帐户恢复(预览版)是一项Microsoft Entra ID 功能,可帮助用户在失去所有身份验证方法(例如丢失手机或硬件令牌)时重新获得对其帐户的访问权限。 此功能使用第三方身份验证提供程序通过替代方式安全地验证用户的标识,从而允许他们恢复其帐户并重新注册其身份验证方法。 本文指导完成在 Microsoft Entra 租户中启用和配置帐户恢复的完整过程,从评估模式下的初始设置到完整的生产部署。
先决条件
- 需要使用 Microsoft Entra ID P1 许可证才能使用帐户恢复
- 需要启用已验证 ID 并配置人脸检查
- 你需要是 Microsoft Entra 租户中的身份验证管理员
- 要有适用于 Azure 订阅的“参与者角色”或“计费管理员角色”
启用帐户恢复的步骤(预览版)
至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。
转到身份>帐户恢复 (预览)。
在 “设置帐户恢复”下,选择 “入门”。
在 “选择恢复模式”下,选择“ 评估”。
注释
在 评估 模式下,用户只能在不实际恢复其帐户的情况下测试身份验证过程。
在 “用户组选择”下,单击“ 选择组”,选择要包括用于帐户恢复的任何组,然后选择“ 保存”。
选择要包括用于帐户恢复的组后,请选择“ 下一步”。
在 “身份验证提供程序”下,选择提供程序并选择“ 获取解决方案”。
注释
如果已订阅了身份验证提供程序,请继续执行步骤 15。
选择 “市场”,以 Azure 订阅所有者或参与者身份登录到 Microsoft 安全商店。
注释
对于此步骤,需要开始从 IDV 合作伙伴购买需要 Azure 订阅的软件即服务(SaaS)产品/服务。 确保登录的帐户在与租户关联的 Azure 订阅中具有所有者角色或贡献者角色。 若要检查角色分配,请参阅 使用 Azure 门户列出 Azure 角色分配。 若要分配角色,请参阅 使用 Azure 门户分配 Azure 角色。
在标识验证提供者的 “概述 ”页上,选择“ 获取解决方案”。
在 “获取解决方案 ”页上:
- 在 “帐户详细信息”下,选择 计费订阅。
- 在 “帐户详细信息”下,选择 资源组 并提供 资源名称。
- 在 “解决方案详细信息”下,选择“ 选择计划”,然后选择价格计划。
- 选择“下一步”。
确认订单详细信息,然后选择“ 下单”。
SaaS 订阅准备就绪后,选择“ 立即配置帐户”。
注释
选择“配置帐户”后,会重定向到 SaaS 提供商管理门户以完成购买。
以 Azure 订阅所有者或参与者身份登录到 SaaS 订阅。
在 SaaS 订阅的 “常规 ”页上,提供 SaaS 提供商请求的所需详细信息(例如联系人姓名、电子邮件和电话号码),然后选择“ 激活”。
看到 “成功”后,返回到 Microsoft Entra 管理中心 中的帐户恢复设置过程以完成其余步骤。
返回到帐户恢复设置过程中的“身份验证提供程序”菜单,然后选择 “选择”。
在 更新帐户恢复设置(预览版)中,选择“ 下一步”。
在“ 查看和完成 ”页上,查看帐户恢复配置的详细信息,然后选择“ 完成”。
安装完成后,帐户恢复 主页 将在 Microsoft Entra 管理中心打开。
设置完成后,所有被指定用于帐户恢复的用户都可以尝试进行恢复并完成身份验证。 但是,由于恢复是在评估模式下设置的,因此无法恢复其帐户。
确保用户配置文件已准备好进行帐户恢复
请确保分配给允许尝试恢复流的组的所有用户的“ 用户属性 ”正确。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
转到 “标识>用户>所有用户 ”,选择要修改其属性的用户。
选择 “编辑属性”。
确保填充 “名字” 属性和 “姓氏 ”属性。 如果它们为空,则Microsoft Entra ID 帐户恢复无法匹配从标识验证提供程序返回的 ID 声明值。 通常,用户在其政府身份证件上的实名与其在 Microsoft Entra ID 上的名称不匹配。 帐户恢复过程中不使用显示名称;仅使用 名字 和 姓氏 属性。 有关通过提供程序颁发的已验证 ID 如何匹配至 Microsoft Entra ID 帐户的详细信息,请参阅 帐户恢复常见问题解答。
如何在 Microsoft Entra 管理中心更新和完全启用帐户恢复
在评估模式下测试帐户恢复并确认身份验证过程按预期工作后,可以为用户启用完全恢复功能。 此过程涉及将恢复模式从 “评估 ”更改为 “恢复 ”并查看用户范围配置。
至少以身份验证管理员的身份登录到 Microsoft Entra 管理中心。
转到 保护>帐户恢复。
在“帐户恢复 主页 ”上,选择“ 管理”。
在“ 选择恢复模式”下,选择 “生产 ”以启用完整帐户恢复功能。
注释
在 生产 模式下,完成身份验证的用户可以完全恢复其帐户并重置其身份验证方法。 在 评估 模式下,用户只能在不实际恢复其帐户的情况下测试身份验证过程。
在 “用户组选择”下,查看当前为帐户恢复配置的组:
- 若要添加更多组,请单击 “选择组”,选择要包含的组,然后选择“ 保存”。
- 若要删除组,请选择该组,然后单击“ 删除”。
重要
在启用恢复模式之前,请仔细查看哪些用户处于帐户恢复范围。 确保只有适当的用户群体才能根据组织的安全要求访问此功能。
在 “身份验证提供程序”下,查看所选提供商。 如果需要,可以更改为已在 Microsoft 安全商店中订阅的其他提供程序。
选择 “下一步 ”以继续查看页面。
在 “审阅和完成 ”页上,仔细查看所有配置更改:
- 验证恢复模式是否已设置为“生产”
- 确认正确的用户组在范围内
- 验证是否选择了适当的身份验证提供程序
查看配置后,选择 “完成 ”以应用更改。
确认消息显示帐户恢复成功。
这些步骤完成后,指定的用户组中的用户可以使用帐户恢复,在丢失所有身份验证方法时,重新完整地获得对其帐户的访问权限。 他们需要通过配置的提供程序完成身份验证,并接收临时访问通行证以重新注册其身份验证方法。