Outlook用户无法通过忘记密码流程自助重置密码

问题描述

我们启用新域名邮箱后,APP中用户无法通过忘记密码流程自主重置密码,相关管理员会收到邮件提醒。

解决方案概述

如果管理员收到了用户重置密码的邮件提醒,通常是因为 手机号未验证用户的安全信息配置不完整,导致系统无法自动完成密码重置。

启用自助密码重置(SSPR) 和确保 用户安全信息完整 是解决该问题的关键。

具体操作步骤

Step 1 设置自助密码重置服务(SSPR)

以管理员身份登录 Admin Centerhttps://portal.office.com/Adminportal/Home/#/homepage

  1. 登录后,点击左侧全部显示,选择标识,进入 Mircrosoft Entra管理中心
  2. 保护(Security) > 密码重置(Authentication Methods) 下,启用自助服务密码重置 **Self-Service Password Reset (SSPR)**。
  3. 该设置仅对用户生效,管理员任然采取双重身份验证方式来重置密码。

Step 2 设置身份验证方法

配置适当的 验证方式(如手机号、备用邮箱),确保用户可以通过这些方式验证身份来重置密码。

  1. 登录后,点击左侧全部显示,选择标识,进入 Mircrosoft Entra管理中心
  2. 保护(Security) > 密码重置(Authentication Methods) 下,选择身份验证方法。 密码重置身份验证方法仅保留一个,该设置会在24小时后生效。
  3. 该设置仅对用户生效,管理员任然采取双重身份验证方式来重置密码。

Step 3 用户忘记密码-需要设置验证方式

如果用户账户事先已经在 Entra 中配置了手机号,没有首次验证就修改密码。

> Note: 该情况在用户中基本不会出现,新用户入职的时候管理员会设置相关入职信息(手机号)

  1. 用户登录 Office.comEntra

  2. 安全信息 中,用户需要添加并验证 手机号备用邮箱验证手机号:用户可以选择短信验证来接收验证码进行身份验证。

  3. 确保手机号已验证后,用户在忘记密码时即可使用手机号进行身份验证,完成密码重置。

Step 4 用户通过 APP /Web自助重置密码

  1. 用户打开 APP,输入账户进行登录。

> Note: 图示为管理员账户,进行了双重身份验证。

  1. 用户将收到验证码,验证通过后即可重置密码。

导致问题产生的其他原因及解决方法

用户未完成手机号验证

  • 如果用户在 Entra 中设置了手机号,但 没有完成手机号的验证,系统会认为手机号未有效绑定为安全验证方式。这时,用户在尝试重置密码时,系统无法使用手机号 进行身份验证,而是会将请求转发给管理员,要求管理员干预。
  • 解决办法:管理员可以检查用户是否已经验证过手机号,并要求用户完成验证过程。通常,用户会收到验证短信或邮件来完成手机号验证。

用户的安全设置不符合自动重置条件

  • 如果用户的安全设置不符合自动重置密码的要求(例如,没有设置足够的验证方式,如备用邮箱、手机等),系统依然可能无法让用户自动完成密码重置。
  • 解决办法:管理员可以通过 Azure AD 检查用户的安全设置,确保已设置 双因子认证(2FA)其他身份验证方式,并确保这些验证方式已正确配置。

未启用自助密码重置(SSPR)

  • 如果 自助密码重置(SSPR) 没有在 Azure AD 中启用,用户在尝试重置密码时无法自行完成,系统会默认通知管理员介入。

  • 解决办法:详见本文

双因子认证(2FA)或多因素认证(MFA)相关问题

  • 如果 双因子认证(2FA) 已启用,用户需要同时完成 两种验证(例如:手机号 + 备用邮箱)。如果其中一种验证方式未配置,系统会认为用户的认证信息不完整,导致管理员收到邮件。
  • 解决办法:管理员可以检查用户是否已启用并配置了双因子认证(2FA),确保用户的 手机号和备用邮箱 都已配置并验证。
  • 详见微软官方解释:什么是双因素身份验证 (2FA)? | Microsoft 安全

管理员邮箱通知设置

  • 如果用户的密码重置请求被视为异常情况或违反了某些安全策略(如连续多次失败的密码重置尝试),系统会触发一个管理员警告或通知邮件,提示管理员干预。
  • 解决办法:管理员可以检查 Azure AD 的通知设置,看看是否已启用管理员通知,或者是否有特定的安全策略触发了管理员通知。