Tutoriel : Activer la réécriture et la réinitialisation de mot de passe en libre-service Azure de la synchronisation cloud dans un environnement local
La synchronisation cloud Microsoft Entra Connect peut synchroniser les modifications de mot de passe Microsoft Entra en temps réel entre les utilisateurs de domaines Active Directory Domain Services (AD DS) déconnectés sur site. La synchronisation cloud Microsoft Entra Connect peut s'exécuter côte à côte avec Microsoft Entra Connect au niveau du domaine pour simplifier la réécriture du mot de passe pour d'autres scénarios, comme les utilisateurs qui se trouvent dans des domaines déconnectés en raison d'un fractionnement ou d'une fusion de l'entreprise. Vous pouvez configurer chaque service dans différents domaines pour cibler différents groupes d’utilisateurs en fonction de leurs besoins. La synchronisation cloud Microsoft Entra Connect utilise l'agent d'approvisionnement cloud Microsoft Entra léger pour simplifier la configuration de la réécriture de réinitialisation de mot de passe en libre-service (SSPR) et offrir une méthode sécurisée pour envoyer les modifications de mot de passe dans le cloud à un annuaire local.
Prérequis
- Un client Microsoft Entra avec au moins une licence Microsoft Entra ID P1 ou une autre d'essai activée. Si nécessaire, créez-en une gratuitement.
- Un compte Administrateur d’identité hybride
- Microsoft Entra ID configuré pour la réinitialisation de mot de passe en libre-service. Au besoin, suivez ce tutoriel pour activer Microsoft Entra SSPR.
- Environnement AD DS local configuré avec la version de synchronisation cloud Microsoft Entra Connect 1.1.977.0 ou ultérieure. Découvrez comment identifier la version actuelle de l’agent. Au besoin, configurez la synchronisation cloud Microsoft Entra Connect à l'aide de ce tutoriel.
Étapes du déploiement
- Configurer des autorisations de compte de service pour la synchronisation cloud Microsoft Entra Connect
- Activer la réécriture du mot de passe par la synchronisation cloud Microsoft Entra Connect
- Activer la réécriture du mot de passe pour SSPR
Configurer des autorisations de compte de service pour la synchronisation cloud Microsoft Entra Connect
Les autorisations pour la synchronisation cloud sont configurées par défaut. Si les autorisations doivent être réinitialisées, consultez la section sur la résolution des problèmes pour plus d’informations sur les autorisations spécifiques requises pour la réécriture du mot de passe et leur définition à l’aide de PowerShell.
Activer la réécriture du mot de passe dans SSPR
Vous pouvez activer l'approvisionnement pour la synchronisation cloud Microsoft Entra Connect directement dans le Centre d'administration Microsoft Entra ou par le biais de PowerShell.
Activer la réécriture du mot de passe dans le Centre d'administration Microsoft Entra
Conseil
Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.
Avec la réécriture du mot de passe activée dans la synchronisation cloud Microsoft Entra Connect, vérifiez et configurez la réinitialisation de mot de passe en libre-service Microsoft Entra pour la réécriture du mot de passe. Lorsque vous autorisez l’utilisation par SSPR de la réécriture du mot de passe, les utilisateurs qui changent ou réinitialisent leur mot de passe bénéficient également de la synchronisation du mot de passe mis à jour dans l’environnement AD DS local.
Pour vérifier et activer la réécriture du mot de passe dans la réinitialisation de mot de passe en libre-service, procédez comme suit :
Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur de sécurité.
Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
Cochez l'option Activer la réécriture du mot de passe pour les utilisateurs synchronisés.
(facultatif) Si des agents d'approvisionnement Microsoft Entra Connect sont détectés, vous pouvez en outre activer l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
Activez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
Quand vous êtes prêt, sélectionnez Enregistrer.
PowerShell
PowerShell vous permet d'activer la synchronisation cloud Microsoft Entra Connect à l'aide de la cmdlet Set-AADCloudSyncPasswordWritebackConfiguration sur les serveurs avec les agents d'approvisionnement.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Nettoyer les ressources
Si vous décidez de ne plus utiliser la fonctionnalité de réécriture de SSPR que vous avez configurée dans ce tutoriel, effectuez les étapes suivantes :
- Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur de sécurité.
- Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
- Décocher l’option Activer la mettre à jour du mot de passe pour les utilisateurs synchronisés.
- Désactivez l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
- Désactivez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
- Quand vous êtes prêt, sélectionnez Enregistrer.
Si vous ne souhaitez plus utiliser la synchronisation cloud Microsoft Entra Connect pour la fonctionnalité d'écriture différée SSPR, mais souhaitez continuer à utiliser l'agent de synchronisation Microsoft Entra Connect pour les écritures différées, procédez comme suit :
- Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’administrateur de sécurité.
- Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
- Désactivez l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
- Quand vous êtes prêt, sélectionnez Enregistrer.
Vous pouvez également utiliser PowerShell pour désactiver la synchronisation cloud Microsoft Entra Connect pour la fonctionnalité d'écriture différée SSPR. À partir de votre serveur de synchronisation cloud Microsoft Entra Connect, exécutez Set-AADCloudSyncPasswordWritebackConfiguration
à l'aide d'informations d'identification d'administrateur d'identité hybride pour désactiver la réécriture du mot de passe avec une synchronisation cloud Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Opérations prises en charge
Les mots de passe sont réécrits dans les situations suivantes pour les utilisateurs finaux et les administrateurs.
Compte | Opérations prises en charge |
---|---|
Utilisateurs finaux | Tout changement volontaire de mot de passe en libre-service de l’utilisateur final. Tout changement forcé de mot de passe en libre-service de l’utilisateur final (par exemple, expiration du mot de passe). Toute réinitialisation de mot de passe en libre-service pour l'utilisateur final provenant d'une réinitialisation de mot de passe. |
Administrateurs | Tout changement volontaire de mot de passe en libre-service de l’administrateur. Tout changement forcé de mot de passe en libre-service de l’administrateur (par exemple, expiration du mot de passe). Toute réinitialisation de mot de passe en libre-service d'administrateur provenant d'une réinitialisation de mot de passe. Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur depuis le Centre d’administration Microsoft Entra. Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur à partir de l’API Microsoft Graph. |
Opérations non prises en charge
Les mots de passe ne sont pas réécrits dans les situations suivantes.
Compte | Opérations non prises en charge |
---|---|
Utilisateurs finaux | Toute réinitialisation de mot de passe de l’utilisateur final lancée par ce dernier à l’aide de cmdlets PowerShell ou l’API Microsoft Graph. |
Administrateurs | Toute réinitialisation de mot de passe de l’utilisateur final initiée par l’administrateur à l’aide des cmdlets PowerShell. Toute réinitialisation de mot de passe de l’utilisateur final lancée par l’administrateur depuis le Centre d’administration Microsoft 365. Un administrateur ne peut pas utiliser l'outil de réinitialisation de mot de passe pour réinitialiser son propre mot de passe ou celui d'un autre administrateur dans Microsoft Entra ID pour la réécriture du mot de passe. |
Scénarios de validation
Essayez les opérations suivantes pour valider des scénarios à l’aide de la réécriture du mot de passe. Tous les scénarios de validation nécessitent la synchronisation cloud et l’utilisateur est dans la portée de la réécriture du mot de passe.
Scénario | Détails |
---|---|
Réinitialiser le mot de passe à partir de la page de connexion | Avoir deux utilisateurs de forêts et domaines déconnectés qui exécutent la réinitialisation de mot de passe en libre-service. Vous pouvez également avoir Azure AD Connect et la synchronisation cloud déployés côte à côte, avoir un utilisateur dans la portée de la configuration de la synchronisation cloud et un autre dans la portée de Microsoft Entra Connect, et demander à ces utilisateurs de réinitialiser leur mot de passe. |
Forcer la modification du mot de passe expiré | Avoir deux utilisateurs de forêts et de domaines déconnectés qui changent les mots de passe expirés. Vous pouvez aussi avoir Microsoft Entra Connect et la synchronisation cloud déployés côte à côte, avoir un utilisateur dans la portée de la configuration de la synchronisation cloud, et un autre dans la portée de Microsoft Entra Connect. |
Modification normale du mot de passe | Avoir deux utilisateurs de forêts et domaines déconnectés qui exécutent un changement de mot de passe de routine. Vous pouvez aussi avoir Microsoft Entra Connect et la synchronisation cloud déployés côte à côte, avoir un utilisateur dans la configuration de la synchronisation cloud, et un autre dans la configuration de Microsoft Entra Connect. |
L’administrateur réinitialise le mot de passe de l’utilisateur | Demandez à deux utilisateurs déconnectés des domaines et des forêts de réinitialiser leur mot de passe à partir du Centre d'administration Microsoft Entra ou du portail des travailleurs de première ligne. Vous pouvez également avoir Microsoft Entra Connect et la synchronisation cloud côte à côte, avoir un utilisateur dans la portée de la configuration de la synchronisation cloud, et un autre dans la portée de Microsoft Entra Connect. |
Déverrouillage de compte en libre-service | Avoir deux utilisateurs de forêts et domaines déconnectés qui déverrouillent des comptes dans le portail SSPR réinitialisant le mot de passe. Vous pouvez aussi avoir Microsoft Entra Connect et la synchronisation cloud déployés côte à côte, avoir un utilisateur dans la configuration de la synchronisation cloud, et un autre dans la configuration de Microsoft Entra Connect. |
Dépannage
Le compte de service administré du groupe de synchronisation cloud Microsoft Entra Connect doit avoir les autorisations suivantes définies pour réécrire les mots de passe par défaut :
- Réinitialiser le mot de passe
- Autorisations d’écriture sur lockoutTime
- Autorisations d’écriture sur pwdLastSet
- Droits étendus pour « Ne pas faire expirer le mot de passe » sur l’objet racine de chaque domaine de cette forêt, s’il n’est pas déjà défini.
Si ces autorisations ne sont pas définies, vous pouvez définir l’autorisation PasswordWriteBack sur le compte de service à l’aide de l’applet de commande Set-AADCloudSyncPermissions et des identifiants d’administrateur d’entreprise local :
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
Lorsque vous mettez à jour des autorisations, la réplication de ces autorisations pour tous les objets de l’annuaire peut durer une heure ou plus.
Si les mots de passe de certains comptes d’utilisateur ne sont pas réécrits dans l’annuaire local, vérifiez que l’héritage n’est pas désactivé pour le compte dans l’environnement AD DS local. Les autorisations d’écriture pour les mots de passe doivent être appliquées aux objets descendants pour que la fonctionnalité fonctionne correctement.
Les stratégies de mot de passe dans l’environnement AD DS local peuvent empêcher le traitement correct des réinitialisations de mot de passe. Si vous testez cette fonctionnalité et souhaitez réinitialiser le mot de passe pour les utilisateurs plusieurs fois par jour, la stratégie de groupe pour Durée de vie minimale du mot de passe doit être définie sur 0. Ce paramètre se trouve sous Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte > Stratégie de mot de passe dans gpmc.msc.
Si vous mettez à jour la stratégie de groupe, attendez la réplication de la stratégie mise à jour ou utilisez la commande gpupdate /force.
Pour que les mots de passe soient changés immédiatement, l’âge minimum du mot de passe doit être défini sur 0. Toutefois, si les utilisateurs adhèrent aux stratégies locales et que le paramètre Durée de vie minimale du mot de passe est défini sur une valeur supérieure à zéro, la réécriture du mot de passe ne fonctionne pas une fois les stratégies locales évaluées.
Pour en savoir plus sur la façon de valider ou de configurer les autorisations appropriées, rendez-vous à la page Configurer les autorisations de compte pour Microsoft Entra Connect.
Étapes suivantes
- Pour en savoir plus sur la synchronisation cloud et une comparaison entre Microsoft Entra Connect et la synchronisation cloud, reportez-vous à Qu'est-ce que la synchronisation cloud de Microsoft Entra Connect ?
- Pour un tutoriel sur la configuration de la réécriture du mot de passe en utilisant Microsoft Entra Connect, reportez-vous à Tutoriel : activer la réinitialisation de mot de passe en libre-service Microsoft Entra dans un environnement local.