Samouczek: włącz samoobsługowe przywracanie hasła Microsoft Entra w środowisku lokalnym

Dzięki funkcji samoobsługowego resetowania hasła firmy Microsoft (SSPR) użytkownicy mogą aktualizować swoje hasło lub odblokować swoje konto przy użyciu przeglądarki internetowej. Polecamy obejrzenie tego wideo na temat jak włączyć i skonfigurować SSPR w Microsoft Entra ID firmy Microsoft. W środowisku hybrydowym, w którym identyfikator Microsoft Entra ID jest połączony ze środowiskiem usługi Active Directory Domain Services (AD DS) lokalnie, ten scenariusz może powodować różnice w hasłach między dwoma katalogami.

Zapisywanie zwrotne haseł może służyć do synchronizowania zmian haseł w Microsoft Entra z powrotem do lokalnego środowiska AD DS. Program Microsoft Entra Connect zapewnia bezpieczny mechanizm wysyłania tych zmian haseł z powrotem do istniejącego katalogu lokalnego z identyfikatora Entra firmy Microsoft.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła z powrotem do środowiska lokalnego. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Skonfiguruj wymagane uprawnienia do zapisywania zwrotnego haseł
• Włącz opcję synchronizacji zwrotnej haseł w programie Microsoft Entra Connect
• Włącz zapisywanie zwrotne haseł w Microsoft Entra SSPR

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Dzierżawa Microsoft Entra z włączoną licencją Microsoft Entra ID P1 lub wersji próbnej.
  • W razie potrzeby utwórz je bezpłatnie.
  • Aby uzyskać więcej informacji, zobacz Wymagania dotyczące licencjonowania dla usługi Microsoft Entra SSPR.
• Konto z administratorem tożsamości hybrydowej.
• Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła.
  • Jeśli to konieczne, ukończ poprzedni samouczek , aby włączyć Microsoft Entra SSPR.
• Istniejące lokalne środowisko usług AD DS skonfigurowane przy użyciu bieżącej wersji programu Microsoft Entra Connect.
  • W razie potrzeby skonfiguruj program Microsoft Entra Connect przy użyciu ustawień ekspresowych lub niestandardowych.
  • Aby użyć zapisywania zwrotnego haseł, kontrolery domeny mogą uruchamiać dowolną obsługiwaną wersję systemu Windows Server.

Konfigurowanie uprawnień konta dla programu Microsoft Entra Connect

Program Microsoft Entra Connect umożliwia synchronizowanie użytkowników, grup i poświadczeń między lokalnym środowiskiem usług AD DS i identyfikatorem Entra firmy Microsoft. Zazwyczaj program Microsoft Entra Connect jest instalowany na komputerze z systemem Windows Server 2016 lub nowszym dołączonym do lokalnej domeny usług AD DS.

Aby poprawnie pracować z funkcją zapisywania zwrotnego samoobsługowego resetowania hasła, konto określone w programie Microsoft Entra Connect musi mieć odpowiednie uprawnienia i odpowiednie ustawienia. Jeśli nie masz pewności, które konto jest obecnie używane, otwórz program Microsoft Entra Connect i wybierz opcję Wyświetl bieżącą konfigurację. Konto, do którego chcesz dodać uprawnienia, znajduje się na liście w obszarze Synchronizowane katalogi. Na koncie należy ustawić następujące uprawnienia i opcje:

• Resetowanie hasła
• Zmień hasło
• Uprawnienia do zapisu na lockoutTime
• Uprawnienia do zapisu na pwdLastSet
• Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.

Jeśli te uprawnienia nie zostaną przypisane, zapisywanie zwrotne może wydawać się być skonfigurowane poprawnie, ale użytkownicy napotykają błędy podczas zarządzania hasłami lokalnymi z chmury. W przypadku ustawiania uprawnień "Nie wygaszać hasła" w usłudze Active Directory, należy zastosować je do tego obiektu i wszystkich obiektów potomnych, tylko tego obiektu lub wszystkich obiektów potomnych, albo nie można wyświetlić uprawnienia "Nie wygaszać hasła".

Napiwek

Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku lokalnym usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.

Aby skonfigurować odpowiednie uprawnienia do zapisywania zwrotnego haseł, wykonaj następujące kroki:

1. W lokalnym środowisku usług AD DS otwórz Użytkownicy i komputery usługi Active Directory przy użyciu konta z odpowiednimi uprawnieniami administratora domeny.
2. Z menu Widok upewnij się, że funkcje zaawansowane są włączone.
3. W lewym panelu kliknij prawym przyciskiem obiekt, który reprezentuje korzeń domeny, i wybierz Właściwości>Zabezpieczenia>Zaawansowane.
4. Na karcie Uprawnienia wybierz pozycję Dodaj.
5. W polu Principal (Podmiot zabezpieczeń) wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez program Microsoft Entra Connect).
6. Na liście rozwijanej Dotyczy wybierz Obiekty użytkownika podrzędnego.
7. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:
   • Resetowanie hasła
8. W obszarze Właściwości zaznacz pola dla następujących opcji. Przewiń listę, aby znaleźć te opcje, które mogą być już ustawione domyślnie:

• Zapis lockoutTime

• Zapisz pwdLastSet

  

1. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany.
2. Na karcie Uprawnienia wybierz pozycję Dodaj.
3. Dla Principal wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez Microsoft Entra Connect).
4. Na liście rozwijanej Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne
5. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:
   • Przedłuż ważność hasła
6. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany i zakończyć wszystkie otwarte okna dialogowe.

Podczas aktualizowania uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.

Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Aby zapisywanie zwrotne haseł działało najwydajniej, zasady grupy dla minimalnego wieku hasła muszą być ustawione na 0. To ustawienie można znaleźć w obszarze Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zasady konta w programie gpmc.msc.

Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .

Uwaga

Jeśli chcesz zezwolić użytkownikom na zmienianie lub resetowanie haseł więcej niż raz dziennie, minimalny wiek hasła musi mieć wartość 0. Zapisywanie zwrotne haseł będzie działać po pomyślnej ocenie lokalnych polityk haseł.

Włącz zapisywanie zwrotne haseł w Microsoft Entra Connect

Jedną z opcji konfiguracji w programie Microsoft Entra Connect jest zapisywanie zwrotne haseł. Po włączeniu tej opcji zdarzenia zmiany hasła powodują, że program Microsoft Entra Connect synchronizuje zaktualizowane poświadczenia z powrotem z lokalnym środowiskiem usług AD DS.

Aby włączyć zapisywanie zwrotne w samoobsługowym resetowaniu hasła, najpierw włącz opcję zapisywania zwrotnego w Microsoft Entra Connect. Na serwerze Microsoft Entra Connect wykonaj następujące kroki:

1. Zaloguj się do serwera Microsoft Entra Connect i uruchom kreatora konfiguracji microsoft Entra Connect .
2. Na stronie powitalnej wybierz pozycję Konfiguruj.
3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
4. Na stronie Łączenie z Microsoft Entra ID wprowadź poświadczenia administratora hybrydowego dla dzierżawy platformy Azure, a następnie wybierz Dalej.
5. Na stronach filtrowania Połącz katalogi i Domena/OU wybierz Dalej.
6. Na stronie Funkcje opcjonalne zaznacz pole obok pozycji Zapisywanie zwrotne haseł i wybierz pozycję Dalej.
7. Na stronie Rozszerzeń katalogu kliknij Dalej.
8. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
9. Gdy zobaczysz, że konfiguracja się zakończyła, wybierz pozycję Zakończ.

Uwaga

Aktualizowanie PasswordWritebackEnabled z funkcji usługi OnPremDirectorySynchronization nie jest obsługiwane, ponieważ ta flaga funkcji nie jest używana.

Włącz zapisywanie zwrotne haseł dla samoobsługowego resetowania haseł

Po włączeniu zapisywania zwrotnego haseł w programie Microsoft Entra Connect skonfiguruj teraz funkcję zapisywania zwrotnego w usłudze Microsoft Entra SSPR. Samoobsługowe resetowanie hasła można skonfigurować do zapisywania zwrotnego za pośrednictwem agentów Microsoft Entra Connect Sync i agentów aprowizacji Microsoft Entra Connect (synchronizacja w chmurze). Po włączeniu samoobsługowego resetowania hasła (SSPR) z funkcją zapisywania zwrotnego, użytkownicy, którzy zmieniają lub resetują swoje hasło, mają to zaktualizowane hasło zsynchronizowane z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję przywracania haseł w samoobsługowym resetowaniu haseł, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do Ochrona>Resetowanie hasła, a następnie wybierz Integracja lokalna.
3. Sprawdź opcję Zapisuj zwrotne hasła do swojego lokalnego katalogu.
4. (opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, które zostały skonfigurowane w ramach tego samouczka, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do Ochrona>Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
3. Usuń zaznaczenie opcji Zapisuj hasła zwrotne do katalogu lokalnego.
4. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
5. Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać usługi synchronizacji w chmurze Microsoft Entra Connect do funkcji zapisywania zwrotnego SSPR, ale chcesz nadal korzystać z agenta Microsoft Entra Connect Sync do zapisywania zwrotnego, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do Ochrona>, a następnie wybierz Integracja lokalna.
3. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać żadnych funkcji haseł, wykonaj następujące kroki z serwera Microsoft Entra Connect:

1. Zaloguj się do serwera Microsoft Entra Connect i uruchom kreatora konfiguracji microsoft Entra Connect .
2. Na stronie powitalnej wybierz pozycję Konfiguruj.
3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
4. Na stronie Łączenie z Microsoft Entra ID wprowadź poświadczenia administratora hybrydowego, a następnie wybierz Dalej.
5. Na stronach Łączenie katalogów i filtrowania Domeny/jednostek OU wybierz Dalej.
6. Na stronie Funkcje opcjonalne usuń zaznaczenie pola obok pozycji Zapisywanie zwrotne haseł i wybierz przycisk Dalej.
7. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
8. Gdy konfiguracja zostanie zakończona, wybierz pozycję Zakończ.

Ważne

Włączenie po raz pierwszy możliwości zapisywania zwrotnego haseł może spowodować wyzwolenie zdarzeń zmiany hasła o numerach 656 i 657, nawet jeśli nie doszło do zmiany hasła. Dzieje się tak, ponieważ wszystkie skróty haseł są ponownie synchronizowane po uruchomieniu cyklu synchronizacji skrótów haseł.

Następne kroki

W tym samouczku włączono Microsoft Entra SSPR writeback do lokalnego środowiska AD DS. Nauczyłeś się, jak:

• Skonfiguruj wymagane uprawnienia do zapisywania zwrotnego haseł
• Włącz opcję zwrotnego zapisywania haseł w programie Microsoft Entra Connect.
• Włącz zapisywanie zwrotne haseł w usłudze Microsoft Entra SSPR

Ocena ryzyka podczas logowania