教程:使用户能够使用 Microsoft Entra 自助式密码重置来解锁其帐户或重置密码
Microsoft Entra 自助式密码重置 (SSPR) 使用户能够更改或重置其密码,而不需要管理员或支持人员。 如果 Microsoft Entra ID 锁定用户帐户或用户忘记了自己的密码,他们可以按照提示自行解锁,恢复工作。 当用户无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。
重要
本教程向管理员展示如何启用自助式密码重置。 如果你是已注册自助式密码重置的最终用户并且需要恢复你的帐户,请转到 Microsoft Online 密码重置。
如果你的 IT 团队尚未启用重置自己密码的功能,请联系支持人员以获得更多帮助。
本教程介绍如何执行下列操作:
- 为一组 Microsoft Entra 用户启用自助式密码重置
- 设置身份验证方法和注册选项
- 以用户身份测试 SSPR 过程
重要
2023 年 3 月,我们宣布弃用旧版多重身份验证和自助式密码重置 (SSPR) 策略中的管理身份验证方法的操作。 从 2025 年 9 月 30 日开始,无法在这些旧版 MFA 和 SSPR 策略中管理身份验证方法。 建议客户使用手动迁移控制,在弃用日期之前迁移到身份验证方法策略。
先决条件
你需有以下资源和特权才能完成本教程:
- 密码重置需要至少具有一个 Microsoft Entra ID P1 许可的工作 Microsoft Entra 租户。 有关 Microsoft Entra ID 中对于更改和重置密码的许可要求的详细信息,请参阅 Microsoft Entra 自助式密码重置的许可要求。
- 一个至少有身份验证策略管理员角色的帐户。
- 你知道其密码的非管理员用户,例如 testuser。 在本教程,你将使用此帐户测试最终用户的 SSPR 体验。
- 如果需要创建用户,请参阅快速入门:向 Microsoft Entra ID 添加新用户。
- 该非管理员用户所属的组,例如 SSPR-Test-Group。 在本教程中,你将为此组启用 SSPR。
- 如需创建一个组,请参阅使用 Microsoft Entra ID 创建基本组并添加成员。
启用自助式密码重置
提示
本文中的步骤可能因开始使用的门户而略有不同。
Microsoft Entra ID 可让你为“无”、“选定”或“所有”用户启用 SSPR。 借助这种粒度,可以选择一部分用户来测试 SSPR 注册过程和工作流。 如果你很熟悉能够与一组更广泛的用户传达相关要求的过程和时机,则可以选择一组用户来为他们启用 SSPR。 或者,可为 Microsoft Entra 租户中的每个人启用 SSPR。
注意
目前,你只能使用 Microsoft Entra 管理中心为 SSPR 启用一个 Microsoft Entra 组。 Microsoft Entra ID 作为 SSPR 更广泛部署的一部分,可以支持嵌套组。
在本教程,为测试组中的一组用户设置 SSPR。 使用 SSPR-Test-Group 并根据需要提供自己的 Microsoft Entra 组:
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
从左侧菜单中,浏览到“保护”>“密码重置”。
在“属性”页中,在“启用自助式密码重置”选项下,选择“选定”。
如果你的组不可见,请选择“未选择组”,浏览并选择你的 Microsoft Entra 组(如 SSPR-Test-Group),然后选择“选择”。
若要为所选用户启用 SSPR,请选择“保存”。
选择身份验证方法和注册选项
当用户需要解锁帐户或重置其密码时,系统会提示他们选择另一种确认方法。 这一额外的身份验证因素确保 Microsoft Entra 仅完成已批准的 SSPR 事件。 可以根据用户提供的注册信息,选择允许哪些身份验证方法。
从“身份验证方法”页的左侧菜单中,将“重置所需的方法数”设为“2” 。
若要提高安全性,可以增加 SSPR 所需的身份验证方法数。
选择组织允许的“可供用户使用的方法”。 对于本教程,请选中相应的框来启用以下方法:
- 移动应用通知
- 移动应用代码
- 电子邮件
- 移动电话
你可以根据需要启用其他身份验证方法(如办公电话或安全性问题),以满足业务要求。
若要应用身份验证方法,请选择“保存”。
用户必须先登记其联系信息,然后才能解锁其帐户或重置密码。 Microsoft Entra ID 使用此联系信息来实现前面步骤中的不同身份验证方法设置。
管理员可以手动提供此联系信息,或者用户可以转到注册门户来自行提供信息。 在本教程,将 Microsoft Entra ID 设置为在用户下次登录时提示其进行注册。
在“注册”页的左侧菜单中,对“要求用户在登录时注册”选择“是”。
将“在多少天后要求用户重新确认其身份验证信息”设置为“180”。
务必将联系人信息保持最新状态。 如果在启动 SSPR 事件时联系信息已过时,用户可能无法解锁帐户或重置密码。
若要应用注册设置,请选择“保存”。
注意
只有在满足在设置上配置的条件时,才会中断在登录期间注册联系人信息的请求,并且仅适用于已启用使用 Microsoft Entra ID 自助密码重置重置密码的用户和管理员帐户。
配置通知和自定义项
若要使用户了解帐户活动,你可以设置 Microsoft Entra ID 在发生 SSPR 事件时发送电子邮件通知。 这些通知可以涵盖普通用户帐户和管理员帐户。 对于管理员帐户,使用 SSPR 重置特权管理员帐户密码时,此通知将提供另外一层意识。 如果有人对管理员帐户使用 SSPR,Microsoft Entra ID 会通知所有管理员。
在“通知”页面的左侧菜单中,设置以下选项:
- 将“重置密码时通知用户?”选项设置为“是”。
- 将“当其他管理员重置其密码时通知所有管理员?”设置为“是”。
若要应用通知首选项,请选择“保存”。
如果用户在执行 SSPR 过程时需要更多帮助,你可以自定义“联系管理员”链接。 用户可以在 SSPR 注册过程中,以及用户解锁帐户或重置密码时选择此链接。 为确保用户获得所需的支持,我们建议提供自定义的支持电子邮件或 URL。
- 在“自定义”页的左侧菜单中,将“自定义支持链接”设置为“是”。
- 在“自定义支持电子邮件或 URL”字段中提供电子邮件地址或网页 URL(例如 https://support.contoso.com/);通过此链接,用户可从你的组织获得更多帮助
- 若要应用自定义链接,请选择“保存”。
测试自助式密码重置
启用并配置 SSPR 后,使用在上一部分所选组(例如 Test-SSPR-Group)中的用户测试 SSPR 过程。 下面的示例使用 testuser 帐户。 提供你自己的用户帐户。 它属于本教程第一部分中为 SSPR 启用的组。
注意
测试自助式密码重置时,请使用非管理员帐户。 默认情况下,Microsoft Entra ID 为管理员启用自助式密码重置。 管理员需要使用两种身份验证方法重置密码。 有关详细信息,请参阅管理员重置策略差异。
若要查看手动注册过程,请以 InPrivate 或 incognito 模式打开新的浏览器窗口,并浏览到 https://aka.ms/ssprsetup。 Microsoft Entra ID 将在用户下次登录时将其定向到此注册门户。
使用非管理员测试用户(如 testuser)登录并注册身份验证方法的联系信息。
完成后,选择标记为“看起来不错”的按钮并关闭浏览器窗口。
在 InPrivate 或 incognito 模式下打开新的浏览器窗口并浏览到 https://aka.ms/sspr。
输入非管理员测试用户的用户帐户信息(如 testuser)、来自 CAPTCHA 的字符,然后选择“下一步”。
按验证步骤重置密码。 完成后,你会收到一条电子邮件通知,表明你的密码已重置。
清理资源
在本系列的后续教程中,你将设置密码写回。 此功能将 Microsoft Entra SSPR 中的密码更改写回到本地 AD 环境。 若要继续学习本教程系列来设置密码写回,请不要立即禁用 SSPR。
如果你不再想要使用你在本教程中配置的 SSPR 功能,请使用以下步骤将 SSPR 状态设置为“无”:
- 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“密码重置”。
- 在“属性”页的“已启用自助式密码重置”选项下,选择“无”。
- 若要应用 SSPR 更改,请选择“保存”。
常见问题
本部分介绍管理员和最终用户尝试 SSPR 的常见问题:
为什么在 SSPR 期间不显示本地密码策略?
目前,Microsoft Entra Connect 不支持与云共享密码策略详细信息。 SSPR 仅显示云密码策略详细信息,无法显示本地策略。
为什么联合用户在看到已重置你的密码之后最多等待 2 分钟后,才可以使用从本地同步的密码?
对于已同步其密码的联合用户,密码的颁发机构来源为本地。 因此,SSPR 仅更新本地密码。 每 2 分钟计划一次密码哈希同步回 Microsoft Entra ID。
预先填充 SSPR 数据(如电话和电子邮件)的新建用户访问 SSPR 注册页时,会显示“不要失去对帐户的访问权限!”作为页面标题。 为什么预先填充 SSPR 数据的其他用户看不到该消息?
看到“不要失去对帐户的访问权限!”的用户是为租户配置的 SSPR/合并注册组的成员。 没有看到“不要失去对帐户的访问权限!”的用户不属于 SSPR/合并注册组。
当某些用户进行 SSPR 过程并重置其密码时,为什么看不到密码强度指示器?
看不到弱/强密码强度的用户已启用同步密码写回。 由于 SSPR 无法确定客户本地环境的密码策略,因此无法验证密码强弱。
后续步骤
在本教程中,你为选定的用户组启用了 Microsoft Entra 自助式密码重置。 你已了解如何执行以下操作:
- 为一组 Microsoft Entra 用户启用自助式密码重置
- 设置身份验证方法和注册选项
- 以用户身份测试 SSPR 过程