Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Для использования самостоятельного сброса пароля Microsoft Entra (SSPR) должны присутствовать сведения о проверке подлинности для пользователя. В большинстве организаций пользователи сами регистрируют свои данные аутентификации при сборе информации для многофакторной аутентификации.
Некоторые организации предпочитают выполнять этот процесс с помощью синхронизации данных проверки подлинности, которые уже существуют в доменных службах Active Directory. Эти синхронизированные данные доступны для идентификатора Microsoft Entra и SSPR, не требуя взаимодействия с пользователем. Если пользователям необходимо изменить или сбросить пароль, они могут сделать это, даже если они ранее не регистрировали свои контактные данные.
Контактные данные проверки подлинности можно предварительно заполнить, если вы соответствуете следующим требованиям:
- Вы правильно отформатировали данные в локальном каталоге.
- Вы настроили Microsoft Entra Connect для клиента Microsoft Entra.
Номера телефонов должны иметь следующий формат: +код_страны номер_телефона, например +1 4251234567. Дополнительные ограничения:
- Между кодом страны и номером телефона должен быть пробел.
- Функция сброса пароля не поддерживает добавочные номера. Даже добавочные номера в формате +1 4251234567X12345 будут удаляться.
Заполненные поля
Если вы используете параметры по умолчанию в Microsoft Entra Connect, для заполнения контактных данных проверки подлинности для SSPR выполняются следующие сопоставления.
| Локальный каталог Active Directory | Microsoft Entra ID |
|---|---|
telephoneNumber |
Рабочий телефон |
mobile |
Мобильный телефон |
После того как пользователь проверяет свой номер мобильного телефона, поле "Телефон " в поле "Контактные данные проверки подлинности" в идентификаторе Microsoft Entra id также заполняется этим номером.
Контактная информация для аутентификации
На странице Методы проверки подлинности для пользователя Microsoft Entra в Центре администрирования Microsoft Entra пользователи, которым назначена роль администратора по крайней мере привилегированной проверки подлинности , могут вручную задать контактные данные для проверки подлинности для любого пользователя. Вы можете просмотреть существующие методы в разделе Используемые методы проверки подлинности или выбрав + Добавить метод проверки подлинности.
В отношении этой контактной информации для проверки подлинности необходимо учитывать следующее:
- Если в поле Телефон указан номер и использование мобильного телефона предусмотрено в политике самостоятельного сброса пароля, пользователь увидит этот номер на странице регистрации для сброса пароля, а также во время сброса пароля.
- Если в поле Электронная почта указан адрес и использование электронной почты предусмотрено в политике SSPR, пользователь увидит этот адрес на странице регистрации для сброса пароля, а также во время сброса пароля.
Контрольные вопросы и ответы на них
Контрольные вопросы и ответы на них надежно хранятся в клиенте Microsoft Entra и доступны пользователям только через объединенный интерфейс регистрации "Мой Security-Info". Администраторы не могут видеть, задавать или изменять содержимое вопросов и ответов другого пользователя.
Что происходит, когда пользователь регистрируется?
Когда пользователь регистрируется, на странице регистрации будут заполнены следующие поля:
- Телефон для проверки подлинности;
- Адрес электронной почты для проверки подлинности;
- Security Questions and Answers (Контрольные вопросы и ответы на них).
Если вы указали значения для полей Мобильный телефон или Запасной адрес электронной почты, пользователи могут использовать их для сброса паролей, даже если они еще не прошли регистрацию в службе.
Пользователи также видят эти значения при первой регистрации и могут изменить их, если захотят. После успешной регистрации эти значения будут храниться в полях Телефон для проверки подлинности и Адрес электронной почты для проверки подлинности (их нельзя будет изменить).
Установка и чтение данных проверки подлинности с помощью PowerShell
С помощью PowerShell можно задать следующие поля:
- Запасной адрес электронной почты;
- Мобильный телефон
-
Рабочий телефон.
- Можно задать только в том случае, если вы не синхронизируетесь с локальным каталогом.
Вы можете использовать Microsoft Graph PowerShell для взаимодействия с Microsoft Entra ID. Вы также можете использовать REST API Microsoft Graph для управления методами проверки подлинности.
Использование PowerShell для Microsoft Graph
Чтобы начать работу, загрузите и установите модуль PowerShell для Microsoft Graph.
Чтобы быстро установить одну из последних версий PowerShell, поддерживающую Install-Module, выполните приведенные ниже команды. Первая строка проверяет, установлен ли уже модуль.
Get-Module Microsoft.Graph
Install-Module Microsoft.Graph
Select-MgProfile -Name "beta"
Connect-MgGraph -Scopes "User.ReadWrite.All"
После установки модуля вы можете выполнить следующие процедуры по настройке каждого поля.
Установление данных проверки подлинности с помощью PowerShell для Microsoft Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com")
Update-MgUser -UserId 'user@domain.com' -mobilePhone "+1 4251234567"
Update-MgUser -UserId 'user@domain.com' -businessPhones "+1 4252345678"
Update-MgUser -UserId 'user@domain.com' -otherMails @("emails@domain.com") -mobilePhone "+1 4251234567" -businessPhones "+1 4252345678"
Считывание данных проверки подлинности с помощью PowerShell для Microsoft Graph
Connect-MgGraph -Scopes "User.Read.All"
Get-MgUser -UserId 'user@domain.com' | select otherMails
Get-MgUser -UserId 'user@domain.com' | select mobilePhone
Get-MgUser -UserId 'user@domain.com' | select businessPhones
Get-MgUser -UserId 'user@domain.com' | Select businessPhones, mobilePhone, otherMails | Format-Table
Следующий шаг
После того как контактные данные для проверки подлинности будут предварительно заполнены для пользователей, выполните следующее руководство, чтобы включить самостоятельный сброс пароля: