Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w identyfikatorze Entra firmy Microsoft?

Self-service password reset (SSPR) firmy Microsoft Entra umożliwia użytkownikom resetowanie haseł w chmurze, ale większość firm ma również lokalne środowisko Active Directory Domain Services (AD DS) dla użytkowników. Zapisywanie zmian haseł w chmurze umożliwia ich natychmiastowe zapisywanie zwrotne w lokalnym katalogu przy użyciu Microsoft Entra Connect lub Microsoft Entra Connect Cloud Sync. Gdy użytkownicy zmieniają lub resetują swoje hasła za pomocą samoobsługowego resetowania haseł (SSPR) w chmurze, zaktualizowane hasła są również zapisywane zwrotnie w lokalnym środowisku AD DS.

Ważny

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe zapisywanie zwrotne resetowania haseł. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Zapisywanie zwrotne haseł jest obsługiwane w środowiskach korzystających z następujących modeli tożsamości hybrydowych:

• synchronizacja skrótów hasła
• uwierzytelnianie delegowane
• Usługi federacyjne Active Directory

Zapisywanie zwrotne haseł zapewnia następujące funkcje:

• Wymuszanie lokalnych zasad haseł usług Active Directory Domain Services (AD DS): gdy użytkownik resetuje swoje hasło, sprawdza się, czy spełnia on lokalne zasady usług AD DS przed zatwierdzeniem go do tego katalogu. Ten przegląd obejmuje sprawdzanie historii, złożoności, wieku, filtrów haseł i innych ograniczeń haseł zdefiniowanych w usługach AD DS.
• Informacje zwrotne o zerowym opóźnieniu: Odwrotne zapisywanie haseł jest operacją synchroniczną. Użytkownicy są powiadamiani natychmiast, jeśli ich hasło nie spełnia zasad lub nie można ich zresetować ani zmienić z jakiegokolwiek powodu.
• Obsługuje zmiany haseł z panelu dostępu i platformy Microsoft 365: gdy użytkownicy federacyjni lub synchronizowani za pomocą skrótu haseł potrzebują zmienić wygasłe lub niewygasłe hasła, te hasła są zapisywane z powrotem w usłudze AD DS.
• Obsługuje zwrotne zapisywanie haseł, gdy administrator resetuje je z centrum administracyjnego Microsoft Entra: Kiedy administrator resetuje hasło użytkownika w centrum administracyjnym Microsoft Entra , jeśli ten użytkownik jest federowany lub ma zsynchronizowany skrót hasła, hasło jest zapisywane z powrotem do środowiska lokalnego. Ta funkcja nie jest obecnie obsługiwana w portalu administracyjnym pakietu Office.
• nie wymaga żadnych reguł zapory dla ruchu przychodzącego: zapisywanie zwrotne haseł używa przekaźnika usługi Azure Service Bus jako podstawowego kanału komunikacyjnego. Cała komunikacja jest wychodząca przez port 443.
• Obsługuje równoległe wdrażanie na poziomie domeny przy użyciu Microsoft Entra Connect lub synchronizacji w chmurze do wyznaczania różnych zestawów użytkowników jako cel, w zależności od ich potrzeb, w tym użytkowników znajdujących się w domenach odłączonych od sieci.

Notatka

Lokalne konto usługi obsługujące żądania zapisywania zwrotnego haseł nie może zmienić haseł dla użytkowników należących do chronionych grup. Administratorzy mogą zmieniać swoje hasło w chmurze, ale nie mogą używać zapisywania zwrotnego haseł w celu zresetowania zapomnianego hasła dla użytkownika lokalnego. Aby uzyskać więcej informacji na temat chronionych grup, zobacz Chronione konta i grupy w usługach AD DS.

Aby rozpocząć korzystanie z mechanizmu zapisywania zwrotnego przy samoobsługowym resetowaniu hasła, wykonaj jeden lub oba z poniższych samouczków:

• samouczek : włączanie samoobsługowego resetowania hasła (SSPR) zapisywania zwrotnego
• Samouczek: włączenie zapisywania zwrotnego samoobsługowego resetowania haseł w usłudze Microsoft Entra Connect cloud sync w środowisku lokalnym (wersja próbna)

Microsoft Entra Connect i wdrożenie równoczesnej synchronizacji w chmurze

Możesz wdrożyć program Microsoft Entra Connect i synchronizację w chmurze obok siebie w różnych domenach, aby kierować do różnych zestawów użytkowników. Pomaga to istniejącym użytkownikom w dalszym ciągu zapisywać zmiany haseł, a także dodaje opcję w przypadkach, gdy użytkownicy znajdują się w domenach bez połączenia z powodu połączenia lub podziału firmy. Program Microsoft Entra Connect i synchronizacja w chmurze można skonfigurować w różnych domenach, aby użytkownicy z jednej domeny mogli korzystać z programu Microsoft Entra Connect, podczas gdy użytkownicy w innej domenie korzystają z synchronizacji w chmurze. Synchronizacja w chmurze może również zapewnić wyższą dostępność, ponieważ nie polega na pojedynczym wystąpieniu programu Microsoft Entra Connect. Aby zapoznać się z porównaniem funkcji między dwiema opcjami wdrażania, zobacz Porównanie między programem Microsoft Entra Connect i synchronizacją w chmurze.

Jak działa zapisywanie zwrotne haseł

Gdy konto użytkownika skonfigurowane na potrzeby federacji, synchronizacja skrótów haseł (lub w przypadku wdrożenia programu Microsoft Entra Connect, uwierzytelnianie przekazywane) próbuje zresetować lub zmienić hasło w chmurze, są wykonywane następujące akcje:

1. Wykonywane jest sprawdzenie, jaki typ hasła ma użytkownik. Jeśli hasło jest zarządzane lokalnie:

   • Wykonywane jest sprawdzanie, czy usługa zapisywania zwrotnego jest uruchomiona. Jeśli tak jest, użytkownik może kontynuować.
   • Jeśli usługa zapisywania zwrotnego nie działa, użytkownik otrzymuje informację, że nie można teraz zresetować hasła.

2. Następnie użytkownik przechodzi przez odpowiednie bramy uwierzytelniania i dociera do strony resetowania hasła.

3. Użytkownik wybiera nowe hasło i potwierdza je.

4. Gdy użytkownik wybierze pozycję Prześlij, hasło w postaci zwykłego tekstu jest szyfrowane przy użyciu klucza publicznego utworzonego podczas procesu instalacji zapisywania zwrotnego.

5. Zaszyfrowane hasło znajduje się w pakiecie danych, który jest wysyłany za pośrednictwem kanału HTTPS do przekaźnika usługi Service Bus konkretnego dla Twojej dzierżawy (który jest skonfigurowany dla Ciebie podczas procesu instalacji funkcji zapisu zwrotnego). Ten przekaźnik jest chroniony przez losowo wygenerowane hasło, które zna tylko instalacja lokalna.

6. Po dotarciu wiadomości do magistrali usług, punkt końcowy resetowania hasła automatycznie się uruchamia i rozpoznaje, że ma oczekujące żądanie resetowania.

7. Następnie usługa wyszukuje użytkownika, korzystając z atrybutu zakotwiczenia w chmurze. Aby to wyszukiwanie powiodło się, należy spełnić następujące warunki:

   • Obiekt użytkownika musi istnieć w przestrzeni łącznika usług AD DS.
   • Obiekt użytkownika musi być połączony z odpowiednim obiektem metaverse (MV).
   • Obiekt użytkownika musi być połączony z odpowiednim obiektem łącznika Microsoft Entra.
   • Łącze od obiektu łącznika usług AD DS do MV musi mieć regułę synchronizacji Microsoft.InfromADUserAccountEnabled.xxx dla łącza.

   Gdy wywołanie przychodzi z chmury, silnik synchronizacji wykorzystuje atrybut cloudAnchor do odszukania obiektu w przestrzeni łącznika Microsoft Entra. Następnie śledzi odsyłacz z powrotem do obiektu MV, a potem śledzi odsyłacz z powrotem do obiektu usług AD DS. Ponieważ dla tego samego użytkownika może istnieć wiele obiektów usług AD DS (w wielu lasach), silnik synchronizacji korzysta z linku Microsoft.InfromADUserAccountEnabled.xxx w celu wybrania właściwego.

8. Po znalezieniu konta użytkownika zostanie podjęta próba zresetowania hasła bezpośrednio w odpowiednim lesie AD DS.

9. Jeśli operacja zestawu haseł zakończy się pomyślnie, użytkownik zostanie poinformowany o zmianie hasła.

   Notatka

   Jeśli skrót hasła użytkownika jest synchronizowany z identyfikatorem Entra firmy Microsoft przy użyciu synchronizacji skrótów haseł, istnieje prawdopodobieństwo, że lokalne zasady haseł są słabsze niż zasady haseł w chmurze. W tym przypadku egzekwowana jest polityka wewnętrzna. Te zasady zapewniają, że zasady lokalne są wymuszane w chmurze, niezależnie od tego, czy używasz synchronizacji skrótów haseł lub federacji w celu zapewnienia logowania jednokrotnego.

