Как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra?

Microsoft Entra self-service password reset (SSPR) позволяет пользователям сбрасывать пароли в облаке, но большинство компаний также имеют локальную среду доменных служб Active Directory (AD DS) для пользователей. Обратная запись паролей позволяет осуществлять обратную запись изменений паролей из облака в локальный каталог в режиме реального времени с помощью Microsoft Entra Connect или облачной синхронизации Microsoft Entra Connect. При изменении или сбросе паролей с помощью SSPR в облаке обновленные пароли затем записываются в локальную среду AD DS.

Важный

В этой концептуальной статье объясняется администратору, как работает обратная запись с помощью самостоятельного сброса пароля. Если вы уже зарегистрированы для самостоятельного сброса пароля и вам нужно вернуться в учетную запись, перейдите на https://aka.ms/sspr.

Если ИТ-команда не включила возможность сброса пароля, обратитесь в службу технической поддержки для получения дополнительной помощи.

Обратная запись паролей поддерживается в средах, использующих следующие модели гибридных удостоверений:

• синхронизация хеша паролей
• сквозная аутентификация
• федеративные службы Active Directory

Обратная запись паролей предоставляет следующие функции:

• Принудительное применение политик паролей доменных служб Active Directory (AD DS) на локальных серверах: когда пользователь сбрасывает пароль, он проверяется, чтобы гарантировать соответствие локальной политике AD DS до внесения изменений в этот каталог. Эта проверка включает историю, сложность, возраст, фильтры паролей и любые другие ограничения паролей, которые вы определяете в AD DS.
• обратная связь нулевой задержки: обратная запись паролей является синхронной операцией. Пользователи немедленно уведомляются, если их пароль не соответствует требованиям политики или не может быть восстановлен или изменен по какой-либо причине.
• Поддерживает изменения паролей с панели доступа и Microsoft 365: когда федеративные или пользователи с синхронизацией хэшей паролей приходят, чтобы изменить свои истекшие или не истекшие пароли, эти пароли записываются обратно в AD DS.
• Поддержка обратной записи паролей, когда администратор сбрасывает их из Центра администрирования Microsoft Entra: когда администратор сбрасывает пароль пользователя в Центре администрирования Microsoft Entra, если этот пользователь является федеративным или если его хэш пароля синхронизирован, пароль записывается обратно в локальную среду. Эта функция в настоящее время не поддерживается на портале администрирования Office.
• не требует никаких правил входящего брандмауэра: обратная запись паролей использует ретранслятор служебной шины Azure в качестве базового канала связи. Весь обмен данными выполняется через порт 443.
• поддерживает параллельное развертывание на уровне домена с помощью Microsoft Entra Connect или облачной синхронизации для нацеливания на различные группы пользователей в зависимости от их потребностей, включая тех, кто находится в отключённых доменах.

Заметка

Локальная учетная запись службы, которая обрабатывает запросы обратной записи паролей, не может изменить пароли для пользователей, принадлежащих защищенным группам. Администраторы могут изменить свой пароль в облаке, но они не могут использовать обратную запись паролей для сброса забытого пароля для локального пользователя. Дополнительные сведения о защищенных группах см. в разделе Защищенные учетные записи и группы в AD DS.

Чтобы приступить к работе с обратной записью SSPR, выполните одно или оба из следующих руководств:

• Руководство: Включение функции возврата самостоятельного сброса пароля (SSPR)
• руководство по . Включение обратной записи сброса пароля в локальную среду (предварительная версия) в локальной среде (предварительная версия)

Microsoft Entra Connect и параллельное развертывание облачной синхронизации

Вы можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно в разных доменах для назначения различных наборов пользователей. Это помогает существующим пользователям продолжать выполнять обратную запись изменений пароля и добавляет возможность в случаях, когда пользователи находятся в отключённых от сети доменах из-за слияния или разделения компании. Microsoft Entra Connect и облачная синхронизация можно настроить в разных доменах, чтобы пользователи из одного домена могли использовать Microsoft Entra Connect, а пользователи в другом домене используют облачную синхронизацию. Облачная синхронизация также может обеспечить более высокую доступность, так как она не зависит от одного экземпляра Microsoft Entra Connect. Сравнение функций между двумя вариантами развертывания см. в разделе Сравнение между Microsoft Entra Connect и облачной синхронизацией.

Как работает обратная запись паролей

Если учетная запись пользователя, настроенная на федерацию, с включенной синхронизацией хэша паролей (или, в случае развертывания Microsoft Entra Connect, использующей сквозную проверку подлинности), пытается сбросить или изменить пароль в облаке, выполняются следующие действия:

1. Проверка выполняется, чтобы узнать, какой тип пароля у пользователя. Если пароль управляется локально:

   • Проверка выполняется, чтобы узнать, работает ли служба обратной записи. Если это так, пользователь может продолжить работу.
   • Если служба обратной записи не работает, пользователю сообщается, что его пароль не может быть сброшен прямо сейчас.

