通过在 Workspace ONE Access 中配置相应设置,您可以为用户提供从 Workspace ONE Intelligent Hub 应用程序或门户中随时更改其 Active Directory 密码的功能。如果用户的 Active Directory 密码已过期或 Active Directory 管理员重置了该密码(以强制用户在下次登录时更改密码),用户也可以从登录页面中重置该密码。

您可以在目录的设置页面中选择允许更改密码选项,以便为每个目录启用该选项。

在用户通过浏览器登录到 Intelligent Hub 后,可以在右上角单击其名称,从下拉菜单中选择帐户,然后单击更改密码链接以更改其密码。在 Intelligent Hub 应用程序中,用户可以单击三栏菜单图标并选择密码以更改其密码。

可以从登录页中更改过期的密码或管理员在 Active Directory 中重置的密码。当用户尝试使用过期的密码登录时,系统会提示用户重置密码。用户必须输入旧密码和新密码。

新密码的要求由 Active Directory 密码策略来决定。允许尝试的次数同样取决于 Active Directory 密码策略。

遵从以下限制。

  • 如果将目录作为全局目录添加到 VMware Workspace ONE Access,则允许更改密码选项将不可用。可以使用端口 389 或 636,将目录作为通过 LDAP 访问的 Active Directory 或 Active Directory(集成 Windows 身份验证)进行添加。
  • 绑定 DN 用户的密码无法从 VMware Workspace ONE Access 重置,即使密码过期或 Active Directory 管理员重置了密码也是如此。

    建议使用具有不过期密码的绑定 DN 用户帐户。

  • 登录名包含多字节字符(非 ASCII 字符)的用户的密码无法从 VMware Workspace ONE Access 重置。
注: 无法为 ACC 目录启用“允许更改密码”选项。

前提条件

  • 必须将 Active Directory 域控制器的域功能级别设置为 Windows 2008 或更高版本。
  • 必须从目录同步服务打开端口 464 以访问域控制器。
  • Active Directory 必须使用以下 UPN 格式之一:
    • 常规 UPN 格式:samaccountname@domain
    • 备用 UPN 前缀格式:alternativePrefix@domain
    • 备用 UPN 后缀格式:samaccountname@alternativeSuffix

    不支持 UPN 格式 alternativePrefix@alternativeSuffix。

  • 必须同步目录同步服务主机和域控制器上的时钟。
  • 允许更改密码选项适用于连接器版本 2016.11.1 和更高版本。

过程

  1. Workspace ONE Access 控制台中,导航到身份和访问管理 > 设置 > 目录页面。
  2. 单击要配置的目录。
  3. 允许更改密码部分中,选中启用更改密码复选框。
  4. 绑定用户详细信息部分中输入绑定 DN 密码,然后单击保存