HQY 一个和谐有爱的空间

背景及实现原理

虽说密码验证正在被各大厂商淘汰，推行密码+MFA或Passkey的方式进行身份验证，但总还是有很大一部分企业内部业务系统需要使用NTLM或用户名密码验证，在企业内部身份管理中管理员最头疼的或许就是员工密码安全以及修改密码或重置密码，这会浪费管理员大量时间。

如果是加域的电脑修改密码倒是非常简单，Ctrl+Alt+Delete即可选择修改密码，或者部署ADFS启用密码修改功能，将修改密码网页提供给用户，再或者使用Remote App启用修改密码功能，同样需要把修改密码网页提供给用户，但是重置密码看起来似乎只能通过AD管理员来手动操作，今天分享如何让用户自己重置密码。

原理

我们将用到Microsoft365的密码自助重置功能，用户经过必要的身份验证后将密码重置并保存到Microsoft365上，接下来通Azure AD Connect将密码回写到本地AD中来实现用户密码自助修改。

要求

1.你需要一个Microsoft365租户，可以自主申请一个免费的租户并将你的UPN后缀域名绑定到此租户中，如果是user@domain.loacl这种，需要通过脚本批量将Microsoft365上的用户UPN修改为user@domain.com；

2.你需要在企业内部网络部署一台Windows Server安装Azure AD Connect应用并启用密码回写功能；

3.你至少需要购买一个AAD P1许可,大概40人民币每个月(这是唯一要支付的现金成本)；

4.考虑用户身份验证使用Microsoft Authenticator还是第三方OATH Token；

结合国内应用生态，通过这篇KB管理员将了解到如何启用第三方的身份验证器来验证Microsoft365用户身份，以及如何启用多个验证方法来验证重置密码的账号属于其本人；用户将会学习到如何配置第三方验证器以及如何重置密码。

管理员

部署Azure AD Connect的教程特别简单，就如同安装一个应用软件一样只需要下一步下一步即可，将所有用户同步到Microsoft365 Azure AD中，但记得打开密码回写功能：

在Azure AD管理中心中选择身份验证方法，进入策略选择第三方软件OATH令牌，选择面向所有用户启用（也可以按组向特定的用户启用）

接下来进入用户管理，选择密码重置，同样为所有用户启用密码重置功能（也可以按组向特定的用户启用），并选择身份验证的方法数，建议选择两种方法，至于是哪两种方法可以根据需要勾选，如下

至此，管理员侧就全部配置完成。

用户

用户登录Microsoft365 portal的时候会要求添加一些身份验证方法来保障账户安全，点击接受即可跳转到下一步配置页面，默认是使用微软的Authenticator，但是国内的OS系统五花八门，特别是还有鸿蒙，微软的应用对鸿蒙的适配没有那么好，因此在配置页面选择使用另外的验证器即可

点击使用其他验证器之后会出现一个二维码

此时我们可以使用第三方的身份验证器来扫这个二维码，例如腾讯身份验证器，扫码完成之后你的Token将会绑定到腾讯身份验证器中

接下来将动态的6位token输入到网页中进行身份验证

验证通过之后添加手机号码，注意要选择手机号所属国家代码+86

按提示将收到的短信验证码填入网页后即可完成验证方法绑定

接下来进入密码重置页面：https://passwordreset.microsoftonline.com

此网站无需登录，直接输入你的AD UPN地址（一般情况下是你的邮箱地址）并输入腾讯身份验证器上的6位代码，如下

完成第一种身份验证之后，接下来验证手机短信，在验证手机短信之前，还需要手动完整输入一次你的手机号码来验证当前要重置号码绑定的手机号是否为预留手机号码

手机号验证成功之后，会收到一条包含6位随机数字的短信验证码，将验证码输入即可进行身份验证

验证完成之后即可重置你的账号密码

接下来只需要等待2分钟左右密码即可通过Azure AD Connect回传到本地AD中

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/8909.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~