運作方式:Microsoft Entra 自助式密碼重設
Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者直接變更或重設其密碼,而無需系統管理員或技術支援中心介入。 如果使用者的帳戶遭到鎖定,或使用者忘記其密碼,則可以遵循提示將他們自己解除封鎖,並繼續工作。 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 建議您觀看影片:如何在 Microsoft Entra ID 中啟用和設定 SSPR (英文)。
重要
此概念文章會向系統管理員說明自助式密碼重設的運作方式。 如果您是已註冊自助式密碼重設的使用者,而且需要取回您的帳戶,請移至 https://aka.ms/sspr。
如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。
密碼重設程序如何運作?
使用者可以使用 SSPR 入口網站來重設或變更其密碼。 他們必須先註冊其所需的驗證方法。 使用者存取 SSPR 入口網站時,Microsoft Entra 平台會考量下列因素:
- 如何將頁面當地語系化?
- 使用者帳戶是否有效?
- 使用者屬於哪個組織?
- 使用者的密碼在何處受到管理?
當使用者從應用程式或頁面選取 [無法存取您的帳戶] 連結,或直接移至 https://aka.ms/sspr 時,在 SSPR 入口網站中使用的語言會以下列選項為基礎:
- 依預設會使用瀏覽器地區設定以適當語言顯示 SSPR。 密碼重設體驗會當地語系化為 Microsoft 365 支援的相同語言。
- 如果您想要連結至採用特定當地語系化語言的 SSPR,請將
?mkt=連同所需的地區設定附加至密碼重設 URL 的結尾。- 例如,若要指定西班牙文 es-us 地區設定,請使用
?mkt=es-us- https://passwordreset.microsoftonline.com/?mkt=es-us。
- 例如,若要指定西班牙文 es-us 地區設定,請使用
SSPR 入口網站以所需的語言顯示後,系統會提示使用者輸入使用者識別碼並傳遞 Captcha。 Microsoft Entra ID 此時會執行下列檢查,以驗證使用者能夠使用 SSPR:
- 檢查使用者是否已啟用 SSPR。
- 如果使用者未啟用 SSPR,則系統會要求使用者連絡其管理員以重設其密碼。
- 檢查使用者是否已按照系統管理員原則,在其帳戶上定義正確的驗證方法。
- 如果原則只需要一項方法,請檢查使用者已針對管理員原則所啟用的至少一項驗證方法定義了適當的資料。
- 若未設定驗證方法,便會建議使用者連絡其管理員來重設其密碼。
- 如果原則需要兩項方法,請檢查使用者已針對管理員原則所啟用的至少兩項驗證方法定義了適當的資料。
- 若未設定驗證方法,便會建議使用者連絡其管理員來重設其密碼。
- 如果將 Azure 系統管理員角色指派給使用者,則會強制執行強式雙閘道密碼原則。 如需詳細資訊,請參閱系統管理員重設原則差異。
- 如果原則只需要一項方法,請檢查使用者已針對管理員原則所啟用的至少一項驗證方法定義了適當的資料。
- 查看使用者的密碼是否在內部部署進行管理,例如,Microsoft Entra 租用戶是否使用同盟、傳遞驗證或密碼雜湊同步:
- 如果已設定 SSPR 回寫,且在內部部署環境管理使用者的密碼,則允許使用者進行驗證及重設其密碼。
- 若未部署 SSPR 回寫,但在內部部署環境中管理使用者的密碼,則會要求使用者連絡其管理員來重設其密碼。
如果所有先前的檢查都順利完成,則會引導使用者完成重設或變更其密碼的程序。
注意
SSPR 可能會在密碼重設的過程中傳送電子郵件通知給使用者。 這些電子郵件會使用 SMTP 轉送服務來傳送,此服務會在數個區域間以主動-主動模式運作。
SMTP 轉送服務會接收並處理電子郵件內文,但不會加以儲存。 可能包含客戶所提供資訊的 SSPR 電子郵件內文,不會儲存在 SMTP 轉送服務記錄中。 記錄僅包含通訊協定中繼資料。
若要開始使用 SSPR,請完成下列教學課程:
登入時要求使用者註冊
如果使用者使用新式驗證或網頁瀏覽器來登入任何使用 Microsoft Entra ID 的應用程式,您可以啟用此選項以要求使用者完成 SSPR 註冊。 此工作流程包括下列應用程式︰
- Microsoft 365
- Microsoft Entra 系統管理中心
- 存取面板
- 同盟應用程式
- 使用 Microsoft Entra ID 的自訂應用程式
不需要註冊時,系統就不會在登入期間提示使用者,但他們可以手動註冊。 使用者可以造訪 https://aka.ms/ssprsetup 或選取存取面板中的 [設定檔] 索引標籤下方的 [註冊密碼重設] 連結。
注意
選取 [取消] 或關閉視窗,即可關閉 SSPR 註冊入口網站。 但當使用者每次登錄時,系統都會提示註冊,直到他們完成註冊為止。
註冊 SSPR 的這個插斷不會中斷已登入使用者的連線。
重新確認驗證資訊
為了在驗證方法需要重設或變更密碼時確保其正確性,您可以要求使用者在一段時間後確認其已註冊的資訊。 只有啟用 [登入時要求使用者註冊] 選項時,才能使用此選項。
提示使用者確認其已註冊方法的有效值為 0 到 730 天。 將此值設定為 0,表示一律不要求使用者確認其驗證資訊。 使用合併註冊體驗時,使用者必須先確認其身分識別,才能重新確認其資訊。
驗證方法
當使用者啟用 SSPR 時,他們必須註冊至少一個驗證方法。 強烈建議您選擇兩個或更多驗證方法,以便在無法存取所需的一個方法時,能有更大的彈性。 如需詳細資訊,請參閱什麼是驗證方法? \(部分機器翻譯\)。
下列驗證方法適用於 SSPR:
- 行動應用程式通知
- 行動應用程式驗證碼
- 電子郵件
- 行動電話
- 辦公室電話 (僅適用於具有付費訂用帳戶的租用戶)
- 安全性問題
使用者只有在註冊系統管理員已啟用的驗證方法時,才能夠重設其密碼。
警告
需要帳戶指派的 Azure 系統管理員角色,才能使用系統管理員重設原則差異一節中定義的方法。
必要驗證方法數目
您可以設定使用者必須提供多少個可用的驗證方法才能重設或解除鎖定其密碼。 此值可設定為一或二。
使用者應該註冊多個驗證方法,以便在無法存取某個方法時,以另一種方式登入。
如果使用者註冊的所需方法數目未達下限,便會在嘗試使用 SSPR 時看到錯誤頁面。 他們必須要求系統管理員重設其密碼。 如需詳細資訊,請參閱變更驗證方法。
行動應用程式和 SSPR
使用行動應用程式作為密碼重設的方法時,例如 Microsoft Authenticator,如果組織尚未移轉至集中式驗證方法原則,則適用下列考慮:
- 當系統管理員需要一個可用來重設密碼的方法時,驗證碼是唯一可用的選項。
- 當系統管理員需要兩種可用來重設密碼的方法時,使用者除了任何其他已啟用的方法之外,還能夠使用通知或驗證碼。
| 需要重設的方法數 | 一 | 二 |
|---|---|---|
| 可用的行動應用程式功能 | 代碼 | 程式碼或通知 |
使用者可以在 https://aka.ms/mfasetup 註冊其行動應用程式,或經由 https://aka.ms/setupsecurityinfo 在合併安全性資訊註冊中註冊。
重要
只需要一個驗證方法時,不可將 Authenticator 選取為唯一的驗證方法。 同樣地,在需要兩個方法時,不可選取 Authenticator 和唯一一個額外方法。
將包含 Authenticator 應用程式的 SSPR 原則設定為方法時,如果需要一個方法,則至少應選取一個額外的方法,且在至少須設定兩個方法時,應選取至少兩個額外的方法。
變更驗證方法
如果您從只有註冊一個重設或解除鎖定所需之驗證方法的原則開始,然後變更成兩個驗證方法,會發生什麼情況?
