啟用 Office 365 自助式密碼重置

教學

您的团队是否被密码重置请求淹没了?让我们承认吧;用户经常忘记密码,或者不时地被锁定。现在是时候允许Office 365进行自助密码重置,让用户自行处理。

用户可能会感到不便和沮丧,因为他们不得不经历一个案例管理过程,以便重置密码。除非用户是VIP,大多数密码重置请求都被视为低优先级,可能需要几天才能处理。

通过在Office 365或SSPR中实施自助密码重置,可以解决这些问题。使用SSPR,用户可以自行对其账户进行密码重置操作。实施SSPR可能会显著改善用户体验并减少与密码重置相关的请求数量。

在本文中,您将了解如何启用、配置和测试自助密码重置服务。您将了解如何为仅云和混合组织实施SSPR。

使用多因素身份验证(MFA)、单点登录(SSO)和自助密码重置来现代化身份安全。下载ManageEngine ADSelfService Plus

先决条件

本文是一篇操作指南,如果您计划跟随操作,需要满足以下要求。

  • A working Azure AD or Microsoft 365 Tenant. If you do not have this yet, you can request for a trial account.
  • A Global Administrator user account. This account will be used for the configuration and management of SSPR.
  • A non-administrator cloud-only account. This account will be used for testing the SSPR user experience. In this article, the cloud-only account named CloudUser will be used.
  • [可选]使用安装并配置了Azure AD Connect的本地Windows Active Directory。只有在您计划启用密码写回到Windows Active Directory时才需要此项设置。
    • 一个在Windows AD中同步到Azure AD的非管理员帐户。在本文中,将使用本地用户账户*HybridUser *****。
  • A group to which the non-administrator account is a member. This group will be used as the target to allow SSPR. In this article, SSPR will be enabled to target only the members of the group named SSPR-Users.
  • 根据自助服务密码重置(SSPR)功能的实际实施需求,可能需要不同的许可证或订阅。请参考下面的图片,显示了所需功能和许可证。
Comparing Self-Service Password Resets for Office 365 editions and features

了解自助服务密码重置状态选项

启用Office 365的自助服务密码重置过程很简单。但是,启用与仔细实施是不同的。

在实施新功能时,最大的关注点之一是用户可能受到的影响。幸好,SSPR可以启用以仅针对所选组的成员。这有助于将潜在影响降到最低,特别是在批量实施SSPR时。

SSPR有三个状态。每个状态表示如何(或不如何)将SSPR应用于用户。

  • – 在此状态下,SSPR对您租户中的每个用户都被禁用。

注意:即使将SSPR状态设置为无,管理员仍然可以使用两种身份验证方法重置自己的密码。

  • 選擇 – 在這種狀態下,自助密碼重設(SSPR)僅應用於選定的群組。這在進行分階段部署時非常有用。使用此狀態,您可以分批將使用者添加到目標群組中。這是本文將使用的SSPR狀態。

注意:當您選擇選擇狀態時,SSPR僅允許一個群組作為目標。但是,允許嵌套群組。

  • 全部 – 選擇在此狀態下啟用SSPR將對您的租戶中的所有使用者應用SSPR。

為僅使用雲端設置的組織啟用SSPR

對於僅使用雲端設置的組織,啟用Office 365的自助密碼重設只是將其打開並應用最基本的設置。下面的步驟將教您如何做到這一點。

首先,使用全域管理員帳戶登錄 Microsoft Azure 门户,然後轉到 Azure Active Directory 界面。

Click the Azure Active Directory blade

在 Azure Active Directory 页面的 管理 部分下,找到並點擊 密碼重設

Go to Password Reset

在密碼重設界面的 管理 部分,點擊 屬性 選單。然後,您將看到目前的Office 365自助密碼重設狀態。如下面的屏幕截圖所示,當前的Office 365自助密碼重設狀態為”None”,這意味著SSPR目前對所有終端使用者關閉。

SSPR is turned off

接下來,將SSPR的狀態更改為已選擇。然後,您需要指定將啟用Office 365的自助密碼重置功能的目標安全組。在下面的示例中,選擇的組名稱為SSPR-Users。在選擇目標組後,請點擊選擇按鈕。

Choosing a target group for SSPR

如下圖所示,所選組SSPR-Users已被選中。現在,點擊保存以最終啟用SSPR。

Save the SSPR status change

對於具有混合設置的組織啟用SSPR

在前一節中,您已經學會了如何啟用SSPR,這適用於一組選定的僅雲端使用者。在本節中,您將了解如果您的組織使用Azure AD Connect將用戶從本地Active Directory同步到Azure AD,需要進行哪些操作。

相關資料:如何使用Azure AD Connect將Azure AD連接到Office 365

由於混合使用者帳戶最初是在本地AD中創建的,重置的密碼必須寫回本地AD。為此,必須在Azure AD Connect中啟用密碼寫回功能。

在Azure AD Connect中啟用密碼寫回功能

要啟用密碼寫回功能,您必須具有訪問安裝Azure AD Connect的服務器的權限。請按照以下步驟啟用密碼寫回功能。

啟動Azure AD Connect配置程式,然後點擊配置

Configure Azure AD Connect

然後,在其他任務下,選擇自訂同步選項。點擊下一步

Select Customize synchronization options

連線到Azure AD頁面中,輸入您的全域管理員帳戶憑證。點擊下一步

Connect to Azure AD

通過下一頁,直到到達可選功能頁面。勾選密碼回寫勾選框,然後點擊下一步

Enable Password writeback

接下來,在準備配置頁面上,點擊配置。然後,等待配置過程完成。

Ready to configure

您應該看到與下面圖片顯示的相同狀態,表示配置成功。點擊退出

Configuration complete

配置Office 365選項的自助密碼重設

到目前為止,在本文中,您已經學會了如何使用默認選項啟用SSPR。即使使用默認選項,SSPR已經可用。

然而,還可以配置和自訂更多選項,這可能有助於進一步控制SSPR以符合組織的要求。這些選項包括身份驗證方法、註冊、通知、支援聯絡鏈接或郵件,以及本地AD整合。

配置註冊選項

在用户可以使用Office 365的自助密码重置功能之前,他们需要先注册他们的身份验证信息。在注册菜单中,如下图所示,有两个配置设置。

SSPR Registration Configuration

从上面的图片可以看出,这两个选项是:

  1. 用户在登录时是否需要注册? – 此配置控制用户是否在下次登录时强制注册他们的身份验证信息。如果设置为,管理员需要教育用户如何手动注册他们的自助密码重置信息。默认情况下,此设置为
  2. 用户被要求重新确认身份验证信息之前的天数 – 此值确定用户何时需要更新或重新确认他们的SSPR身份验证信息。默认情况下,此设置的值为180天。

本文将使用默认配置。

配置身份验证方法

当用户尝试重置自己的密码时,Office 365的自助密码重置功能将要求用户验证身份。您可以配置SSPR要求最多两种身份验证方法。

SSPR Authentication Methods

如上图所示,有两个设置:

  1. 重置所需的方法数量 – 这确定了用户在尝试重置密码时需要多少个身份验证方法。此设置的默认值为1
  2. 用户可用的方法 – 这显示了用户在重置帐户密码之前可以使用的可能身份验证方式的列表。这些方法包括使用Microsoft Authenticator应用程序(代码和通知)、电子邮件、短信、办公电话和安全问题。

在本文中,将使用默认配置。

配置通知

对于用户和管理员在其各自帐户上执行密码重置操作时收到电子邮件通知是一个好主意。

当用户收到通知时,他们可以验证是他们自己执行了密码重置操作。

SSPR Notifications

上图显示了您可以选择在密码重置时通知用户以及当其他管理员重置密码时通知所有管理员的选项。

在本文中,将使用默认配置。

配置支持联系信息

另一个可用的配置是自定义SSPR的支持联系信息。此配置提供了一种让用户联系您的帮助台或管理员的方式。

如下所示,默认设置为1) 自定义帮助台链接。将选项更改为将允许您指定一个2) 自定义帮助台电子邮件或URL

Support Contact Customization

在本文中,将使用默认配置。

配置本地集成

在本地集成菜单中,您将看到本地写回客户端可用性的状态。您将能够确认密码写回功能是否正常工作。

Configuring On-Premises Integration

如上图所示,您可以选择:

  1. 打开或关闭将密码写回到本地目录的选项。
  2. 打开或关闭用户在无需更改密码的情况下解锁其锁定帐户的能力。

在本文中,将使用默认配置。

测试自助式密码重置用户体验

到目前为止,在本文中,您已了解如何在Office 365中启用自助式密码重置以及可用的不同配置选项。在本节中,您将能够测试并熟悉自助式密码重置的用户体验。

注册自助式密码重置身份验证信息

默認情況下,一旦啟用了 Office 365 的自助式密碼重置功能,用戶會自動收到提示註冊其身份驗證信息。用戶也可以手動前往自助式密碼重置註冊鏈接(https://aka.ms/ssprsetup)。

請參見下面的示例,其中用戶CloudUser登錄到Office 365 門戶

Support Contact Customization

從上面的示例中可以看到,成功登錄到 Office 365 門戶後,用戶被要求註冊身份驗證信息。由於自助式密碼重置註冊僅需要一種身份驗證方法,僅註冊一個電話號碼就足夠了。

執行密碼重置

如果用戶已經註冊了自助式密碼重置功能,並且需要重置帳戶密碼,他們需要前往密碼重置網址:https://aka.ms/sspr

下面的示例展示了如何執行自助式密碼重置。

Performing a password reset

從上面的示例中可以看到,一旦用戶能夠使用短信驗證碼進行身份驗證,密碼就可以被更改。

下面的圖片顯示了作為自助式密碼重置過程一部分發送給用戶的密碼重置通知。

SSPR notification email

使用多因素身份驗證(MFA)、單一登錄(SSO)和自助密碼重置來現代化身份安全。下載ManageEngine ADSelfService Plus

摘要

Office 365的自助密碼重置為用戶和管理員重置自己的密碼提供了方便且安全的方式。

當用戶可以選擇重置密碼時,消除了長時間等待解決的問題,並將對生產力的干擾降到最低。

在本文中,您已經學會了如何啟用自助密碼重置並將其應用於特定組。您還了解了有關如何更好地控制組織的SSPR工作方式的不同配置選項。

您還逐步學習了自助密碼重置用戶體驗的工作原理,包括註冊過程和電子郵件通知。

SSPR可以集成比本文中介紹的更多配置,比如設置策略和禁止使用的密碼。現在,您已經具備了實施Office 365租戶的SSPR所需的知識,應該更有信心。

Source:
https://adamtheautomator.com/self-service-password-reset-office-365/