自助式密碼重設的部署選項

重要

2022 年 9 月，Microsoft 宣佈淘汰 Azure MFA 伺服器。 從 2024 年 9 月 30 日開始，Azure Multi-Factor Authentication Server 部署將不再服務多重要素驗證 (MFA) 要求。 Azure Multi-Factor Authentication Server 的客戶應該計劃改用自定義 MFA 提供者搭配 MIM SSPR，或 Microsoft Entra SSPR 而非 MIM SSPR。

對於已獲得 Microsoft Entra 標識碼 P1 或 P2 授權的新客戶，建議您使用 Microsoft Entra 自助式密碼重設來提供用戶體驗。 Microsoft Entra 自助式密碼重設提供網頁式和 Windows 整合式體驗，讓使用者重設自己的密碼，並支援與 MIM 相同的許多功能，包括替代電子郵件和 Q&A 閘道。 部署 Microsoft Entra 自助式密碼重設時，您可以設定 Microsoft Entra Connect 將新密碼寫回 AD DS，而 MIM 密碼變更通知服務可用來將密碼轉送至其他系統，例如另一個廠商的目錄伺服器。 部署 MIM 以進行密碼管理時，並不需要部署 MIM 服務、MIM 自助密碼重設或註冊入口網站。 相反地，您可以遵循下列步驟：

• 首先，如果您需要將密碼傳送至 Microsoft Entra標識元和 AD DS 以外的目錄，請將 MIM Sync 與連接器部署至 Active Directory 網域服務 和任何其他目標系統，設定 MIM 以進行密碼管理，並部署密碼變更通知服務。
• 然後，如果您需要將密碼傳送至 Microsoft Entra 標識符以外的目錄，請設定 Microsoft Entra Connect 以將新密碼寫回 AD DS。
• 您也可以選擇預先註冊使用者。
• 最後，Microsoft Entra 自助式密碼重設推出給終端使用者。

對於先前已部署 Forefront Identity Manager (FIM) 以進行自助式密碼重設的現有客戶，且已獲得 Microsoft Entra 標識元 P1 或 P2 的授權，建議您規劃轉換至 Microsoft Entra 自助式密碼重設。 您可以藉由透過PowerShell同步處理或設定使用者的替代電子郵件地址或行動電話，將終端使用者轉換為 Microsoft Entra 自助式密碼重設，而不需要他們重新註冊。 在用戶註冊 Microsoft Entra 自助式密碼重設之後，就可以解除委任 FIM 密碼重設入口網站。

對於尚未為其使用者部署 Microsoft Entra 自助式密碼重設的客戶，MIM 也會提供自助式密碼重設入口網站。 相較於 FIM，MIM 2016 包含下列變更：

• MIM Self-Service 密碼重設入口網站和 Windows 登入畫面可讓使用者解除鎖定其帳戶，而不需變更其密碼。

• MIM 已新增電話閘道這個新的驗證閘道。 這可透過 Microsoft Entra 多重要素驗證服務透過電話進行用戶驗證。

MIM 2016 版本最多可建置 4.5.26.0 版，依賴客戶下載已被取代的 SDK，而現有的部署應該移至使用 MIM SSPR 搭配自定義 MFA 提供者，或 Microsoft Entra 自助式密碼重設。 新的部署應該使用自定義 MFA 提供者或 Microsoft Entra 自助式密碼重設。

使用自定義提供者部署 MIM Self-Service 密碼重設入口網站以進行多重要素驗證

下一節說明如何使用提供者進行多重要素驗證，部署 MIM 自助式密碼重設入口網站。 只有未為其使用者使用 Microsoft Entra 自助式密碼重設的客戶，才需要這些步驟。

透過 MFA，使用者會透過外部提供者進行驗證，以在嘗試重新取得其帳戶和資源存取權時驗證其身分識別。 可透過 SMS 或透過電話進行驗證。 驗證越強，表示嘗試存取之人員就是該身分真正使用者的信心就越強。 驗證之後，使用者可選擇新密碼以取代舊密碼。

使用 MFA 來設定自助帳戶解除鎖定和密碼重設的必要條件

本節假設您已下載並完成 Microsoft Identity Manager 2016 MIM 同步、MIM 服務和 MIM 入口網站元件的部署，包括下列元件和服務：

• Windows Server 2008 R2 或更新版本已設定為 Active Directory 伺服器，包括含指定網域 (「公司」網域) 的 AD 網域服務和網域控制站

• 群組原則是針對帳戶鎖定所定義

• 在已加入 AD 網域的伺服器上安裝並執行 MIM 2016 同步處理 (同步) 服務。

• MIM 2016 服務 & 入口網站，包括 SSPR 註冊入口網站和 SSPR 重設入口網站，都已安裝並在伺服器上執行， (可與同步) 共置

• 為 AD-MIM 身分識別同步處理設定 MIM 同步處理，包括：

  • 設定 Active Directory 管理代理程式 (ADMA) 連線到 AD DS 的能力，並可將身分資料匯至 Active Directory 及從中匯出。

  • 設定 MIM 管理代理程式 (MIM MA) 連線到 FIM 服務 DB 的能力，並可將身分資料匯至 FIM 資料庫及從中匯出。

  • 在 MIM 入口網站中設定同步處理規則，允許在 MIM 服務中執行使用者資料同步處理，及執行以同步處理為基礎的活動 。

• MIM 2016 載入宏 & 延伸模組，包括 SSPR Windows 登入整合式用戶端部署在伺服器或個別用戶端電腦上。

如果您使用 Microsoft Entra 多重要素驗證，此案例會要求您擁有使用者的 MIM CAL，以及 Microsoft Entra 多重要素驗證的訂用帳戶。

準備 MIM 以使用 MFA

設定 MIM 同步處理以支援密碼重設和帳戶解除鎖定功能。 如需詳細資訊，請參閱 Installing the FIM Add-ins and Extensions (安裝 FIM 增益集和延伸模組)、 Installing FIM SSPR (安裝 FIM SSPR)、 SSPR Authentication Gates (SSPR 驗證閘道) 和 SSPR Test Lab Guide (SSPR 測試實驗室指南)

設定電話閘道或單次密碼 SMS 閘道

1. 啟動 Internet Explorer 並流覽至 MIM 入口網站，以 MIM 系統管理員身分進行驗證，然後按兩下左側導覽列中的 [ 工作流程 ]。

   

2. 核取 [密碼重設驗證工作流程]。

   

3. 按一下 [活動] 索引標籤，然後向下捲動至 [新增活動]。

4. 選取 [電話網關 ] 或 [單次密碼簡訊網關 ] 按兩下 [選取 ]，然後按兩下 [ 確定]。

   注意

   如果使用另一個產生單次密碼本身的提供者，請確定上述設定的長度欄位與 MFA 提供者所產生的長度相同。 此長度必須是 Azure Multi-Factor Authentication Server 的 6。 Azure Multi-Factor Authentication Server 也會產生自己的消息正文，因此會忽略 SMS 簡訊。

您組織中的使用者現在已可註冊密碼重設。 在此過程中，使用者必須輸入他們的公司電話號碼或行動電話號碼，讓系統知道如何撥話 (或傳送 SMS 訊息) 連絡他們。

註冊使用者，以使用密碼重設功能

1. 使用者將會啟動網頁瀏覽器，並瀏覽至 MIM 密碼重設註冊入口網站。 (此入口網站通常會設定成使用 Windows 驗證)。 在入口網站中，使用者必須再次提供他們的使用者名稱及密碼，以確認其身分。

   他們需要進入密碼註冊入口網站，並使用其使用者名稱和密碼進行驗證。

2. 在 [ 電話號碼 ] 或 [ 行動電話 ] 字段中，他們必須輸入國家/地區代碼、空格和電話號碼，然後按 [ 下一步]。

   

   

它如何為您的使用者運作？

既然所有項目已設定且正在執行，您可能想要知道當使用者度假後回來完全忘記密碼時，他們應該如何重設密碼。

使用者可利用兩種方法，從 Windows 登入畫面，或從自助入口網站中使用密碼重設和帳戶解除鎖定功能。

在已加入網域，並透過組織網路連線到 MIM 服務的電腦上安裝 MIM 增益集與延伸，使用者只要從桌面登入，就能復原忘記的密碼。 下列步驟將逐步引導您完成此程序。

整合密碼重設的 Windows 桌面登入

1. 如果您的使用者輸入錯誤的密碼數次，請在登入畫面中，他們可以選擇按下 [ 問題登入？ ] 。

   

   按一下這個連結會移至 [MIM 密碼重設] 畫面，他們可在其中變更其密碼或解除鎖定其帳戶。

   

2. 系統會引導使用者進行驗證。 如果已設定 MFA，使用者就會接到電話。

3. 在背景中，MFA 提供者接著會撥打電話給用戶註冊服務時所提供號碼。

4. 當使用者接聽電話時，系統可能會要求他們互動，例如，按下手機上的井字鍵 #。 使用者接著在入口網站中按 [下一步]。

   如果您另外設定其他閘道，系統會要求使用者在後續畫面中提供詳細資訊。

   注意

   如果使用者感到不耐，並在按下井字鍵 (#) 之前按 [下一步]，則驗證會失敗。

5. 驗證成功之後，使用者有兩個選項可以選擇，一是解除鎖定帳戶並保留目前的密碼，一是設定新密碼。

6. 使用者接著必須輸入新密碼兩次，隨後會重設密碼。

從自助入口網站存取

1. 使用者可以開啟網頁瀏覽器，接著瀏覽至密碼重設入口網站，然後輸入其使用者名稱，再按 [下一步]。

   如果已設定 MFA，使用者就會接到電話。 在背景中，發生的情況是 Microsoft Entra 多重要素驗證，然後撥打電話給用戶註冊服務時所提供號碼。

   當使用者接聽電話時，系統會要求他們按電話上的井字鍵 (#)。 使用者接著在入口網站中按 [下一步]。

2. 如果您另外設定其他閘道，系統會要求使用者在後續畫面中提供詳細資訊。

   注意

   如果使用者感到不耐，並在按下井字鍵 (#) 之前按 [下一步]，則驗證會失敗。

3. 用戶必須選擇是否要重設其密碼或解除鎖定其帳戶。 如果他們選擇解除鎖定其帳戶，將會解除鎖定帳戶。

   

4. 成功驗證之後，系統會提供使用者兩個選項，以保留其目前的密碼或設定新的密碼。

5. 

6. 若使用者選擇重設密碼，必須輸入新密碼兩次，然後按 [下一步]，如此才能變更密碼。