10. Jeśli operacja zestawu haseł nie powiedzie się, zostanie wyświetlony komunikat o błędzie z monitem użytkownika o ponowną próbę. Operacja może zakończyć się niepowodzeniem z następujących powodów:

    • Usługa została wyłączona.
    • Wybrane hasło nie spełnia zasad organizacji.
    • Nie można odnaleźć użytkownika w lokalnym środowisku usług AD DS.

    Komunikaty o błędach zawierają wskazówki dla użytkowników, aby mogli spróbować rozwiązać problem bez interwencji administratora.

Zabezpieczenia przywracania pisania haseł

Zapisywanie zwrotne haseł to wysoce bezpieczna usługa. Aby zapewnić ochronę informacji, model zabezpieczeń czterowarstwowy jest włączony w następujący sposób:

• przekaźnik magistrali usługowej specyficzny dla najemcy
  • Po skonfigurowaniu usługi, ustawiany jest przekaźnik magistrali usług przeznaczony dla konkretnego dzierżawcy, który jest chroniony przez losowo wygenerowane silne hasło, do którego Microsoft nigdy nie ma dostępu.
• Zabezpieczone, kryptograficznie silne, klucz szyfrowania dla haseł
  • Po utworzeniu przekaźnika usługi Service Bus tworzony jest silny klucz symetryczny, który jest używany do szyfrowania hasła podczas jego przesyłania przez przewody. Ten klucz znajduje się tylko w firmowym tajnym magazynie w chmurze, który jest ściśle zabezpieczony i poddawany audytowi, tak jak każde inne hasło w katalogu.
• Branżowy standard Transport Layer Security (TLS)
  1. Gdy operacja resetowania lub zmiany hasła odbywa się w chmurze, hasło w postaci zwykłego tekstu jest szyfrowane przy użyciu klucza publicznego.
  2. Zaszyfrowane hasło jest umieszczane w wiadomości HTTPS wysyłanej za pośrednictwem zaszyfrowanego kanału przy użyciu certyfikatów TLS/SSL firmy Microsoft do przekaźnika usługi Service Bus.
  3. Po nadejściu komunikatu w usłudze Service Bus agent lokalny uruchamia się i uwierzytelnia w usłudze Service Bus przy użyciu silnego hasła, które zostało wcześniej wygenerowane.
  4. Agent lokalny pobiera zaszyfrowany komunikat i odszyfrowuje go przy użyciu klucza prywatnego.
  5. Agent lokalny próbuje ustawić hasło za pomocą interfejsu API SetPassword usług AD DS. Ten krok umożliwia wymuszanie lokalnych zasad haseł usług AD DS (takich jak złożoność, wiek, historia i filtry) w chmurze.
• zasady wygasania komunikatów
  • Jeśli komunikat znajduje się w usłudze Service Bus, ponieważ twoja usługa lokalna nie działa, upłynie jego limit czasu i zostanie usunięty po kilku minutach. Limit czasu i usunięcie komunikatu dodatkowo zwiększają bezpieczeństwo.

Szczegóły szyfrowania zwrotnego haseł

Po przesłaniu przez użytkownika zresetowania hasła, żądanie zresetowania przechodzi przez kilka etapów szyfrowania, zanim dotrze do środowiska lokalnego. Te kroki szyfrowania zapewniają maksymalną niezawodność i bezpieczeństwo usługi. Są one opisane w następujący sposób:

1. szyfrowanie haseł przy użyciu 2048-bitowego klucza RSA: po przesłaniu przez użytkownika hasła, które ma zostać zapisane z powrotem do środowiska lokalnego, przesłane hasło jest szyfrowane przy użyciu klucza RSA w wersji 2048-bitowej.
2. szyfrowanie na poziomie pakietu z 256-bitowym szyfrowaniem AES-GCM: cały pakiet, hasło oraz wymagane metadane, jest szyfrowane przy użyciu AES-GCM (z rozmiarem klucza 256 bitów). To szyfrowanie uniemożliwia wszystkim osobom z bezpośrednim dostępem do bazowego kanału usługi Service Bus wyświetlanie lub manipulowanie zawartością.
3. Cała komunikacja odbywa się za pośrednictwemTLS/SSL: Cała komunikacja z usługą Service Bus odbywa się w kanale SSL/TLS. To szyfrowanie zabezpiecza zawartość przed nieautoryzowanymi osobami trzecimi.
4. Automatyczna zmiana klucza co sześć miesięcy: Wszystkie klucze są zmieniane co sześć miesięcy lub za każdym razem, gdy zapisywanie zwrotne haseł jest wyłączane, a następnie ponownie włączane w programie Microsoft Entra Connect, aby zapewnić maksymalne bezpieczeństwo usług.

Zużycie przepustowości przy zapisie zwrotnym haseł

Zapisywanie zwrotne haseł to usługa o niskiej przepustowości, która wysyła żądania tylko do agenta lokalnego w następujących okolicznościach:

• Dwa komunikaty są wysyłane, gdy funkcja jest włączona lub wyłączona za pośrednictwem programu Microsoft Entra Connect.
• Jeden komunikat jest wysyłany co pięć minut jako puls usługi tak długo, jak usługa jest uruchomiona.
• Dwa komunikaty są wysyłane za każdym razem, gdy zostanie przesłane nowe hasło:
  • Pierwszy komunikat to żądanie wykonania operacji.
  • Drugi komunikat zawiera wynik operacji i jest wysyłany w następujących okolicznościach:
    • Za każdym razem, gdy nowe hasło jest przesyłane podczas samoobsługowego resetowania hasła użytkownika.
    • Za każdym razem, gdy nowe hasło jest przesyłane podczas operacji zmiany hasła użytkownika.
    • Przy każdym przesłaniu nowego hasła podczas zresetowania hasła użytkownika zainicjowanego przez administratora (tylko z portali administracyjnych firmy Entra).

Zagadnienia dotyczące rozmiaru i przepustowości komunikatów

Rozmiar każdego z opisanych wcześniej komunikatów wynosi zwykle poniżej 1 KB. Nawet w przypadku ekstremalnych obciążeń sama usługa zapisywania zwrotnego haseł zużywa kilka kilobitów na sekundę przepustowości. Ponieważ każdy komunikat jest wysyłany w czasie rzeczywistym, tylko wtedy, gdy jest to wymagane przez operację aktualizacji hasła, a rozmiar komunikatu jest tak mały, użycie przepustowości możliwości zapisywania zwrotnego jest zbyt małe, aby mieć wymierny wpływ.

Obsługiwane operacje zapisywania zwrotnego

Hasła są zapisywane we wszystkich następujących sytuacjach:

• Obsługiwane operacje użytkowników końcowych

  • Każda operacja zmiany hasła przez użytkownika końcowego w trybie samoobsługowym.
  • Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
  • Każde resetowanie hasła przez użytkownika końcowego, które odbywa się samoobsługowo z portalu resetowania haseł .

• Obsługiwane operacje administratora

  • Każda dobrowolna operacja zmiany hasła przez administratora.
  • Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
  • Wszelkie samoobsługowe resetowanie haseł administratora pochodzące z portalu resetowania haseł .
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego firmy Microsoft Entra.
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora w Microsoft Graph API .

Nieobsługiwane operacje zapisu zwrotnego

Hasła nie są zapisywane w żadnej z następujących sytuacji:

• Nieobsługiwane działania użytkownika końcowego

  • Każdy użytkownik końcowy resetuje własne hasło przy użyciu programu PowerShell w wersji 1, wersji 2 lub interfejsu API programu Microsoft Graph.

• Nieobsługiwane operacje administratora

  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z programu PowerShell w wersji 1 lub w wersji 2.
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego platformy Microsoft 365.
  • Żaden administrator nie może użyć narzędzia do resetowania hasła, aby zresetować własne hasło w ramach funkcji zapisywania zwrotnego hasła.

Notatka

Jeśli użytkownik ma opcję "Hasło nigdy nie wygasa" ustawioną w usłudze Active Directory (AD), flaga wymuszania zmiany hasła nie zostanie ustawiona w usłudze Active Directory (AD), więc użytkownik nie zostanie poproszony o zmianę hasła podczas następnego logowania, nawet jeśli podczas następnego resetowania hasła użytkownika końcowego zostanie wybrana opcja wymuszania zmiany hasła przez użytkownika końcowego.

Następne kroki

Aby rozpocząć pracę z powrotem resetowania hasła, wykonaj czynności opisane w następującym samouczku:

Samouczek : Włączenie writebacku dla samoobsługowego resetowania hasła (SSPR)