如何在 Azure Active Directory (Microsoft 365) 中重置用户密码

如果 Azure Active Directory 用户忘记了密码，Azure (Microsoft 365) 租户管理员可以通过多种方式重置密码：使用 Azure 门户、通过 PowerShell 或启用自助密码重置 (SSPR) 功能。

要重置用户密码，您的帐户必须具有以下内置 Azure 之一：用户管理员或密码管理员。

在 Azure 门户中重置用户密码

在 Azure 中重置用户密码的最简单方法是使用 Azure 门户 Web 界面（或 Microsoft 365 管理中心）：

1. 登录 https://portal.azure.com/ 并转到 Azure Active Directory -> 用户；

2. 选择用户并点击重置密码；

   

3. 您将收到一条通知，表明将向该用户分配临时密码：

   The user '[email protected]' will be assigned a temporary password that must be changed on the next sign in. To display the temporary password, click 'Reset password'.

   点击重置密码。

4. Azure将为用户生成一个新的临时密码并将其显示在屏幕上；

   

5. 将新密码告诉用户，下次他们使用新式身份验证登录任何 Microsoft 365 应用程序时，系统将提示他们更改密码；

   Your need to update your password because this is the first rime you are signing in, or because your password has expired.

   

6. 您可以使用 Azure 登录日志确保用户已成功进行身份验证。

以下是一些需要记住的重要事项：

• 临时密码永远不会过期。

• 如果本地 Active Directory 通过 Azure AD 连接器与 Azure 同步，则必须在连接器设置中启用密码写回功能，才能从云重置 ADDS 用户的密码。

您可以在 Azure 租户上启用自助密码重置 (SSPR)。您可以为 Azure Active Directory -> 密码重置 -> 属性中的一组用户或所有 AAD 用户启用 SSPR。

要重置密码，用户可以使用允许的身份验证方法。除了标准 MFA 方法之外，他们还可以使用安全问题和办公室电话。您可以使用一种或两种身份验证方法。

使用 PowerShell 重置 Azure AD 用户密码

通过 Azure 门户重置用户密码时，会自动生成新的临时密码。但是，您可以使用 PowerShell 手动设置新的用户密码。

您还可以通过 Microsoft 365 管理中心手动设置新的用户密码。

您可以使用 Azure AD 模块重置用户的密码。连接到您的 Azure 租户：

Connect-AzureAD

设置新密码并将其转换为 SecureString（请参阅有关如何在 PowerShell 脚本中使用密码的文章）：

$newPass = ConvertTo-SecureString 'Str0ngNewPa$$1' -AsPlainText -Force

您可以使用 PowerShell 生成强随机密码：

Add-Type -AssemblyName System.Web
$genpass=[System.Web.Security.Membership]::GeneratePassword(9,2)
$newPass = ConvertTo-SecureString $genpass -AsPlainText -Force

使用 UserPrincipalName 获取要更改密码的用户的对象 ID：

$userObjectId=(Get-AzureADUser -filter "userPrincipalName eq '[email protected]'").ObjectID

通过 ObjectID 将新密码应用到 Azure 用户：

Set-AzureADUserPassword -ObjectId $userObjectId -Password $newPass

如果您希望用户在下次登录时更改密码，请添加

-ForceChangePasswordNextLogin $true

选项。

您将无法查看用户使用 Azure AD PowerShell 模块更改密码的日期和时间。您可以使用 Microsoft Graph API 或旧版 MSOnline 模块获取此信息。

如果您安装了 MSOnline PowerShell 模块，请连接到您的租户：

Connect-MsolService

显示 LastPasswordChangeTimeStamp 值：

Get-MsolUser -UserPrincipalName '[email protected]'| Select DisplayName,UserPrincipalName,LastPasswordChangeTimeStamp

如果在 Azure AD 密码策略中启用了密码过期选项，则可以使用 PowerShell 获取用户密码过期的日期：

$user=Get-MsolUser -UserPrincipalName '[email protected]'
$User.LastPasswordChangeTimestamp.AddDays($PasswordPolicy.ValidityPeriod)

在本地 Active Directory 域服务中，您可以从以下位置获取域用户的密码到期日期：

msDS-UserPasswordExpiryTimeComputed

构造的属性。

或者，您可以从 PowerShell 访问 Microsoft Graph API，以获取更改用户密码的日期和时间以及 Azure 中的用户创建数据：

$ApplicationID = "your-app-ID"
$TenatDomainName = "your-tenant-ID"
$AccessSecret = "your-app-secret"
$Body = @{
Grant_Type    = "client_credentials"
Scope         = "https://graph.microsoft.com/.default"
client_Id     = $ApplicationID
Client_Secret = $AccessSecret
}
$ConnectGraph = Invoke-RestMethod -Uri "https://login.microsoftonline.com/$TenatDomainName/oauth2/v2.0/token" -Method POST -Body $Body
$token = $ConnectGraph.access_token
$GrapUserUrl = 'https://graph.microsoft.com/v1.0/users?$select= userprincipalname,accountenabled,signInActivity,createdDateTime,lastPasswordChangeDateTime'
$users=(Invoke-RestMethod -Headers @{Authorization = "Bearer $($token)"} -Uri $GrapUserUrl -Method Get).value
$users | where userprincipalname -eq '[email protected]' | select userprincipalname,accountenabled,createdDateTime,lastPasswordChangeDateTime

使用 Microsoft Graph API 和 POST 方法，您甚至可以重置用户密码。使用下面的 POST 请求：

POST https://graph.microsoft.com/v1.0/me/changePassword
Content-Type: application/json
  {
     "currentPassword": "OldPass123!",
     "newPassword": "NewP@ss2!"
   }

在本文中了解如何在本地 Active Directory 中重置用户密码。