规划 Microsoft Entra 自助式密码重置部署
重要
此部署计划提供有关部署 Microsoft Entra 自助式密码重置 (SSPR) 的指导和最佳做法。
如果你是最终用户并且需要返回到你的帐户,请转到 https://aka.ms/sspr。
自助式密码重置 (SSPR) 是一项 Microsoft Entra 功能,使用户无需联系 IT 人员寻求帮助即可重置密码。 用户可以随时随地快速重置密码并继续顺畅工作。 由于员工可以自行解锁,组织可以降低大多数常见密码相关问题造成的非产出时间和较高的支持成本。
SSPR 提供以下重要功能:
- 自助式服务可让最终用户重置其过期或未过期的密码,而无需请求管理员或帮助台提供支持。
- 借助密码写回,可通过云来管理本地密码和解决帐户锁定的问题。
- 借助密码管理活动报告,管理员能够深入了解发生在其组织中的密码重置和注册活动。
本部署指南展示了如何规划并测试 SSPR 推出策略。
若要在实际操作中快速了解 SSPR,然后再返回来了解其他部署注意事项,请执行以下操作:
提示
作为本文的配套内容,我们建议在登录到 Microsoft 365 管理中心时使用规划自助式密码重置部署指南。 本指南将根据你的环境来定制体验。 若要在不登录和激活自动设置的情况下查看最佳做法,请转到 M365 设置门户。
了解 SSPR
详细了解 SSPR。 请参阅工作原理:Microsoft Entra 自助式密码重置。
关键优势
启用 SSPR 的主要优点包括:
控制成本。 SSPR 可让用户自行重置密码,从而可降低 IT 支持成本。 它还减少了因密码丢失和帐户锁定而造成的时间损失成本。
直观的用户体验。 它提供直观的一次性用户注册过程,使用户能够在任何设备上或位置按需重置密码及解锁帐户。 SSPR 可让用户更快地恢复工作并提高工作效率。
灵活性和安全性。 SSPR 使企业能够获得云平台所提供的安全性和灵活性。 管理员可以更改设置以适应新的安全要求,并在不干扰用户登录的情况下将这些更改应用到用户。
可靠的审核和使用情况跟踪。 组织可以确保在用户重置其自己的密码时业务系统保持安全。 可靠的审核日志包括密码重置过程的每个步骤的信息。 可以通过 API 访问这些日志,用户可将数据导入到所选的安全事件和事件监视 (SIEM) 系统。
许可
按用户授予 Microsoft Entra ID 许可意味着每个用户都需要获取适当的许可证才能使用他们所需的功能。 建议对 SSPR 启用基于组的许可。
若要比较版本和功能并启用组或基于用户的许可,请参阅 Microsoft Entra 自助式密码重置的许可要求。
有关定价的详细信息,请参阅 Microsoft Entra 定价。
先决条件
引导式演练
有关本文中许多建议的引导式演练,请在登录到 Microsoft 365 管理中心时参阅规划自助式密码重置部署指南。 若要在不登录和激活自动设置的情况下查看最佳做法,请转到 M365 设置门户。
培训资源
| 资源 | 链接和说明 |
|---|---|
| 视频 | 通过更好的 IT 可伸缩性为用户提供助力 |
| 什么是自助式密码重置? | |
| 部署自助式密码重置 | |
| 如何在 Microsoft Entra ID 中启用和配置 SSPR | |
| 如何在 Microsoft Entra ID 中为用户配置自助式密码重置? | |
| 如何 [让用户准备好] 注册 [其] Microsoft Entra ID 安全信息 | |
| 在线课程 | 在 Microsoft Entra ID 中管理标识 使用 SSPR 为用户提供受保护的新式体验。 请专门参阅“Managing Microsoft Entra Users and Groups”模块。 |
| Microsoft 企业移动性套件入门 了解有关以支持身份验证、授权、加密和安全移动体验的方式,将本地资产扩展到云的最佳做法。 特别请参阅“配置 Microsoft Entra ID P1 或 P2 的高级功能”模块。 | |
