利用Azure AD SSPR幫助用戶重置密碼

利用Azure AD SSPR幫助用戶重置密碼

前面和大家聊了使用SSPR，用戶可以在沒有管理員支持的情況下自行解決賬戶和密碼問題，從而極大地減少了管理員的工作負(fù)擔(dān)，此外因?yàn)橛脩魺o需等到管理員有空時(shí)機(jī)可完成密碼重置，所以它還最大程度的減少了忘記密碼或密碼過期對(duì)工作效率的影響。那么接下來我們就一起來看一下，如何在Azure Portal中對(duì)特定用戶或組啟用SSPR。

先決條件

開始配置 SSPR 之前，需要滿足/準(zhǔn)備如下先決條件：

l Azure AD 組織。 此組織必須至少啟用一個(gè)試用許可證。

l 具有全局管理員權(quán)限的 Azure AD 帳戶。 你將使用此帳戶來設(shè)置 SSPR。

l 非管理型用戶帳戶。將使用此帳戶來測(cè)試 SSPR。 此帳戶不是管理員，這一點(diǎn)很重要，因?yàn)?Azure AD 對(duì) SSPR 的管理員帳戶有額外要求。 此用戶和所有用戶帳戶都必須具有有效許可才能使用 SSPR。

l 用于測(cè)試配置的安全組。非管理型用戶帳戶必須是此組的成員。 將使用此安全組來限制要向其推送 SSPR 的用戶。

啟用SSPR

創(chuàng)建用戶組

首先登錄到Azure門戶，點(diǎn)擊所有服務(wù)—Azure Active Directory：

點(diǎn)擊組：

點(diǎn)擊新建組：

組類型，選擇安全組，然后輸入組名稱和描述，可以根據(jù)需要分配所有者和對(duì)應(yīng)成員：

創(chuàng)建完成，如下圖所示：

配置SSPR

點(diǎn)擊Azure Active Directory概述左側(cè)選項(xiàng)卡內(nèi)的密碼重置：

前面的文章中也和大家提到過，Azure AD的免費(fèi)版本是不支持SSPR的，所以我們需要申請(qǐng)高級(jí)試用版，點(diǎn)擊獲取免費(fèi)高級(jí)試用版：

在此我們選擇Azure AD Premium P1版本，點(diǎn)擊激活:

激活以后，我們?cè)俅芜M(jìn)入密碼重置選型卡，可以看到已經(jīng)和之前有所區(qū)別，我們需要選擇SSPR的范圍，具體范圍的界定可以參考如下說明：

l 禁用：Azure AD 組織中的任何用戶都不能使用 SSPR。 這是默認(rèn)值。

l 啟用：Azure AD 組織中的任何用戶都能使用 SSPR。

l 選定: 只有指定安全組的成員才能使用 SSPR。 可以使用此選項(xiàng)為目標(biāo)用戶組啟用 SSPR，對(duì)其進(jìn)行測(cè)試并驗(yàn)證它是否按預(yù)期工作。 當(dāng)你已準(zhǔn)備好大范圍推出 SSPR 時(shí)，請(qǐng)將屬性設(shè)置為“已啟用”，以便所有用戶都有權(quán)訪問 SSPR。

在此我們使用的選定，所以需要選擇需要啟用SSPR的安全組，我們選擇之前創(chuàng)建好的安全組：

確認(rèn)無誤，點(diǎn)擊保存即可:

設(shè)置身份驗(yàn)證方法數(shù)

啟用了SSPR以后，我們需要設(shè)置用戶在進(jìn)行密碼重置的過程中需要進(jìn)行幾次身份驗(yàn)證，以及每次可以使用的身份驗(yàn)證方式，在此我是用一次身份驗(yàn)證：

SSPR驗(yàn)證信息注冊(cè)

指定用戶下次登錄時(shí)是否需要注冊(cè) SSPR

指定要求用戶重新確認(rèn)其身份驗(yàn)證信息的頻率

設(shè)置密碼重置通知

設(shè)置在密碼重置時(shí)，是否向用戶或管理員發(fā)送通知：

測(cè)試用戶重置密碼

直接訪問密碼重置的站點(diǎn)或者在登錄頁面點(diǎn)擊 “無法訪問賬戶”連接跳轉(zhuǎn)到密碼重置網(wǎng)站，然后輸入賬戶信息和驗(yàn)證碼：

在已經(jīng)設(shè)置的Microsoft Authenticator應(yīng)用中找到對(duì)應(yīng)PIN碼：

PIN碼驗(yàn)證成功后，輸入新的用戶密碼:

密碼重置成功，如下圖所示：

更多關(guān)于Azure AD SSPR的信息大家可以參考如下連接：

https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr?WT.mc_id=AZ-MVP-5002232