利用Azure AD SSPR幫助用戶重置密碼

最好的Azure學習站點：Azure文檔中心 / Microsoft Learning

利用Azure AD SSPR幫助用戶重置密碼

前面和你們聊了使用SSPR，用戶能夠在沒有管理員支持的狀況下自行解決帳戶和密碼問題，從而極大地減小了管理員的工做負擔，此外由於用戶無需等到管理員有空時機可完成密碼重置，因此它還最大程度的減小了忘記密碼或密碼過時對工做效率的影響。那麼接下來咱們就一塊兒來看一下，如何在Azure Portal中對特定用戶或組啓用SSPR。

先決條件

開始配置 SSPR 以前，須要知足/準備以下先決條件：

l Azure AD 組織。 此組織必須至少啓用一個試用許可證。

l 具備全局管理員權限的 Azure AD 賬戶。 你將使用此賬戶來設置 SSPR。

l 非管理型用戶賬戶。將使用此賬戶來測試 SSPR。 此賬戶不是管理員，這一點很重要，由於 Azure AD 對 SSPR 的管理員賬戶有額外要求。 此用戶和全部用戶賬戶都必須具備有效許可才能使用 SSPR。

l 用於測試配置的安全組。非管理型用戶賬戶必須是此組的成員。 將使用此安全組來限制要向其推送 SSPR 的用戶。

啓用SSPR

建立用戶組

首先登陸到Azure門戶，點擊全部服務—Azure Active Directory：

點擊組：

點擊新建組：

組類型，選擇安全組，而後輸入組名稱和描述，能夠根據須要分配全部者和對應成員：

建立完成，以下圖所示：

配置SSPR

點擊Azure Active Directory概述左側選項卡內的密碼重置：

前面的文章中也和你們提到過，Azure AD的免費版本是不支持SSPR的，因此咱們須要申請高級試用版，點擊獲取免費高級試用版：

在此咱們選擇Azure AD Premium P1版本，點擊激活:

激活之後，咱們再次進入密碼重置選型卡，能夠看到已經和以前有所區別，咱們須要選擇SSPR的範圍，具體範圍的界定能夠參考以下說明：

l 禁用：Azure AD 組織中的任何用戶都不能使用 SSPR。 這是默認值。

l 啓用：Azure AD 組織中的任何用戶都能使用 SSPR。

l 選定: 只有指定安全組的成員才能使用 SSPR。 可使用此選項爲目標用戶組啓用 SSPR，對其進行測試並驗證它是否按預期工做。 當你已準備好大範圍推出 SSPR 時，請將屬性設置爲「已啓用」，以便全部用戶都有權訪問 SSPR。

在此咱們使用的選定，因此須要選擇須要啓用SSPR的安全組，咱們選擇以前建立好的安全組：

確認無誤，點擊保存便可:

設置身份驗證方法數

啓用了SSPR之後，咱們須要設置用戶在進行密碼重置的過程當中須要進行幾回身份驗證，以及每次可使用的身份驗證方式，在此我是用一次身份驗證：

SSPR驗證信息註冊

指定用戶下次登陸時是否須要註冊 SSPR

指定要求用戶從新確認其身份驗證信息的頻率

設置密碼重置通知

設置在密碼重置時，是否向用戶或管理員發送通知：

測試用戶重置密碼

直接訪問密碼重置的站點或者在登陸頁面點擊 「沒法訪問帳戶」鏈接跳轉到密碼重置網站，而後輸入帳戶信息和驗證碼：

在已經設置的Microsoft Authenticator應用中找到對應PIN碼：

PIN碼驗證成功後，輸入新的用戶密碼:

密碼重置成功，以下圖所示：

更多關於Azure AD SSPR的信息你們能夠參考以下鏈接：

https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr?WT.mc_id=AZ-MVP-5002232