2. Затем пользователь проходит через соответствующие проверочные пункты и достигает страницы Сброс пароля.

3. Пользователь выбирает новый пароль и подтверждает его.

4. Когда пользователь выбирает отправить, пароль в открытом виде шифруется открытым ключом, созданным во время настройки обратной синхронизации.

5. Зашифрованный пароль включается в полезные данные, которые отправляются по каналу HTTPS в ретранслятор служебной шины, специфичной для вашего арендатора (который настраивается для вас во время процесса настройки обратной записи). Это ретранслятор защищен случайным образом созданным паролем, который знает только локальная установка.

6. После того как сообщение достигнет шины сервисов, конечный пункт сброса пароля автоматически просыпается и видит, что запрос на сброс находится в ожидании.

7. Затем служба ищет пользователя с помощью атрибута привязки облака. Для успешного выполнения этого поиска необходимо выполнить следующие условия:

   • Объект пользователя должен существовать в пространстве соединителя AD DS.
   • Объект пользователя должен быть связан с соответствующим объектом метавселенной (MV).
   • Объект пользователя должен быть связан с соответствующим объектом соединителя Microsoft Entra.
   • Ссылка из объекта соединителя AD DS на MV должна иметь правило синхронизации Microsoft.InfromADUserAccountEnabled.xxx на ссылке.

   При вызове из облака подсистема синхронизации использует атрибут cloudAnchor для поиска объекта пространства соединителя Microsoft Entra. Затем он идет по ссылке обратно к объекту MV, а после этого возвращается по ссылке обратно к объекту AD DS. Поскольку для одного пользователя может быть несколько объектов AD DS (мульти-форест), система синхронизации использует ссылку Microsoft.InfromADUserAccountEnabled.xxx, чтобы выбрать правильный.

8. После обнаружения учетной записи пользователя выполняется попытка восстановления пароля непосредственно в соответствующем лесу AD DS.

9. Если операция установки пароля выполнена успешно, пользователю сообщается, что его пароль изменен.

   Заметка

   Если хэш паролей пользователя синхронизируется с идентификатором Microsoft Entra с помощью синхронизации хэша паролей, существует вероятность того, что локальная политика паролей слабее облачной политики паролей. В этом случае применяется локальная политика. Эта политика гарантирует, что локальная политика применяется в облаке независимо от того, используется ли синхронизация хэша паролей или федерация для предоставления единого входа.

10. Если операция набора паролей завершается ошибкой, пользователю будет предложено повторить попытку. Операция может завершиться ошибкой из-за следующих причин:

    • Служба была отключена.
    • Выбранный пароль не соответствует политикам организации.
    • Не удается найти пользователя в локальной среде AD DS.

    Сообщения об ошибках предоставляют пользователям рекомендации, чтобы они могли попытаться устранить проблему без вмешательства администратора.

Безопасность обратной записи паролей

Обратная запись паролей — это высокозащищенная служба. Чтобы обеспечить защиту информации, включена четырехуровневая модель безопасности следующим образом:

• ретранслятор служебной шины для конкретного клиента
  • При настройке службы ретранслятор служебной шины для конкретного клиента настраивается, защищенный случайным образом созданным строгим паролем, к которому корпорация Майкрософт никогда не имеет доступа.
• Заблокированный, криптографически стойкий ключ шифрования паролей
  • После создания ретранслятора служебной шины создается надежный симметричный ключ, который используется для шифрования пароля по мере его передачи. Этот ключ находится только в секретном хранилище вашей компании в облаке, которое сильно заблокировано и проверено так же, как и любой другой пароль в каталоге.
• Стандартная защита транспортного уровня (TLS)
  1. Когда операция сброса или изменения пароля осуществляется в облаке, пароль в незашифрованном виде шифруется с помощью вашего открытого ключа.
  2. Зашифрованный пароль помещается в сообщение HTTPS, которое отправляется через зашифрованный канал с помощью сертификатов Microsoft TLS/SSL в ретранслятор служебной шины.
  3. После прибытия сообщения в шину сервисов, локальный агент активируется и авторизуется в шине сервисов с помощью надежного пароля, созданного ранее.
  4. Локальный агент выбирает зашифрованное сообщение и расшифровывает его с помощью закрытого ключа.
  5. Локальный агент пытается задать пароль через API SetPassword AD DS. Этот шаг позволяет применять локальную политику паролей AD DS (например, сложность, возраст, журнал и фильтры) в облаке.
• политики истечения срока действия сообщений
  • Если сообщение находится в сервисной шине, так как ваша локальная служба не работает, оно ждет в течение определенного времени, после чего удаляется через несколько минут. Время ожидания и удаление сообщения еще больше повышает безопасность.

