下面是与自助式密码重置相关的所有事项的一些常见问题解答 (FAQ)。
如果遇到 Microsoft Entra ID 和自助密码重置 (SSPR) 的一般性问题,而在本文中又找不到答案,可以在 Microsoft Entra ID 的 Microsoft Q&A 问题页中请求社区帮助。 社区的成员包括工程师、产品经理、MVP 和其他 IT 专业人员。
本“常见问题”主题分为以下几部分:
- 有关密码重置注册的问题
- 有关密码重置的问题
- 有关密码更改的问题
- 有关密码管理报告的问题
- 有关密码写回的问题
密码重置注册
我的用户可以注册他们自己的密码重置数据吗?
是。 只要已经启用密码重置功能并且用户已获得许可,他们就可以访问密码重置注册门户 (https://account.activedirectory.windowsazure.cn/PasswordReset/Register.aspx?regref=ssprsetup) 来注册其身份验证信息。 用户也可通过访问面板 (https://myapplications.windowsazure.cn) 来注册。 若要通过访问面板来注册,需选择个人资料图片,然后选择“个人资料”,再选择“注册密码重置”选项。
如果启用了组合注册,用户可以同时注册 SSPR 和 Microsoft Entra 多重身份验证。
如果为某个组启用密码重置,然后决定为每个人启用它,我的用户是否需要重新注册?
否。 已填充身份验证数据的用户不需要重新注册。
我可以代表我的用户定义密码重置数据吗?
是的,可以使用 Microsoft Entra Connect、PowerShell、Microsoft Entra 管理中心执行此操作。 有关详细信息,请参阅 Microsoft Entra 自助式密码重置使用的数据。
我能否从本地同步安全问题数据?
否。目前还做不到。
用户在注册数据时能否选择不让其他用户看到?
是的。 当用户使用密码重置注册门户注册数据时,数据会保存到私有身份验证字段中,只有特权身份验证管理员和用户才能看到这些字段。
我的用户是否必须进行注册才能使用密码重置?
否。 如果为他们定义了足够的身份验证信息,用户就不必进行注册。 只要已正确设置了目录中的相应字段中存储的数据的格式,密码重置将正常工作。
我是否可以代表用户同步或设置“身份验证电话”、“身份验证电子邮件”或“备用身份验证电话”字段?
注册门户如何确定为用户显示哪些选项?
密码重置注册门户只会显示为用户启用的选项。 可以在目录的“配置”选项卡的“用户密码重置策略”部分找到这些选项 。例如,如果没有启用安全问题,则用户无法针对该选项进行注册。
何时会认为用户已注册?
如果用户已至少注册了在 Microsoft Entra 管理中心中设置的“重置一个密码所需的方法数”,则此用户即会被视为已注册 SSPR。
密码重置
是否会阻止用户在短时间内为了重置密码而进行多次尝试?
是的。密码重置内置了安全功能来防止滥用。
用户可以尝试验证他们的信息(例如电话号码),但如果不能在 24 小时内五次证明自己的身份,就会被锁定 24 小时。
在被锁定 24 小时前的一个小时内,用户可以尝试验证电话号码、身份验证应用、发送短信或验证安全性问题并仅回答五次。
在被锁定 24 小时前,用户可以在 10 分钟内最多发送 10 次电子邮件。
一旦用户重置密码则会重置计数器。
需要等多久会收到来自密码重置的电子邮件、短信或接到电话?
应会在一分钟内收到或接到电子邮件、短信和电话。 正常情况下为 5 到 20 秒。 如果在此时间范围内未收到通知:
- 请检查垃圾邮件文件夹。
- 请检查所联系的号码或电子邮件是否正确。
- 请检查是否对目录中的身份验证数据进行了正确的格式设置,例如,+1 4255551234 或 user@contoso.com。
密码重置支持哪些语言?
密码重置 UI、短信和语音呼叫以 Microsoft 365 支持的相同语言本地化。
在目录的配置选项卡中设置组织品牌项目后,哪些密码重置体验部分会带有品牌信息?
密码重置门户不但会显示组织徽标,而且支持配置指向某一自定义电子邮件或 URL 的“请与管理员联系”链接。 密码重置发送的任何电子邮件都会在电子邮件正文中包括组织的徽标、颜色及名称,且都是根据该特定名称的设置自定义的。
如何告诉我的用户应当在哪里重置其密码?
请尝试 SSPR 部署一文中的一些建议。
我是否可以从移动设备使用此页面?
可以,此页面可以在移动设备上使用。
当用户重置密码时是否支持解锁本地 Active Directory 帐户?
是的。 如果用户重置其密码且已通过 Microsoft Entra Connect 部署密码写回,则当该用户重置其密码时,会自动解锁其帐户。
如何将密码重置直接集成到用户的桌面登录体验中?
如果你是 Microsoft Entra ID P1 或 P2 客户,你可以在无需额外付费的情况下安装 Microsoft Identity Manager,并部署本地密码重置解决方案。
是否可以为不同的区域设置设置不同的安全问题?
否。目前还做不到。
可为“安全问题”身份验证选项配置多少个问题?
在 Microsoft Entra 管理中心中最多可以配置 20 个自定义安全问题。
安全问题可设置为多长?
安全问题可以是 3 到 200 个字符长。
安全问题的答案可设置为多长?
答案的长度可以是 3 到 40 个字符。
是否会拒绝安全问题的重复答案?
