directory 密码策略。 此策略包括典型的 Active Directory 域密码策略，以及任何已定义并细化的针对用户的密码策略。

密码写回适用于从本地 Active Directory 同步到 Microsoft Entra ID 的用户帐户，包括联合用户、密码哈希同步用户和直通身份验证用户。

是。 密码写回会强制实施密码使用期限、历史记录、复杂性、筛选器以及可能对本地域密码实施的任何其他限制。

是的。密码写回具有很高的安全性。 若要阅读有关密码写回服务实施的多个安全层的详细信息，请查看密码写回概述一文中的密码写回安全性部分。

后续步骤

• 如何成功推出 SSPR？
• 重置或更改密码
• 注册自助密码重置
• 是否有许可问题？
• SSPR 使用哪些数据？应为用户填充哪些数据？
• 哪些身份验证方法可供用户使用？
• SSPR 有哪些策略选项？
• 什么是密码写回？我为什么关心它？
• 如何报告 SSPR 中的活动？
• SSPR 中的所有选项有哪些？它们有哪些含义？
• 我认为有些功能被破坏。 如何对 SSPR 进行故障排除？