Microsoft Entra 自助式密码重置 (SSPR) 使用户能够更改或重置其密码,而不需要管理员或支持人员。 如果用户的帐户被锁定或忘记了密码,他们可以按照提示解除锁定并恢复工作。 当用户无法登录到其设备或应用程序时,此功能可减少技术支持呼叫和工作效率损失。 建议使用此视频 ,了解如何在 Microsoft Entra ID 中启用和配置 SSPR。
重要
此概念性文章向管理员介绍了自助密码重置的工作原理。 如果你是已注册自助式密码重置的最终用户并且需要返回到你的帐户,请转到 https://aka.ms/sspr 。
如果你的 IT 团队尚未启用重置自己密码的功能,请联系支持人员以获得更多帮助。
密码重置过程如何工作?
用户可以使用 SSPR 门户重置或更改其密码。 他们必须首先注册所需的身份验证方法。 当用户访问 SSPR 门户时,Microsoft Entra 平台会考虑以下因素:
- 如何本地化页面?
- 用户帐户是否有效?
- 用户属于哪个组织?
- 用户的密码托管在何处?
当用户从应用程序或页面选择 “无法访问帐户 ”链接或直接访问 https://aka.ms/sspr时,SSPR 门户中使用的语言基于以下选项:
- 默认情况下,浏览器区域设置用于以适当的语言显示 SSPR。 密码重置体验已本地化为 Microsoft 365 支持的相同语言。
- 如果要以特定本地化语言链接到 SSPR,请追加
?mkt=到密码重置 URL 的末尾以及所需的区域设置。- 例如,若要指定西班牙语 es-us 区域设置,请使用
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us。
- 例如,若要指定西班牙语 es-us 区域设置,请使用
在 SSPR 门户以所需语言显示后,系统会提示用户输入用户 ID 并完成验证码。 Microsoft Entra ID 现在通过执行以下检查来验证用户是否能够使用 SSPR:
- 检查用户是否已启用 SSPR。
- 如果用户未启用 SSPR,用户将被要求联系管理员以重置密码。
- 检查用户是否具有根据管理员策略在其帐户上定义的正确身份验证方法。
- 如果策略只需要一种方法,请检查用户是否为管理员策略启用的至少一种身份验证方法定义了适当的数据。
- 如果未配置身份验证方法,建议用户联系其管理员重置其密码。
- 如果策略需要两种方法,请检查用户是否为管理员策略启用的至少两种身份验证方法定义了适当的数据。
- 如果未配置身份验证方法,建议用户联系其管理员重置其密码。
- 如果将 Azure 管理员角色分配给用户,则会强制实施强双门密码策略。 有关详细信息,请参阅管理员重置策略差异。
- 如果策略只需要一种方法,请检查用户是否为管理员策略启用的至少一种身份验证方法定义了适当的数据。
- 检查用户的密码是否在本地管理,例如,Microsoft Entra 租户是否使用联合身份验证、直通身份验证或密码哈希同步:
- 如果配置了 SSPR 写回,并且用户的密码在本地管理,则允许用户继续进行身份验证并重置其密码。
- 如果未部署 SSPR 写回功能,并且用户的密码在本地管理,则用户需要联系管理员以重置密码。
如果前面的所有检查都成功完成,则会引导用户完成重置或更改其密码的过程。
注释
SSPR 可能会在密码重置过程中向用户发送电子邮件通知。 这些电子邮件使用 SMTP 中继服务发送,该服务在多个区域中以主动-主动模式运行。
SMTP 中继服务接收和处理电子邮件正文,但不存储它。 可能包含客户提供的信息的 SSPR 电子邮件正文不会存储在 SMTP 中继服务日志中。 日志仅包含协议元数据。
若要开始使用 SSPR,请完成以下教程:
