启用 Office 365 的自助密码重置功能

教程

您的团队是否被重置密码的请求所困扰?让我们承认吧;用户往往会忘记他们的密码,或者不时地被锁定。是时候允许 Office 365 的自助密码重置,让您的用户自行处理了。

用户经常因为需要通过案例管理流程来重置密码而感到不便和沮丧。除非用户是 VIP,否则大多数重置密码的请求都被视为低优先级,可能需要几天时间才能处理。

通过在 Office 365 或 SSPR(自助服务密码重置)中实施自助服务密码重置,可以解决这些问题。使用 SSPR,用户可以允许在自己的账户上执行密码重置操作。实施 SSPR 可能会显著改善用户体验,并减少与密码重置相关的请求数量。

在本文中,您将了解如何启用、配置和测试自助服务密码重置服务。您将了解如何为仅云或混合组织实施 SSPR。

通过多因素身份验证(MFA)、单点登录(SSO)和自助服务密码重置来现代化身份安全。下载 ManageEngine ADSelfService Plus

先决条件

本文是一个操作指南,如果您打算跟着操作,您需要满足以下要求。

  • A working Azure AD or Microsoft 365 Tenant. If you do not have this yet, you can request for a trial account.
  • A Global Administrator user account. This account will be used for the configuration and management of SSPR.
  • A non-administrator cloud-only account. This account will be used for testing the SSPR user experience. In this article, the cloud-only account named CloudUser will be used.
  • 本地 Windows Active Directory,安装了 Azure AD Connect,并配置了同步。如果您计划启用密码写回到 Windows Active Directory,则此操作是可选的。
    • 在 Windows AD 中同步到 Azure AD 的非管理员帐户。在本文中,将使用本地用户帐户*HybridUser*****。
  • A group to which the non-administrator account is a member. This group will be used as the target to allow SSPR. In this article, SSPR will be enabled to target only the members of the group named SSPR-Users.
  • 根据 SSPR 功能的预期实施,可能需要不同的许可证或订阅。请参考下面的图片,显示功能和所需许可证。
Comparing Self-Service Password Resets for Office 365 editions and features

了解自助服务密码重置状态选项

启用 Office 365 的自助服务密码重置过程很简单。但是,启用并不等同于仔细实施。实施的行为并非相同。实施

实施新功能时最大的关注点之一是用户可能会受到影响。好在可以将 SSPR 启用为仅针对所选组的成员。特别是在分批次实施 SSPR 时,这有助于将可能的影响降到最低。

SSPR 有三种状态。每个状态代表着如何将 SSPR 应用于用户(或不应用于用户)。

  • – 在此状态下,您的租户中的每个用户均未启用 SSPR。

注意:即使将 SSPR 的状态设置为 None,管理员的 SSPR 也始终处于启用状态。管理员需要使用两种身份验证方法来使用 SSPR 重置自己的密码。

  • 已选择 – 在此状态下,仅将 SSPR 应用于选定的组。这在进行分阶段推出时非常有用。使用此状态,您可以分批将用户添加到目标组中。本文将使用此 SSPR 状态。

注意:当您选择“已选择”状态时,SSPR 一次只允许一个组作为目标。但是,允许嵌套组。

  • 全部 – 在此状态下启用 SSPR 将使 SSPR 应用于您租户中的所有用户。

启用仅使用云设置的组织的 SSPR

对于仅使用云设置的组织,启用 Office 365 的自助式密码重置只是打开开关并应用最基本设置的问题。下面的步骤将教您如何做到这一点。

首先,使用您的全局管理员帐户登录Microsoft Azure 门户,并转到Azure Active Directory 刀片。

Click the Azure Active Directory blade

在 Azure Active Directory 页面中,在管理部分下,找到并单击密码重置

Go to Password Reset

在密码重置刀片内,在管理部分下,单击属性菜单刀片。然后,您将看到 Office 365 的自助式密码重置的当前状态。如下面的屏幕截图所示,当前的 Office 365 的自助式密码重置状态为“无” – 这意味着 SSPR 目前已关闭,不适用于所有最终用户。

SSPR is turned off

接下来,将SSPR的状态更改为已选定。然后,您需要指定目标安全组,其成员将启用Office 365的自助服务密码重置。在下面的示例中,所选组的名称为SSPR-Users。在选择目标组后,单击选择按钮。

Choosing a target group for SSPR

如下图所示,所选组SSPR-Users已被选中。现在,单击保存以最终启用SSPR。

Save the SSPR status change

为具有混合设置的组织启用SSPR

在前一节中,您已经学会了如何启用SSPR,这适用于一组仅限云用户。在本节中,您将了解到如果您组织的用户是通过从本地Active Directory同步到Azure AD,那么需要采取哪些措施使用Azure AD Connect

