Poradnik: Włączanie samoobsługowego resetowania hasła z funkcją zapisu zwrotnego w synchronizacji z chmurą do środowiska lokalnego.
Usługa synchronizacji w chmurze Microsoft Entra Connect może synchronizować zmiany haseł Microsoft Entra w czasie rzeczywistym między użytkownikami w odłączonych domenach lokalnych usługi Active Directory Domain Services (AD DS). Synchronizacja oparta na chmurze Microsoft Entra Connect może być uruchamiana równolegle z programem Microsoft Entra Connect na poziomie domeny, aby uprościć zwrotne zapisywanie haseł w dodatkowych scenariuszach, takich jak użytkownicy znajdujący się w domenach odłączonych z powodu podziału lub fuzji firmy. Każdą usługę w różnych domenach można skonfigurować tak, aby kierować do różnych zestawów użytkowników w zależności od ich potrzeb. Synchronizacja z chmurą Microsoft Entra Connect używa lekkiego agenta aprowizacji w chmurze Microsoft Entra w celu uproszczenia konfiguracji samoobsługowego resetowania hasła (SSPR) i zapewnienia bezpiecznego sposobu wysyłania zmian haseł wprowadzanych w chmurze z powrotem do katalogu lokalnego.
Wymagania wstępne
- Dzierżawca Microsoft Entra z włączoną co najmniej licencją Microsoft Entra ID P1 lub wersją próbną. W razie potrzeby utwórz je bezpłatnie.
- Konto administratora tożsamości hybrydowej
- Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła. Jeśli to potrzebne, ukończ ten samouczek, aby włączyć samoobsługowe resetowanie hasła Microsoft Entra.
- Lokalne środowisko AD DS skonfigurowane przy użyciu synchronizacji chmury Microsoft Entra Connect w wersji 1.1.977.0 lub nowszej. Dowiedz się, jak zidentyfikować bieżącą wersję agenta. W razie potrzeby skonfiguruj synchronizację z chmurą programu Microsoft Entra Connect przy użyciu tego samouczka.
Kroki wdrażania
- Konfigurowanie uprawnień konta usługi synchronizacji z chmurą w programie Microsoft Entra Connect
- Włącz zapisywanie zwrotne haseł w usłudze Microsoft Entra Connect synchronizacja w chmurze
- Włącz zapisywanie zwrotne haseł dla SSPR
Konfigurowanie uprawnień konta usługi synchronizacji z chmurą w programie Microsoft Entra Connect
Uprawnienia do synchronizacji w chmurze są domyślnie konfigurowane. Jeśli trzeba zresetować uprawnienia, zobacz Rozwiązywanie problemów , aby uzyskać więcej informacji na temat określonych uprawnień wymaganych do zapisywania zwrotnego haseł i sposobu ich ustawiania przy użyciu programu PowerShell.
Włącz zwrotne zapisywanie haseł w SSPR
Możesz włączyć aprowizację synchronizacji z chmurą programu Microsoft Entra Connect bezpośrednio w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu PowerShell.
Włącz zapisywanie zwrotne haseł w centrum administracyjnym Microsoft Entra
Po włączeniu zapisywania zwrotnego haseł w funkcji synchronizacji z chmurą microsoft Entra Connect sprawdź i skonfiguruj funkcję samoobsługowego resetowania haseł (SSPR) firmy Microsoft na potrzeby zapisywania zwrotnego haseł. Po włączeniu funkcji samoobsługowego resetowania hasła z pisaniem zwrotnym, hasła użytkowników, którzy je zmieniają lub resetują, są również synchronizowane z powrotem do lokalnego środowiska usług AD DS.
Aby zweryfikować i włączyć funkcję zapisywania zwrotnego haseł podczas samoobsługowego resetu hasła, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
Przejdź do Ochrona>Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników.
(opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
PowerShell
Za pomocą PowerShell można włączyć synchronizację w chmurze Microsoft Entra Connect, używając polecenia cmdlet Set-AADCloudSyncPasswordWritebackConfiguration na serwerach z agentami aprowizacji.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Czyszczenie zasobów
Jeśli nie chcesz już używać funkcji zapisywania zmian SSPR, którą skonfigurowałeś w ramach tego samouczka, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
- Przejdź do Ochrona>, a następnie wybierz Integracja lokalna.
- Usuń zaznaczenie opcji Włącz zapisywanie haseł dla zsynchronizowanych użytkowników.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
- Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Jeśli nie chcesz już używać chmury Microsoft Entra Connect do synchronizacji dla funkcji zapisywania zwrotnego SSPR, ale chcesz nadal korzystać z agenta Microsoft Entra Connect Sync do zapisywania zwrotnego, wykonaj następujące kroki:
- Zaloguj się do centru administracyjnego Microsoft Entra jako co najmniej Administrator Tożsamości Hybrydowej.
- Przejdź do Ochrona>Resetowanie hasła, a następnie wybierz Integracja lokalna.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Możesz również użyć programu PowerShell, aby wyłączyć funkcję synchronizacji chmury Microsoft Entra Connect na potrzeby zapisywania zwrotnego haseł w procesie samoobsługowego resetowania. Na serwerze synchronizacji chmury Microsoft Entra Connect uruchom Set-AADCloudSyncPasswordWritebackConfiguration przy użyciu poświadczeń administratora tożsamości hybrydowej, aby wyłączyć funkcję zapisywania zwrotnego haseł za pomocą synchronizacji z chmurą Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Obsługiwane operacje
Hasła są przywracane w następujących sytuacjach dla użytkowników końcowych i administratorów.
| Konto | Obsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każda samoobsługowa operacja zmiany hasła przez użytkownika końcowego. Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła przez użytkownika końcowego pochodzące z resetowania hasła. |
| Administratorzy | Każda operacja zmiany hasła przez administratora z własnej inicjatywy. Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła administratora, które pochodzi z resetowania hasła. Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego firmy Microsoft Entra. Każde zainicjowane przez administratora resetowanie hasła użytkownika końcowego z interfejsu API programu Microsoft Graph. |
Nieobsługiwane operacje
Hasła nie są zapisywane w następujących sytuacjach.
| Konto | Nieobsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każdy użytkownik końcowy resetuje własne hasło przy użyciu poleceń cmdlet programu PowerShell lub interfejsu API programu Microsoft Graph. |
| Administratorzy | Każde zresetowanie hasła użytkownika końcowego zainicjowane przez administratora przy użyciu poleceń cmdlet programu PowerShell. Dowolne zainicjowane przez administratora resetowanie hasła użytkownika końcowego z poziomu Centrum administracyjnego platformy Microsoft 365. Żaden z administratorów nie może użyć narzędzia do resetowania hasła do resetowania własnego hasła ani hasła innego administratora w usłudze Microsoft Entra ID w ramach funkcji zapisywania zwrotnego hasła. |
Scenariusze walidacyjne
Spróbuj wykonać następujące operacje, aby zweryfikować scenariusze za pomocą zapisywania haseł zwrotnych. Wszystkie scenariusze weryfikacji wymagają, aby synchronizacja w chmurze była zainstalowana oraz że użytkownik został uprawniony do zapisywania zwrotnego haseł.
| Scenariusz | Szczegóły |
|---|---|
| Resetowanie hasła ze strony logowania | Poleć dwóm użytkownikom z odłączonych domen i lasów wykonanie samoobsługowego resetowania hasła. Możesz również mieć wdrożony program Microsoft Entra Connect i synchronizację z chmurą równocześnie, gdzie jeden użytkownik znajduje się w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect, i ci użytkownicy muszą zresetować swoje hasła. |
| Wymuś zmianę wygasłego hasła | Poproś dwóch użytkowników z odłączonych domen i lasów o zmianę wygasłych haseł. Możesz również mieć wdrożony program Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
| Regularna zmiana hasła | Niech dwóch użytkowników z odłączonych domen i lasów dokona rutynowej zmiany hasła. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
| Resetowanie hasła użytkownika przez administratora | Niech dwóch użytkowników w odłączonych domenach i lasach zresetuje swoje hasło z centrum administracyjnego Microsoft Entra lub portalu pracownika pierwszej linii. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze i innego w zakresie programu Microsoft Entra Connect |
| Odblokowywanie konta samoobsługowego | Niech dwóch użytkowników z niepołączonych domen i lasów odblokuje konta w portalu samoobsługowego resetowania hasła, resetując hasło. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
Rozwiązywanie problemów
Konto Usługi Zarządzanej w grupie synchronizacji w chmurze Microsoft Entra Connect powinno mieć domyślnie ustawione następujące uprawnienia do przywracania haseł:
- Resetowanie hasła
- Uprawnienia do zapisu na lockoutTime
- Uprawnienia do zapisu dla pwdLastSet
- Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.
Jeśli te uprawnienia nie są ustawione, możesz ustawić uprawnienie PasswordWriteBack na koncie usługi przy użyciu polecenia cmdlet Set-AADCloudSyncPermissions i lokalnych poświadczeń administratora przedsiębiorstwa:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po zaktualizowaniu uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.
Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w lokalnym środowisku usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.
Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Jeśli testujesz tę funkcję i chcesz zresetować hasło dla użytkowników więcej niż raz dziennie, zasady grupy dla minimalnego wieku hasła muszą mieć wartość 0. To ustawienie można znaleźć w > konfiguracji komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady haseł w gpmc.msc.
Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj polecenia gpupdate /force.
Aby hasła można było natychmiast zmienić, minimalny wiek hasła musi mieć wartość 0. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż zero, zapisywanie zwrotne haseł nie będzie działać po ocenie zasad lokalnych.
Aby uzyskać więcej informacji na temat sprawdzania poprawności lub konfigurowania odpowiednich uprawnień, zobacz Konfigurowanie uprawnień konta dla programu Microsoft Entra Connect.
Następne kroki
- Aby uzyskać więcej informacji na temat synchronizacji chmury i porównania między programem Microsoft Entra Connect i synchronizacją z chmurą, zobacz Co to jest synchronizacja z chmurą programu Microsoft Entra Connect?
- Aby zapoznać się z samouczkiem dotyczącym konfigurowania zapisywania zwrotnego haseł przy użyciu Microsoft Entra Connect, zobacz Samouczek: włącz samoobsługowe resetowanie haseł z funkcją zapisywania zwrotnego do środowiska lokalnego.