是的,我们将拒绝重复的安全问题答案。
用户是否可以注册多个相同的安全问题?
否。 一旦用户注册了某个特定问题,他们就不能再次注册该问题。
是否可以为注册和重置设置最少安全问题限制?
可以,设置一个注册限制和一个重置限制。 注册可能需要三到五个安全问题,重置也可能需要三到五个问题。
我配置了策略,要求用户使用安全问题进行重置,但 Azure 管理员似乎进行了不同的配置。
这是预期的行为。 Microsoft 为任意 Azure 管理员角色强制实施默认强双门密码重置策略。 这会阻止管理员使用安全问题。 有关此策略的详细信息,请参阅 Microsoft Entra ID 中的密码策略和限制一文。
如果用户注册的重置问题超出了所需的最大问题数量,如何在重置期间选择安全问题?
N 个安全问题是从用户已注册的所有问题中随机选择的,其中 N 是针对“重置所需的问题数”选项设置的一个数。 例如,如果用户注册了五个安全问题,但重置密码只需三个,则会从五个问题中随机选择三个在重置时提出。 为了防止 问题攻击,如果用户提供的问题答案不正确,则选择过程会从头开始。
可否阻止用户重置其密码?
可以。如果使用组来启用 SSPR,则可将用户从允许用户重置其密码的组中删除。 如果用户是特权身份验证管理员,他们可以重置其密码,并且无法禁用密码。
密码更改
我的用户应当到何处去更改其密码?
用户可以在能够看到其个人资料图片或图标的任何位置(例如在其访问面板体验的右上角)更改其密码。 用户可以从访问面板个人资料页更改其密码。 如果用户的密码已过期,还可以在 Microsoft Entra ID 登录页上自动要求他们更改其密码。 最后,如果用户希望更改其密码,可以直接浏览到 Microsoft Entra ID 密码更改门户。
当用户的本地密码过期时,他们是否可以在 Office 门户中收到通知?
可以。如果使用 Active Directory 联合身份验证服务 (AD FS),这在目前是可以的。 如果使用 AD FS,请按 Sending password policy claims with AD FS(使用 AD FS 发送密码策略声明)一文中的说明操作。 如果使用密码哈希同步,这在目前是不可以的。 我们不从本地目录同步密码策略,因此无法将过期通知发布到云体验。 在任一情况下,都还可以通过 PowerShell 向其密码即将过期的用户发送通知。
可否阻止用户更改其密码?
对于仅限云的用户来说,不能阻止密码更改。 对于本地用户,可将“用户不能更改密码”选项设置为选定。 选定的用户不能更改其密码。
密码管理报告
数据需要经过多长时间才能显示在密码管理报告上?
数据应在 5 到 10 分钟内显示在密码管理报告中。 某些情况下,需要一个小时才能显示。
如何筛选密码管理报告?
选择报告顶部附近列标签最右侧的小放大镜即可筛选密码管理报告。 如果希望进行更丰富的筛选,可以将报告下载到 Excel 并创建数据透视表。
密码管理报告中存储的事件数目上限是多少?
密码管理报告中最多存储 75,000 个密码重置事件或密码重置注册事件,时间跨度为过去的 30 天。 我们正在努力增大此数目,以包含更多事件。
密码管理报告可以包括多早的数据?
密码管理报告可显示在过去 30 天内发生的操作。 现在,如果需要存档此数据,可以定期下载报告并将它们保存在单独的位置。
密码管理报告对可以显示的行数是否有最大限制?
是。 任一密码管理报告都最多只能显示 75,000 行,不论是 UI 中正在显示的行数还是正在下载的行数都存在此限制。
是否可以使用一个 API 来访问密码重置数据或注册报告数据?
是的,可以通过获取密码重置活动的 API 获取此信息。 还可使用审核日志 API,并按 SSPR 事件进行筛选。
密码写回
密码写回在后台如何工作?
请参阅密码写回的工作原理一文,了解有关启用密码写回时发生的情况以及数据如何通过系统流回本地环境的说明。
密码写回需要多长时间才工作? 是否和使用密码哈希同步一样也存在同步延迟?
密码写回是即时的。 它是一种同步管道,其工作方式从根本上不同于密码哈希同步。 密码写回向用户提供关于其密码重置或更改操作成功的实时反馈。 成功的密码写回的平均时间少于 500 毫秒。
如果我的本地帐户被禁用,我的云帐户和访问权限会受到怎样的影响?
如果本地 ID 被禁用,则在下一个同步间隔,也会通过 Microsoft Entra Connect 禁用云 ID 和访问权限。 默认情况下,此同步是每隔 30 分钟进行一次。
如果我的本地帐户受到本地 Active Directory 密码策略的约束,当我更改密码时,SSPR 是否遵循此策略?
是。SSPR 基于并遵守本地 Active Directory 密码策略。 此策略包括典型的 Active Directory 域密码策略,以及任何已定义并细化的针对用户的密码策略。
可以为哪些类型的帐户执行密码写回?
密码写回适用于从本地 Active Directory 同步到 Microsoft Entra ID 的用户帐户,包括联合用户和密码哈希同步用户。
密码写回是否会强制实施我的域的密码策略?
是。 密码写回会强制实施密码使用期限、历史记录、复杂性、筛选器以及可能对本地域密码实施的任何其他限制。