Tutorial: habilitar o write-back de redefinição de senha self-service de sincronização na nuvem para um ambiente local
A sincronização na nuvem do Microsoft Entra Connect pode sincronizar as alterações de senha do Microsoft Entra em tempo real entre usuários em domínios locais desconectados do AD DS (Active Directory Domain Services). A sincronização na nuvem do Microsoft Entra Connect pode ser executada lado a lado com o Microsoft Entra Connect no nível do domínio para simplificar o write-back de senha em cenários adicionais, por exemplo, usuários que estejam em domínios desconectados devido a uma cisão ou fusão/incorporação da empresa. Você pode configurar cada serviço em domínios diferentes para direcionar diferentes conjuntos de usuários dependendo de suas necessidades. A sincronização na nuvem do Microsoft Entra Connect usa o agente de provisionamento de nuvem leve do Microsoft Entra a fim de simplificar a configuração para write-back de SSPR (redefinição de senha self-service) e viabilizar uma maneira segura de enviar alterações de senha na nuvem novamente para um diretório local.
Pré-requisitos
- Um locatário Microsoft Entra com pelo menos uma licença Microsoft Entra P1 ou de avaliação habilitada. Se necessário, crie um gratuitamente.
- Uma conta de Administrador de Identidade Híbrida
- O Microsoft Entra ID configurado para redefinição de senha self-service. Se necessário, conclua este tutorial para habilitar o SSPR do Microsoft Entra.
- Um ambiente de AD DS local configurado com a sincronização na nuvem do Microsoft Entra Connect versão 1.1.977.0 ou posterior. Saiba como identificar a versão atual do agente. Se necessário, configure a sincronização na nuvem do Microsoft Entra Connect usando este tutorial.
Etapas de implantação
- Configurar permissões da conta de serviço de sincronização na nuvem do Microsoft Entra Connect
- Habilitar o write-back de senha na sincronização na nuvem do Microsoft Entra Connect
- Habilitar o write-back de senha para o SSPR
Configurar permissões da conta de serviço de sincronização na nuvem do Microsoft Entra Connect
As permissões para sincronização na nuvem são configuradas por padrão. Se as permissões precisarem ser redefinidas, consulte a Solução de problemas para obter mais detalhes sobre as permissões específicas necessárias para write-back de senha e como defini-las usando o PowerShell.
Habilitar o write-back de senha na SSPR
Você pode habilitar o provisionamento de sincronização na nuvem do Microsoft Entra Connect diretamente no centro de administração do Microsoft Entra ou por meio do PowerShell.
Habilitar o write-back de senha no centro de administração do Microsoft Entra
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Após a habilitação do write-back de senha na sincronização na nuvem do Microsoft Entra Connect, verifique e configure a SSPR (redefinição de senha self-service) do Microsoft Entra para write-back de senha. Quando você habilita o SSPR para usar o write-back de senha, a senha atualizada dos usuários que alteram ou redefinem as respectivas senhas é sincronizada novamente para o ambiente local do AD DS.
Para verificar e habilitar o write-back de senha no SSPR, conclua as seguintes etapas:
Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de identidade híbrida.
Navegue até Proteção>Redefinição de senha e selecione Integração local.
Marque a opção para Habilitar o write-back de senha para usuários sincronizados.
(opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá marcar a opção Fazer write-back de senhas com a sincronização na nuvem do Microsoft Entra Connect.
Marque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha como Sim.
Quando estiver pronto, selecione Salvar.
PowerShell
Habilite a sincronização na nuvem do Microsoft Entra Connect no PowerShell usando o cmdlet Set-AADCloudSyncPasswordWritebackConfiguration nos servidores que têm os agentes de provisionamento.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Limpar os recursos
Se você não deseja mais usar a funcionalidade de write-back do SSPR configurada como parte deste tutorial, conclua as seguintes etapas:
- Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de identidade híbrida.
- Navegue até Proteção>Redefinição de senha e selecione Integração local.
- Desmarque a opção para Habilitar o write-back de senha para usuários sincronizados .
- Desmarque a opção de Fazer write-back senhas com a sincronização de nuvem do Microsoft Entra Connect.
- Desmarque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha.
- Quando estiver pronto, selecione Salvar.
Se você não quiser mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR, mas quiser continuar usando o agente de sincronização do Microsoft Entra Connect para write-backs, conclua as seguintes etapas:
- Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de identidade híbrida.
- Navegue até Proteção>Redefinição de senha e selecione Integração local.
- Desmarque a opção de Fazer write-back senhas com a sincronização de nuvem do Microsoft Entra Connect.
- Quando estiver pronto, selecione Salvar.
Você também pode usar o PowerShell a fim de desabilitar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR. No servidor de sincronização na nuvem do Microsoft Entra Connect, execute Set-AADCloudSyncPasswordWritebackConfiguration
usando credenciais do Administrador de Identidade Híbrida para desabilitar o write-back de senha com sincronização na nuvem do Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operações com suporte
São feitos write-backs das senhas nas situações a seguir para usuários finais e administradores.
Conta | Operações com suporte |
---|---|
Usuários finais | Qualquer operação de alteração de senha voluntária de autoatendimento do usuário final. Qualquer operação para forçar o autoatendimento de alteração de senha do usuário final, por exemplo, expiração de senha. Qualquer redefinição de senha de autoatendimento do usuário final originada da redefinição de senha. |
Administradores | Qualquer operação de alteração de senha voluntária de autoatendimento do administrador. Qualquer operação para forçar o autoatendimento de alteração de senha do administrador, por exemplo, expiração de senha. Qualquer redefinição de senha de autoatendimento do administrador originada da redefinição de senha. Qualquer redefinição de senha do usuário final iniciada pelo administrador no centro de administração do Microsoft Entra. Qualquer redefinição de senha do usuário final iniciada pelo administrador na API do Microsoft Graph. |
Operações sem suporte
Não é feito o write-back das senhas nas seguintes situações.
Conta | Operações sem suporte |
---|---|
Usuários finais | Qualquer usuário final que redefine sua própria senha usando cmdlets do PowerShell ou a API do Microsoft Graph. |
Administradores | Qualquer redefinição de senha do usuário final iniciada pelo administrador usando cmdlets do PowerShell. Qualquer redefinição de senha do usuário final iniciada pelo administrador no centro de administração do Microsoft 365. Nenhum administrador pode usar a ferramenta de redefinição de senha para redefinir sua própria senha ou outro Administrador no Microsoft Entra ID para write-back de senha. |
Cenários de validação
Experimente as operações a seguir para validar cenários usando write-back de senha. Todos os cenários de validação exigem que a sincronização na nuvem seja instalada e o usuário esteja no escopo do write-back de senha.
Cenário | Detalhes |
---|---|
Redefinir senha na página de logon | Faça com que dois usuários de florestas e domínios desconectados executem SSPR. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem implantados lado a lado, ter um usuário no escopo da configuração de sincronização na nuvem e outro usuário no escopo do Microsoft Entra Connect e fazer com que esses usuários redefinam sua senha. |
Forçar a alteração de senha expirada | Fazer com que dois usuários de florestas e domínios desconectados alterem senhas expiradas. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem implantados lado a lado, ter um usuário no escopo da configuração de sincronização na nuvem e outro usuário no escopo do Microsoft Entra Connect. |
Alteração normal de senha | Faça com que dois usuários de florestas e domínios desconectados executem alteração de senha de rotina. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado, ter um usuário no escopo da configuração de sincronização na nuvem e outro usuário no escopo do Microsoft Entra Connect. |
Administrador redefinir senha de usuário | Faça com que dois usuários desconectados de florestas e domínios redefinam suas senhas no centro de administração do Microsoft Entra ou no portal de trabalho do Frontline. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado, ter um usuário no escopo da configuração de sincronização na nuvem e outro usuário no escopo do Microsoft Entra Connect |
Desbloqueio de conta de autoatendamento | Faça com que dois usuários de florestas e domínios desconectados desbloqueiem contas no portal da SSPR redefinindo a senha. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado, ter um usuário no escopo da configuração de sincronização na nuvem e outro usuário no escopo do Microsoft Entra Connect. |
Solução de problemas
A Conta de Serviço Gerenciada do grupo de sincronização na nuvem do Microsoft Entra Connect deve ter as seguintes permissões definidas para fazer write-back das senhas por padrão:
- Redefinir senha
- Permissões de gravação em lockoutTime
- Permissões de gravação em pwdLastSet
- Direitos estendidos para "Não permitir expiração da senha" no objeto raiz de cada domínio nessa floresta, caso ainda não estejam definidos.
Se essas permissões não estiverem definidas, você poderá definir a permissão PasswordWriteBack na conta de serviço usando o cmdlet Set-AADCloudSyncPermissions e as credenciais de administrador corporativo local:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
Depois de ter atualizado as permissões, poderá levar até uma hora ou mais para que essas permissões sejam replicadas em todos os objetos no diretório.
Se as senhas de algumas contas de usuário não são gravadas de volta no diretório local, verifique se a herança está desabilitada para essas contas no ambiente local do AD DS. As permissões de gravação para senhas devem ser aplicadas aos objetos descendentes para que o recurso funcione corretamente.
As políticas de senha no ambiente local do AD DS podem impedir que as redefinições de senha sejam processadas corretamente. Se você estiver testando esse recurso e quiser redefinir a senha para os usuários mais de uma vez por dia, a política de grupo para duração mínima da senha deverá ser definida como 0. Essa configuração pode ser encontrada em Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança> Políticas de Conta > Política de Senha em gpmc.msc.
Se você atualizar a política de grupo, aguarde a política atualizada ser replicada ou use o comando gpupdate/force.
Para que as senhas sejam alteradas imediatamente, o Tempo de vida mínimo da senha precisará ser definido como 0. No entanto, se os usuários aderirem às políticas locais e a Duração mínima da senha for definida como um valor maior que zero, o write-back de senha não funcionará depois que as políticas locais forem avaliadas.
Para obter mais informações sobre como validar ou configurar as permissões apropriadas, consulte Configurar permissões de conta para o Microsoft Entra Connect.
Próximas etapas
- Para obter mais informações sobre a sincronização na nuvem e uma comparação entre o Microsoft Entra Connect e a sincronização na nuvem, consulte O que é a sincronização na nuvem do Microsoft Entra Connect?
- Para obter um tutorial sobre como configurar o write-back de senha usando o Microsoft Entra Connect, consulte Tutorial: habilitar o write-back de redefinição de senha self-service do Microsoft Entra para um ambiente local.