| 教程 | 完成 Microsoft Entra 自助式密码重置试点推广 |
| 启用密码写回 | |
| 从 Windows 10 的登录屏幕进行 Microsoft Entra 密码重置 | |
| 常见问题解答 | 密码管理常见问题解答 |
解决方案体系结构
以下示例描述了常见混合环境的密码重置解决方案体系结构。
工作流的说明
若要重置密码,用户需转到密码重置门户。 他们必须验证以前注册的一种或多种身份验证方法来证明其身份。 如果用户成功重置了密码,重置过程将会开始。
对于仅使用云的用户,SSPR 会将新密码存储在 Microsoft Entra ID 中。
对于混合用户,SSPR 通过 Microsoft Entra Connect 服务将密码写回到本地 Active Directory。
注意:对于已禁用密码哈希同步 (PHS) 的用户,SSPR 仅将密码存储在本地 Active Directory 中。
最佳做法
连同组织中的其他常用应用程序或服务一起部署 SSPR 可帮助用户快速完成注册。 此操作会产生大量登录,可推进注册操作。
在部署 SSPR 之前,可以选择确定每个密码重置调用的数量和平均成本。 可以使用此数据在部署后展示 SSPR 为组织带来的价值。
SSPR 和 Microsoft Entra 多重身份验证的组合注册
SSPR 允许用户使用用于 Microsoft Entra 多重身份验证的相同方法,以安全的方式重置密码。 合并注册是最终用户的单一注册步骤,可同时注册 MFA 方法和 SSPR 方法。 为确保自己了解该功能和最终用户体验,请参阅合并安全信息注册概念。
请务必通知用户即将发生的更改、注册要求以及任何必要的用户操作。 我们提供通信模板和用户文档,可让用户做好准备迎接新体验,并有助确保新体验成功推出。 在该页上选择“安全信息”链接,将用户导航到 https://myprofile.microsoft.com 以注册。
规划部署项目
在环境中确定此部署的策略时,请考虑组织的需求。
让合适的利益干系人参与
当技术项目失败时,它们通常是由于在影响、结果和责任方面不符合预期而导致的。 若要避免这些问题,请确保让合适的利益干系人参与,并通过记录利益干系人及其项目的输入信息和相应责任,使项目中利益干系人的角色得到充分了解。
所需的管理员角色
| 业务角色/角色 | Microsoft Entra 角色(如有必要) |
|---|---|
| 1 级支持人员 | 密码管理员 |
| 2 级支持人员 | 用户管理员 |
| SSPR 管理员 | 身份验证管理员 |
规划试点
建议在测试环境中进行 SSPR 的初始配置。 从一个试点组开始,为组织中的一部分用户启用 SSPR。 请参阅关于试点的最佳做法。
若要创建一个组,请参阅如何在 Microsoft Entra ID 中创建组并添加成员。
规划配置
若要启用 SSPR 并使用推荐值,需要以下设置。
| 区域 | 设置 | 值 |
|---|---|---|
| SSPR 属性 | 已启用自助式密码重置 | 在试运行环境中为“选定组”/在生产环境中为“全部” |
| 身份验证方法 | 注册所需的身份验证方法数 | 始终比重置所需的数目多 1 个 |
| 重置所需的身份验证方法数 | 1 个或 2 个 | |
| 注册 | 要求用户在登录时注册 | 是 |
| 用户必须在几天后重新确认其身份验证信息 | 90 - 180 天 | |
| 通知 | 重置密码时通知用户 | 是 |
| 当其他管理员重置其密码时通知所有管理员 | 是 | |
| 自定义 | 自定义服务台链接 | 是 |
| 自定义服务台电子邮件或 URL | 支持站点或电子邮件地址 | |
| 本地集成 | 将密码写回到本地 AD | 是 |
| 允许用户在不重置密码的情况下解锁帐户 | 是 |
SSPR 属性
启用 SSPR 时,请在试点环境中选择适当的安全组。
- 若要为每个人强制实施 SSPR 注册,我们建议使用“全部”选项。
- 否则,请选择合适的 Microsoft Entra ID 或 AD 安全组。
身份验证方法
启用 SSPR 后,仅当用户在管理员启用的身份验证方法中提供了数据时,他们才能重置其密码。 方法包括电话、验证器应用通知、安全问题等。 有关详细信息,请参阅什么是身份验证方法?。
我们建议使用以下身份验证方法设置:
将“注册所需的身份验证方法数”设置为至少比重置所需的身份验证方法数多 1 个。 允许使用多种身份验证方法可让用户在需要重置时获得灵活性。
将“重置时所需的方法数”设置为适合你的组织的数量。 如果只设置一种方法,只能提供最低程度的安全保障,设置两种就可能进一步改善安全状况。
注意:用户需要在 Microsoft Entra ID 中的密码策略和限制中配置身份验证方法。
注册设置
将“要求用户在登录时注册”设置为“是” 。 此设置要求用户在登录时注册,确保所有用户受到保护。
将“用户必须在几天后重新确认其身份验证信息”设置为 90 到 180 天,除非组织有更短时限的业务需求。
通知设置
将“在密码重置时通知用户”和“当有管理员重置其密码时通知所有管理员”均设置为“是”。 对这两个选项都选择“是”可以提高安全性,因为这可以确保用户知道其密码已重置。 此外,可以确保当某个管理员更改密码时,所有管理员都知道这种情况。 如果用户或管理员收到通知但他们并未发起更改,他们可以立即报告潜在的安全问题。
注意
来自 SSPR 服务的电子邮件通知将根据正在使用的 Azure 云从以下地址发送:
- 公共:msonlineservicesteam@microsoft.com
- 中国:msonlineservicesteam@oe.21vianet.com
- 政府:msonlineservicesteam@azureadnotifications.us
如果发现接收通知时出现问题,请检查垃圾邮件设置。
自定义设置
自定义支持电子邮件或 URL,确保遇到问题的用户能够立即获得帮助,这一点至关重要。 将此选项设置为用户熟悉的常见支持人员电子邮件地址或网页。
有关详细信息,请参阅自定义用于自助式密码重置的 Microsoft Entra 功能。
密码写回
“密码写回”是使用 Microsoft Entra Connect 启用的功能,可将云中的密码重置实时写回到现有的本地目录。 有关详细信息,请参阅什么是密码写回?
我们建议使用以下设置:
- 确保“将密码写回到本地 AD”设置为“是”。
- 将“允许用户在不重置密码的情况下解锁帐户”设置为“是”。
默认情况下,Microsoft Entra ID 在执行密码重置时会解锁帐户。
管理员密码设置
管理员帐户拥有提升的权限。 本地企业或域管理员无法通过 SSPR 重置其密码。 本地管理员帐户具有以下限制:
- 只能在他们的本地环境中更改其密码。
- 永远不能使用密码问题和答案作为重置密码的方法。
建议不要将本地 Active Directory 管理员帐户与 Microsoft Entra ID 进行同步。
具有多个标识管理系统的环境
某些环境具有多个标识管理系统。 本地标识管理器(如 Oracle IAM 和 SiteMinder)需要与 AD 同步以获取密码。 为此,可以将密码更改通知服务 (PCNS) 这类工具与 Microsoft Identity Manager (MIM) 配合使用。 若要查找更为复杂的相关方案的信息,请参阅文章在域控制器上部署 MIM 密码更改通知服务。
规划测试和支持
在从初始试点组到组织范围的部署的每个阶段,请确保结果与预期相符。
规划测试
为了确保部署按预期方式工作,请规划好一套可用于验证实施结果的测试用例。 若要评估测试用例,需要一个带密码的非管理员测试用户。 如果需要创建用户,请参阅向 Microsoft Entra ID 添加新用户。
