安全提示：启用 Azure AD 自助服务密码重置

帮助台协助的密码重置可能占组织 IT 预算的 20%，但在过去，需要使用 Active Directory 的第三方软件，而这些软件可能难以设置和维护。在本文中，我将向您展示如何仅为 Azure AD 用户启用自助密码重置。虽然 Azure AD 中的自助密码重置超出了本文的范围，但也可以扩展到本地 AD 用户。

如果 Azure AD 用户已分配了付费 Office 365 或 Azure AD 基本（或高级）许可证，则可以重置自己的密码。此外，仅限云的管理员可以在 Azure AD Free 上重置自己的密码。任何其他方案（例如当本地 AD 与 Azure AD 同步或联合时）都需要 Azure AD Premium 许可证。

配置自助密码重置策略

在用户可以利用自助密码重置之前，管理员需要在 Azure AD 中启用密码重置策略。您需要至少设置一个 Azure AD 目录才能完成以下步骤：

• 使用云管理员帐户登录此处的 Azure 经典门户。
• 在 Azure 管理门户中，单击左侧选项列表中的ACTIVE DIRECTORY。
• 从右侧的可用目录列表中单击要修改的目录。
• 选择门户顶部的配置。
• 向下滚动到用户密码重置策略，并将“启用密码重置的用户”切换为是。
• RESTRICT ACCESS TO PASSWORD RESET OPTION 可以设置为 YES，在这种情况下，您必须在 GROUP ENABLED FOR PASSWORD RESET 字段中指定 Azure AD 组。

用户必须为其 Azure AD 帐户配置一种或多种身份验证方法（例如备用电子邮件地址或电话号码），然后才能使用自助密码重置。

如果所有设置均已正确选择，您的用户密码重置策略窗口应如下所示：

启用自助密码重置

配置策略设置后，您可以通过五个简单步骤为 Azure AD 用户启用自助密码重置：

1. 在“用户可用的身份验证方法”右侧检查您想要允许的身份验证方法。您可以从办公电话、移动电话、备用电子邮件地址和安全问题中进行选择。
2. 可以通过更改“所需的身份验证方法数量”下拉菜单中的数字来设置所需的身份验证方法的数量。
3. 如果您不想为每个用户手动配置身份验证方法，您可以将他们重定向到可以注册自己的身份验证方法的网站。设置要求用户在登录时注册？如果您想重定向用户，请选择YES。
4. 默认情况下，180 天内不会要求用户重新确认其身份验证方法，但您可以在“要求用户重新确认其身份验证信息之前的天数”字段中更改此数字。
5. 最后，单击门户窗口底部的保存。

通过执行本文中的步骤，您的 Azure AD 用户将能够利用自助密码重置，同时遵守您的组织建立的安全策略。

请尝试我之前关于 Azure AD 的提示，了解在哪里可以找到有关 Azure AD 登录活动的信息。