運作方式:Microsoft Entra 自助式密碼重設
Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者變更或重設其密碼,而不需要系統管理員或技術支援中心介入。 如果使用者的帳戶遭到鎖定,或使用者忘記其密碼,則可以遵循提示將他們自己解除封鎖,並繼續工作。 使用者無法登入其裝置或應用程式時,此功能可減少技術支援中心呼叫並喪失生產力。 我們建議這段影片說明 如何在 Microsoft Entra ID 中啟用和設定 SSPR。
重要
本概念性文章會向系統管理員說明自助式密碼重設的運作方式。 如果您是已註冊自助式密碼重設的使用者,且需要返回您的帳戶,請移至 https://aka.ms/sspr。
如果您的 IT 小組尚未啟用重設您自己的密碼的能力,請連絡技術服務人員以取得其他協助。
密碼重設程式如何運作?
用戶可以使用 SSPR 入口網站重設或變更其密碼。 他們必須先註冊所需的驗證方法。 當使用者存取 SSPR 入口網站時,Microsoft Entra ID 平台會考慮下列因素:
- 頁面應該如何當地語系化?
- 用戶帳戶是否有效?
- 用戶所屬的組織為何?
- 用戶的密碼管理在哪裡?
當使用者從應用程式或頁面選取 [無法存取您的帳戶 ] 連結,或直接移至 https://aka.ms/sspr時,SSPR 入口網站中使用的語言會以下列選項為基礎:
- 根據預設,瀏覽器地區設定會用來以適當的語言顯示 SSPR。 密碼重設體驗會當地語系化為 Microsoft 365 支援的相同語言。
- 如果您想要以特定當地語系化語言連結至 SSPR,請附加
?mkt=
至密碼重設 URL 結尾以及必要的地區設定。- 例如,若要指定西班牙文 es-us 地區設定,請使用
?mkt=es-us
https://passwordreset.microsoftonline.com/?mkt=es-us -
- 例如,若要指定西班牙文 es-us 地區設定,請使用
在 SSPR 入口網站以必要語言顯示之後,系統會提示使用者輸入使用者識別碼並傳遞 captcha。 Microsoft Entra ID 現在可藉由執行下列檢查來驗證使用者是否能夠使用 SSPR:
- 檢查使用者是否已啟用 SSPR。
- 如果未為 SSPR 啟用使用者,系統會要求使用者連絡其系統管理員以重設其密碼。
- 檢查使用者是否已根據系統管理員原則在其帳戶上定義正確的驗證方法。
- 如果原則只需要一種方法,請檢查使用者是否已針對系統管理員原則至少啟用的其中一個驗證方法定義適當的數據。
- 如果未設定驗證方法,建議使用者連絡其系統管理員重設其密碼。
- 如果原則需要兩種方法,請檢查使用者是否已針對系統管理員原則啟用的至少兩個驗證方法定義適當的數據。
- 如果未設定驗證方法,建議使用者連絡其系統管理員重設其密碼。
- 如果 Azure 系統管理員角色指派給使用者,則會強制執行強式雙門密碼原則。 如需詳細資訊,請參閱 管理員 istrator 重設原則差異。
- 如果原則只需要一種方法,請檢查使用者是否已針對系統管理員原則至少啟用的其中一個驗證方法定義適當的數據。
- 檢查使用者的密碼是否受內部部署管理,例如 Microsoft Entra 租使用者是否使用同盟、傳遞驗證或密碼哈希同步處理:
- 如果已設定 SSPR 回寫,且使用者的密碼是在內部部署管理,則允許使用者繼續驗證和重設其密碼。
- 如果未部署 SSPR 回寫,且使用者的密碼是在內部部署管理,則會要求使用者連絡其系統管理員重設其密碼。
如果所有先前的檢查都成功完成,則會引導用戶進行重設或變更其密碼的程式。
注意
SSPR 可能會在密碼重設程式中傳送電子郵件通知給使用者。 這些電子郵件會使用 SMTP 轉送服務來傳送,該服務會在數個區域中以主動-主動模式運作。
SMTP 轉送服務會接收及處理電子郵件本文,但不會儲存。 可能包含客戶提供資訊的 SSPR 電子郵件本文不會儲存在 SMTP 轉送服務記錄中。 記錄只包含通訊協議元數據。
若要開始使用 SSPR,請完成下列教學課程:
