通过在 Workspace ONE Access 中配置设置,您可以为用户提供从 Workspace ONE Intelligent Hub 应用程序或门户中随时更改其 Active Directory 密码的功能。如果用户的 Active Directory 密码已过期或 Active Directory 管理员重置了该密码(以强制用户在下次登录时更改密码),用户也可以从登录页面中重置该密码。
您可以在目录的设置选项卡中选择启用更改密码选项,以便为每个目录设置该选项。
在用户通过浏览器登录到 Intelligent Hub 后,可以在右上角单击其名称,从下拉菜单中选择帐户,然后单击更改密码链接以更改其密码。在 Intelligent Hub 应用程序中,用户可以单击三栏菜单图标并选择密码以更改其密码。
可以从登录页中更改过期的密码或管理员在 Active Directory 中重置的密码。当用户尝试使用过期的密码登录时,系统会提示用户重置密码。用户必须输入旧密码和新密码。
Active Directory 密码策略确定新密码的要求。允许尝试的次数同样取决于 Active Directory 密码策略。
注: 如果
Workspace ONE Access Connector 在 FIPS 模式下运行,则还需遵循其他密码要求。请参阅您所用连接器版本对应的
Workspace ONE Access Connector 和 FIPS 模式。
以下限制适用于启用更改密码选项。
- 如果将目录作为全局目录添加到 Workspace ONE Access 中,则启用更改密码选项不可用。可以使用端口 389 或 636,将目录作为“通过 LDAP 访问的 Active Directory”或“通过集成 Windows 身份验证访问的 Active Directory”进行添加。
- 绑定 DN 用户的密码无法从 Workspace ONE Access 重置,即使密码过期或 Active Directory 管理员重置了密码也是如此。
建议使用具有不过期密码的绑定 DN 用户帐户。
- 登录名包含多字节字符(非 ASCII 字符)的用户的密码无法从 Workspace ONE Access 重置。
注: 您不能为 ACC 目录选择
启用更改密码选项。
前提条件
- 必须将 Active Directory 域控制器的域功能级别设置为 Windows 2008 或更高版本。
- 必须从目录同步服务打开端口 464 以访问域控制器。
- Active Directory 必须使用以下 UPN 格式之一:
- 常规 UPN 格式:samaccountname@domain
- 备用 UPN 前缀格式:alternativePrefix@domain
- 备用 UPN 后缀格式:samaccountname@alternativeSuffix
不支持 UPN 格式 alternativePrefix@alternativeSuffix。
- 必须同步目录同步服务主机和域控制器上的时钟。
过程
- 在允许更改密码部分中,选中启用更改密码复选框。