Сведения о шифровании обратной записи паролей

После того как пользователь отправит запрос на сброс пароля, этот запрос проходит несколько этапов шифрования, прежде чем попасть в ваше локальное окружение. Эти шаги шифрования обеспечивают максимальную надежность и безопасность службы. Они описаны следующим образом:

1. шифрование паролей с помощью 2048-разрядного ключа RSA: после отправки пароля, который пользователь отправляет обратно в локальную среду, сам отправленный пароль шифруется с помощью ключа RSA 2048-разрядной версии.
2. Шифрование на уровне пакета с 256-битнойAES-GCM: весь пакет, пароль плюс необходимые метаданные зашифрованы с помощью AES-GCM (с размером ключа 256 бит). Это шифрование предотвращает возможность у кого-либо с прямым доступом к базовому каналу служебной шины просматривать или изменять содержимое.
3. Вся коммуникация происходит через TLS/SSL: Вся коммуникация с Service Bus осуществляется в канале SSL/TLS. Это шифрование защищает содержимое от несанкционированных третьих лиц.
4. автоматическое обновление ключей каждые шесть месяцев: все ключи обновляются каждые шесть месяцев или после каждого отключения и последующего повторного включения обратной записи паролей в Microsoft Entra Connect, чтобы обеспечить максимальную безопасность и защиту службы.

Использование пропускной способности обратной записи паролей

Обратная запись паролей — это служба низкой пропускной способности, которая отправляет запросы только в локальный агент в следующих обстоятельствах:

• При включении или отключении функции через Microsoft Entra Connect отправляются два сообщения.
• Одно сообщение отправляется каждые пять минут в качестве индикатора активности службы до тех пор, пока служба работает.
• При каждом отправке нового пароля отправляются два сообщения:
  • Первое сообщение — это запрос на выполнение операции.
  • Второе сообщение содержит результат операции и отправляется в следующих случаях:
    • Каждый раз при отправке нового пароля во время самостоятельного сброса пароля пользователем.
    • Всякий раз, когда новый пароль отправляется во время операции смены пароля пользователем.
    • Каждый раз при отправке нового пароля в процессе сброса пароля пользователя, инициированного администратором (только с порталов администрирования Entra).

Рекомендации по размеру сообщения и пропускной способности

Размер каждого сообщения, описанного ранее, обычно составляет менее 1 КБ. Даже при экстремальных нагрузках сама служба обратной записи паролей потребляет несколько килобит в секунду пропускной способности. Так как каждое сообщение отправляется в режиме реального времени, только если требуется операция обновления пароля, и так как размер сообщения настолько мал, использование пропускной способности обратной записи слишком мало, чтобы иметь измеримое влияние.

Поддерживаемые операции обратной записи

Пароли записываются обратно во всех следующих ситуациях:

• Поддерживаемые операции конечных пользователей

  • Любая операция самостоятельного изменения пароля для конечного пользователя.
  • Любая операция по принудительной смене пароля конечным пользователем в рамках самообслуживания, например, истечение срока действия пароля.
  • Любой сброс пароля конечным пользователем самостоятельно, происходящий из портала сброса пароля .

• Поддерживаемые операции администратора

  • Любая операция самостоятельного изменения пароля администратора.
  • Любая операция самостоятельного изменения пароля администратором, например, в случае истечения срока действия пароля.
  • Любой самостоятельный сброс пароля администратора, инициированный с портала сброса пароля .
  • Любой сброс пароля, инициированный администратором, из Центра администрирования Microsoft Entra.
  • Любой сброс пароля, инициированный администратором, из API Microsoft Graph.

Неподдерживаемые операции обратной записи

Пароли не записываются обратно в следующих ситуациях:

• неподдерживаемые операции конечных пользователей

  • Любой конечный пользователь, сбрасывающий собственный пароль с помощью PowerShell версии 1, версии 2 или API Microsoft Graph.

• неподдерживаемые операции администратора

  • Инициированный администратором сброс пароля из PowerShell версии 1 или версии 2.
  • Любой сброс пароля, инициированного администратором, из Центра администрирования Microsoft 365.
  • Ни один администратор не может использовать инструмент сброса пароля для восстановления собственного пароля в системе обратной записи.

Заметка

Если у пользователя есть параметр "Срок действия пароля никогда не истекает" в Active Directory (AD), флаг принудительного изменения пароля не будет установлен в Active Directory (AD), поэтому пользователю не будет предложено изменить пароль во время следующего входа, даже если параметр принудительно изменить пароль для следующего входа пользователя будет выбран во время сброса пароля, инициированного администратором.

Дальнейшие действия

Чтобы приступить к работе с обратной записью SSPR, выполните следующее руководство.

руководство по . Включение самостоятельного сброса пароля (SSPR)