Návod: Povolení zpětného zápisu samoobslužného resetování hesla v Microsoft Entra do místního prostředí

S samoobslužným resetováním hesla Microsoft Entra (SSPR) můžou uživatelé aktualizovat heslo nebo odemknout svůj účet pomocí webového prohlížeče. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID. V hybridním prostředí, kde je ID Microsoft Entra připojené k prostředí místní Active Directory Domain Services (AD DS), může tento scénář způsobit, že se hesla mezi těmito dvěma adresáři liší.

Zpětný zápis hesla se dá použít k synchronizaci změn hesel v Microsoft Entra zpět do místního prostředí SLUŽBY AD DS. Microsoft Entra Connect poskytuje zabezpečený mechanismus pro odesílání těchto změn hesel zpět do existujícího místního adresáře z ID Microsoft Entra.

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla zpět do místního prostředí. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

V tomto kurzu se naučíte:

• Konfigurace požadovaných oprávnění pro zpětný zápis hesla
• Povolení možnosti zpětného zápisu hesla ve službě Microsoft Entra Connect
• Povolení zpětného zápisu hesla v Microsoft Entra SSPR

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Funkční tenant Microsoft Entra s povolenou licencí Microsoft Entra ID P1 nebo zkušební licencí.
  • V případě potřeby si ho vytvořte zdarma.
  • Další informace najdete v tématu Licenční požadavky pro Microsoft Entra SSPR.
• Účet se správcem hybridní identity.
• Id Microsoft Entra nakonfigurované pro samoobslužné resetování hesla
  • Pokud je to nutné, dokončete předchozí učební program pro umožnění samoobslužného resetování hesla (SSPR) v Microsoft Entra.
• Stávající místní prostředí SLUŽBY AD DS nakonfigurované s aktuální verzí služby Microsoft Entra Connect.
  • V případě potřeby nakonfigurujte Microsoft Entra Connect pomocí expresního nebo vlastního nastavení.
  • Pokud chcete použít zpětný zápis hesla, řadiče domény můžou používat libovolnou podporovanou verzi Windows Serveru.

Konfigurace oprávnění účtu pro Microsoft Entra Connect

Microsoft Entra Connect umožňuje synchronizovat uživatele, skupiny a přihlašovací údaje mezi místním prostředím SLUŽBY AD DS a ID Microsoft Entra. Microsoft Entra Connect obvykle nainstalujete na počítač s Windows Serverem 2016 nebo novějším, který je připojen k místní doméně AD DS.

Aby bylo možné správně pracovat se zpětným zápisem SSPR, musí mít účet zadaný v nástroji Microsoft Entra Connect nastavená příslušná oprávnění a možnosti. Pokud si nejste jistí, který účet se právě používá, otevřete Microsoft Entra Connect a vyberte možnost Zobrazit aktuální konfiguraci . Účet, ke kterému potřebujete přidat oprávnění, je uvedený v části Synchronizované adresáře. Pro účet musí být nastavená následující oprávnění a možnosti:

• Resetování hesla
• Změnit heslo
• Oprávnění k zápisu na lockoutTime
• Oprávnění zápisu na pwdLastSet
• Rozšířená práva pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě nejsou nastavena.

Pokud tato oprávnění nepřiřadíte, může se zdát, že zpětný zápis je správně nakonfigurovaný, ale uživatelé při správě místních hesel z cloudu narazí na chyby. Když ve službě Active Directory nastavíte oprávnění Unexpire Password, musí být použita pro tento objekt a všechny potomky, pouze tento objekt nebo všechny potomky nebo nelze zobrazit oprávnění Unexpire Password.

Tip

Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být uplatněna na podřízené objekty, aby funkce fungovala správně.

Pokud chcete nastavit odpovídající oprávnění pro zpětný zápis hesla, proveďte následující kroky:

1. V místním prostředí služby AD DS otevřete Uživatelé a počítače služby Active Directory s účtem, který má příslušná oprávnění správce domény.
2. V nabídce Zobrazení se ujistěte, že jsou zapnuté pokročilé funkce.
3. V levém panelu klikněte pravým tlačítkem myši na objekt, který představuje kořen domény, a zvolte Vlastnosti>Zabezpečení>Upřesnit.
4. Na kartě Oprávnění vyberte Přidat.
5. Pro hlavní subjekt vyberte účet, na který se mají uplatnit oprávnění (účet, který používá Microsoft Entra Connect).
6. V rozevíracím seznamu Platí pro vyberte objekty potomků uživatele.
7. V části Oprávnění zaškrtněte políčko pro následující možnost:
   • Resetování hesla
8. V části Vlastnosti vyberte pole pro následující možnosti. Projděte si seznam a vyhledejte tyto možnosti, které už můžou být ve výchozím nastavení nastavené:

• Doba uzamčení zápisu

• Zapsat pwdLastSet

  

1. Až budete připraveni, vyberte Použít nebo OK , aby se změny použily.
2. Na kartě Oprávnění vyberte Přidat.
3. Pro hlavní prvek vyberte účet, na který chcete použít oprávnění (účet používaný službou Microsoft Entra Connect).
4. V rozevíracím seznamu Platí pro vyberte Tento objekt a všechny potomky objektů.
5. V části Oprávnění zaškrtněte políčko pro následující možnost:
   • Zrušit vypršení hesla
6. Až budete připraveni, vyberte Použít /OK , aby se změny použily, a ukončete všechna otevřená dialogová okna.

Když aktualizujete oprávnění, může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.

Zásady hesel v místním prostředí služby AD DS můžou bránit správnému zpracování resetování hesel. Aby zpětný zápis hesla fungoval nejefektivněji, musí být zásady skupiny pro minimální stáří hesla nastaveny na 0. Toto nastavení najdete v Konfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtu v rámci gpmc.msc.

Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte gpupdate /force příkaz.

Poznámka:

Pokud potřebujete uživatelům povolit změnu nebo resetování hesel více než jednou denně, musí být minimální stáří hesla nastaveno na 0. Zpětný zápis hesla bude fungovat po úspěšném vyhodnocení místních zásad hesel.

Povolení zpětného zápisu hesla ve službě Microsoft Entra Connect

Jednou z možností konfigurace v nástroji Microsoft Entra Connect je zpětný zápis hesla. Pokud je tato možnost povolená, události změny hesla způsobí, že Microsoft Entra Connect synchronizuje aktualizované přihlašovací údaje zpět do místního prostředí SLUŽBY AD DS.

Pokud chcete povolit zpětný zápis SSPR, nejprve povolte možnost zpětného zápisu v Microsoft Entra Connect. Na serveru Microsoft Entra Connect proveďte následující kroky:

1. Přihlaste se k serveru Microsoft Entra Connect a spusťte průvodce konfigurací Microsoft Entra Connect .
2. Na úvodní stránce vyberte Konfigurovat.
3. Na stránce Další úlohy vyberte Přizpůsobit možnosti synchronizace a potom vyberte Další.
4. Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte přihlašovací údaje hybridního správce pro vašeho tenanta Azure a pak vyberte Další.
5. Na stránkách Připojení adresářů a filtrování Domény/OU zvolte Další.
6. Na stránce Volitelné funkce vyberte políčko vedle Zpětný zápis hesla a vyberte Další.
7. Na stránce Rozšíření adresáře vyberte Další.
8. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
9. Až se konfigurace dokončí, vyberte Ukončit.

Poznámka:

Aktualizace PasswordWritebackEnabled z funkčních možností služby OnPremDirectorySynchronization není podporována, protože tento příznak funkce se nepoužívá.

Povolení zpětného zápisu hesla pro SSPR

S povoleným zpětným zápisem hesla v Microsoft Entra Connect teď nakonfigurujte Microsoft Entra SSPR pro zpětný zápis. SSPR je možné nakonfigurovat k zpětnému zápisu prostřednictvím agentů Microsoft Entra Connect Sync a agenta zřizování Microsoft Entra Connect, (cloudová synchronizace). Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.

Pokud chcete povolit zpětný zápis hesla v SSPR, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
2. Procházejte k Ochrana>Resetování hesla, poté vyberte Integraci v místní síti.
3. Vyberte možnost zápis hesel zpět do vašeho místního adresáře.
4. (volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Connect, můžete také zkontrolovat možnost Zapsat hesla zpět pomocí cloudové synchronizace Microsoft Entra Connect.
5. Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
6. Až budete připraveni, vyberte Uložit.

Vyčištění prostředků

Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
2. Přejděte na Ochranu>Obnovení hesla a poté zvolte Integraci na místě.
3. Zrušte zaškrtnutí možnosti pro zápis hesel do vašeho místního adresáře.
4. Zrušte zaškrtnutí možnosti zpětné zápisy hesel pomocí cloudové synchronizace Microsoft Entra Connect.
5. Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
6. Až budete připraveni, vyberte Uložit.

Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Connect pro funkce zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Connect Sync pro zpětný zápis, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
2. Přejděte na Ochrana>Obnovení hesla a zvolte Integraci v místních podmínkách.
3. Zrušte zaškrtnutí políčka pro zápis hesel zpět pomocí cloudové synchronizace Microsoft Entra Connect.
4. Až budete připraveni, vyberte Uložit.

Pokud už nechcete používat žádné funkce hesel, proveďte následující kroky ze serveru Microsoft Entra Connect:

1. Přihlaste se k serveru Microsoft Entra Connect a spusťte průvodce konfigurací Microsoft Entra Connect .
2. Na úvodní stránce vyberte Konfigurovat.
3. Na stránce Další úlohy vyberte Přizpůsobit možnosti synchronizace a potom vyberte Další.
4. Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje hybridního správce a pak vyberte Další.
5. Na stránkách filtrování Připojení adresářů a Doména/OU vyberte Další.
6. Na stránce Volitelné funkce zrušte zaškrtnutí políčka vedle zpětného zápisu hesla a vyberte Další.
7. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
8. Až se konfigurace dokončí, vyberte Ukončit.

Důležité

Povolení zpětného zápisu hesla může poprvé aktivovat události změny hesla 656 a 657, i když nedošlo ke změně hesla. Důvodem je to, že se všechny hodnoty hash hesel znovu synchronizují po spuštění cyklu synchronizace hodnot hash hesel.

Další kroky

V tomto kurzu jste povolili zpětné zapisování Microsoft Entra SSPR do lokálního prostředí služby AD DS. Naučili jste se:

• Konfigurace požadovaných oprávnění pro zpětný zápis hesla
• Povolení možnosti zpětného zápisu hesla ve službě Microsoft Entra Connect
• Povolení zpětného zápisu hesla v Microsoft Entra SSPR

Hodnocení rizika při přihlášení