实验室：Microsoft Entra 自助式密码重置

此实验室与下列 Learn 内容保持一致：

学习路径：描述 Microsoft Entra 的功能
模块：描述 Microsoft Entra ID 的身份验证功能
单元：描述自助式密码重置

实验室场景

在本实验室中，作为管理员，您将完成将用户添加到 SSPR 安全组的过程，该安全组已在 Microsoft 365 租户中设置。启用 SSPR 后，你将以用户身份完成注册 SSPR 和重置密码的过程。最后，作为管理员，您将能够查看 SSPR 的审计日志、使用数据和见解。

预计用时：30 分钟

任务 1

在本任务中，作为管理员，您将了解 SSPR 的一些可用配置设置。

打开 Microsoft Edge 浏览器。在地址栏中，输入 https://entra.microsoft.com 并使用授权实验室托管人 (ALH) 提供的 Microsoft 365 管理员凭据登录。
1. 在“登录”窗口中，输入 admin@WWLxZZZZZZ.onmicrosoft.com（其中 ZZZZZZ 是 ALH 提供的唯一租户 ID），然后选择下一步。
2. 输入管理员密码，该密码应由实验室托管提供商提供。选择“登录”。
3. 如果以前以管理员身份登录过，系统会提示你完成辅助身份验证，作为 MFA 的一部分。如果之前未以管理员身份登录过，系统会提示你完成 MFA 注册过程。按照屏幕上的提示设置 MFA。
4. 在提示保持登录状态时，选择“是”。
在左侧导航窗格中，展开保护选项，然后选择密码重置。
自助服务密码重置的属性会显示出来。选择已启用自助服务密码重置旁边的信息图标，查看说明。确保已选择以蓝色高亮显示。现在将光标放在选择组旁边的信息图标上，注意上面写着定义允许重置自己密码的用户组。你必须将用户包含在组中，不能单独选择用户。注意这里已经列出了一个组 - SSPRSecurityGroupUsers（该组已作为 Microsoft 365 租户的一部分进行了预配置）。最后，请注意蓝色信息框中的这些设置仅适用于您组织中的最终用户。始终为管理员启用自助式密码重置，且管理员需要使用两种身份验证方法来重置其密码。
从密码重置的左侧导航面板中，选择身份验证方法。
在重置所需的方法数量中，选择1。注意屏幕上的信息框。
注意用户可用的不同方法。 电子邮件和移动电话应已选中；如果未选中，请将其选中。
从密码重置的左侧导航面板，选择注册。
确保登录时要求用户注册设置设为是。将“要求用户重新确认其身份验证信息的间隔天数”设为默认值“180”**。注意页面上的信息框。
从密码重置的左侧导航面板，选择通知。
确保密码重置时通知用户设置设为是。将“其他管理员重置密码时通知所有管理员”设置保留为“否”**。
请注意，密码重置导航窗格还包括查看审计日志和使用情况和见解选项。
选择窗口右上角的 X 关闭密码重置窗口。这将返回 Microsoft Entra 管理中心。
保持 Microsoft Entra 窗口打开。

任务 2

在此任务中，作为管理员，您将把上一个实验练习中创建的用户添加到 SSPR 安全组中。

打开 Microsoft Entra 管理中心 entra.microsoft.com 主页的浏览器选项卡。如果需要，展开身份。
在左侧导航面板的身份下，展开组，然后选择所有组。
将显示现有组的列表。在搜索组字段中输入 SSPR，然后从搜索结果中选择 SSPRSecurityGroupUsers。这将带您进入该组的配置选项。
从左侧导航窗格中选择成员。
从页面顶部选择 + 添加成员。
在搜索框中输入 Sara Perez。用户 Sara Perez 出现在搜索框下方后，选择该用户，然后按页面底部的选择。你将返回会员页面。从页面顶部选择刷新。现在你应该看到 Sara Perez 已被列为 SSPR 安全组的成员。
点击屏幕右上角电子邮件地址旁边的用户图标，退出所有浏览器选项卡。然后关闭所有浏览器窗口。

任务 3

在此任务中，您将以用户 Sara Perez 的身份完成自助服务密码重置的注册流程。

打开 Microsoft Edge，在地址栏中输入https://login.microsoft.com。
以 Sara Perez 的身份登录。登录过程可能需要 MFA。
弹出窗口显示需要更多信息。这是因为作为 SSPRSecurityGroupUsers 组的成员，配置要求其成员在登录时进行注册。选择“下一步”按钮。注意：除了让用户自己注册外，管理员还可以在添加用户时直接配置身份验证方法。这要求管理员知道并设置用户用于执行自助式密码重置的电话号码和电子邮件地址，然后重置用户密码。
打开确保账户安全页面。显示的窗口和后续步骤适用于 Microsoft Authenticator 应用方法。如果想要改用电子邮件，请选择“我想设置其他方法”** 并按照步骤操作。
1. 在移动设备上安装 Microsoft Authenticator 应用以后，请选择“下一步”。否则，请选择“立即下载” 并按照步骤操作。
2. 你将开始设置帐户。选择下一步。
3. 在移动设备上使用 Microsoft Authenticator 应用，选择+ 添加帐户，并选择“工作或学校帐户”。
4. 选择“扫描 QR 码”选项，然后使用移动设备扫描电脑屏幕上的 QR 码。
5. 按照电脑和移动设备上的步骤操作，然后选择“下一步”。
6. 设置安全信息后，会看到“成功”窗口。选择“完成” 。
现在已完成登录。如果登录时间已过，只需重新输入密码即可。
点击屏幕右上角电子邮件地址旁边的用户图标，退出所有浏览器选项卡。然后关闭所有浏览器窗口。

任务 4（可选）

在本任务中，你将以用户 Sara Perez 的身份完成密码重置过程

打开 Microsoft Edge。
在地址栏中输入https://login.microsoft.com。
以 Sara Perez 的身份登录，输入您的电子邮件sara@WWLxZZZZ.onmicrosoft.com （其中 ZZZZZZZ 是实验室托管服务提供商提供的唯一租户 ID），然后选择下一步按钮。如果是这样，请选择 Sara Perez 的账户。
在输入密码窗口中，选择忘记密码。
这时会打开重新进入账户窗口。确认电子邮件或用户名框中是否显示了 Sara Perez sara@WWLxZZZZ.onmicrosoft.com的电子邮件。如果没有，请输入。
在空框中输入图片中显示的字符或音频中的单词。输入后，选择“下一步”**。
屏幕会显示返回到您的帐户，并显示验证步骤 1 > 选择新密码。选择“在验证器应用上批准通知”选项，然后选择“发送通知”。
记下电脑上的数字，并按照说明使用移动设备上的 Microsoft Authenticator 应用批准登录。
在下一个屏幕中，系统会提示你输入新密码并确认新密码。现在输入验证码，然后选择完成按钮。
你将在屏幕上看到一条消息，提示密码已重置。选择单击此处使用新密码登录。
从“选择帐户”信息框中，选择“sara@WWLxZZZZZZ.onmicrosoft.com”，输入新密码，然后按“登录”按钮**。如果系统询问你是否要“保持登录状态”。请选择“否**”。
现在应该已登录到 Sara 的 Microsoft 帐户。
选择屏幕右上角电子邮件地址旁边的用户图标，并选择“退出”以退出。然后关闭所有浏览器窗口。

任务 5（可选）

在此任务中，你将以管理员身份简要查看与密码重置相关的审核日志以及使用情况和见解数据

打开 Microsoft Edge。
在地址栏中，输入https://entra.microsoft.com 并使用授权实验室托管人 (ALH) 提供的 Microsoft 365 管理凭据登录。
您已进入 Microsoft Entra 管理中心。在左侧导航窗格中，展开保护选项，然后选择密码重置。
从左侧导航窗格中，选择审核日志。注意可用信息和可用过滤器。还请注意，您可以下载日志。
选择“下载”。请注意，您可以将下载格式设置为 CSV 或 JSON。选择屏幕右上角的 X 关闭窗口。
从左侧导航窗格中选择使用情况和见解。
注意与注册相关的可用信息。请注意，刷新此数据可能需要一定时间，即使在刷新后也是如此，因此它可能尚未反映上一任务的注册或使用数据。
从页面顶部选择使用情况，按方法查看自助式密码重置和账户解锁的次数。请注意，刷新此数据可能需要一定时间，即使在刷新后也是如此，因此它可能尚未反映上一任务的使用数据。
关闭打开的浏览器选项卡。

审阅

在本实验室中，你作为管理员，完成了启用自助式密码重置的过程。启用 SSPR 后，你将以用户身份完成注册 SSPR 和重置密码的过程。最后，作为管理员，您将了解从哪里访问 SSPR 的审计日志以及使用情况和洞察力数据。