要求使用者在登入時註冊
如果使用者使用新式驗證或網頁瀏覽器使用 Microsoft Entra ID 登入任何應用程式,您可以啟用選項來要求使用者完成 SSPR 註冊。 此工作流程包含下列應用程式:
- Microsoft 365
- Microsoft Entra 系統管理中心
- 存取面板
- 同盟應用程式
- 使用 Microsoft Entra 識別碼的自訂應用程式
當您不需要註冊時,使用者不會在登入期間收到提示,但可以手動註冊。 使用者可以瀏覽https://aka.ms/ssprsetup或選取 存取面板 [配置檔] 索引標籤底下的 [註冊密碼重設] 連結。
![Microsoft Entra 系統管理中心的 SSPR 註冊選項][註冊]
注意
用戶可以選取 [取消 ] 或關閉視窗來關閉 SSPR 註冊入口網站。 不過,系統會在每次登入時提示他們註冊,直到完成註冊為止。
如果 SSPR 已經登入,則註冊 SSPR 的這個中斷不會中斷用戶的連線。
重新確認驗證資訊
若要確定驗證方法在需要重設或變更其密碼時正確無誤,您可以要求使用者在一段時間后確認其資訊註冊資訊。 只有在您啟用 [登入時需要用戶註冊] 選項時 ,才能使用此選項。
提示使用者確認其已註冊方法 的有效值為 0 到 730 天。 將此值設定為 0 表示永遠不會要求使用者確認其驗證資訊。 使用合併註冊體驗時,用戶必須先確認其身分識別,再重新確認其資訊。
驗證方法
為 SSPR 啟用使用者時,他們必須註冊至少一個驗證方法。 強烈建議您選擇兩個或多個驗證方法,讓使用者在需要時無法存取一個方法時具有更大的彈性。 如需詳細資訊,請參閱 什麼是驗證方法?。
下列驗證方法適用於 SSPR:
- 行動應用程式通知
- 行動應用程式驗證碼
- 電子郵件
- 行動電話
- 辦公室電話(僅適用於具有付費訂用帳戶的租使用者)
- 安全性問題
如果使用者已註冊系統管理員已啟用的驗證方法,則只能重設其密碼。
警告
指派 Azure 系統管理員角色的帳戶必須使用如 管理員 重設原則差異一節中所定義的方法。
![Microsoft Entra 系統管理中心的驗證方法選取專案][驗證]
所需的驗證方法數目
您可以設定使用者必須提供以重設或解除鎖定其密碼的可用驗證方法數目。 此值可以設定為一或兩個。
用戶可以和應該註冊多個驗證方法。 同樣地,強烈建議用戶註冊兩個以上的驗證方法,以便在需要時無法存取一種方法時,他們有更多的彈性。
如果用戶嘗試使用 SSPR 時,註冊的必要方法數目下限,他們會看到錯誤頁面,指示他們要求系統管理員重設其密碼。 如果您已註冊 SSPR 的現有使用者,則請小心將所需的方法數目從一個增加到兩個,然後他們就無法使用此功能。 如需詳細資訊,請參閱下一節以 變更驗證方法。
行動應用程式和 SSPR
使用行動應用程式作為密碼重設的方法時,如 Microsoft Authenticator 應用程式,如果組織尚未 移轉至集中式驗證方法原則,則適用下列考慮:
- 當系統管理員需要使用一種方法來重設密碼時,驗證碼是唯一可用的選項。
- 當系統管理員需要兩種方法來重設密碼時,除了任何其他啟用的方法之外,使用者還能使用通知 或 驗證碼。
需要重設的方法數 | 一 | 二 |
---|---|---|
可用的行動應用程式功能 | 代碼 | 程式代碼或通知 |
用戶可以在 https://aka.ms/mfasetup註冊其行動應用程式,或在的合併安全性資訊註冊中註冊 https://aka.ms/setupsecurityinfo。
重要
如果驗證器應用程式在只需要一個方法時,無法選取為唯一的驗證方法。 同樣地,當需要兩種方法時,無法選取 Authenticator 應用程式和一個額外的方法。
當將包含 Authenticator 應用程式的 SSPR 原則設定為方法時,至少應選取一個額外的方法,當需要一個方法時,至少應該選取兩個額外的方法,而且在設定兩種方法時至少應該選取兩個方法。
變更驗證方法
如果您從只有一個必要驗證方法進行重設或解除鎖定的原則開始,並將它變更為兩種方法,會發生什麼事?
已註冊的方法數目 | 所需的方法數目 | 結果 |
---|---|---|
1 或多個 | 1 | 能夠 重設或解除鎖定 |
1 | 2 | 無法 重設或解除鎖定 |
2 以上 | 2 | 能夠 重設或解除鎖定 |
變更可用的驗證方法也可能會導致使用者發生問題。 如果您變更使用者可以使用的驗證方法類型,如果用戶沒有可用的最小數據量,可能會不小心阻止使用者使用 SSPR。
請考慮下列範例情況:
- 原始原則已設定為需要兩種驗證方法。 它只會使用辦公室電話號碼和安全性問題。
- 系統管理員會將原則變更為不再使用安全性問題,但允許使用行動電話和備用電子郵件。
- 沒有行動電話或替代電子郵件欄位的用戶現在無法重設其密碼。
通知
為了改善密碼事件的感知,SSPR 可讓您設定使用者和身分識別系統管理員的通知。
在密碼重設時通知使用者
如果此選項設定為 [是],則使用者重設其密碼會收到一封電子郵件,通知他們密碼已變更。 電子郵件會透過 SSPR 入口網站傳送至儲存在 Microsoft Entra ID 中的主要和替代電子郵件位址。 如果未定義主要或替代電子郵件位址,SSPR 會透過使用者用戶主體名稱 (UPN) 嘗試電子郵件通知。 沒有其他人收到重設事件的通知。
當其他系統管理員重設其密碼時,通知所有系統管理員
如果此選項設定為 [是],則 Global 管理員 istrators 會收到電子郵件至儲存在 Microsoft Entra ID 中的主要電子郵件位址。 電子郵件會通知他們,另一位系統管理員已使用 SSPR 變更其密碼。
注意
SSPR 服務的電子郵件通知會根據您正在使用的 Azure 雲端,從下列位址傳送:
- 公用: msonlineservicesteam@microsoft.com、 msonlineservicesteam@microsoftonline.com
- Azure China 21Vianet: msonlineservicesteam@oe.21vianet.com、 21Vianetonlineservicesteam@21vianet.com
- 適用於美國政府的 Azure: msonlineservicesteam@azureadnotifications.us、 msonlineservicesteam@microsoftonline.us
如果您發現接收通知時發生問題,請檢查您的垃圾郵件設定。
如果您想要自定義系統管理員接收通知電子郵件,請使用 SSPR 自定義並 設定自定義技術服務人員連結或電子郵件。
內部部署整合
如果您有混合式環境,您可以設定 Microsoft Entra 連線,將密碼變更事件從 Microsoft Entra ID 寫回內部部署目錄。
![驗證內部部署整合的 Microsoft Entra ID 已啟用密碼回寫][回寫]
Microsoft Entra ID 會檢查您目前的混合式連線,並在 Microsoft Entra 系統管理中心提供下列其中一則訊息:
- 您的內部部署回寫用戶端已啟動並執行。
- Microsoft Entra ID 已上線,且已連線到您的內部部署回寫用戶端。 不過,看起來已安裝的 Microsoft Entra 連線 版本已過期。 請考慮升級 Microsoft Entra 連線,以確保您有最新的連線功能和重要的錯誤修正。
- 不幸的是,我們無法檢查您的內部部署回寫客戶端狀態,因為已安裝的 Microsoft Entra 連線 版本已過期。 升級 Microsoft Entra 連線,以檢查您的連線狀態。
