最好的Azure学习站点:Azure文档中心 / Microsoft Learning

利用Azure AD SSPR帮助用户重置密码

前面和大家聊了使用SSPR,用户可以在没有管理员支持的情况下自行解决账户和密码问题,从而极大地减少了管理员的工作负担,此外因为用户无需等到管理员有空时机可完成密码重置,所以它还最大程度的减少了忘记密码或密码过期对工作效率的影响。那么接下来我们就一起来看一下,如何在Azure Portal中对特定用户或组启用SSPR。

先决条件

开始配置 SSPR 之前,需要满足/准备如下先决条件:

l Azure AD 组织。 此组织必须至少启用一个试用许可证。

l 具有全局管理员权限的 Azure AD 帐户。 你将使用此帐户来设置 SSPR。

l 非管理型用户帐户。将使用此帐户来测试 SSPR。 此帐户不是管理员,这一点很重要,因为 Azure AD 对 SSPR 的管理员帐户有额外要求。 此用户和所有用户帐户都必须具有有效许可才能使用 SSPR。

l 用于测试配置的安全组。非管理型用户帐户必须是此组的成员。 将使用此安全组来限制要向其推送 SSPR 的用户。

启用SSPR

创建用户组

首先登录到Azure门户,点击所有服务—Azure Active Directory:

clip_image002

点击组:

clip_image004

点击新建组:

clip_image006

组类型,选择安全组,然后输入组名称和描述,可以根据需要分配所有者和对应成员:

clip_image008

创建完成,如下图所示:

clip_image010

配置SSPR

点击Azure Active Directory概述左侧选项卡内的密码重置:

clip_image012

前面的文章中也和大家提到过,Azure AD的免费版本是不支持SSPR的,所以我们需要申请高级试用版,点击获取免费高级试用版:

clip_image014

在此我们选择Azure AD Premium P1版本,点击激活:

clip_image016

激活以后,我们再次进入密码重置选型卡,可以看到已经和之前有所区别,我们需要选择SSPR的范围,具体范围的界定可以参考如下说明:

l 禁用:Azure AD 组织中的任何用户都不能使用 SSPR。 这是默认值。

l 启用:Azure AD 组织中的任何用户都能使用 SSPR。

l 选定: 只有指定安全组的成员才能使用 SSPR。 可以使用此选项为目标用户组启用 SSPR,对其进行测试并验证它是否按预期工作。 当你已准备好大范围推出 SSPR 时,请将属性设置为“已启用”,以便所有用户都有权访问 SSPR。

在此我们使用的选定,所以需要选择需要启用SSPR的安全组,我们选择之前创建好的安全组:

clip_image018

确认无误,点击保存即可:

clip_image020

设置身份验证方法数

启用了SSPR以后,我们需要设置用户在进行密码重置的过程中需要进行几次身份验证,以及每次可以使用的身份验证方式,在此我是用一次身份验证:

clip_image022

SSPR验证信息注册

指定用户下次登录时是否需要注册 SSPR

指定要求用户重新确认其身份验证信息的频率

clip_image024

设置密码重置通知

设置在密码重置时,是否向用户或管理员发送通知:

clip_image026

测试用户重置密码

直接访问密码重置的站点或者在登录页面点击 “无法访问账户”连接跳转到密码重置网站,然后输入账户信息和验证码:

clip_image028

在已经设置的Microsoft Authenticator应用中找到对应PIN码:

clip_image030

PIN码验证成功后,输入新的用户密码:

clip_image032

密码重置成功,如下图所示:

clip_image034

更多关于Azure AD SSPR的信息大家可以参考如下连接:

https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr?WT.mc_id=AZ-MVP-5002232