利用Azure AD SSPR幫助用戶重置密碼

利用Azure AD SSPR幫助用戶重置密碼

前面和大家聊了使用SSPR，用戶可以在沒有管理員支持的情況下自行解決賬戶和密碼問題，從而極大地減少了管理員的工作負擔，此外因為用戶無需等到管理員有空時機可完成密碼重置，所以它還最大程度的減少了忘記密碼或密碼過期對工作效率的影響。那么接下來我們就一起來看一下，如何在Azure Portal中對特定用戶或組啟用SSPR。

先決條件

開始配置 SSPR 之前，需要滿足/準備如下先決條件：

l Azure AD 組織。 此組織必須至少啟用一個試用許可證。

l 具有全局管理員權限的 Azure AD 帳戶。 你將使用此帳戶來設置 SSPR。

l 非管理型用戶帳戶。將使用此帳戶來測試 SSPR。 此帳戶不是管理員，這一點很重要，因為 Azure AD 對 SSPR 的管理員帳戶有額外要求。 此用戶和所有用戶帳戶都必須具有有效許可才能使用 SSPR。

l 用于測試配置的安全組。非管理型用戶帳戶必須是此組的成員。 將使用此安全組來限制要向其推送 SSPR 的用戶。

啟用SSPR

創(chuàng)建用戶組

首先登錄到Azure門戶，點擊所有服務—Azure Active Directory：

點擊組：

點擊新建組：

組類型，選擇安全組，然后輸入組名稱和描述，可以根據(jù)需要分配所有者和對應成員：

創(chuàng)建完成，如下圖所示：

配置SSPR

點擊Azure Active Directory概述左側(cè)選項卡內(nèi)的密碼重置：

前面的文章中也和大家提到過，Azure AD的免費版本是不支持SSPR的，所以我們需要申請高級試用版，點擊獲取免費高級試用版：

在此我們選擇Azure AD Premium P1版本，點擊激活:

激活以后，我們再次進入密碼重置選型卡，可以看到已經(jīng)和之前有所區(qū)別，我們需要選擇SSPR的范圍，具體范圍的界定可以參考如下說明：

l 禁用：Azure AD 組織中的任何用戶都不能使用 SSPR。 這是默認值。

l 啟用：Azure AD 組織中的任何用戶都能使用 SSPR。

l 選定: 只有指定安全組的成員才能使用 SSPR。 可以使用此選項為目標用戶組啟用 SSPR，對其進行測試并驗證它是否按預期工作。 當你已準備好大范圍推出 SSPR 時，請將屬性設置為“已啟用”，以便所有用戶都有權訪問 SSPR。

在此我們使用的選定，所以需要選擇需要啟用SSPR的安全組，我們選擇之前創(chuàng)建好的安全組：

確認無誤，點擊保存即可:

設置身份驗證方法數(shù)

啟用了SSPR以后，我們需要設置用戶在進行密碼重置的過程中需要進行幾次身份驗證，以及每次可以使用的身份驗證方式，在此我是用一次身份驗證：

SSPR驗證信息注冊

指定用戶下次登錄時是否需要注冊 SSPR

指定要求用戶重新確認其身份驗證信息的頻率

設置密碼重置通知

設置在密碼重置時，是否向用戶或管理員發(fā)送通知：

測試用戶重置密碼

直接訪問密碼重置的站點或者在登錄頁面點擊 “無法訪問賬戶”連接跳轉(zhuǎn)到密碼重置網(wǎng)站，然后輸入賬戶信息和驗證碼：

在已經(jīng)設置的Microsoft Authenticator應用中找到對應PIN碼：

PIN碼驗證成功后，輸入新的用戶密碼:

密碼重置成功，如下圖所示：

更多關于Azure AD SSPR的信息大家可以參考如下連接：

https://docs.microsoft.com/en-us/azure/active-directory/authentication/tutorial-enable-sspr?WT.mc_id=AZ-MVP-5002232