- 可惜的是,我們目前無法連線到您的內部部署回寫用戶端。 針對 Microsoft Entra 連線 進行疑難解答,以還原連線。
- 不幸的是,我們無法連線到您的內部部署回寫客戶端,因為密碼回寫尚未正確設定。 設定密碼回 寫以還原連線。
- 可惜的是,我們目前無法連線到您的內部部署回寫用戶端。 這可能是由於我們這一端的暫時性問題所造成。 如果問題持續發生,請針對 Microsoft Entra 進行疑難解答 連線 以還原連線。
若要開始使用 SSPR 回寫,請完成下列教學課程:
將密碼寫回內部部署目錄
您可以使用 Microsoft Entra 系統管理中心來啟用密碼回寫。 您也可以暫時停用密碼回寫,而不需要重新設定 Microsoft Entra 連線。
- 如果選項設定為 [是],則會啟用回寫。 同盟、傳遞驗證或密碼哈希同步處理的用戶能夠重設其密碼。
- 如果選項設定為 [否],則會停用回寫。 同盟、傳遞驗證或密碼哈希同步處理的用戶無法重設其密碼。
允許使用者解除鎖定帳戶而不重設其密碼
根據預設,Microsoft Entra ID 會在執行密碼重設時解除鎖定帳戶。 若要提供彈性,您可以選擇允許使用者解除鎖定其內部部署帳戶,而不需要重設其密碼。 使用此設定來分隔這兩項作業。
- 如果設定為 [是],則會提供使用者重設其密碼和解除鎖定帳戶的選項,或將帳戶解除鎖定,而不需要重設密碼。
- 如果設定為 [否],則使用者只能執行合併的密碼重設和帳戶解除鎖定作業。
內部部署 Active Directory 密碼篩選器
SSPR 會在 Active Directory 中執行相當於系統管理員起始的密碼重設。 如果您使用第三方密碼篩選器來強制執行自定義密碼規則,而且您必須在 Microsoft Entra 自助式密碼重設期間檢查此密碼篩選器,請確定第三方密碼篩選解決方案已設定為在系統管理員密碼重設案例中套用。 默認支援 Active Directory 網域服務 的 Microsoft Entra 密碼保護。
B2B 用戶的密碼重設
所有企業對企業 (B2B) 組態都完全支持密碼重設和變更。 下列三種情況支援 B2B 用戶密碼重設:
- 來自具有現有 Microsoft Entra 租使用者之合作夥伴組織的使用者:如果您合作的組織擁有現有的 Microsoft Entra 租使用者,我們會遵守該租使用者上已啟用的任何密碼重設原則。 若要讓密碼重設能夠運作,合作夥伴組織只需要確定已啟用 Microsoft Entra SSPR。 Microsoft 365 客戶不需要額外費用。
- 透過 自助式註冊註冊的使用者:如果您合作的組織使用 自助式註冊 功能進入租用戶,我們會讓他們使用他們註冊的電子郵件重設密碼。
- B2B 使用者:使用新 Microsoft Entra B2B 功能建立的任何新 B2B 使用者,也可以使用他們在邀請程式期間註冊的電子郵件重設其密碼。
若要測試此案例,請前往 https://passwordreset.microsoftonline.com 其中一個合作夥伴使用者。 如果已定義替代電子郵件或驗證電子郵件,密碼重設會如預期般運作。
注意
已授與來賓存取 Microsoft Entra 租使用者的 Microsoft 帳戶,例如來自 Hotmail.com、Outlook.com 或其他個人電子郵件地址的帳戶,都無法使用 Microsoft Entra SSPR。 他們需要使用「無法登入 Microsoft 帳戶」一文中找到的信息來重設其密碼。
下一步
若要開始使用 SSPR,請完成下列教學課程: