Zelfstudie: Selfservice voor wachtwoordherstel terugschrijven in cloudsynchronisatie inschakelen naar een on-premises omgeving
Microsoft Entra Connect-cloudsynchronisatie kan wachtwoordwijzigingen van Microsoft Entra in realtime synchroniseren tussen gebruikers in on-premises Active Directory-domein Services-domeinen (AD DS). Microsoft Entra Connect-cloudsynchronisatie kan naast Microsoft Entra Connect op domeinniveau worden uitgevoerd om wachtwoord terugschrijven te vereenvoudigen voor aanvullende scenario's, zoals gebruikers die zich in niet-verbonden domeinen bevinden vanwege een splitsing of samenvoeging van een bedrijf. U kunt elke service in verschillende domeinen configureren voor verschillende sets gebruikers, afhankelijk van hun behoeften. Microsoft Entra Connect-cloudsynchronisatie maakt gebruik van de lichtgewicht Microsoft Entra-cloudinrichtingsagent om de installatie voor selfservice voor wachtwoordherstel (SSPR) te vereenvoudigen en een veilige manier te bieden om wachtwoordwijzigingen in de cloud terug te sturen naar een on-premises directory.
Vereisten
- Een Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld. Maak er gratis een indien nodig.
- Een beheerdersaccount voor hybride identiteit
- Microsoft Entra-id geconfigureerd voor selfservice voor wachtwoordherstel. Voltooi indien nodig deze zelfstudie om Microsoft Entra SSPR in te schakelen.
- Een on-premises AD DS-omgeving die is geconfigureerd met Microsoft Entra Connect-cloudsynchronisatie versie 1.1.977.0 of hoger. Meer informatie over het identificeren van de huidige versie van de agent. Configureer zo nodig Microsoft Entra Connect-cloudsynchronisatie met behulp van deze zelfstudie.
Installatiestappen
- Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
- Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect-cloudsynchronisatie
- Wachtwoord terugschrijven inschakelen voor SSPR
Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
Machtigingen voor cloudsynchronisatie zijn standaard geconfigureerd. Als machtigingen opnieuw moeten worden ingesteld, raadpleegt u Probleemoplossing voor meer informatie over de specifieke machtigingen die zijn vereist voor wachtwoord terugschrijven en hoe u deze instelt met behulp van PowerShell.
Wachtwoord terugschrijven inschakelen in SSPR
U kunt microsoft Entra Connect-cloudsynchronisatie rechtstreeks inschakelen in het Microsoft Entra-beheercentrum of via PowerShell.
Wachtwoord terugschrijven inschakelen in het Microsoft Entra-beheercentrum
Als wachtwoord terugschrijven is ingeschakeld in Microsoft Entra Connect-cloudsynchronisatie, controleert en configureert u Microsoft Entra selfservice voor wachtwoordherstel (SSPR) voor wachtwoord terugschrijven. Wanneer u SSPR inschakelt voor wachtwoord terugschrijven, worden bijgewerkte wachtwoorden van gebruikers die hun wachtwoord hebben gewijzigd of opnieuw ingesteld ook gesynchroniseerd met de on-premises AD DS-omgeving.
Voer de volgende stappen uit om wachtwoord terugschrijven in SSPR in te schakelen en te verifiëren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
Blader naar > en kies vervolgens On-premises integratie.
Schakel de optie wachtwoord terugschrijven in voor gesynchroniseerde gebruikers.
(optioneel) Als Microsoft Entra Connect-inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Connect-cloudsynchronisatie.
Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
Selecteer Opslaan wanneer u klaar bent.
Powershell
Met PowerShell kunt u Cloudsynchronisatie van Microsoft Entra Connect inschakelen met behulp van de set-AADCloudSyncPasswordWritebackConfiguration-cmdlet op de servers met de inrichtingsagents.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Resources opschonen
Als u de SSPR-writeback-functionaliteit die u hebt geconfigureerd als onderdeel van deze zelfstudie niet meer wilt gebruiken, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar > en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers uit.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Schakel de optie Toestaan dat gebruikers accounts ontgrendelen zonder hun wachtwoord opnieuw in te stellen.
- Selecteer Opslaan wanneer u klaar bent.
Als u de Microsoft Entra Connect-cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar de Microsoft Entra Connect Sync-agent wilt blijven gebruiken voor writebacks, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar > en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Selecteer Opslaan wanneer u klaar bent.
U kunt PowerShell ook gebruiken om Cloudsynchronisatie van Microsoft Entra Connect uit te schakelen voor de SSPR-writeback-functionaliteit, vanaf uw Microsoft Entra Connect-cloudsynchronisatieserver, uit Set-AADCloudSyncPasswordWritebackConfiguration te voeren met de referenties van hybrid Identity Administrator om wachtwoord terugschrijven met Microsoft Entra Connect-cloudsynchronisatie uit te schakelen.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Ondersteunde bewerkingen
Wachtwoorden worden teruggeschreven in de volgende situaties voor eindgebruikers en beheerders.
