Zelfstudie: Zelfservice-wachtwoordherstel via cloudsynchronisatie terugschrijven inschakelen naar een on-premises omgeving
Microsoft Entra Connect cloud synchronisatie kan wachtwoordwijzigingen van Microsoft Entra in realtime synchroniseren tussen gebruikers in niet-verbonden on-premises Active Directory Domain Services (AD DS)-domeinen. Microsoft Entra Connect-cloudsynchronisatie kan naast Microsoft Entra Connect op domeinniveau worden uitgevoerd om wachtwoord terugschrijven te vereenvoudigen voor aanvullende scenario's, zoals gebruikers die zich in niet-verbonden domeinen bevinden vanwege een splitsing of samenvoeging van een bedrijf. U kunt elke service in verschillende domeinen configureren voor verschillende sets gebruikers, afhankelijk van hun behoeften. Microsoft Entra Connect-cloudsynchronisatie maakt gebruik van de lichtgewicht Microsoft Entra-cloudinrichtingsagent om de installatie voor selfservice voor wachtwoordherstel (SSPR) te vereenvoudigen en een veilige manier te bieden om wachtwoordwijzigingen in de cloud terug te sturen naar een on-premises directory.
Vereisten
- Een Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld. Maak er gratis een indien nodig.
- Een beheerdersaccount voor hybride identiteit
- Microsoft Entra ID geconfigureerd voor zelfbedieningsherstel van wachtwoorden. Voltooi indien nodig deze zelfstudie om Microsoft Entra SSPR in te schakelen.
- Een on-premises AD DS-omgeving die is geconfigureerd met Microsoft Entra Connect-cloudsynchronisatie versie 1.1.977.0 of hoger. Meer informatie over het identificeren van de huidige versie van de agent. Configureer zo nodig Microsoft Entra Connect-cloudsynchronisatie met behulp van deze zelfstudie.
Installatiestappen
- Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
- Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect-cloudsynchronisatie
- Wachtwoord terugschrijven inschakelen voor SSPR
Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
Machtigingen voor cloudsynchronisatie zijn standaard geconfigureerd. Als machtigingen opnieuw moeten worden ingesteld, raadpleegt u Probleemoplossing voor meer informatie over de specifieke machtigingen die zijn vereist voor wachtwoord terugschrijven en hoe u deze instelt met behulp van PowerShell.
Wachtwoord terugschrijven inschakelen in SSPR
U kunt microsoft Entra Connect-cloudsynchronisatie rechtstreeks inschakelen in het Microsoft Entra-beheercentrum of via PowerShell.
Wachtwoord terugschrijven inschakelen in het Microsoft Entra-beheercentrum
Wanneer het terugschrijven van wachtwoorden is ingeschakeld in de Microsoft Entra Connect-cloudsynchronisatie, kunt u nu de zelfservice wachtwoordreset (SSPR) van Microsoft Entra controleren en configureren voor wachtwoordterugschrijven. Wanneer u SSPR inschakelt voor wachtwoord terugschrijven, worden bijgewerkte wachtwoorden van gebruikers die hun wachtwoord hebben gewijzigd of opnieuw ingesteld ook gesynchroniseerd met de on-premises AD DS-omgeving.
Voer de volgende stappen uit om wachtwoord terugschrijven in SSPR in te schakelen en te verifiëren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
Blader naar Beveiliging, >Wachtwoord opnieuw instellen, en kies vervolgens On-premises integratie.
Selecteer de optie om wachtwoordterugschrijven in te schakelen voor gesynchroniseerde gebruikers.
(optioneel) Als Microsoft Entra Connect-inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Connect-cloudsynchronisatie.
Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen in op Ja.
Selecteer Opslaan wanneer u klaar bent.
Powershell
Met PowerShell kunt u Cloudsynchronisatie van Microsoft Entra Connect inschakelen met behulp van de set-AADCloudSyncPasswordWritebackConfiguration-cmdlet op de servers met de inrichtingsagents.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Resources opschonen
Als u de SSPR-writeback-functionaliteit die u hebt geconfigureerd als onderdeel van deze zelfstudie niet meer wilt gebruiken, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar Bescherming>Wachtwoordreset, en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers uit.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Schakel de optie Sta gebruikers toe om accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen uit.
- Selecteer Opslaan wanneer u klaar bent.
Als u de Microsoft Entra Connect-cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar de Microsoft Entra Connect Sync-agent wilt blijven gebruiken voor writebacks, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar Beveiliging>Wachtwoord herstellen en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Selecteer Opslaan wanneer u klaar bent.
U kunt ook PowerShell gebruiken om de cloudsynchronisatie van Microsoft Entra Connect uit te schakelen voor de SSPR-writeback-functionaliteit. Vanaf uw Microsoft Entra Connect-cloudsynchronisatieserver voert u Set-AADCloudSyncPasswordWritebackConfiguration uit met de referenties van de Hybrid Identity Administrator om de wachtwoord-terugschrijfoptie met Microsoft Entra Connect-cloudsynchronisatie uit te schakelen.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Ondersteunde bewerkingen
Wachtwoorden worden teruggeschreven in de volgende situaties voor eindgebruikers en beheerders.
| Rekening | Ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Elke zelfstandige wijziging van het wachtwoord door de eindgebruiker zonder externe hulp. Elke zelfbedieningsactie van eindgebruikers voor het geforceerd wijzigen van wachtwoorden, bijvoorbeeld bij het verlopen van wachtwoorden. Elke selfservice voor wachtwoordherstel door eindgebruikers die afkomstig is van het opnieuw instellen van wachtwoorden. |
| Beheerders | Elke beheerder selfservice voor vrijwillige wachtwoordwijziging. Elke zelfbedieningsactie van een beheerder om een wachtwoordwijziging af te dwingen, zoals bijvoorbeeld in het geval van het verlopen van een wachtwoord. Elke selfservice-wachtwoordherstel van administratoren die afkomstig is van wachtwoordreset. Door een beheerder geïnitieerde wachtwoordreset van eindgebruikers vanuit het Microsoft Entra beheerscentrum. Door een beheerder geïnitieerde reset van het eindgebruikerswachtwoord via de Microsoft Graph API. |
Niet-ondersteunde bewerkingen
Wachtwoorden worden in de volgende situaties niet teruggeschreven.
| Account | Niet-ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Eindgebruikers die hun eigen wachtwoord opnieuw instellen via PowerShell-cmdlets of de Microsoft Graph API. |
| Beheerders | Een door een beheerder geïnitieerde wachtwoordreset voor een eindgebruiker met behulp van PowerShell-cmdlets. Een door een beheerder geïnitieerde wachtwoordreset van de eindgebruiker vanuit het Microsoft 365-beheercentrum. Geen enkele beheerder kan de hulpprogramma voor wachtwoordherstel gebruiken om hun eigen wachtwoord te resetten of dat van een andere beheerder in Microsoft Entra ID voor het terugschrijven van wachtwoorden. |
Validatiescenario's
Voer de volgende bewerkingen uit om scenario's te valideren met behulp van wachtwoord terugschrijven. Voor alle validatiescenario's moet cloudsynchronisatie zijn geïnstalleerd en moet de gebruiker zijn ingeschakeld voor wachtwoordterugschrijven.
| Scenario | Gegevens |
|---|---|
| Wachtwoord opnieuw instellen vanaf de aanmeldingspagina | Zorg ervoor dat twee gebruikers van niet-verbonden domeinen en forests SSPR laten uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben binnen het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect en deze gebruikers hun wachtwoord opnieuw laten instellen. |
| Verlopen wachtwoordwijziging forceren | Laat twee gebruikers van losgekoppelde domeinen en forests hun verlopen wachtwoorden wijzigen. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben in het bereik van cloudsynchronisatieconfiguratie en een andere in het bereik van Microsoft Entra Connect. |
| Normale wachtwoordwijziging | Laat twee gebruikers uit niet-verbonden domeinen en forests een routinematige wachtwoordwijziging uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
| Beheerder stelt wachtwoord van gebruiker opnieuw in | Laat twee gebruikers van losgekoppelde domeinen en forests hun wachtwoord opnieuw instellen via het Microsoft Entra-beheercentrum of de Frontline-werkersportal. U kunt Microsoft Entra Connect en cloudsynchronisatie naast elkaar hebben, waarbij één gebruiker onder de configuratie van cloudsynchronisatie valt en een andere onder Microsoft Entra Connect. |
| Zelfbedieningsaccount ontgrendelen | Zorg ervoor dat twee gebruikers van niet-verbonden domeinen en forests accounts ontgrendelen in de SSPR-portal om het wachtwoord opnieuw in te stellen. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
Probleemoplossing
Het beheerde serviceaccount van de Microsoft Entra Connect-cloudsynchronisatiegroep moet de volgende machtigingen hebben ingesteld om de wachtwoorden standaard terug te schrijven:
- Wachtwoord opnieuw instellen
- Schrijfmachtigingen voor lockoutTime
- Schrijfmachtigingen voor pwdLastSet
- Uitgebreide rechten voor "Wachtwoord vernieuwen" op het hoofdobject van elk domein in dat forest, indien dit nog niet is ingesteld.
Als deze machtigingen niet zijn ingesteld, kunt u de machtiging PasswordWriteBack voor het serviceaccount instellen met behulp van de Set-AADCloudSyncPermissions cmdlet en on-premises ondernemingsbeheerdersreferenties:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nadat u de machtigingen hebt bijgewerkt, kan het een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.
Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar de on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfrechten voor wachtwoorden moeten worden toegepast op onderliggende objecten om deze functie correct te laten werken.
Wachtwoordbeleid in de on-premises AD DS-omgeving kan voorkomen dat het opnieuw instellen van wachtwoorden correct wordt verwerkt. Als u deze functie test en het wachtwoord voor gebruikers meer dan één keer per dag opnieuw wilt instellen, moet het groepsbeleid voor minimale wachtwoordduur zijn ingesteld op 0. Deze instelling vindt u onder Computerconfiguratiebeleid >> Windows Instellingen > Beveiligingsinstellingen > Wachtwoordbeleid > wachtwoordbeleid binnen gpmc.msc.
Wanneer u het groepsbeleid bijwerkt, wacht u totdat het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.
De minimaal leeftijd van het wachtwoord moet zijn ingesteld op 0 om ervoor te zorgen dat wachtwoorden onmiddellijk worden gewijzigd. Als gebruikers echter voldoen aan het on-premises beleid en de minimale wachtwoordduur is ingesteld op een waarde die groter is dan nul, werkt wachtwoord terugschrijven niet nadat het on-premises beleid is geëvalueerd.
Zie Accountmachtigingen configureren voor Microsoft Entra Connect voor meer informatie over het valideren of instellen van de juiste machtigingen.
Volgende stappen
- Zie Wat is Microsoft Entra Connect-cloudsynchronisatie voor meer informatie over cloudsynchronisatie en een vergelijking tussen Microsoft Entra Connect en cloudsynchronisatie ?
- Voor een zelfstudie over het instellen van wachtwoord writeback met behulp van Microsoft Entra Connect, zie Zelfstudie: Zelfservice wachtwoord writeback inschakelen naar een on-premises omgeving.