Скидання пароля користувача на Azure AD (M365)

Якщо користувач Azure Ad Ad забув свій пароль, адміністратор орендаря Azure (Microsoft 365) може скинути його декількома способами: через портал Azure, PowerShell або ви можете вмикати функцію самозарахування користувачами (SSRP).

Зміст:

Скиньте пароль користувача через портал Azure
Пароль Azure Active Directory скиньте пароль за допомогою PowerShell

Щоб скинути пароль користувачів вашого облікового запису, Azure: адміністратор користувача або адміністратор пароля повинен бути призначений для призначення

Скиньте пароль користувача через портал Azure

Найпростіший спосіб скинути пароль користувача в Azure - це використовувати веб -інтерфейс порталу Azure (або центр адміністратора Microsoft 365).

Грати на порталі https: // портал.Лазур.Com/ і перейдіть до розділу Azure Active Directory -> Користувачі;
Виберіть користувача та натисніть кнопку Скинути пароль;

Здається попередження про те, що користувачеві буде призначено тимчасовий пароль.

Користувач '[email protected] 'буде призначений тимчасовий пароль, який повинен бути змінений на наступному входу. Щоб відобразити тимчасовий пароль, натисніть "скинути пароль".

Натисніть на Скинути пароль;

Azure генерує новий тимчасовий пароль для користувача та відображає його на екрані;
Відповідно до журналів входів користувача в Azure, ви можете перевірити, чи користувач успішно автентифікується.

Кілька важливих моментів:

Тимчасовий пароль ніколи не закінчується;
Якщо у вас є синхронізація локального Active Directory з Azure AD через роз'єм, то для скидання пароля з хмари, паролі запису пароля повинні бути включені до налаштувань роз'єму.

Для свого орендаря Azure ви можете ввімкнути самодосконалення паролів (скидання паролів Self -Service -SSPR). Ви можете ввімкнути SSRP для однієї групи користувачів або для всіх користувачів AAD у розділі Azure Active Directory -> Скидання пароля -> Властивості.

Щоб скинути пароль, користувачі можуть використовувати дозволені методи підтвердження. Окрім стандартних методів МЗС, тут додається можливість використання секретних питань та офісного телефону. Ви можете використовувати один -два методи тестування.

[/Попередження]

Пароль Azure Active Directory скиньте пароль за допомогою PowerShell

Під час скидання пароля користувача через портал Azure автоматично генерується новий тимчасовий пароль. Але ви можете попросити нового пароля користувачеві вручну за допомогою PowerShell.

Ви також можете встановити новий пароль вручну через центр адміністратора Microsoft 365.

Щоб скинути пароль користувача, ви можете використовувати рекламний модуль Azure AD. Підключіться до свого орендаря Azure:

Connect-азурад

Встановіть новий пароль і додайте його до Securestring (див. Стаття про зберігання паролів у сценарії PowerShell):

$ Newpass = convertto -securestring 'newpassword01' -asplaintext -force

Ви можете використовувати PowerShell для створення випадкового пароля:

Додати -тип -ssmblyname System.Павутина $ genpass = [система.Павутина.Безпека.Членство] :: GeneratPassword (10.2) $ Newpass = convertto -securestring $ genpass -asplaintext -force

За UPN потрібно отримати ідентифікатор об'єкта користувача, якому ви хочете змінити пароль:

$ UserObjectId = (get -azureaduser -filter "userprincipalname eq '[email protected] '").ObjectId

Застосуйте новий пароль для користувача Azure за об'єктом:

Set -AzureadUserPassword -ObjectId $ userObject -Password $ newPass

Якщо ви хочете, щоб користувач змінив пароль на наступному вході, додайте опцію -Forcechangepasswordnextlogin $ true

Використовуючи рекламний модуль Azure, неможливо відобразити час зміни пароля користувача. Цю інформацію можна отримати за допомогою API Microsoft Graph або за допомогою старого модуля MSONLINE.

Якщо на комп’ютері встановлено модуль PowerShell MSONLINE, підключіться до орендаря:

Connect-massolservice

Принесіть lastpasswordchangetimestamp:

Get -msoluser -userprincipalname '[email protected] '| Виберіть DisplayName, UserPrincipalName, LastPasswordChangetimestamp

Якщо політика пароля Azure Ad включає параметр про закінчення терміну дії пароля, використовуючи PowerShell, ви можете дізнатися дату, коли термін дії пароля користувача закінчується:

$ User = get -msoluser -userprincipalname '[email protected] ' $ Користувач.Lastpasswordchangetimestamp.Adddays ($ passwordpolicy.Термін дії)

У локальних службах Active Directory доменний домен, термін терміну для драми користувача домену може бути отриманий із побудованого атрибута атрибута MSDS-userpasspurytimeComputed.

Або ви можете зв’язатися з API Graph Microsoft Microsoft, щоб отримати інформацію про час зміни пароля користувача та дату створення користувача в Azure:

$ Applicationd = "xxx" $ Tenatdomainname = "xxxx" $ Accessecret = "xxx" $ Body = @ Grant_type = "client_credentials" Scope = "https: // графік.Microsoft.Com/.За замовчуванням " client_id = $ applicationid Client_secret = $ accessecret $ ConnectGraph = inspoke -restmethod -Uri "https: // login.Microsoftonline.Com/$ tenatdomainname/oauth2/v2.0/Token "-Метод Пост -Борд $ body $ token = $ connectGraph.Маркер доступу $ Grapuserurl = 'https: // графік.Microsoft.Com/v1.0/Користувачі?$ Select = userprincipalname, обліковий запис, сигналізація, CreedDateTime, LastPasswordChangeTime ' $ Users = (invoke -restmethod -headers@authrization = "носій $ ($ token)" -uri $ grapuserurl -method get).Цінність $ користувачі | Де userprincipalname -eq '[email protected] '| Виберіть UserPrincipalName, Accountabled, CreedDateTime, LastPasswordChangedateTime

Через Microsoft Graph API та метод публікації ви навіть можете скинути пароль користувача. Використовуйте такий запит:

Опублікуйте https: // графік.Microsoft.Com/v1.0/Me/ChangePassword Content-Type: Application/JSON "CurrentPassword": "Пароль1234!"," NewPassword ":" P@SSW0RD2!"

Існує окрема стаття про скидання користувачів на Prem Active Directory.