下表提供了有用的测试方案,你可以参考这些方案根据自己的策略来阐述组织预期的结果。
| 业务案例 | 预期结果 |
|---|---|
| 可以从企业网络内部访问 SSPR 门户 | 由组织确定 |
| 可从企业网络外部访问 SSPR 门户 | 由组织确定 |
| 未为用户启用密码重置时从浏览器重置用户密码 | 用户无法访问密码重置流 |
| 用户未注册密码重置时从浏览器重置用户密码 | 用户无法访问密码重置流 |
| 强制实施密码重置注册时用户登录 | 提示用户注册安全信息 |
| 密码重置注册完成时用户登录 | 提示用户注册安全信息 |
| 当用户没有许可证时,可以访问 SSPR 门户 | 可访问 |
| 从加入了 Windows 10 Microsoft Entra 或加入了混合 Microsoft Entra 的设备锁屏界面中重置用户密码 | 用户可以重置密码 |
| 管理员可以近实时地使用 SSPR 注册和使用情况数据 | 可通过审核日志获取 |
还可以参阅完成 Microsoft Entra 自助式密码重置试点推广。 在本教程中,你将在组织中启用 SSPR 的试点推行,并使用非管理员帐户进行测试。
规划支持
尽管 SSPR 通常不会产生用户问题,但支持人员必须准备好应对可能出现的问题。 为使支持团队取得成功,可以根据用户发来的问题撰写常见问题解答。 以下是一些示例:
| 方案 | 说明 |
|---|---|
| 用户无法使用任何已注册的可用身份验证方法 | 用户正在尝试重置其密码,但无法使用已注册的任何身份验证方法(例如:其手机遗忘在家中,并且无法访问电子邮件) |
| 用户未在其办公室电话或手机上收到短信或呼叫 | 用户正在尝试通过短信或呼叫来验证其身份,但未收到短信/呼叫。 |
| 用户无法访问密码重置门户 | 用户想要重置其密码,但未启用密码重置,因此无法访问该页来更新密码。 |
| 用户无法设置新密码 | 用户在密码重置流期间完成了验证,但无法设置新密码。 |
| 用户在 Windows 10 设备上未看到“重置密码”链接 | 用户尝试从 Windows 10 锁屏界面重置密码,但设备未加入 Microsoft Entra ID,或 Microsoft Intune 设备策略未启用 |
规划回滚
若要回滚部署:
对于单个用户,请从安全组中删除用户
对于组,请从 SSPR 配置中删除组
对于所有人,禁用 Microsoft Entra 租户的 SSPR
部署 SSPR
在部署之前,请确保已完成以下操作:
现在可以开始部署 SSPR!
请参阅启用自助式密码重置,获取有关配置以下方面的完整分步指导。
在 Windows 中启用 SSPR
对于运行 Windows 7、8、8.1、10 的计算机,可以在 Windows 登录屏幕上允许用户重置其密码。
管理 SSPR
Microsoft Entra ID 可以通过审核和报告,提供更多有关 SSPR 性能的信息。
密码管理活动报告
可以使用 Microsoft Entra 管理中心中的预生成报表来度量 SSPR 性能。 如果有相应的授权,还可以创建自定义查询。 有关详细信息,请参阅用于 Microsoft Entra 密码管理的报告选项。
此功能需要由全局管理员来管理。
注意
必须选择加入为组织收集此数据。 要选择加入,必须至少访问一次 Microsoft Entra 管理中心中的“报告”选项卡或审核日志。 在此之前,不会为组织收集数据。
注册和密码重置的审核日志可供使用 30 天。 如果公司内部的安全审核要求保留更长的期限,需要将日志导出到 SIEM 工具(如 Microsoft Sentinel、Splunk 或 ArcSight)中使用。
身份验证方法 - 使用情况和见解
借助使用情况和见解可以了解适用于 Microsoft Entra 多重身份验证和 SSPR 等功能的身份验证方法在你的组织中是如何运作的。 此报告功能可让组织了解注册的方法,以及这些方法的用法。