| Rekening | Ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Elke self-service voor vrijwillige wachtwoordwijziging door eindgebruikers. Elke self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden. Elke selfservice voor wachtwoordherstel door eindgebruikers die afkomstig is van het opnieuw instellen van wachtwoorden. |
| Beheerders | Elke beheerder self-service voor vrijwillige wachtwoordwijziging door eindgebruikers. Elke beheerder self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden. Alle selfservice voor wachtwoordherstel van beheerders die afkomstig zijn van het opnieuw instellen van wachtwoorden. Door een beheerder geïnitieerde wachtwoordherstel van eindgebruikers vanuit het Microsoft Entra-beheercentrum. Door de beheerder geïnitieerde opdracht om wachtwoord van eindgebruiker opnieuw in te stellen voor Microsoft Graph API. |
Niet-ondersteunde bewerkingen
Wachtwoorden worden in de volgende situaties niet teruggeschreven.
| Rekening | Niet-ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Eindgebruikers die hun eigen wachtwoord opnieuw instellen via PowerShell-cmdlets of de Microsoft Graph API. |
| Beheerders | Door een beheerder geïnitieerde wachtwoordherstel door een eindgebruiker met behulp van PowerShell-cmdlets. Door de beheerder geïnitieerde opdracht om wachtwoord van eindgebruiker opnieuw in te stellen voor Microsoft 365-beheercentrum. Geen enkele beheerder kan de hulpprogramma voor wachtwoordherstel gebruiken om hun eigen wachtwoord te resetten of dat van een andere beheerder in Microsoft Entra ID voor het terugschrijven van wachtwoorden. |
Validatiescenario's
Voer de volgende bewerkingen uit om scenario's te valideren met behulp van wachtwoord terugschrijven. Voor alle validatiescenario's is cloudsynchronisatie geïnstalleerd en heeft de gebruiker het bereik voor wachtwoord terugschrijven.
| Scenario | Details |
|---|---|
| Wachtwoord opnieuw instellen vanaf de aanmeldingspagina | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests SSPR uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben binnen het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect en deze gebruikers hun wachtwoord opnieuw laten instellen. |
| Verlopen wachtwoordwijziging forceren | Laat twee gebruikers niet-verbonden domeinen en forests verlopen wachtwoorden wijzigen. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben in het bereik van cloudsynchronisatieconfiguratie en een andere in het bereik van Microsoft Entra Connect. |
| Normale wachtwoordwijziging | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests SSPR uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
| Beheerderswachtwoord opnieuw instellen | Laat twee gebruikers hun wachtwoord opnieuw instellen via het Microsoft Entra-beheercentrum of de Frontline-werkportal. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect |
| Self-serviceaccount ontgrendelen | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests accounts ontgrendelen in de SSPR-portal om het wachtwoord opnieuw in te voeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
Probleemoplossing
Het beheerde serviceaccount van de Microsoft Entra Connect-cloudsynchronisatiegroep moet de volgende machtigingen hebben ingesteld om de wachtwoorden standaard terug te schrijven:
- Wachtwoord opnieuw instellen
- Schrijfmachtigingen voor lockoutTime
- Schrijfmachtigingen voor pwdLastSet
- Uitgebreide rechten voor Verlopen wachtwoord terugzetten op het hoofdobject van elk domein in dat forest, indien dit nog niet is ingesteld.
Als deze machtigingen niet zijn ingesteld, kunt u de machtiging PasswordWriteBack voor het serviceaccount instellen met behulp van de Set-AADCloudSyncPermissions cmdlet en on-premises ondernemingsbeheerdersreferenties:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nadat u de machtigingen hebt bijgewerkt, kan het een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.
Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar de on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfrechten voor wachtwoorden moeten worden toegepast op onderliggende objecten om deze functie correct te laten werken.
Wachtwoordbeleid in de on-premises AD DS-omgeving kan voorkomen dat het opnieuw instellen van wachtwoorden correct wordt verwerkt. Als u deze functie test en het wachtwoord voor gebruikers meer dan één keer per dag opnieuw wilt instellen, moet het groepsbeleid voor minimale wachtwoordduur zijn ingesteld op 0. Deze instelling vindt u onder Computerconfiguratiebeleid >> Windows Instellingen > Beveiligingsinstellingen > Wachtwoordbeleid > wachtwoordbeleid binnen gpmc.msc.
Wanneer u het groepsbeleid bijwerkt, wacht u totdat het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.
De minimaal leeftijd van het wachtwoord moet zijn ingesteld op 0 om ervoor te zorgen dat wachtwoorden onmiddellijk worden gewijzigd. Als gebruikers echter voldoen aan het on-premises beleid en de minimale wachtwoordduur is ingesteld op een waarde die groter is dan nul, werkt wachtwoord terugschrijven niet nadat het on-premises beleid is geëvalueerd.
Zie Accountmachtigingen configureren voor Microsoft Entra Connect voor meer informatie over het valideren of instellen van de juiste machtigingen.
Volgende stappen
- Zie Wat is Microsoft Entra Connect-cloudsynchronisatie voor meer informatie over cloudsynchronisatie en een vergelijking tussen Microsoft Entra Connect en cloudsynchronisatie ?
- Voor een zelfstudie over het instellen van wachtwoord terugschrijven met behulp van Microsoft Entra Connect, raadpleegt u de zelfstudie: Selfservice voor het terugschrijven van wachtwoorden inschakelen naar een on-premises omgeving.