自助密码重置部署选项
重要
2022 年 9 月,Microsoft 宣布弃用 Azure 多重身份验证服务器。 从 2024 年 9 月 30 日开始,Azure 多重身份验证服务器部署将不再为多重身份验证 (MFA) 请求提供服务。 Azure 多重身份验证服务器的客户应计划改为将自定义 MFA 提供程序与 MIM SSPR 配合使用,或Microsoft Entra SSPR 而不是 MIM SSPR。
对于获得Microsoft Entra ID P1 或 P2 许可的新客户,我们建议使用Microsoft Entra自助式密码重置来提供最终用户体验。 Microsoft Entra自助式密码重置为用户提供了基于 Web 和 Windows 的集成体验来重置自己的密码,并支持许多与 MIM 相同的功能,包括备用电子邮件和 Q&A 入口。 部署Microsoft Entra自助式密码重置时,可以配置Microsoft Entra Connect 将新密码写回 AD DS,MIM密码更改通知服务可用于将密码转发到其他系统,例如其他供应商的目录服务器。 部署用于密码管理的 MIM 不需要部署 MIM 服务或 MIM 自助密码重置或注册门户。 相反,可以执行以下步骤:
- 首先,如果需要将密码发送到除Microsoft Entra ID 和 AD DS 以外的目录,请将 MIM Sync 与连接器部署到Active Directory 域服务和任何其他目标系统,为 MIM 配置密码管理并部署密码更改通知服务。
- 然后,如果需要将密码发送到除Microsoft Entra ID 以外的目录,请配置 Microsoft Entra Connect 以将新密码写回到 AD DS。
- (可选)预注册用户。
- 最后,向最终用户推出Microsoft Entra自助式密码重置。
对于以前部署了 Forefront Identity Manager (FIM) 进行自助式密码重置并已获得Microsoft Entra ID P1 或 P2 许可的现有客户,建议计划过渡到Microsoft Entra自助式密码重置。 可以通过 PowerShell 同步或设置用户的备用电子邮件地址或移动电话号码,将最终用户转换为Microsoft Entra自助密码重置,而无需他们重新注册。 在用户注册Microsoft Entra自助密码重置后,可以解除 FIM 密码重置门户的授权。
对于尚未为其用户部署Microsoft Entra自助式密码重置的客户,MIM 还提供自助式密码重置门户。 与 FIM 相比,MIM 2016 包含以下更改:
MIM Self-Service 密码重置门户和 Windows 登录屏幕允许用户在不更改密码的情况下解锁其帐户。
向 MIM 添加了新的身份验证入口 - 电话入口。 这样,用户可以通过Microsoft Entra多重身份验证服务通过电话呼叫进行身份验证。
MIM 2016 版本构建到版本 4.5.26.0 依赖于客户下载已弃用的 SDK,现有部署应转为使用 MIM SSPR 和自定义 MFA 提供程序,或Microsoft Entra自助式密码重置。 新部署应使用自定义 MFA 提供程序或Microsoft Entra自助式密码重置。
使用自定义提供程序 Self-Service 密码重置门户部署 MIM 进行多重身份验证
以下部分介绍如何使用提供程序进行多重身份验证来部署 MIM 自助式密码重置门户。 仅对于未为其用户使用自助密码重置Microsoft Entra的客户,才需要执行这些步骤。
使用 MFA,用户通过外部提供程序进行身份验证,以便在尝试重新获得对其帐户和资源的访问权限时验证其身份。 可以通过短信或电话呼叫进行身份验证。 身份验证越强,尝试获得访问权限的人员确实是拥有该身份的真实用户的可信性就越高。 通过身份验证后,用户可以选择要替换旧密码的新密码。
使用 MFA 设置自助服务帐户解锁和密码重置的先决条件
本部分假定你已下载并完成部署 Microsoft 标识管理器 2016 MIM 同步、MIM 服务和 MIM 门户组件,包括以下组件和服务:
Windows Server 2008 R2 或更高版本已设置为 Active Directory 服务器,包括 AD 域服务和附带指定域(“corporate”域)的域控制器
定义帐户锁定的组策略
MIM 2016 同步服务 (Sync) 安装在已加入 AD 域的服务器上并在其上运行
MIM 2016 服务 & 门户(包括 SSPR 注册门户和 SSPR 重置门户)安装在服务器上并运行, (可与同步)
为 AD-MIM 标识同步配置 MIM Sync,包括:
配置 Active Directory 管理代理 (ADMA) 以便连接到 AD DS 和能够导入标识数据并将其导出到 Active Directory。
配置 MIM 管理代理 (MIM MA) 以便连接到 FIM 服务数据库和能够导入标识数据并将其导出到 FIM 数据库。
在 MIM 门户中配置同步规则,以允许用户数据同步并促进 MIM 服务中基于同步的活动。
MIM 2016 加载项 & 扩展(包括 SSPR Windows 登录集成客户端)部署在服务器上或单独的客户端计算机上。
如果使用Microsoft Entra多重身份验证,则此方案要求用户具有 MIM CAL 以及用于Microsoft Entra多重身份验证的订阅。
准备 MIM 以使用 MFA
配置 MIM 同步以支持密码重置和帐户解锁功能。 有关详细信息,请参阅安装 FIM 外接程序和扩展、安装 FIM SSPR、SSPR 身份验证入口和 SSPR 测试实验指南
配置电话入口或一次性密码 SMS 入口
启动 Internet Explorer 并导航到 MIM 门户,以 MIM 管理员身份进行身份验证,然后单击左侧导航栏中的“ 工作流 ”。
选中“密码重置身份验证工作流”。
单击“活动”选项卡,然后向下滚动到“添加活动”。
选择“ 电话门” 或“ 一次性密码短信入口 ”,单击“ 选择” ,然后单击 “确定”。
注意
如果使用另一个提供程序本身生成一次性密码,请确保上面配置的 length 字段与 MFA 提供程序生成的长度相同。 对于 Azure 多重身份验证服务器,此长度必须为 6。 Azure 多重身份验证服务器还会生成自己的消息文本,因此将忽略短信。
你的组织中的用户现在可以注册以进行密码重置。 在此过程中,他们将输入其电话号码或手机号码,这样系统就知道如何呼叫他们(或向他们发送 SMS 消息)。
注册用户以进行密码重置
用户将启动 Web 浏览器并导航到 MIM 密码重置注册门户。 (通常此门户将使用 Windows 身份验证配置)。 在该门户中,他们将再次提供其用户名和密码以确认其身份。
他们需要进入密码注册门户,并使用他们的用户名和密码进行身份验证。
在 “电话号码 ”或“ 移动电话 ”字段中,他们必须输入国家/地区代码、空格和电话号码,然后单击“ 下一步”。
它是如何为用户提供服务的?
现在,所有内容均已配置并且正在运行,你可能想要知道用户在度假前重置了密码,但在回来后却意识到已经完全忘记了密码将经历哪些过程。
用户可以通过两种方法使用密码重置和帐户解锁功能:Windows 登录屏幕或自助服务门户。
通过在通过你组织的网络连接到 MIM 服务的加入域的计算机上安装 MIM 外接和扩展插件,用户可以在桌面登录时恢复忘记的密码。 以下步骤将引导你完成此过程。
集成了 Windows 桌面登录的密码重置
如果用户多次输入错误的密码,请在登录屏幕中选择单击“ 登录问题?” 。
单击此链接会将他们带入 MIM 密码重置屏幕,在该处他们可以更改其密码或解锁其帐户。
将引导用户进行身份验证。 如果已配置 MFA,用户将接到一个电话。
在后台,发生的情况是,MFA 提供商随后将电话呼叫到用户在注册服务时所拨打的号码。
当用户接听电话时,系统可能会要求他们进行交互,例如,在手机上按磅键 #。 然后,用户在门户中单击“下一步”。
如果还设置了其他入口,将要求在后续屏幕中提供详细信息。
注意
如果用户缺乏耐心,并且未按井号键 # 就单击“下一步”,身份验证将失败。
身份验证成功后,将提供给用户两个选项:解锁帐户并保持当前密码,或设置一个新密码。
然后,用户需要输入新密码两次才重置密码。
从自助服务门户访问
用户可以打开 Web 浏览器,导航到“密码重置门户”并输入其用户名,然后单击“下一步”。
如果已配置 MFA,用户将接到一个电话。 在后台,发生的情况是,Microsoft Entra多重身份验证,然后拨打电话呼叫用户在注册服务时提供的号码。
当用户接听电话时,他们将需要按下手机上的井号键 #。 然后,用户在门户中单击“下一步”。
如果还设置了其他入口,将要求在后续屏幕中提供详细信息。
注意
如果用户缺乏耐心,并且未按井号键 # 就单击“下一步”,身份验证将失败。
用户必须选择是否要重置其密码或解锁其帐户。 如果他们选择解锁其帐户,则会解锁该帐户。
身份验证成功后,将为用户提供两个选项:保留其当前密码或设置新密码。
如果用户选择重置其密码,他们将需要键入新密码两次,并单击“下一步”以更改密码。