自助式密碼重設部署選項
重要
2022 年 9 月,Microsoft 宣佈淘汰 Azure MFA 伺服器。 從 2024 年 9 月 30 日起,Azure Multi-Factor Authentication Server 部署不再服務多重要素驗證 (MFA) 要求。 Azure Multi-Factor Authentication Server 的客戶必須改為使用自定義 MFA 提供者搭配 MIM SSPR,或Microsoft Entra SSPR 而非 MIM SSPR。
對於獲得 Microsoft Entra ID P1 或 P2 授權的新客戶,我們建議使用 Microsoft Entra 自助式密碼重設來提供用戶體驗。 Microsoft Entra 自助式密碼重設提供網頁式和 Windows 整合式體驗,讓使用者重設自己的密碼,並支援許多與 MIM 相同的功能,包括替代電子郵件和 Q&A 閘道。 部署Microsoft Entra 自助式密碼重設時,您可以設定 Microsoft Entra Connect 將新密碼寫回 AD DS,而 MIM 密碼變更通知服務 可用來將密碼轉送至其他系統,例如另一個廠商的目錄伺服器。 部署 MIM 以進行 密碼管理 不需要部署 MIM 服務或 MIM 自助式密碼重設或註冊入口網站。 相反地,您可以遵循下列步驟:
- 首先,如果您需要將密碼傳送至 Microsoft Entra ID 和 AD DS 以外的目錄,請將 MIM 同步處理與連接器部署至 Active Directory 網域服務 和任何其他目標系統,設定 MIM 以進行密碼管理,並部署密碼變更通知服務。
- 然後,如果您需要將密碼傳送至 Microsoft Entra ID 以外的目錄,請設定 Microsoft Entra Connect 將新密碼寫回 AD DS。
- 選擇性地預先 註冊使用者。
- 最後, 向終端使用者推出 Microsoft Entra 自助式密碼重設。
針對已授權Microsoft Entra ID P1 或 P2 的 Forefront Identity Manager(FIM)或 MIM 客戶,建議您規劃轉換至 Microsoft Entra 自助式密碼重設。 您可以藉由 透過PowerShell同步處理或設定使用者的替代電子郵件地址或行動電話,將終端用戶轉換為 Microsoft Entra 自助式密碼重設,而不需要重新註冊。 在用戶註冊 Microsoft Entra 自助式密碼重設之後,FIM 密碼重設入口網站就可以解除委任。
使用 Microsoft Entra MFA 的 MIM 2016 部署應移至使用 MIM SSPR 搭配自定義 MFA 提供者,或 Microsoft Entra 自助式密碼重設。 新的部署應該使用自定義 MFA 提供者或 Microsoft Entra 自助式密碼重設。
使用自定義提供者部署 MIM 自助式密碼重設入口網站以進行多重要素驗證
下一節說明如何使用提供者進行多重要素驗證,部署 MIM 自助式密碼重設入口網站。 這些步驟僅適用於未為其使用者使用 Microsoft Entra 自助式密碼重設的客戶。
透過 MFA,使用者會透過外部提供者進行驗證,以便在嘗試重新取得其帳戶和資源存取權時驗證其身分識別。 可透過 SMS 或透過電話進行驗證。 驗證越強,嘗試取得存取權的人確實是擁有身分識別的實際使用者,就越有信心。 驗證之後,使用者可選擇新密碼以取代舊密碼。
使用 MFA 設定自助式帳戶解除鎖定和密碼重設的必要條件
本節假設您已下載並完成 Microsoft Identity Manager 2016 MIM 同步、MIM 服務和 MIM 入口網站元件的部署,包括下列元件和服務:
具有指定網域的 Active Directory 網域 控制器(「公司」網域)
群組原則是針對帳戶鎖定所定義
MIM 2016 同步處理服務 (Sync) 已安裝並執行於已加入 AD 網域的伺服器上
MIM 2016 服務和入口網站,包括 SSPR 註冊入口網站和 SSPR 重設入口網站,已安裝並執行於伺服器上(可與同步共置)
MIM 同步設定為 AD-MIM 身分識別同步處理,包括:
設定 Active Directory 管理代理程式 (ADMA) 以連線到 AD DS,並執行配置檔來匯入身分識別數據,並將其匯出至 Active Directory。
設定 MIM 管理代理程式 (MIM MA) 以連線到 FIM 服務資料庫,並執行設定檔來匯入身分識別數據,並將其匯出至 FIM 資料庫。
在 MIM 入口網站中設定同步處理規則,允許在 MIM 服務中執行使用者資料同步處理,及執行以同步處理為基礎的活動 。
MIM 2016 載入巨集和擴充功能,包括 SSPR Windows 登入整合式用戶端部署在伺服器或個別用戶端電腦上。
準備 MIM 以使用 MFA
設定 MIM 同步處理以支援密碼重設和帳戶解除鎖定功能。 如需詳細資訊,請參閱 安裝 FIM 載入巨集和延伸模組、 安裝 FIM SSPR、 SSPR 驗證閘道和 SSPR 測試實驗室指南。
設定電話閘道或單次密碼 SMS 閘道
啟動 Internet Explorer 並流覽至 MIM 入口網站,以 MIM 系統管理員身分進行驗證,然後按兩下 左側導覽列中的 [工作流程 ]。
檢查 密碼重設驗證工作流程。
按兩下 [ 活動] 索引標籤,然後向下捲動至 [ 新增活動]。
選取 [電話閘道 ] 或 [單次密碼 SMS 閘道 ] 按下 [ 選取],然後選取 [ 確定]。
注意
如果使用另一個產生單次密碼本身的提供者,請確定設定的長度字段與 MFA 提供者所產生的長度相同。
您組織中的使用者現在已可註冊密碼重設。 在此過程中,使用者必須輸入他們的公司電話號碼或行動電話號碼,讓系統知道如何撥話 (或傳送 SMS 訊息) 連絡他們。
註冊使用者,以使用密碼重設功能
使用者將會啟動網頁瀏覽器,並流覽至 MIM 密碼重設註冊入口網站。 (此入口網站通常會設定成使用 Windows 驗證)。 在入口網站中,使用者必須再次提供他們的使用者名稱及密碼,以確認其身分。
他們需要進入密碼註冊入口網站,並使用其使用者名稱和密碼進行驗證。
在 [電話號碼] 或 [行動電話] 字段中,他們必須輸入國家/地區代碼、空格和電話號碼,然後按 [下一步]。
它如何為您的使用者運作?
既然所有項目已設定且正在執行,您可能想要知道當使用者度假後回來完全忘記密碼時,他們應該如何重設密碼。
使用者有兩種方式可以使用密碼重設和帳戶解除鎖定功能,無論是從 Windows 登入畫面,還是從自助入口網站。
在已加入網域,並透過組織網路連線到 MIM 服務的電腦上安裝 MIM 增益集與延伸,使用者只要從桌面登入,就能復原忘記的密碼。 下列步驟會逐步引導您完成此程式。
整合密碼重設的 Windows 桌面登入
如果使用者輸入錯誤的密碼數次,請在登入畫面中,他們可以選擇按兩下 [問題登入?]。
按兩下此連結會帶他們前往 MIM 密碼重設畫面,讓他們可以變更其密碼或解除鎖定其帳戶。
系統會引導使用者進行驗證。 如果已設定 MFA,使用者就會接到電話。
在背景中,發生的情況是,MFA 提供者接著會撥打電話給用戶註冊服務時所提供號碼。
當使用者接聽電話時,系統可能會要求他們互動,例如,按下手機上的磅鍵 #。 然後使用者按兩下 入口網站中的 [下一步 ]。
如果您另外設定其他閘道,系統會要求使用者在後續畫面中提供詳細資訊。
注意
如果使用者不耐煩,然後按 [下一步 ] 再按磅鍵 #,驗證就會失敗。
驗證成功之後,使用者有兩個選項可以選擇,一是解除鎖定帳戶並保留目前的密碼,一是設定新密碼。
使用者接著必須輸入新密碼兩次,隨後會重設密碼。
從自助入口網站存取
用戶可以開啟網頁瀏覽器,流覽至 [密碼重設入口網站 ],然後輸入其使用者名稱,然後按 [ 下一步]。
如果已設定 MFA,使用者就會接到電話。 在背景中,發生的情況是,Microsoft Entra 多重要素驗證,然後撥打電話給用戶註冊服務時所提供號碼。
當使用者接聽電話時,系統會要求他們按電話上的井字鍵 (#)。 然後使用者按兩下 入口網站中的 [下一步 ]。
如果您另外設定其他閘道,系統會要求使用者在後續畫面中提供詳細資訊。
注意
如果使用者不耐煩,然後按 [下一步 ] 再按磅鍵 #,驗證就會失敗。
用戶必須選擇是否要重設密碼或解除鎖定其帳戶。 如果他們選擇解除鎖定帳戶,帳戶將會解除鎖定。
成功驗證之後,系統會提供使用者兩個選項,以保留其目前的密碼或設定新的密碼。
如果使用者選擇重設密碼,他們必須輸入新密碼兩次,然後按 [下一步 ] 來變更密碼。