最好的Azure学习站点:Azure文档中心 / Microsoft Learning

什么是Azure AD自助式密码重置(SSPR)

作为IT运维人员经常会遇到的问题之一就是用户账户问题,比如用户账户到期、用户账户锁定以及用户遗失了账户密码。在传统的运维场景中,面对这种问题管理员需要花费大量的时间来处理不同用户的账户问题,从而导致IT的运营成本增加。而用户也会抱怨整个处理过程的延迟问题,因为延迟会影响用户的工作效率。那么当我们迁移到云之后,是否有一种方法可以优化上述问题的处理方式呢,答案肯定是有的。在Azure中我们可以使用Azure AD自助式密码重置(SSPR)来帮忙我们解决上述问题

什么是SSPR以及为什么使用SSPR

Azure AD自助式密码重置使用户能够在没有管理员或支持人员干预的情况下,自助完成密码更改或重置,如果用户账户被锁定或者用户忘记了自己的密码,借助 SSPR,用户可在 Web 浏览器中或通过 Windows 登录屏幕重置其密码,从而再次有权访问 Azure、Microsoft 365 以及使用 Azure AD 进行身份验证的任何其他应用程序。

更多关于Azure AD SSPR的信息大家可以参考如下连接

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-sspr-deployment?WT.mc_id=AZ-MVP-5002232

使用SSPR,用户可以在没有管理员支持的情况下自行解决账户和密码问题,从而极大地减少了管理员的工作负担,此外因为用户无需等到管理员有空时机可完成密码重置,所以它还最大程度的减少了忘记密码或密码过期对工作效率的影响。

对于使用Azure AD Premium P1或Azure AD Premium P2版本的Azure AD的企业,在配置了Azure AD Connect以后,可以利用其回写功能,将更改后的用户密码回写到本地AD。

clip_image002

SSPR的工作原理

若用户想使用SSPR进行密码重置,则可以直接访问密码重置门户或选择登录页面上的“无法访问账户”连接来启动密码重置,重置过程中会执行以下步骤:

  • 本地化:SSPR门户会检查用户浏览器的区域设置,并以适当的语言呈现SSPR门户页面

  • 验证:用户输入其账户信息,从而确保时本人操作

  • 身份验证:用户输入所需数据进行身份验证,例如PIN码或回答安全问题

  • 密码重置:如果用户通过身份验证,则它们可以输入新密码并进行确认

  • 通知:密码重置后,通常会向用户发送消息来确认相关操作

SSPR的身份验证方法

如果为用户启用了SSPR,考虑到恶意用户可能会利用系统中的任何弱点来模拟该用户,所以用户进行密码更改时需要先验证用户的身份才允许其进行密码更改,Azure 支持通过六种不同的方法对重置请求进行身份验证。

管理员可以选择配置 SSPR 时要使用的方法。启用这些方法中的两种或多种,以便用户可以选择便于其使用的方法。 方法有:

身份验证方法

注册方法

如何对密码重置进行身份验证

移动应用通知

将 Microsoft Authenticator 应用安装在移动设备上,然后在多重身份验证设置页上注册它。

Azure 会向应用程序发送通知,你可以接受验证或拒绝。

移动应用代码

此方法还使用 Authenticator 应用,并以相同的方式安装和注册。

输入应用中的代码。

电子邮件

提供 Azure 和 Microsoft 365 外部的电子邮件地址。

Azure 会向该地址发送代码,然后你在重置向导中输入此代码。

移动电话

提供移动电话号码。

Azure 会向电话发送包含一条代码的短信,你应在重置向导中输入该代码。 或者,可以选择获取自动电话呼叫。

办公电话

提供一个非移动电话号码。

你会接收到自动拨打此号码的电话呼叫,然后按 #。

安全性问题

选择问题,比如“你母亲在哪个城市出生?” 并将回答保存下来。

回答问题。

注意:在免费版和试用版的 Azure AD 中,不支持电话呼叫选项。

身份验证次数

除了前面提到的多种验证方法以外,我们也可以设定用户在进行SSPR时需要进行几次身份验证。可以指定用户必须设置的最小方法数:1 或 2。 例如,可以启用移动应用代码、电子邮件、办公电话和安全问题方法,并指定最少两个方法。 然后,用户可以选择他们喜欢的两种方法,例如移动应用代码和电子邮件。

如何使用SSPR

大家都知道,Azure AD包含三个版本,分别为免费版、高级P1和高级P2。对于是否能够使用密码重置的功能取决于我们所使用的Azure AD版本

首先要和大家强调的是,不管 Azure AD 的版本是什么,已登录的用户都可以更改其密码。但是对于如果尚未登录,并且忘记了密码,或者密码已过期,则可以使用 Azure AD Premium P1 或 P2 中的 SSPR。 它还可与 Microsoft 365 商业应用版或 Microsoft 365 一起使用。 Azure AD 免费版不提供 SSPR。

在混合情况下,如果有本地 Active Directory 和云中 Azure AD,则必须将云中的任何密码更改写回到本地目录。 Azure AD Premium P1 或 P2 中提供了此写回支持。 Microsoft 365 商业应用版也提供了此功能。

经过上面的介绍以后,相信很多小伙伴都对SSPR产生了浓厚的兴趣,我们接下来会和大家分享如何配置SSPR等相关操作。还请大家多多关注哈