分享方式:

針對 Microsoft Entra 自助式密碼重設 (SSPR) 預先填入使用者驗證連絡人資訊

  • 文章

若要使用 Microsoft Entra 自助式密碼重設 (SSPR),使用者的驗證資訊必須存在。 多數組織都會讓使用者在收集 MFA 的資訊時自行註冊其驗證資料。 某些組織偏好透過同步處理已存在於 Active Directory Domain Services (AD DS) 中的驗證資料來啟動此程序。 同步處理的資料可供 Microsoft Entra ID 和 SSPR 使用而無須使用者互動。 當使用者需要變更或重設其密碼時,即使他們先前未註冊其連絡人資訊,也可以完成操作。

如果您符合下列需求,您可以預先填入驗證連絡人資訊:

  • 您已將內部部署目錄中的資料正確格式化。
  • 您已為 Microsoft Entra 租用戶設定 Microsoft Entra Connect

電話號碼的格式必須是 +CountryCode PhoneNumber,例如 +1 4251234567

注意

國碼 (地區碼) 和電話號碼之間必須有空格。

密碼重設不支援電話分機。 即使採用 +1 4251234567X12345 格式,撥號之前都會移除分機號碼。

填入的欄位

如果您使用 Microsoft Entra Connect 中的預設設定,則會執行下列對應以針對 SSPR 填入驗證連絡人資訊:

內部部署的 Active Directory Microsoft Entra ID
telephoneNumber 辦公室電話
mobile 行動電話

使用者確認其行動電話號碼之後,在 Microsoft Entra ID [驗證連絡資訊] 下方的 [電話] 欄位也會填入該號碼。

驗證連絡資訊

在 Microsoft Entra 系統管理中心 Microsoft Entra 使用者的 [驗證方法] 頁面上,那些至少被分配了 [特殊權限驗證系統管理員] 角色的人員可以手動設定任何人的驗證連絡人資訊。 您可以在 [可使用的驗證方法] 區段底下檢視現有的方法,或是 [+新增驗證方法],如下列範例螢幕擷取畫面所示:

如何管理驗證方法的螢幕擷取畫面

下列考量適用於此驗證連絡人資訊:

  • 如果 [電話] 欄位已填入,且 SSPR 原則中的 [行動電話] 已啟用,則使用者會在密碼重設註冊頁面上及密碼重設工作流程中看到此號碼。
  • 如果 [電子郵件] 欄位已填入,且 SSPR 原則中的 [電子郵件] 已啟用,則使用者會在密碼重設註冊頁面上及密碼重設工作流程中看到此電子郵件。

安全性問答

安全性問答會安全地儲存在您的 Microsoft Entra 租用戶中,而且只能透過我的安全性資訊合併註冊體驗來存取使用者。 系統管理員無法看到、設定或修改其他使用者的問答內容。

使用者註冊時的情況

當使用者註冊時,註冊頁面會設定下列欄位:

  • 驗證電話
  • 驗證電子郵件
  • 安全性問答

如果您提供 [行動電話] 或 [備用電子郵件] 的值,使用者即使尚未註冊此服務,也可以立即使用這些值來重設其密碼。

使用者也會在第一次註冊時看到這些值,並可視需要加以修改。 成功註冊之後,這些值就會分別保存在 [驗證電話] 和 [驗證電子郵件] 欄位中。

透過 PowerShell 設定和讀取驗證資料

以下是可透過 PowerShell 設定的欄位:

  • 備用電子郵件
  • 行動電話
  • 辦公室電話
    • 只有在未與內部部署目錄同步處理時才能設定。

您可以使用 Microsoft Graph PowerShell 與 Microsoft Entra ID 互動,或使用 Microsoft Graph REST API 來管理驗證方法

使用 Microsoft Graph PowerShell

首先,下載並安裝 Microsoft Graph PowerShell 模組

若要從支援 Install-Module 的最新 PowerShell 版本快速安裝,請執行下列命令。 第一行會檢查是否已經安裝模組:

Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"

安裝模組之後,請使用下列步驟來設定每個欄位。

使用 Microsoft Graph PowerShell 設定驗證資料

Connect-MgGraph -Scopes "User.ReadWrite.All"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"

Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"

使用 Microsoft Graph PowerShell 讀取驗證資料

Connect-MgGraph -Scopes "User.Read.All"

Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones

Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table

下一步

為使用者預先填入驗證連絡人資訊之後,請完成下列教學課程以啟用自助式密碼重設:

啟用 Microsoft Entra 自助式密碼重設