使用Microsoft Entra ID SSPR优化密码重置流程
在现如今混合劳动力的世界中,自助密码重置允许用户以自助方式对密码问题进行分类。自助密码重置 (SSPR) 功能使用户能够在无需 IT 干预的情况下重置密码,从而优化IT服务流程,简化IT工作压力
Microsoft Entra ID (Azure Active Directory) 允许公司为用户配置自助密码重置 (SSPR) 功能。此功能减少了与用户帐户密码更改和密码重置问题相关的IT支持次数,从而节省了时间和资源。借助 Microsoft Entra ID 的自助服务功能,可以相当轻松地启用此功能,并且启用此功能可以有助于:
- 改进当前的重置密码流程
- 快速密码更改
- 解锁帐户
许可证要求
需要注意的是,若想启用Microsoft Entra ID自助密码重置功能,需要如下许可证类型:
- Microsoft 365 商业标准版
- Microsoft 365 商业高级版
- Microsoft Entra ID P1 或
当 Microsoft Entra ID 中的用户知道其密码并希望将其更改为新密码时,Microsft Entra ID Free 仅支持仅克隆用户密码更改
SSPR支持的认证方式
当用户进行自助密码重置时,系统会要求其进行身份验证,从而确保用户账户的安全性。在Microsoft Entra ID中,支持多种身份验证方法,作为验证用户身份进行密码重置的方法,具体如下:
- 移动应用程序通知
- 移动应用程序代码
- 电子邮件
- 手机
- 办公室电话
- 安全问题
作为公司而言,必须决定要使用哪种身份验证方法组合并与其安全策略保持一致
如何启用SSPR
若要在Microsoft Entra ID中启用自主密码重置服务,首先要求进行操作的庄户需要有全局管理员权限
使用具有全局管理员权限的用户登录到Azure Portal,点击Microsoft Entra ID:
进入Entra ID以后,点击左侧的密码重置:
在密码重置服务内,可以选择选择是否启用密码重置服务,若要启用,是对所有用户启用还是对选定的用户进行启用,本次演示内,对所有用户进行启用:
启用密码重置以后,可以选择在密码重置时所需使用的身份验证方法,选择以后点击保存:
测试SSPR功能
首先,我们在 InPrivate 或隐身模式下启动新的浏览器窗口以手动注册并导航到 https://aka.ms/ssprsetup。Microsoft Entra ID 将在用户后续登录期间引导用户至此注册门户
然后,使用非管理员测试帐号登录,根据提示输入身份验证方式和联系方式。完成注册后,单击标有“看起来不错”的按钮,然后关闭浏览器:
以 InPrivate 或隐身模式启动新的浏览器会话,然后转到 https://aka.ms/sspr,输入非管理员测试用户的详细信息并填写验证码,然后单击“下一步”:
提供必要的用户详细信息以继续重置密码:
信息验证无误,开始重置密码:
密码重置完成:
完成后,将收到一封确认密码重置的电子邮件
监控SSPR活动
Entra ID 提供详细报告,允许管理员监控密码重置。这可确保自助服务密码重置过程得到正确使用,并有助于识别潜在问题。例如,如果用户的帐户多次重置密码失败,则可能表明需要进行培训,或者攻击者可能试图破坏帐户。
在密码重置仪表板的活动部分下,将看到审核日志以及使用情况和见解。这两者都有助于监测 SSPR 活动。
