教學課程:讓使用者使用 Azure Active Directory 自助式密碼重設來解除鎖定其帳戶或重設密碼

Azure Active Directory (Azure AD) 自助式密碼重設 (SSPR) 可讓使用者直接變更或重設其密碼,而無需系統管理員或技術支援中心介入。 如果 Azure AD 鎖定使用者的帳戶,或使用者忘記密碼,他們可以依照提示自行解除封鎖,以恢復權限。 當使用者無法登入其裝置或應用程式時,這項功能將可減少技術服務中心的通話量,並避免失去生產力。 建議您觀看如何在 Azure AD 中啟用和設定 SSPR 這部影片。 另外還有一部適合 IT 管理員的影片:解決 SSPR 六個最常見的終端使用者錯誤訊息

重要

此教學課程將說明系統管理員如何啟用自助式密碼重設。 如果您是已註冊自助式密碼重設的終端使用者,而且需要恢復帳戶,請前往 Microsoft Online 密碼重設頁面。

如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。

在本教學課程中,您將了解如何:

  • 對 Azure AD 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程序

影片教學課程

您也可以跟著相關影片一起操作:如何在 Azure AD 中啟用和設定 SSPR

必要條件

為了完成本教學課程,您需要下列資源和權限:

  • 至少已啟用 Azure AD 免費或試用版授權的有效 Azure AD 租用戶。 在免費層中,SSPR 僅可供 Azure AD 中的雲端使用者使用。 免費層支援密碼變更,但不支援密碼重設。
    • 在本系列的後續教學課程中,您需要 Azure AD Premium P1 或試用版授權,才能使用內部部署密碼回寫。
    • 如有需要,請建立免費的 Azure 帳戶
  • 具有「全域系統管理員」權限的帳戶。
  • 您已知密碼的非管理員使用者,例如 testuser。 在本教學課程中,您將使用此帳戶來測試終端使用者 SSPR 體驗。
  • 非系統管理員使用者所屬的群組,例如 SSPR-Test-Group。 在本教學課程中,您將為此群組啟用 SSPR。

啟用自助式密碼重設

Azure AD 可讓您針對 [無]、[已選取] 或 [所有] 使用者啟用 SSPR。 這項細微的功能可讓您選擇一部分的使用者來測試 SSPR 註冊程序和工作流程。 當您熟悉此程序,也到了該向更大一群使用者傳達需求的時候,就可以選取要啟用 SSPR 的一組使用者。 或者,您可以為 Azure AD 租用戶中的每個人啟用 SSPR。

注意

目前,在 Azure 入口網站中只能為一個 Azure AD 群組啟用 SSPR。 在更大規模的 SSPR 部署中,Azure AD 支援巢狀群組。

在本教學課程中,請為測試群組中的一組使用者設定 SSPR。 使用 SSPR-Test-Group,並視需要提供您自己的 Azure AD 群組:

  1. 使用具備「全域系統管理員」權限的帳戶登入 Azure 入口網站

  2. 搜尋並選取 [Azure Active Directory],然後從左側功能表中選取 [密碼重設]。

  3. 在 [屬性] 頁面的 [已啟用自助式密碼重設] 選項下,選擇 [已選取]。

  4. 如果看不到您的群組,請選擇 [未選取任何群組],瀏覽並選取您的 Azure AD 群組,例如 [SSPR-Test-Group],然後選擇 [選取]。

    Select a group in the Azure portal to enable for self-service password reset

  5. 若要為所選的使用者啟用 SSPR,請選取 [儲存]。

選取驗證方法和註冊選項

當使用者需要將帳戶解除鎖定或重設密碼時,系統會提示另一種確認方法。 此額外驗證因素確保 Azure AD 僅完成已核准的 SSPR 事件。 您可以根據使用者所提供的註冊資訊,選擇允許使用的驗證方法。

  1. 從 [驗證方法] 頁面左側的功能表中,將 [重設所需的方法數] 設定為 2。

    若要提升安全性,您可以增加 SSPR 所需的驗證方法數目。

  2. 選擇貴組織想要允許的 [使用者可用方法]。 在本教學課程中,請勾選方塊以啟用下列方法:

    • 行動應用程式通知
    • 行動應用程式程式碼
    • 電子郵件
    • 行動電話

    您可以視需要啟用其他驗證方法,例如「辦公室電話」或「安全性問題」,以滿足您的商務需求。

  3. 若要套用驗證方法,請選取 [儲存]。

使用者必須先註冊其連絡人資訊,才能解除鎖定其帳戶或重設密碼。 對於先前步驟中設定的各種驗證方法,Azure AD 會使用此連絡人資訊。

系統管理員可以手動提供此連絡人資訊,或使用者可以前往註冊入口網站來自行提供資訊。 在本教學課程中,請設定 Azure AD 在使用者下次登入時提示使用者註冊。

  1. 從 [註冊] 頁面左側的功能表中,針對 [要求使用者在登入時註冊] 選取 [是]。

  2. 將 [要求使用者重新確認其驗證資訊的等候天數] 設定為 180

    務必維持最新的連絡人資訊。 當 SSPR 事件啟動時,如果連絡人資訊已過期,使用者可能無法將帳戶解除鎖定或重設密碼。

  3. 若要套用註冊設定,請選取 [儲存]。

設定通知和自訂

若要隨時向使用者報告帳戶活動,您可以設定 Azure AD 在 SSPR 事件發生時傳送電子郵件通知。 這些通知可以涵蓋一般使用者帳戶和系統管理員帳戶。 當有人利用 SSPR 重設具有特殊權限的系統管理員帳戶密碼時,此通知還能另外提醒系統管理員帳戶注意。 當有人在系統管理員帳戶上使用 SSPR 時,Azure AD 會通知所有全域管理員。

  1. 從 [通知] 頁面左側的功能表中,設定下列選項:

    • 將 [是否要在密碼重設時通知使用者?] 選項設定為 [是]。
    • 將 [是否要在其他系統管理員重設他們的密碼時,通知所有的系統管理員?] 設定為 [是]。
  2. 若要套用通知喜好設定,請選取 [儲存]。

如果使用者在 SSPR 流程方面需要更多協助,您可以自訂「連絡您的系統管理員」連結。 在 SSPR 註冊流程中,以及當使用者將帳戶解除鎖定或重設密碼時,使用者可以選取此連結。 為了確保使用者獲得所需的支援,建議您提供自訂的技術服務人員電子郵件或 URL。

  1. 從 [自訂] 頁面左側的功能表中,將 [自訂技術服務人員連結] 設定為 [是]。
  2. 在 [自訂的技術服務人員電子郵件或 URL] 欄位中,提供電子郵件地址或網頁 URL,讓使用者從您的組織獲得更多協助,例如 https://support.contoso.com/
  3. 若要套用自訂連結,請選取 [儲存]。

測試自助式密碼重設

啟用並設定 SSPR 後,請從您在上一節選取的群組中 (例如 Test-SSPR-Group),挑一個使用者來測試 SSPR 流程。 下列範例使用 testuser 帳戶。 提供您自己的使用者帳戶。 這屬於您在本教學課程第一節中啟用 SSPR 的群組。

注意

當您測試自助式密碼重設時,請使用非系統管理員帳戶。 Azure AD 預設對管理員啟用自助式密碼重設。 管理員必須使用兩種驗證方法才能重設密碼。 如需詳細資訊,請參閱系統管理員重設原則差異

  1. 若要查看手動註冊程序,請在 InPrivate 或 Incognito 模式中開啟新的瀏覽器視窗,並瀏覽至 https://aka.ms/ssprsetup。 使用者下次登入時,Azure AD 會將使用者導向此註冊入口網站。

  2. 使用非管理員測試使用者登入 (例如 testuser),並註冊驗證方法連絡人資訊。

  3. 完成後,選取 [良好] 按鈕,然後關閉瀏覽器視窗。

  4. 以 InPrivate 或 Incognito 模式開啟新的瀏覽器視窗,並瀏覽至 https://aka.ms/sspr

  5. 輸入非管理員測試使用者的帳戶資訊 (例如 testuser),以及 CAPTCHA 中的字元,然後選取 [下一步]。

    Enter user account information to reset the password

  6. 依照驗證步驟重設您的密碼。 完成時,您會收到電子郵件通知,指出您的密碼已重設。

清除資源

在本系列稍後的教學課程中,您將設定密碼回寫。 這項功能會將密碼變更從 Azure AD SSPR 寫回內部部署 AD 環境。 如果您要繼續本教學課程系列來設定密碼回寫,請不要立即停用 SSPR。

如果不要再使用您在本教學課程中設定的 SSPR 功能,請使用下列步驟,將 SSPR 狀態設定為 [無]:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 [Azure Active Directory],然後從左側功能表中選取 [密碼重設]。
  3. 在 [屬性] 頁面的 [已啟用自助式密碼重設] 選項下,選取 [無]。
  4. 若要套用 SSPR 變更,請選取 [儲存]。

常見問題集

本節說明管理員和使用者嘗試 SSPR 時常見的問題:

  • 同盟使用者在看到 [您的密碼已重設] 之後,為什麼還要等將近 2 分鐘,才能使用從內部部署同步的密碼?

    就密碼已同步的同盟使用者來說,密碼的授權單位來源在內部。 因此,SSPR 只會更新內部部署密碼。 密碼雜湊同步回到 Azure AD 排定為每 2 分鐘一次。

  • 當新建立的使用者 (已預先填妥 SSPR 資料,例如電話和電子郵件) 造訪 SSPR 註冊頁面時,頁面標題會顯示 [避免您失去帳戶的存取權!]。 為什麼其他已預先填妥 SSPR 資料的使用者沒看到此訊息?

    如果使用者看到 [避免您失去帳戶的存取權!],則為租用戶已設定的 SSPR/合併註冊群組的成員。 如果使用者沒看到 [避免您失去帳戶的存取權!],則不是 SSPR/合併註冊群組的一部分。

  • 當某些使用者透過 SSPR 流程來重設密碼時,為什麼沒看到密碼強度指示器?

    如果使用者沒看到弱式/強式密碼強度,表示已啟用同步的密碼回寫。 由於 SSPR 無法判斷客戶內部部署環境的密碼原則,所以無法驗證密碼強弱。

後續步驟

在本教學課程中,您已針對所選的使用者群組啟用了 Azure AD 自助式密碼重設。 您已了解如何︰

  • 對 Azure AD 使用者群組啟用自助式密碼重設
  • 設定驗證方法和註冊選項
  • 以使用者身分測試 SSPR 程序