要求用户在登录时注册
如果用户使用新式身份验证或 Web 浏览器使用 Microsoft Entra ID 登录到任何应用程序,则可以启用该选项以要求用户完成 SSPR 注册。 此工作流包括以下应用程序:
- Microsoft 365
- Microsoft Entra 管理中心
- 访问面板
- 联合应用程序
- 使用 Microsoft Entra ID 的自定义应用程序
当您不要求注册时,用户在登录时不会收到注册提示,但他们可以手动进行注册。 用户可以访问https://aka.ms/ssprsetup或选择访问面板中的“配置文件”选项卡下的“注册密码重置”链接。
注释
用户可以通过选择“取消”或关闭窗口来退出SSPR注册门户。 但是,每次登录时,系统会提示他们注册,直到完成注册。
用户在已登录的情况下注册 SSPR 时,此中断不会影响其连接。
重新确认身份验证信息
你可以要求用户在一段时间后确认其身份验证信息。 仅当启用 “要求用户在登录时注册 ”选项时,此选项才可用。
提示用户确认其身份验证信息的有效值为 0 到 730 天。 将此值设置为 0 意味着永远不会要求用户确认其身份验证信息。 用户需要登录才能重新确认其信息。
注释
如果 SSPR 需要多个身份验证方法,则删除某个方法的用户在用户需要重新确认其身份验证信息的天数到来之前,无需确认其身份验证信息。
身份验证方法
为 SSPR 启用用户后,必须至少注册一个身份验证方法。 强烈建议你选择两种或更多的身份验证方法,以便用户在无法使用一种方法时有更多的灵活性。 有关详细信息,请参阅什么是身份验证方法?。
以下身份验证方法可用于 SSPR:
- 移动应用通知
- 移动应用代码
- 硬件 OATH 身份验证令牌
- 软件 OATH 令牌
- 电子邮件
- 移动电话
- 办公电话(仅适用于具有付费订阅的租户)
- 安全性问题
如果用户注册管理员已启用的身份验证方法,则只能重置其密码。
警告
分配了 Azure 管理员 角色的帐户需要使用管理员 重置策略差异部分中定义的方法。
所需的身份验证方法数
可以配置用户必须提供的可用身份验证方法的数量来重置或解锁其密码。 此值可以设置为一两个。
用户应注册多个身份验证方法,以便在他们无法访问一种方法时以另一种方式登录。
如果用户未注册所需的最小方法数,则当用户尝试使用 SSPR 时会看到错误页。 他们需要请求管理员重置其密码。 有关详细信息,请参阅 更改身份验证方法。
移动应用和 SSPR
将移动应用用作密码重置方法(如 Microsoft Authenticator)时,如果组织尚未 迁移到集中式身份验证方法策略,则以下注意事项适用:
- 当管理员要求使用一种方法重置密码时,验证码是唯一可用的选项。
- 当管理员需要两种方法来重置密码时,除了任何其他已启用的方法之外,用户还可以使用通知 或 验证码。
| 重置所需的方法数 | 一种 | 二级 |
|---|---|---|
| 可用的移动应用功能 | 代码 | 代码或通知 |
用户可以在 https://aka.ms/mfasetup 中,或者在组合的安全信息注册 (https://aka.ms/setupsecurityinfo) 中注册其移动应用。
重要
当只需要一种身份验证方法时,不能将身份验证器选择为唯一的方法。 同样,如果你需要两种方法,则无法选择验证器和一个附加方法。
配置包含 Authenticator 应用的 SSPR 策略作为方法时,在需要一种方法时至少应选择一个其他方法,在配置两种方法时至少应选择两个其他方法。
更改身份验证方法
如果从只有一个必需的身份验证方法来重置或解锁的策略开始,并且你将其更改为两种方法,会发生什么情况?
| 已注册的方法数 | 所需的方法数 | 结果 |
|---|---|---|
| 大于等于 1 | 1 | 能够 重置或解锁 |
| 1 | 2 | 无法 重置或解锁 |
| 大于等于 2 | 2 | 能够 重置或解锁 |
更改可用的身份验证方法也可能会导致用户出现问题。 如果更改了可用的身份验证方法,则没有可用最少数据的用户无法使用 SSPR。
请考虑以下示例场景:
- 原始策略配置为需要两种身份验证方法。 它仅使用办公室电话号码和安全验证问题。
- 管理员将策略更改为不再使用安全问题,但允许使用移动电话和备用电子邮件。
- 没有移动电话或备用电子邮件字段的用户现在无法重置其密码。
通知
为了提高对密码事件的感知,SSPR 允许你为用户和标识管理员配置通知。
重置密码时通知用户
如果此选项设置为 “是”,则用户重置其密码会收到一封电子邮件,通知他们密码已更改。 该电子邮件通过 SSPR 门户发送到存储在 Microsoft Entra ID 中的主电子邮件地址和备用电子邮件地址。 如果未定义主电子邮件地址或备用电子邮件地址,SSPR 将尝试通过用户用户主体名称(UPN)发送电子邮件通知。 没有其他人收到重置事件的通知。
当其他管理员重置其密码时通知所有管理员
如果此选项设置为 “是”,则全局管理员将收到存储在Microsoft Entra ID 中的主要电子邮件地址的电子邮件。 电子邮件通知他们另一位管理员已使用 SSPR 更改了其密码。
注释
根据你正在使用的 Azure 云,SSPR 服务的电子邮件通知将从以下地址发送:
- 公共: msonlineservicesteam@microsoft.com、msonlineservicesteam@microsoftonline.com
- 由世纪互联运营的 Microsoft Azure(中国区 Azure) msonlineservicesteam@oe.21vianet.com, 21Vianetonlineservicesteam@21vianet.com
- 适用于美国政府的 Azure:msonlineservicesteam@azureadnotifications.us、msonlineservicesteam@microsoftonline.us
如果发现接收通知时出现问题,请检查垃圾邮件设置。
如果希望自定义管理员接收通知电子邮件,请使用 SSPR 自定义项并 设置自定义支持人员链接或电子邮件。
本地集成
在混合环境中,可以将 Microsoft Entra Connect 云同步配置为将密码更改事件从 Microsoft Entra ID 写回本地目录。
Microsoft Entra ID 会检查当前的混合连接,并在 Microsoft Entra 管理中心提供消息。 有关解决可能错误的帮助,请参阅排查Microsoft Entra Connect。
若要开始 SSPR 写回,请完成以下教程:
将密码写回本地目录
可以通过 Microsoft Entra 管理中心启用密码回写功能。 还可以暂时禁用密码写回,而无需重新配置 Microsoft Entra Connect。
- 如果此选项设置为 “是”,则启用写回。 联合身份验证、直通身份验证或密码哈希同步用户能够重置其密码。
- 如果选项设置为 “否”,则会禁用写回。 联合身份验证、直通身份验证或密码哈希同步用户无法重置其密码。
允许用户在不重置其密码的情况下解锁帐户
默认情况下,Microsoft Entra ID 在执行密码重置时会解锁帐户。 若要提供灵活性,可以选择允许用户解锁其本地帐户,而无需重置其密码。 使用此设置分隔这两项操作。
- 如果设置为 “是”,则向用户提供重置其密码和解锁帐户的选项,或者无需重置密码即可解锁其帐户。
- 如果设置为 “否”,则用户只能执行组合的密码重置和帐户解锁作。
本地 Active Directory 密码筛选器
SSPR 执行的操作相当于 Active Directory 中管理员发起的密码重置。 如果使用第三方密码筛选器强制实施自定义密码规则,并且要求在Microsoft Entra 自助密码重置期间检查此密码筛选器,请确保第三方密码筛选器解决方案配置为在管理员密码重置方案中应用。 默认情况下支持 Active Directory 域服务的 Microsoft Entra 密码保护。
B2B 用户的密码重置
所有企业到企业(B2B)配置都完全支持密码重置和更改。 在以下三种情况下支持 B2B 用户密码重置:
- 具有现有Microsoft Entra 租户的合作伙伴组织中的用户:如果合作伙伴具有 Microsoft Entra 租户,我们将遵循在该租户上启用的任何密码重置策略。 若要使密码重置正常工作,合作伙伴组织只需确保已启用 Microsoft Entra SSPR。 Microsoft 365 客户无需支付其他费用。
- 通过自助注册注册的用户:如果你的合作伙伴使用 自助注册 功能进入租户,我们让他们使用他们注册的电子邮件重置密码。
- B2B 用户:使用新 Microsoft Entra B2B 功能创建的任何新 B2B 用户还可以使用他们在邀请过程中注册的电子邮件重置其密码。
若要测试此方案,请与某个合作伙伴用户一起转到 https://passwordreset.microsoftonline.com。 如果用户定义了备用电子邮件或身份验证电子邮件,密码重置将按预期方式工作。
注释
被授予 Microsoft Entra 租户的来宾访问权限的 Microsoft 帐户(例如来自 Hotmail.com、Outlook.com 或其他个人电子邮件地址的帐户)不能使用 Microsoft Entra SSPR。 有关详细信息,请参阅“ 何时无法登录到Microsoft帐户”。
后续步骤
若要开始使用 SSPR,请完成以下教程: