使用 PowerShell 导出 Microsoft 365 SSPR 状态报告

Microsoft 自助服务密码重置 (SSPR) 功能使用户能够独立重置密码，从而减少组织中对帮助台的依赖。但是，在用户可以使用 SSPR 之前，管理员必须启用自助密码重置，并且用户必须注册其身份验证方法。部署后，组织通常会寻求深入了解自助密码重置的使用情况。他们询问注册用户的数量、身份、默认密码重置方法等等。因此，持续监控自助密码重置状态对于管理员来说至关重要。

为了提供帮助，本博客引入了一个专门为导出自助密码重置状态报告而设计的专用 PowerShell 脚本。

如何导出自助密码重置状态报告？

有两种方法可用于导出自助密码重置 (SSPR) 状态报告：

Microsoft Entra 管理中心：在“密码重置”页面下的“使用情况和见解”部分中，Microsoft 365 管理员可以访问以下位置的 SSPR 报告： Microsoft Entra 管理中心。但是，此报告提供了有关 SSPR 注册用户的基本信息。它不提供有关不符合资格的 SSPR 用户、符合资格但尚未注册的用户等的详细信息。此外，它不允许管理员为未注册的 SSPR 用户自定义报告、验证其许可证状态等等。

PowerShell： “Get-MgReportAuthenticationMethodUserRegistrationDetail” cmdlet 提供有关 SSPR 状态的详细信息。然而，获得所需的结果可能需要使用具有各种过滤器和循环的 cmdlet，这可能需要大量时间。

为了解决这些问题并提供简单的解决方案，我们创建了一个 PowerShell 脚本来导出 Microsoft 365 用户的 SSPR 状态报告。

下载脚本：GetSSPRstatusReport.ps1

脚本亮点

1. 该脚本导出10 SSPR 状态报告。
2. 导出 Microsoft 365 用户的 SSPR 状态。
3. 生成有关启用 SSPR 的用户的报告。
4. 查找禁用 SSPR 的用户。
5. 识别有资格但未注册 SSPR 的用户。
6. 查找 Microsoft 365 管理员 的 SSPR 状态。
7. 专门确定许可用户的 SSPR 状态。
8. 该脚本可以使用启用 MFA 的帐户执行。
9. 它将结果导出到 CSV 文件以方便数据处理。
10. 如果尚未安装，脚本会在用户确认后安装所需的 Microsoft Graph Beta 模块。
11. 支持基于证书的身份验证（调度程序友好）方法。

自助密码重置状态报告 - 示例输出

导出的自助密码重置状态报告包含以下属性：

1. 用户名
2. SSPR 是否已由用户注册
3. 管理员是否启用 SSPR
4. 部门
5. 注册认证方法
6. 默认身份验证方法
7. 职称
8. 许可证状态
9. 登录启用状态
10. 是管理员

导出的 SSPR 状态报告如下图所示。

检查属性后，您是否不确定启用 SSPR 和注册 SSPR 之间的区别？让我们把它弄清楚吧！

管理员启用 SSPR： 管理员可以启用 SSPR，以便用户重置自己的密码。可以根据需要在 Microsoft Entra 管理中心为所有或选定的用户启用 SSPR。如果管理员未启用 SSPR，用户将无法注册 SSPR。如果管理员为用户启用了 SSPR，则该值将显示为“True”；否则，将显示为“False”。

用户注册 SSPR： 用户需要根据组织的 SSPR 策略注册其身份验证方法才能使用 SSPR 功能。该属性指示用户是否已完成自助密码重置的注册过程。

脚本执行方法

下载 PowerShell 脚本并打开 Windows PowerShell 来执行它。您可以通过两种方式运行下载的 SSPR 状态报告脚本：

方法 1： 使用 MFA 和非 MFA 帐户运行脚本。

./GetSSPRstatusReport.ps1

该报告导出所有已启用登录的用户的自助密码重置状态。

方法 2： 使用基于证书的身份验证（调度程序友好）执行脚本，以实现无人值守的方法。

您可以根据自己的喜好使用证书颁发机构或自签名证书。许多管理员更喜欢自签名证书供内部使用。指定要执行的租户 ID、应用程序 ID 和证书指纹。

./GetSSPRstatusReport.ps1 -Tenant Id <tenant Id> -AppId <Client Id> -CertificateThumbprint <Certthumbprint>

注意：要使用基于证书的凭据执行此 PowerShell 脚本，您需要在 Azure AD 中注册应用程序。

使用 PowerShell 导出 Microsoft 365 用户的自助密码重置状态报告

1. 检查 Microsoft 365 用户的 SSPR 状态
2. 识别启用 SSPR 的 Microsoft 365 用户
3. 检测自助密码重置禁用用户
4. 查找SSPR已开启但未注册的用户
5. Microsoft 365 管理员的自助密码重置状态
6. 为许可用户导出 SSPR 状态报告

1.检查 Microsoft 365 用户的 SSPR 状态

管理员可以通过经常检查 SSPR 状态来发现和解决身份验证漏洞来增强安全性。 SSPR 检查还可以帮助管理员确保用户遵守组织密码规则和安全准则。要确定用户的 SSPR 状态，管理员可以运行以下脚本：

./GetSSPRstatusReport.ps1

上述格式导出所有允许登录的用户的 SSPR 状态。

2.识别启用自助服务密码重置的用户

考虑这样一种情况：初始 SSPR 策略强制要求使用电话号码和安全问题进行身份验证。管理员计划用电子邮件取代安全问题。但是，在切换到电子邮件身份验证之前，管理员需要找到所有启用 SSPR 的用户并检查他们当前的身份验证方法。要列出启用 SSPR 的用户，管理员可以使用“SsprEnabledUsers”参数，如下所示：

./GetSSPRstatusReport.ps1 -SsprEnabledUsers

它专门提供有关启用自助密码重置的用户的信息，列出他们注册的身份验证方法、默认身份验证方法以及更多详细信息。

3. 检测自助密码重置禁用用户

为某些用户禁用 SSPR 可能是降低潜在风险的主动措施。例如，如果员工要离开公司或更换角色，暂时禁用 SSPR 可以防止过渡期间未经授权的访问。在这种情况下，监控禁用 SSPR 的用户有助于确保这些措施得到有效实施和管理。管理员可以使用“SsprDisabledUsers”参数来查找所有禁用 SSPR 的用户。

./GetSSPRstatusReport.ps1 -SsprDisabledUsers

上面的脚本导出所有未注册 SSPR 的用户。

4.查找已启用但未注册的自助服务密码重置用户

尽管管理员启用了自助密码重置，但某些用户可能尚未完成注册过程。如果用户未注册，他们可能会联系 IT 支持来解决密码相关问题，从而增加管理员的工作量。

以下脚本有助于识别已启用 SSPR 但尚未注册到 SSPR 的用户“SsprTurnedOnButUserNotRegistered” 参数。

./GetSSPRstatusReport1.ps1 -SsprTurnedOnButUserNotRegistered

上述格式导出有资格但未注册 SSPR 的 M365 用户。

5. Microsoft 365 管理员的自助服务密码重置状态

Microsoft 365 管理员通常默认启用具有双门策略的自助密码重置 (SSPR)。然而，依赖电话号码或电子邮件验证等薄弱的身份验证方法会带来社会工程攻击的风险。老练的攻击者可能会以管理员帐户为目标来绕过这些措施。确保管理员已注册 SSPR 并使用强大的身份验证方法来降低这种风险至关重要。要检查 Microsoft 365 管理员的 SSPR 状态，请使用“AdminsOnly”参数运行脚本。

./GetSSPRstatusReport.ps1 -AdminsOnly

导出的报告显示组织内所有管理员的自助密码重置状态。您可以通过组合参数来获取有关管理 SSPR 状态的更详细报告，如下所示：

要检索启用 SSPR 的管理员：

./GetSSPRstatusReport.ps1 -SsprEnabledUsers -AdminsOnly

导出的报告提供组织中启用 SSPR 的管理员的列表。

对于 Microsoft 365 中禁用 SSPR 的管理员：

./GetSSPRstatusReport.ps1 -SsprDisabledUsers -AdminsOnly

该脚本专门检索 Microsoft 365 中禁用 SSPR 的管理员。

6.导出许可用户的自助密码重置状态报告

在许多组织中，管理员必须确保所有许可用户都启用 SSPR 以充分利用资源。通过过滤许可用户的 SSPR 状态，管理员可以有效优化资源分配。使用下面的脚本通过“LicensedUsersOnly”参数专门检索许可用户的自助密码状态。

./GetSSPRstatusReport.ps1 -LicensedUsersOnly

请注意，自助密码重置是一项高级功能。通过执行该脚本，您可以确认组织中的许可用户的 SSPR 状态。此外，通过组合参数，您可以获得有关许可用户的 SSPR 状态的详细报告。

启用 SSPR 的许可用户：

./GetSSPRstatusReport.ps1 -SsprEnabledUsers -LicensedUsersOnly

通过执行上述脚本，管理员可以快速识别启用 SSPR 的许可用户数量。

禁用 SSPR 的许可用户：

./GetSSPRstatusReport.ps1 -SsprDisabledUsers -LicensedUsersOnly

以下格式检索在组织中获得许可的禁用 SSPR 的用户。

已启用 SSPR 但未注册的授权用户：

./GetSSPRstatusReport.ps1 -SsprTurnedOnButUserNotRegistered -LicensedUsersOnly

导出的报告列出了已启用 SSPR 但未注册的许可用户。

如果您发现使用 PowerShell 导出 SSPR 报告很麻烦或耗时，这里有一个简单的解决方案。隆重推出 AdminDroid Microsoft 365 Reporter，无需大量 PowerShell 脚本即可实现无缝密码管理。

使用 AdminDroid 的免费 SSPR 报告简化密码管理

AdminDroid 免费提供一系列密码报告，包括重要的 SSPR 报告，使管理员可以轻松跟踪用户帐户重置和活动。使用 AdminDroid，您可以轻松跟踪自助密码重置，包括用户名、重置时间以及是否成功等。AdminDroid 提供的全面 SSPR 报告可以无缝监控所有自助密码重置，通过防止未经授权的访问来增强安全性。

此外，您还可以通过AdminDroid监控以下密码报告，以提高密码管理效率。

• 由管理员执行密码重置
• 用户密码更改
• 管理员强制用户重置密码以更改密码

此外，借助 AdminDroid 的 Azure AD 审核工具，您可以轻松监控用户登录、活动、管理员角色更改、组审核和设置调整。此外，AdminDroid 提供的免费 Azure AD 报告工具提供190 多个报告，提供 Microsoft Entra 环境的全面 360 度视图，以改进 Azure AD 管理。

除了 Microsoft Entra 报告外，AdminDroid 还提供1800 多个详细报告和30 多个吸引人的仪表板，涵盖 SharePoint Online、Microsoft Teams、Exchange Online、Power BI、Stream 和 Viva Engage 等各种服务。

但是等等，还有更多！ AdminDroid 提供一系列高级功能，包括实时警报、无缝调度、精细访问授权和高级过滤器。用户友好的界面确保轻松导航并适应您的独特需求。

当您可以体验非凡时，为什么要满足于平凡呢？立即按下 AdminDroid 的下载按钮，探索15 天试用版并体验轻松的 Microsoft 365 管理。

就是这样！我希望这篇博客向您展示了如何使用 PowerShell 轻松导出自助密码重置状态报告。如有任何疑问或帮助，请随时联系我们。