Предварительно заполненные контактные данные проверки подлинности пользователей для самостоятельного сброса пароля Microsoft Entra (SSPR)
Для использования самостоятельного сброса пароля Microsoft Entra (SSPR) должны присутствовать сведения о проверке подлинности для пользователя. Большинство организаций регистрируют данные проверки подлинности при сборе сведений для MFA. Некоторые организации предпочитают загрузить этот процесс с помощью синхронизации данных проверки подлинности, которые уже существуют в службах домен Active Directory (AD DS). Эти синхронизированные данные доступны для идентификатора Microsoft Entra и SSPR, не требуя взаимодействия с пользователем. Когда пользователям нужно изменить или сбросить пароль, они могут сделать это даже в том случае, если они ранее не зарегистрировали свои контактные данные.
Контактные данные проверки подлинности можно предварительно заполнить, если вы соответствуете следующим требованиям:
- Вы правильно отформатировали данные в локальном каталоге.
- Вы настроили Microsoft Entra Connect для клиента Microsoft Entra.
Номера телефонов должны быть в формате +CountryCode PhoneNumber, например +1 4251234567.
Заметка
Между кодом страны и номером телефона должно быть пробел.
Сброс пароля не поддерживает расширения телефонов. Даже в формате +1 4251234567X12345 расширения удаляются перед размещением вызова.
Заполненные поля
Если вы используете параметры по умолчанию в Microsoft Entra Connect, для заполнения контактных данных проверки подлинности для SSPR выполняются следующие сопоставления:
| Локальный Active Directory | Идентификатор Microsoft Entra |
|---|---|
| номер телефона | Телефон Office |
| мобильный | Мобильный телефон |
После того как пользователь проверяет свой номер мобильного телефона, поле "Телефон " в поле "Контактные данные проверки подлинности" в идентификаторе Microsoft Entra id также заполняется этим номером.
Контактные данные проверки подлинности
На странице методов проверки подлинности для пользователя Microsoft Entra в Центре администрирования Microsoft Entra, которым назначена по крайней мере роль администратора привилегированной проверки подлинности, можно вручную задать контактные данные проверки подлинности для всех пользователей. Существующие методы можно просмотреть в разделе "Методы проверки подлинности usable" или "+Добавить методы проверки подлинности", как показано на следующем снимке экрана:
Следующие рекомендации относятся к этой контактным данным проверки подлинности:
- Если поле "Телефон" заполнено, а мобильный телефон включен в политике SSPR, пользователь видит это число на странице регистрации сброса пароля и во время рабочего процесса сброса пароля.
- Если поле "Электронная почта" заполнено и электронная почта включена в политике SSPR, пользователь видит это сообщение электронной почты на странице регистрации сброса пароля и во время рабочего процесса сброса пароля.
Вопросы и ответы
Вопросы безопасности и ответы хранятся безопасно в клиенте Microsoft Entra и доступны только пользователям с помощью объединенной регистрации My Security-Info. Администраторы не могут просматривать, задавать или изменять содержимое вопросов и ответов других пользователей.
Что происходит при регистрации пользователя
При регистрации пользователя страница регистрации задает следующие поля:
- Телефон проверки подлинности
- Электронная почта проверки подлинности
- Вопросы и ответы
Если вы предоставили значение для мобильного телефона или альтернативного сообщения электронной почты, пользователи могут немедленно использовать эти значения для сброса паролей, даже если они не зарегистрировались для службы.
Пользователи также видят эти значения при первом регистрации и могут изменять их, если они хотят. После успешной регистрации эти значения сохраняются в полях "Телефон проверки подлинности" и "Электронная почта проверки подлинности" соответственно.
Настройка и чтение данных проверки подлинности с помощью PowerShell
Следующие поля можно задать с помощью PowerShell:
- Альтернативный адрес электронной почты
- Мобильный телефон
- Телефон Office
- Можно задать только в том случае, если вы не синхронизируете с локальным каталогом.
Вы можете использовать Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra ID или использовать REST API Microsoft Graph для управления методами проверки подлинности.
Использование Microsoft Graph PowerShell
Чтобы приступить к работе, скачайте и установите модуль Microsoft Graph PowerShell.
Чтобы быстро установить из последних версий PowerShell, которые поддерживают Install-Module, выполните следующие команды. Первая строка проверяет, уже ли установлен модуль:
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
После установки модуля выполните следующие действия, чтобы настроить каждое поле.
Настройка данных проверки подлинности с помощью Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId '[email protected]' -otherMails @("[email protected]")
Update-MgUser -UserId '[email protected]' -mobilePhone "+1 4251234567"
Update-MgUser -UserId '[email protected]' -businessPhones "+1 4252345678"
Update-MgUser -UserId '[email protected]' -otherMails @("[email protected]") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Чтение данных проверки подлинности с помощью Microsoft Graph PowerShell
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId '[email protected]' | select otherMails
Get-MgUser -UserId '[email protected]' | select mobilePhone
Get-MgUser -UserId '[email protected]' | select businessPhones
Get-MgUser -UserId '[email protected]' | Select businessPhones, mobilePhone, otherMails | Format-Table
Дальнейшие действия
После предварительного заполнения контактных данных проверки подлинности для пользователей выполните следующее руководство, чтобы включить самостоятельный сброс пароля: