教學課程:讓使用者使用 Microsoft Entra 自助式密碼重設來解除鎖定其帳戶或重設密碼
Microsoft Entra 自助式密碼重設 (SSPR) 可讓使用者直接變更或重設其密碼,而無需系統管理員或支援人員介入。 如果 Microsoft Entra ID 鎖定使用者帳戶,或使用者忘記密碼,他們可以依照提示自行解除封鎖,以恢復權限。 使用者無法登入其裝置或應用程式時,此功能可減少支援人員呼叫並喪失生產力。 建議您觀看影片:如何在 Microsoft Entra ID 中啟用和設定 SSPR。 另外還有一部適合 IT 管理員的影片:解決 SSPR 六個最常見的終端使用者錯誤訊息。
重要
此教學課程將說明系統管理員如何啟用自助式密碼重設。 如果您是已註冊自助式密碼重設的終端使用者,而且需要恢復帳戶,請前往 Microsoft Online 密碼重設頁面。
如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。
在本教學課程中,您將了解如何:
- 針對 Microsoft Entra 使用者群組啟用自助式密碼重設
- 設定驗證方法和註冊選項
- 以使用者身分測試 SSPR 流程
重要
在 2023 年 3 月,我們宣佈淘汰在舊版多重要素驗證和自助式密碼重設 (SSPR) 原則中管理驗證方法。 從 2025 年 9 月 30 日起,無法在這些舊版 MFA 和 SSPR 原則中管理驗證方法。 我們建議客戶在淘汰日期之前,使用手動移轉控制項移轉至驗證方法原則。
影片教學課程
您也可以跟著相關影片一起操作:如何在 Microsoft Entra ID 中啟用和設定 SSPR。
必要條件
為了完成本教學課程,您需要下列資源和權限:
- 密碼重設需要至少具有 Microsoft Entra ID P1 授權的運作中 Microsoft Entra 租用戶。 如需 Microsoft Entra ID 中密碼變更和密碼重設之授權需求的詳細資訊,請參閱 Microsoft Entra 自助式密碼重設的授權需求。
- 至少具有驗證原則管理員角色的帳戶。
- 您已知密碼的非管理員使用者,例如 testuser。 在本教學課程,您將使用此帳戶來測試終端使用者 SSPR 體驗。
- 若要建立使用者,請參閱快速入門:將新使用者新增至 Microsoft Entra ID。
- 非系統管理員使用者所屬的群組,例如 SSPR-Test-Group。 在本教學課程,您將為此群組啟用 SSPR。
- 如果您需要建立群組,請參閱使用 Microsoft Entra ID 建立基本群組並新增成員。
啟用自助密碼重設
提示
本文中的步驟可能會依據您開始的入口網站而稍有不同。
Microsoft Entra ID 可讓您針對 [無]、[已選取] 或 [所有] 使用者啟用 SSPR。 這項細微的功能可讓您選擇一部分的使用者來測試 SSPR 註冊流程和工作流程。 當您熟悉此程序,也到了該向更大一群使用者傳達需求的時候,就可以選取要啟用 SSPR 的一組使用者。 或者,您可以為 Microsoft Entra 租用戶中的每個人啟用 SSPR。
注意
目前,您只能使用 Microsoft Entra 系統管理中心,針對一個Microsoft Entra 群組啟用 SSPR。 在更大規模的 SSPR 部署,Microsoft Entra ID 支援巢狀群組。
在本教學課程,請為測試群組中的一組使用者設定 SSPR。 使用 SSPR-Test-Group,並視需要提供您自己的 Microsoft Entra 群組:
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
從左側功能表,瀏覽至 [保護]>[密碼重設]。
在屬性頁面的 [已啟用自助式密碼重設] 選項下,選擇 [已選取]。
如果看不到您的群組,請選擇 [未選取任何群組],瀏覽並選取您的 Microsoft Entra 群組(例如 SSPR-Test-Group),然後選擇 [選取]。
若要為所選的使用者啟用 SSPR,請選取 [儲存]。
選取驗證方法和註冊選項
當使用者需要將帳戶解除鎖定或重設密碼時,系統會提示另一種確認方法。 此額外驗證因素確保 Microsoft Entra ID 僅完成已核准的 SSPR 事件。 您可以根據使用者所提供的註冊資訊,選擇允許使用的驗證方法。
從 [驗證方法] 頁面左側的功能表中,將 [重設所需的方法數] 設定為 [2]。
若要提升安全性,您可以增加 SSPR 所需的驗證方法數目。
選擇貴組織想要允許的 [使用者可用方法]。 在本教學課程中,請勾選方塊以啟用下列方法:
- 行動應用程式通知
- 行動應用程式程式碼
- 電子郵件
- 行動電話
您可以視需要啟用其他驗證方法,例如辦公室電話或安全性問題,滿足您的商務需求。
若要套用驗證方法,請選取 [儲存]。
使用者必須先註冊其連絡人資訊,才能解除鎖定其帳戶或重設密碼。 對於先前步驟中設定的各種驗證方法,Microsoft Entra ID 會使用此連絡人資訊。
系統管理員可以手動提供此連絡人資訊,或使用者可以前往註冊入口網站來自行提供資訊。 在本教學課程,請設定 Microsoft Entra ID 在使用者下次登入時提示他們進行註冊。
從 [註冊] 頁面左側的功能表中,針對 [要求使用者在登入時註冊] 選取 [是]。
將 [要求使用者重新確認其驗證資訊的等候天數] 設定為 [180]。
務必維持最新的連絡人資訊。 當 SSPR 事件啟動時,如果連絡人資訊已過期,使用者可能無法將帳戶解除鎖定或重設密碼。
若要套用註冊設定,請選取 [儲存]。
注意
只有在符合設定上設定的條件時,才會出現登入期間要求註冊連絡人資訊的中斷,並且僅適用於能夠使用 Microsoft Entra 自助式密碼重設來重設密碼的使用者和系統管理員帳戶。
設定通知和自訂
若要隨時向使用者通知帳戶活動,您可以設定 Microsoft Entra ID 在 SSPR 事件發生時傳送電子郵件通知。 這些通知可以涵蓋一般使用者帳戶和系統管理員帳戶。 當有人利用 SSPR 重設具有特殊權限的系統管理員帳戶密碼時,此通知還能另外提醒系統管理員帳戶注意。 當有人在系統管理員帳戶上使用 SSPR 時,Microsoft Entra ID 會通知所有全域管理員。
從 [通知] 頁面左側的功能表中,設定下列選項:
- 將 [是否要在密碼重設時通知使用者?] 選項設定為 [是]。
- 將 [是否要在其他系統管理員重設他們的密碼時,通知所有的系統管理員?] 設定為 [是]。
若要套用通知喜好設定,請選取 [儲存]。
如果使用者在 SSPR 流程方面需要更多協助,您可以自訂「連絡您的系統管理員」連結。 在 SSPR 註冊流程,以及當使用者將帳戶解除鎖定或重設密碼時,使用者可以選取此連結。 為了確保使用者獲得所需的支援,建議您提供自訂的技術服務人員電子郵件或 URL。
- 從自訂頁面左側的功能表中,將 [自訂技術服務人員連結] 設定為 [是]。
- 在自訂的技術服務人員電子郵件或 URL 欄位,提供電子郵件地址或網頁 URL,讓使用者從您的組織獲得更多協助,例如 https://support.contoso.com/
- 若要套用自訂連結,請選取 [儲存]。
測試自助式密碼重設
啟用並設定 SSPR 後,請從您在上一節選取的群組中(例如 Test-SSPR-Group),挑一個使用者來測試 SSPR 流程。 下列範例使用 [testuser] 帳戶。 提供您自己的使用者帳戶。 這屬於您在本教學課程第一節中啟用 SSPR 的群組。
注意
當您測試自助式密碼重設時,請使用非系統管理員帳戶。 Microsoft Entra ID 預設會針對系統管理員啟用自助式密碼重設。 管理員必須使用兩種驗證方法才能重設密碼。 如需詳細資訊,請參閱系統管理員重設原則差異。
若要查看手動註冊程序,請在 InPrivate 或 Incognito 模式中開啟新的瀏覽器視窗,並瀏覽至 https://aka.ms/ssprsetup。 使用者下次登入時,Microsoft Entra ID 會將使用者導向此註冊入口網站。
使用非管理員測試使用者登入(例如 [testuser]),並註冊驗證方法連絡人資訊。
完成後,選取 [良好] 按鈕,然後關閉瀏覽器視窗。
以 InPrivate 或 Incognito 模式開啟新的瀏覽器視窗,並瀏覽至 https://aka.ms/sspr。
輸入非管理員測試使用者的帳戶資訊(例如 [testuser]),以及 CAPTCHA 中的字元,然後選取 [下一步]。
依照驗證步驟重設您的密碼。 完成時,您會收到電子郵件通知,指出密碼已重設。
清理資源
在本系列稍後的教學課程中,您將設定密碼回寫。 這項功能會將密碼變更從 Microsoft Entra SSPR 寫回內部部署 AD 環境。 如果您要繼續本教學課程系列來設定密碼回寫,請不要立即停用 SSPR。
如果不要再使用您在本教學課程中設定的 SSPR 功能,請使用下列步驟,將 SSPR 狀態設定為 [無]:
- 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[密碼重設]。
- 在屬性頁面的 [已啟用自助式密碼重設] 選項下,選取 [無]。
- 若要套用 SSPR 變更,請選取 [儲存]。
常見問題集
本節說明管理員和使用者嘗試 SSPR 時常見的問題:
為什麼 SSPR 期間不會顯示內部部署密碼原則?
目前,Microsoft Entra Connect 和雲端同步不支援與雲端共用密碼原則詳細資料。 SSPR 只會顯示雲端密碼原則詳細資料,且無法顯示內部部署原則。
同盟使用者在看到 [密碼已重設]之後,為什麼還要等將近 2 分鐘,才能使用從內部部署同步的密碼?
就密碼已同步的同盟使用者來說,密碼的授權單位來源在內部部署。 因此,SSPR 只會更新內部部署密碼。 密碼雜湊同步回到 Microsoft Entra ID 排定為每 2 分鐘一次。
當新建立的使用者 (已預先填妥 SSPR 資料,例如電話和電子郵件) 造訪 SSPR 註冊頁面時,頁面標題會顯示 [避免您失去帳戶的存取權!]。 為什麼其他已預先填妥 SSPR 資料的使用者沒看到此訊息?
如果使用者看到 [避免您失去帳戶的存取權!],則為租用戶已設定的 SSPR/合併註冊群組的成員。 如果使用者沒看到 [避免您失去帳戶的存取權!],則不是 SSPR/合併註冊群組的一部分。
當某些使用者透過 SSPR 流程來重設密碼時,為什麼沒看到密碼強度指示器?
如果使用者沒看到弱式/強式密碼強度,表示已啟用同步的密碼回寫。 由於 SSPR 無法判定客戶內部部署環境的密碼原則,所以無法驗證密碼強弱。
下一步
在本教學課程中,您已針對所選的使用者群組啟用了 Microsoft Entra 自助式密碼重設。 您已了解如何︰
- 針對 Microsoft Entra 使用者群組啟用自助式密碼重設
- 設定驗證方法和註冊選項
- 以使用者身分測試 SSPR 流程