Esercitazione: Abilitare il writeback per la reimpostazione della password self-service di Microsoft Entra in un ambiente locale

Con la reimpostazione della password self-service di Microsoft Entra, gli utenti possono aggiornare la password o sbloccare l'account tramite un Web browser. Consigliamo questo video intitolato "Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID". In un ambiente ibrido in cui Microsoft Entra ID è connesso a un ambiente Active Directory Domain Services locale, questo scenario può creare differenze tra le password nelle due directory.

La funzionalità di ripristino delle password può essere utilizzata per sincronizzare le modifiche delle password in Microsoft Entra con l'ambiente locale di Active Directory Domain Services (AD DS). Microsoft Entra Connect fornisce un meccanismo sicuro per inviare di nuovo le modifiche delle password a una directory locale esistente da Microsoft Entra ID.

Importante

Questa esercitazione illustra agli amministratori come abilitare la reimpostazione della password self-service in un ambiente locale. Se si è un utente finale già registrato per la reimpostazione password in modalità self-service e si deve accedere nuovamente al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione apprenderai a:

• Configurare le autorizzazioni necessarie per il writeback delle password
• Abilitare l'opzione di writeback delle password in Microsoft Entra Connect
• Abilitare il writeback delle password nella reimpostazione della password self-service di Microsoft Entra

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Un tenant di Microsoft Entra funzionante con almeno una licenza P1 o di prova di Microsoft Entra ID abilitata.
  • Se necessario, crearne uno gratuitamente.
  • Per ulteriori informazioni, vedere Requisiti di licenza per la reimpostazione della password self-service (SSPR) per Microsoft Entra.
• Un account con Amministratore delle Identità Ibride.
• Microsoft Entra ID configurato per la reimpostazione della password automatica.
  • Se necessario, completare il tutorial precedente per abilitare la reimpostazione della password self-service di Microsoft Entra.
• Un ambiente Active Directory Domain Services locale esistente configurato con una versione corrente di Microsoft Entra Connect.
  • Se necessario, configurare Microsoft Entra Connect usando la modalità Rapida o Personalizzata.
  • Per usare il writeback delle password, i controller di dominio possono eseguire qualsiasi versione supportata di Windows Server.

Configurare le autorizzazioni dell'account per Microsoft Entra Connect

Microsoft Entra Connect consente di sincronizzare utenti, gruppi e credenziali tra un ambiente Active Directory Domain Services locale e Microsoft Entra ID. In genere, si installa Microsoft Entra Connect in un computer Windows Server 2016 o versioni successive che fa parte del dominio Active Directory Domain Services locale.

Per usare correttamente il writeback della reimpostazione della password self-service, per l'account specificato in Microsoft Entra Connect è necessario impostare le autorizzazioni e le opzioni appropriate. Se non si è certi dell'account attualmente in uso, aprire Microsoft Entra Connect e selezionare l'opzione Visualizza la configurazione corrente. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate. Per l'account è necessario impostare le autorizzazioni e le opzioni seguenti:

• Reimpostazione della password
• Cambia password
• Autorizzazioni di scrittura su lockoutTime
• Autorizzazioni di scrittura su pwdLastSet
• Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.

Se non si assegnano tali autorizzazioni, potrebbe sembrare che il writeback sia configurato correttamente, ma gli utenti riscontrano errori quando gestiscono le loro password locali dal cloud. Quando si impostano le autorizzazioni "Password senza scadenza" in Active Directory, è necessario applicarle a Questo oggetto e tutti gli oggetti discendenti, Solo l'oggetto specificato o Tutti gli oggetti discendenti, oppure l'autorizzazione "Password senza scadenza" non può essere visualizzata.

Suggerimento

Se la riscrittura delle password non viene eseguita nella directory locale on-premises per determinati account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory DS locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:

1. Nell'ambiente locale di Active Directory Domain Services, aprire Utenti e computer di Active Directory con un account che disponga delle autorizzazioni appropriate di amministratore di dominio.
2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.
3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e scegliere Proprietà>Sicurezza>Avanzate.
4. Nella scheda Autorizzazioni selezionare Aggiungi.
5. Per Principal, selezionare l'account a cui applicare le autorizzazioni (l'account usato da Microsoft Entra Connect).
6. Nell'elenco a discesa Applica a, selezionare Oggetti utente discendenti.
7. In Autorizzazioni selezionare la casella per l'opzione seguente:
   • Reimpostazione della password
8. In Proprietà selezionare le caselle per le opzioni seguenti. Scorrere l'elenco per trovare queste opzioni, che potrebbero essere già specificate per impostazione predefinita:

• Scrivi lockoutTime

• Scrivi pwdLastSet

  

1. Quando si è pronti, selezionare Applica/OK per applicare le modifiche.
2. Nella scheda Autorizzazioni selezionare Aggiungi.
3. Per Principale, selezionare l'account a cui devono essere applicate le autorizzazioni (l'account utilizzato da Microsoft Entra Connect).
4. Nell'elenco a discesa Applica a, selezionare Questo oggetto e tutti i discendenti
5. In Autorizzazioni selezionare la casella per l'opzione seguente:
   • Password senza scadenza
6. Quando si è pronti, selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.

Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.

I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Per il corretto funzionamento del writeback delle password, i criteri di gruppo per Validità minima della password devono essere impostati su 0. Questa impostazione è disponibile in Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di protezione > Criteri degli account in gpmc.msc.

Se aggiorni i criteri di gruppo, attendi che i criteri aggiornati vengano replicati oppure usa il comando gpupdate /force.

Nota

Se è necessario consentire agli utenti di modificare o reimpostare le password più di una volta al giorno, Validità minima password deve essere impostata su 0. Il writeback delle password funzionerà dopo che le politiche delle password locali saranno state valutate con successo.

Abilitare il writeback delle password in Microsoft Entra Connect

Una delle opzioni di configurazione in Microsoft Entra Connect riguarda il writeback delle password. Quando questa opzione è abilitata, gli eventi di modifica delle password fanno sì che Microsoft Entra Connect sincronizzi di nuovo le credenziali aggiornate nell'ambiente Active Directory Domain Services locale.

Per abilitare il writeback della reimpostazione della password self-service, è necessario prima attivare l'opzione di writeback in Microsoft Entra Connect. Dal server Microsoft Entra Connect completare questa procedura:

1. Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
2. Nella pagina di benvenuto selezionare Configura.
3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
4. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di amministratore ibrido per il tenant di Azure e selezionare Avanti.
5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.
7. Nella pagina Estensioni della directory selezionare Avanti.
8. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
9. Quando la configurazione termina, selezionare Esci.

Nota

L'aggiornamento di PasswordWritebackEnabled dalle funzionalità del servizio OnPremDirectorySynchronization non è supportato perché questo flag di funzionalità non è in uso.

Abilitare il writeback delle password per la reimpostazione della password self-service

Con il writeback delle password abilitato in Microsoft Entra Connect, è ora possibile configurare la reimpostazione self-service delle password di Microsoft Entra per il writeback. La reimpostazione della password self-service può essere configurata per il writeback tramite gli agenti di Microsoft Entra Connect Sync e gli agenti di provisioning di Microsoft Entra Connect (sincronizzazione cloud). Quando si abilita SSPR (reimpostazione della password self-service) per l'uso della scrittura inversa delle password, quando gli utenti modificano o reimpostano la loro password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services (AD DS) locale.

Per abilitare il ripristino delle password nella reimpostazione self-service delle password, seguire questa procedura:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
2. Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
3. Seleziona l'opzione per ripristinare le password nella tua directory locale.
4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, puoi anche selezionare l'opzione scrittura delle password con la sincronizzazione cloud di Microsoft Entra Connect.
5. Impostare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password? su Sì.
6. Al termine, selezionare Salva.

Pulire le risorse

Se non si desidera più utilizzare la funzionalità di writeback SSPR che è stata configurata come parte di questa esercitazione, seguire i passaggi seguenti:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
2. Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
3. Deselezionare l'opzione Scrivere indietro le password nella directory locale in sede.
4. Deselezionare l'opzione per Riscrittura delle password con la sincronizzazione del cloud di Microsoft Entra Connect.
5. Deselezionare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password.
6. Al termine, selezionare Salva.

Se non si vuole più utilizzare la sincronizzazione cloud di Microsoft Entra Connect per il writeback della funzionalità di reimpostazione della password self-service (SSPR), ma si desidera continuare a utilizzare l'agente di Microsoft Entra Connect Sync per i writeback, seguire questa procedura:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
2. Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
3. Deselezionare l'opzione per scrivere di nuovo le password tramite la sincronizzazione cloud di Microsoft Entra Connect.
4. Al termine, selezionare Salva.

Se non si intende più usare alcuna funzionalità per le password, dal server di Microsoft Entra Connect completare questa procedura:

1. Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
2. Nella pagina di benvenuto selezionare Configura.
3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
4. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di amministratore ibrido e selezionare Avanti.
5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
6. Nella pagina Funzionalità facoltative deselezionare la casella accanto a Writeback password e selezionare Avanti.
7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
8. Quando la configurazione termina, selezionare Esci.

Importante

L'abilitazione del writeback delle password per la prima volta può attivare eventi di modifica della password 656 e 657, anche se non si è verificata una modifica della password. Ciò è dovuto al fatto che tutti gli hash delle password vengono sincronizzati nuovamente dopo l'esecuzione di un ciclo di sincronizzazione dell'hash delle password.

Passaggi successivi

In questa esercitazione, è stato abilitato il ripristino della reimpostazione della password self-service di Microsoft Entra in un ambiente locale di Active Directory Domain Services (AD DS). Hai imparato a:

• Configurare le autorizzazioni necessarie per il writeback delle password
• Abilitare l'opzione di writeback delle password in Microsoft Entra Connect
• Abilitare il writeback delle password nel servizio di reimpostazione password self-service di Microsoft Entra

Valutare i rischi all'accesso