規劃 Microsoft Entra 自助式密碼重設部署
自助式密碼重設 (SSPR) 是 Microsoft Entra 功能,可讓使用者無需連絡 IT 人員尋求協助,便能重設其密碼。 無論何時何地,使用者都可以快速為自己解除封鎖並繼續工作。 透過讓員工自行為自己解除封鎖,組織便能針對最常見的密碼相關問題,得以減少無生產力的時間並降低高昂的支援成本。
SSPR 具有下列重要功能:
- 自助式服務可讓使用者重設其過期或未過期的密碼,無需連絡系統管理員或技術服務人員以尋求支援。
- 密碼回寫能允許透過雲端管理內部部署密碼及解決帳戶鎖定。
- 密碼管理活動報告能讓系統管理員針對其組織中所發生的密碼重設和註冊活動獲得深入解析。
此部署指南會說明如何規劃及測試 SSPR 推出。
若要先快速認識 SSPR 的運作方式,再回來了解更多部署上的考量:
提示
建議您在登入 Microsoft 365 系統管理中心時,搭配使用 規劃自助式密碼重設部署指南。 本指南會根據您的環境客製您的體驗。 若要在不登入且啟用自動化設定功能的狀況下檢閱最佳做法,請前往 M365 設定入口網站。
了解 SSPR
深入了解 SSPR。 請參閱運作方式:Microsoft Entra 自助式密碼重設。
主要優勢
啟用 SSPR 的主要優點為:
管理成本。 SSPR 可讓使用者自行重設密碼,藉此降低 IT 支援成本。 這也能降低因遺失密碼及鎖定所產生的時間成本。
直覺性使用者體驗。 這能提供直覺的一次性使用者註冊程序,讓使用者視需要從任何裝置或位置重設密碼並將帳戶解除封鎖。 SSPR 能讓使用者更快重返作業,並提高生產力。
靈活性和安全性。 SSPR 可讓企業存取雲端平台所提供的安全性和靈活性。 系統管理員可以變更設定來適應新的安全性需求,並在不中斷使用者登入的情況下向使用者推出這些變更。
強固的稽核和使用方式追蹤。 組織可以確保在使用者重設其密碼時,商務系統仍然能保持安全。 強固的稽核記錄會包含密碼重設程序之每個步驟的資訊。 這些記錄可以透過 API 提供,並讓使用者得以將資料匯入所選的安全性事件與事件監視 (SIEM) 系統。
授權
Microsoft Entra ID 是按使用者授權,這表示每個使用者針對其使用的功能都需要適當的授權。 我們建議針對 SSPR 使用以群組為基礎的授權。
若要比較版本和功能,以及啟用群組或使用者為基礎的授權,請參閱Microsoft Entra 自助式密碼重設的授權需求。
如需價格的詳細資訊,請參閱 Microsoft Entra 價格。
必要條件
引導式逐步解說
如需本文中許多建議的引導式逐步解說,在登入 Microsoft 365 系統管理中心時,請參閱規劃自助式密碼重設部署指南。 若要在不登入且啟用自動化設定功能的狀況下檢閱最佳做法,請前往 M365 設定入口網站。
訓練資源
資源 | 連結與說明 |
---|---|
影片 | 為您的使用者提供更好的 IT 可擴縮性 |
什麼是自助式密碼重設? | |
部署自助式密碼重設 | |
如何在 Microsoft Entra ID 中啟用和設定 SSPR | |
如何在 Microsoft Entra ID 中為使用者設定自助式密碼重設? | |
如何使用 Microsoft Entra ID [讓使用者準備好] 註冊 [其] 安全性資訊 | |
線上課程 | 在 Microsoft Entra ID 中管理身分識別使用 SSPR 來提供使用者現代化的受保護體驗。 請特別參閱「Managing Microsoft Entra Users and Groups 」模組。 |
開始使用 Microsoft Enterprise Mobility Suite 了解能提供驗證、授權、加密及安全行動裝置體驗的方式,將內部部署資產擴充到雲端的最佳做法。 請特別參閱「設定 Microsoft Entra ID P1 或 P2 的進階功能」模組。 | |
教學課程 | 完成 Microsoft Entra 自助式密碼重設試驗推出 |
啟用密碼回寫 | |
從 Windows 10 的登入畫面重設 Microsoft Entra 密碼 | |
常見問題集 | 密碼管理常見問題集 |
解決方案架構
下列範例會說明適用於常見混合式環境的密碼重設方案架構。
工作流程的說明
若要重設密碼,使用者須移至密碼重設入口網站。 他們必須驗證先前所註冊的單一或多個驗證方法,證明其身分識別。 如果他們成功重設密碼,即開始重設程序。
針對僅限雲端的使用者,SSPR 會將新密碼儲存在 Microsoft Entra ID。
針對混合式使用者,SSPR 會透過 Microsoft Entra Connect 服務將密碼回寫至內部部署 Active Directory。
請注意:針對已停用密碼雜湊同步 (PHS) 的使用者,SSPR 僅會將密碼儲存在內部部署 Active Directory。
最佳做法
您可以透過將 SSPR 和組織中另一個熱門的應用程式或服務一起部署,協助使用者快速註冊。 此動作將會產生大量登入活動並驅動註冊。
在部署 SSPR 之前,您可以選擇判定密碼重設呼叫的數量和平均成本。 您可以在部署後使用此資料來顯示 SSPR 為組織所帶來的價值。
SSPR 與 Microsoft Entra 多重要素驗證之合併註冊
SSPR 可讓使用者以安全的方式,透過與 Microsoft Entra 多重要素驗證相同的方法重設密碼。 合併註冊是終端使用者所適用的單一註冊步驟,可同時註冊 MFA 和 SSPR 方法。 若要確定您了解功能和終端使用者體驗,請參閱合併安全性資訊註冊概念。
請務必通知使用者即將進行的變更、註冊需求,以及任何必要的使用者動作。 我們提供通訊範本和使用者文件,為您的使用者準備新的體驗,並協助確保此體驗能順利推出。 選取該頁面的 [安全性資訊] 連結,將使用者傳送至 https://myprofile.microsoft.com 進行註冊。
規劃部署專案
在判定環境中此部署的策略時,請考慮您的組織需求。
包含正確的專案關係人
當技術專案失敗時,通常是因為人員對影響、成果與責任抱持不相符的預期而造成。 若要避免這些錯誤,請務必包含正確的利害關係人,並透過記錄利害關係人及其專案投入和責任,使該利害關係人清楚了解自身在專案中的角色。
必要的管理員角色
商務角色 (Role)/角色 (Persona) | Microsoft Entra 角色(如必要) |
---|---|
第 1 層技術服務人員 | 密碼系統管理員 |
第 2 層技術服務人員 | 使用者系統管理員 |
SSPR 系統管理員 | 驗證系統管理員 |
規劃試驗
我們建議在測試環境中進行 SSPR 的初始設定。 為組織中的使用者子集啟用 SSPR 執行,先從試驗群組開始執行。 請參閱試驗的最佳做法。
若要建立群組,請參閱如何在 Microsoft Entra ID 中建立群組和新增成員。
規劃設定
需要下列設定來搭配建議值啟用 SSPR。
區域 | 設定 | 值 |
---|---|---|
SSPR 屬性 | 已啟用自助式密碼重設 | 針對要進行試驗的群組使用 [已選取]/針對生產環境使用 [全部] |
驗證方法 | 註冊所需的驗證方法 | 一律比要求重設還多 1 種方法 |
重設所需的驗證方法 | 一種或兩種 | |
註冊 | 登入時要求使用者註冊 | 是 |
要求使用者重新確認其驗證資訊的等候天數 | 90 - 180 天 | |
通知 | 通知使用者密碼重設 | 是 |
當其他系統管理員重設其密碼時,通知所有系統管理員 | 是 | |
自訂 | 自訂技術服務人員連結 | 是 |
自訂技術服務人員電子郵件或 URL | 支援網站或電子郵件地址 | |
內部部署整合 | 將密碼回寫至內部部署 AD | 是 |
允許使用者在不重設密碼的情況下解除鎖定帳戶 | 是 |
SSPR 屬性
啟用 SSPR 時,請在試驗環境中選擇適當的安全性群組。
- 若要針對所有人強制執行 SSPR 註冊,建議使用 [全部] 選項。
- 否則,請選取適當的 Microsoft Entra ID 或 AD 安全性群組。
驗證方法
啟用 SSPR 時,只有在系統管理員已啟用的驗證方法中有資料存在時,使用者才能重設密碼。 方法包括電話、Authenticator 應用程式通知、安全性問題等。 如需詳細資訊,請參閱什麼是驗證方法?。
建議使用下列驗證方法設定:
將 [註冊所需的驗證方法] 設定為比重設所需數量至少還多一種。 允許多重驗證為使用者在需要重設時提供靈活性。
將 [重設所需的多種方法] 設定為適合您組織的層級。 設定一種會產生最少摩擦,而兩種則可能會增加您的安全性態勢。
請注意:使用者必須具備在 Microsoft Entra ID 中的密碼原則和限制中設定的驗證方法。
註冊設定
將 [登入時要求使用者註冊] 設定為 [是]。 此設定會要求使用者在登入時註冊,確保所有使用者都會受到保護。
將 [要求使用者重新確認其驗證資訊的等候天數] 設定為介於 90 到 180 天之間,除非您的組織具有較短時間範圍的業務需求。
通知設定
將 [通知使用者密碼重設] 和 [其他系統管理員重設其密碼時通知所有系統管理員] 設定為 [是]。 針對這兩個設定都選取 [是],能透過讓使用者知道其密碼已重設來提高安全性。 這也能確保所有系統管理員都會知道有系統管理員變更了密碼。 如果使用者或系統管理員收到通知,但其未執行該變更,他們即可立即回報潛在的安全性問題。
注意
來自 SSPR 服務的電子郵件通知將會根據您正在使用的 Azure 雲端,從下列位址傳送出去:
- 公用: msonlineservicesteam@microsoft.com
- 中國:msonlineservicesteam@oe.21vianet.com
- 政府:msonlineservicesteam@azureadnotifications.us
如果您注意到接收通知時發生問題,請檢查您的垃圾郵件設定。
自訂設定
請務必自訂技術服務人員電子郵件或 URL,確保遇到問題的使用者可立即取得協助。 將此選項設定為使用者熟悉的常用技術服務人員電子郵件地址或網頁。
如需詳細資訊,請參閱自訂 Microsoft Entra 的自助式密碼重設功能。
密碼回寫
密碼回寫是透過 Microsoft Entra Connect 啟用,並會將雲端中的密碼重設即時回寫至現有內部部署目錄。 如需詳細資訊,請參閱什麼是密碼回寫?
建議使用下列設定:
- 確定 [將密碼回寫至內部部署 AD] 已設定為 [是]。
- 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 設定為 [是]。
根據預設,Microsoft Entra ID 可以在執行密碼重設時解除鎖定帳戶。
系統管理員密碼設定
系統管理員帳戶具有更高權限。 內部部署企業或網域系統管理員無法透過 SSPR 重設其密碼。 內部部署系統管理帳戶具有下列限制:
- 只能在內部部署環境中變更密碼。
- 永遠無法使用祕密問答作為重設其密碼的方法。
建議您不要與 Microsoft Entra ID 同步您的內部部署 Active Directory 系統管理帳戶。
具有多重身分識別管理系統的環境
某些具有多個身分識別管理系統的環境。 內部部署身分識別管理員(例如 Oracle IAM 和 SiteMinder)需要與 AD 同步處理以取得密碼。 您可搭配 Microsoft Identity Manager (MIM) 使用如密碼變更通知服務 (PCNS) 等工具來執行此動作。 若要瞭解這種更為複雜案例的相關資訊,請參閱在網域控制站上部署 MIM 密碼變更通知服務一文。
規劃測試與支援
在您部署的每一個階段(從最先的試驗群組到全組織部署),請確保結果皆如您所預期。
規劃測試
若要確保您的部署會如預期般運作,請規劃一組測試案例來驗證實作。 若要評定測試案例,您需要一名具密碼但非系統管理員測試的使用者。 如需建立使用者,請參閱將新使用者新增至 Microsoft Entra ID。
下表包含實用的測試案例,可用來根據您的原則記錄組織預期的結果。
商務案例 | 預期結果 |
---|---|
SSPR 入口網站可從公司網路內部存取 | 由您的組織判定 |
SSPR 入口網站可從公司網路外部存取 | 由您的組織判定 |
在使用者未啟用密碼重設的情況下,從瀏覽器重設使用者密碼 | 使用者無法存取密碼重設流程 |
在使用者未註冊密碼重設的情況下,從瀏覽器重設使用者密碼 | 使用者無法存取密碼重設流程 |
使用者在系統強制執行密碼重設註冊時登入 | 系統提示使用者註冊安全性資訊 |
使用者在密碼重設註冊完成時登入 | 系統提示使用者註冊安全性資訊 |
使用者在沒有授權時,可存取 SSPR 入口網站 | 可存取 |
從已加入 Windows 10 Microsoft Entra 或已加入 Microsoft Entra 混合式的裝置鎖定畫面重設使用者密碼 | 使用者可以重設密碼 |
SSPR 註冊和使用方式資料會以近即時的方式提供給系統管理員 | 會透過稽核記錄提供 |
您也可以參閱完成 Microsoft Entra 自助式密碼重設試驗推出。 在此教學課程,您將在組織中啟用 SSPR 的試驗推出,並使用非系統管理員帳戶進行測試。
規劃支援
雖然 SSPR 通常不會產生使用者問題,請務必讓支援人員準備好處理可能發生的問題。 若要確保支援小組的成功,可以根據來自您使用者的問題建立常見問題集。 以下是一些範例:
案例 | 說明 |
---|---|
使用者沒有任何適用的註冊驗證方法 | 使用者正在嘗試重設密碼,但是其註冊的驗證方法並沒有任何一項適用(例如:他們將其手機留在家裡,且無法存取電子郵件) |
使用者無法透過辦公室電話或行動電話接收簡訊或來電 | 使用者正在嘗試透過簡訊或來電驗證其身分識別,但未收到簡訊/來電。 |
使用者無法存取密碼重設入口網站 | 使用者想要重設其密碼,但未啟用密碼重設,且無法存取頁面以更新密碼。 |
使用者無法設定新密碼 | 使用者已在密碼重設流程中完成驗證,但無法設定新密碼。 |
使用者在 Windows 10 裝置上看不到 [重設密碼] 連結 | 使用者正在嘗試從 Windows 10 鎖定畫面重設密碼,但是該裝置尚未與 Microsoft Entra ID 連動,或是 Microsoft Intune 裝置原則尚未啟用 |
規劃回復
若要回復部署:
針對單一使用者,請將該使用者從安全性群組中移除
針對群組,請將該群組從 SSPR 設定中移除
針對所有人,請為 Microsoft Entra 租用戶停用 SSPR
部署 SSPR
在部署之前,請確定您已完成下列操作:
現在已經準備好部署 SSPR!
請參閱啟用自助式密碼重設,取得設定下列領域的完整逐步指示。
在 Windows 中啟用 SSPR
針對執行 Windows 7、8、8.1 及 10 的電腦,您可以讓使用者在 Windows 登入畫面重設密碼
管理 SSPR
Microsoft Entra ID 可以透過稽核和報告來提供 SSPR 效能的額外資訊。
密碼管理活動報告
您可以在 Microsoft Entra 系統管理中心使用預先建置的報告,衡量 SSPR 效能。 如果您已適當地取得授權,則也可以建立自訂查詢。 如需詳細資訊,請參閱 Microsoft Entra 密碼管理的報告選項。
管理此功能需要全域系統管理員。
注意
您必須加入,才能為組織收集此資料。 若選擇加入,您必須至少瀏覽一次 Microsoft Entra 系統管理中心的 [報告] 索引標籤或稽核記錄。 在那之前,系統並不會為您的組織收集該資料。
針對註冊和密碼重設的稽核記錄,提供 30 天。 如果貴公司安全性稽核要求更長的保留期,即必須將該記錄匯出並透過 Microsoft Sentinel、Splunk 或 ArcSight 之類的 SIEM 工具加以取用。
驗證方法 - 使用方式和深入解析
使用方式和深入解析 讓您了解 Microsoft Entra 多重要素驗證和 SSPR 等功能的驗證方法在組織中的運作方式。 此報告功能可為您的組織提供了解註冊方法及其使用方式。
疑難排解
請遵循密碼管理常見問題集