相关:如何使用Azure AD Connect将Azure AD连接到Office 365

由于混合用户帐户最初是在本地AD中创建的,因此必须将重置的密码写回到本地AD。为此,必须在Azure AD Connect中启用密码写回功能。

在Azure AD Connect中启用密码写回功能

要启用密码写回功能,您必须访问安装了Azure AD Connect的服务器。请按照以下步骤启用密码写回功能。

启动 Azure AD Connect 配置程序,然后点击 配置

Configure Azure AD Connect

然后,在 附加任务 下,选择 自定义同步选项。点击 下一步

Select Customize synchronization options

连接到 Azure AD 页面,输入您的全局管理员帐户凭据。点击 下一步

Connect to Azure AD

点击下一页,直到您到达 可选功能 页面。选中 密码写回 复选框,然后点击 下一步

Enable Password writeback

接下来,在 准备配置 页面,点击 配置。然后,等待配置过程完成。

Ready to configure

您应该看到与下面显示的图像相同的状态,表示配置成功。点击 退出

Configuration complete

为 Office 365 选项配置自助服务密码重置

到目前为止,在本文中,您已经学会了如何使用默认选项启用 SSPR。即使使用默认选项,SSPR 已经可用。

然而,可以配置和定制更多选项,这可能有助于您进一步控制 SSPR,以符合您组织的要求。这些选项包括身份验证方法、注册、通知、支持联系链接或电子邮件,以及本地 AD 集成。

配置注册选项

在用户可以使用 Office 365 的自助密码重置功能之前,他们需要首先注册他们的身份验证信息。在注册菜单中,如下屏幕截图所示,有两个配置设置。

SSPR Registration Configuration

从上图可以看出,这两个选项是:

  1. 用户登录时需要注册吗? – 此配置控制用户是否被强制在下次登录时注册他们的身份验证信息。如果设置为,管理员将需要教育用户如何手动注册他们的自助密码重置信息。默认情况下,此设置被设置为
  2. 用户被要求重新确认其身份验证信息之前的天数 – 此值确定用户何时需要更新或重新确认其自助密码重置的身份验证信息。默认情况下,此设置的值设置为180天。

在本文中,将使用默认配置。

配置身份验证方法

当用户尝试重置自己的密码时,Office 365 的自助密码重置将要求用户证明其身份。您可以配置自助密码重置以要求最多两种身份验证方法。

SSPR Authentication Methods

从上图可以看出,有两个设置:

  1. 重置所需方法数量 – 这确定了用户在尝试重置密码时需要多少身份验证方法。此设置的默认值为1
  2. 用户可用的方法 – 这显示了用户在能够重置其帐户密码之前可以使用的可能身份验证方式列表。这些方法包括使用Microsoft Authenticator应用程序(代码和通知)、电子邮件、短信、办公电话和安全问题。

在本文中,将使用默认配置。

配置通知

对于用户和管理员在其各自帐户上执行密码重置操作时通过电子邮件收到通知是个好主意。

当用户收到通知时,他们可以验证是他们自己执行了密码重置操作。

SSPR Notifications

上面的图像显示您可以选择在密码重置时通知用户在其他管理员重置密码时通知所有管理员的选项。

在本文中,将使用默认配置。

配置支持联系信息

另一个可用的配置是自定义SSPR的支持联系信息。此配置为用户提供了与您的帮助台或管理员联系的途径。

以下是您可以看到的内容,1) 定制帮助台链接 的默认设置为 No。将选项更改为 Yes 将允许您指定 2) 定制帮助台电子邮件或URL

Support Contact Customization

在本文中,将使用默认配置。

配置本地集成

在本地集成菜单中,您将看到本地写回客户端可用性的状态。您将能够确认密码写回功能是否正常工作。

Configuring On-Premises Integration

如上图所示,您可以选择:

  1. 启用或禁用密码写回选项到本地目录。
  2. 启用或禁用用户在无需更改密码的情况下解锁其被锁定的帐户的能力。

在本文中,将使用默认配置。

测试自助服务密码重置用户体验

到目前为止,在本文中,您已经学会了如何在Office 365中启用自助服务密码重置以及可用的不同配置选项。在本节中,您将能够测试并熟悉自助服务密码重置用户体验。

注册自助服务密码重置身份验证信息

默认情况下,一旦启用了 Office 365 的自助服务密码重置功能,用户将自动提示注册其身份验证信息。用户也可以手动前往自助服务密码重置注册链接(https://aka.ms/ssprsetup)。

请参阅下面的演示,以用户CloudUser登录Office 365门户为例。

Support Contact Customization

从上面的演示中可以看到,成功登录到 Office 365 门户后,用户被要求注册身份验证信息。由于自助服务密码重置注册仅需要一种身份验证方法,因此只注册电话号码就足够了。

执行密码重置

如果用户已经注册了自助服务密码重置,并且需要重置帐户密码,则需要前往密码重置 URL:https://aka.ms/sspr

下面的演示显示了如何执行自助服务密码重置。

Performing a password reset

从上面的演示中可以看出,一旦用户能够使用短信验证码进行身份验证,密码就可以被更改。

下面的图像显示了作为自助服务密码重置流程的一部分发送给用户的密码重置通知。

SSPR notification email

现代化身份安全采用多因素身份验证(MFA)、单一登录(SSO)和自助密码重置。 下载ManageEngine ADSelfService Plus

概要

Office 365的自助密码重置被证明是用户和管理员重置密码的一种方便且安全的方式。

当用户被提供重置密码的选项时,解决问题的等待时间缩短,对生产力的干扰也减小。

在这篇文章中,您学到了如何启用自助密码重置并将其应用于特定群组。您还了解了有关如何更好地控制SSPR在组织中运行的不同配置选项。

您还逐步了解了自助密码重置用户体验的工作原理,包括注册过程和电子邮件通知。

与SSPR集成的配置比本文涵盖的更多,例如,设置策略和禁止使用的密码。现在您具备了在Office 365租户中实施SSPR的信心所需的知识。

Source:
https://adamtheautomator.com/self-service-password-reset-office-365/