| 已註冊的方法數 | 所需的方法數 | 結果 |
|---|---|---|
| 1 或多個 | 1 | 能夠重設或解除鎖定 |
| 1 | 2 | 無法重設或解除鎖定 |
| 2 以上 | 2 | 能夠重設或解除鎖定 |
變更可用的驗證方法也可能會造成使用者的問題。 若變更可用的驗證方法,則未達最低可用資料量的使用者便無法使用 SSPR。
請考慮下列範例情況:
- 原始原則已設定兩個必要的驗證方法。 該原則僅使用辦公室電話號碼和安全性問題。
- 管理員將原則變更為不再使用安全性問題,但允許使用行動電話和備用電子郵件。
- 使用者若未填入行動電話或備用電子郵件欄位,現在就無法重設其密碼。
通知
為了提升對密碼事件的認知,SSPR 可讓您設定使用者和身分識別管理員的通知。
通知使用者密碼重設
如果此選項設定為 [是],則正在重設其密碼的使用者會收到一封電子郵件,通知他們密碼已變更。 電子郵件會透過 SSPR 入口網站傳送至儲存在 Microsoft Entra ID 中的主要和備用電子郵件地址。 如果未定義主要或備用電子郵件地址,SSPR 會透過使用者的使用者主體名稱 (UPN) 嘗試傳送電子郵件通知。 沒有人會接獲此重設事件的通知。
當其他系統管理員重設其密碼時通知所有系統管理員
如果此選項設定為 [是],則全域管理員會透過主要電子郵件地址 (儲存在 Microsoft Entra ID 中) 收到電子郵件。 此電子郵件會通知他們有其他管理員已使用 SSPR 變更其密碼。
注意
來自 SSPR 服務的電子郵件通知將會根據您正在使用的 Azure 雲端,從下列位址傳送出去:
- 公用:msonlineservicesteam@microsoft.com、msonlineservicesteam@microsoftonline.com
- 由 21Vianet 營運的 Microsoft Azure (中國 Azure):msonlineservicesteam@oe.21vianet.com、21Vianetonlineservicesteam@21vianet.com
- 適用於美國政府的 Azure:msonlineservicesteam@azureadnotifications.us、msonlineservicesteam@microsoftonline.us
如果您觀察到接收通知時發生問題,請檢查您的垃圾郵件設定。
若要自訂接收通知電子郵件的系統管理員,請使用 SSPR 自訂,並設定自訂技術支援中心連結或電子郵件。
內部部署整合
在混合式環境中,您可以設定 Microsoft Entra Connect 雲端同步,以將密碼變更事件從 Microsoft Entra ID 回寫至內部部署目錄。
Microsoft Entra ID 會檢查您目前的混合式連線,並在 Microsoft Entra 系統管理中心提供訊息。 如需解決可能錯誤的說明,請參閱疑難排解 Microsoft Entra Connect。
若要開始使用 SSPR 回寫,請完成下列教學課程:
將密碼寫回至內部部署目錄
您可以使用 Microsoft Entra 系統管理中心來啟用密碼回寫。 您也可以暫時停用密碼回寫,而不需要重新設定 Microsoft Entra Connect。
- 如果選項設定為 [是],則會啟用回寫。 同盟、傳遞驗證或密碼雜湊同步處理的使用者可以重設其密碼。
- 如果選項設定為 [否],則回寫會停用。 同盟、傳遞驗證或密碼雜湊同步處理的使用者無法重設其密碼。
允許使用者在不重設密碼的情況下解除鎖定帳戶
根據預設,Microsoft Entra ID 會在執行密碼重設時解除鎖定帳戶。 若要提供彈性,您可以選擇讓使用者能直接解除鎖定其內部部署帳戶,而無須重設其密碼。 請使用此設定來區隔這兩項作業。
- 如果設為 [是],將會提供使用者重設其密碼與解除鎖定帳戶的選項,或是在不重設密碼的情況下解除鎖定其帳戶的選項。
- 如果設定為 [否],使用者將只能執行合併的密碼重設和帳戶解除鎖定作業。
內部部署 Active Directory 密碼篩選器
SSPR 會在 Active Directory 中執行與管理員起始的密碼重設等效的作業。 若使用第三方密碼篩選器來強制執行自訂密碼規則,且需要在 Microsoft Entra 自助式密碼重設期間檢查此密碼篩選器,請確定已將第三方密碼篩選器解決方案設定為套用至管理員密碼重設案例。 依預設支援 Active Directory Domain Services 的 Microsoft Entra 密碼保護。
B2B 使用者的密碼重設
所有企業對企業 (B2B) 組態完全支援密碼重設和變更。 下列三種案例支援 B2B 使用者密碼重設:
- 來自具備現有 Microsoft Entra 租用戶之合作夥伴組織的使用者:若合作夥伴具備 Microsoft Entra 租用戶,我們會遵守該租用戶中啟用的任何密碼重設原則。 若要讓密碼重設得以運作,合作夥伴組織只需要確定已啟用 Microsoft Entra SSPR。 Microsoft 365 客戶無須額外付費。
- 使用自助式註冊功能進行註冊的使用者:若合作夥伴是使用自助式註冊功能進入租用戶,我們會讓他們利用其註冊的電子郵件重設密碼。
- B2B 使用者:使用新的 Microsoft Entra B2B 功能建立的所有新 B2B 使用者,也能夠利用其在邀請流程期間所註冊的電子郵件進行密碼重設。
若要測試此案例,請使用其中一個合作夥伴使用者前往 https://passwordreset.microsoftonline.com。 如果使用者有定義備用電子郵件或驗證電子郵件,密碼重設就會如預期般運作。
注意
若 Microsoft 帳戶已獲得您的 Microsoft Entra 租用戶存取權 (例如來自 Hotmail.com、Outlook.com 或其他個人電子郵件地址的帳戶),則無法使用 Microsoft Entra SSPR。 如需詳細資訊,請參閱您無法登入 Microsoft 帳戶時。
下一步
若要開始使用 SSPR,請完成下列教學課程:
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: