Поделиться через

Руководство. Включение самостоятельного сброса пароля облачной синхронизации с обратной записью в локальной среде

  • Статья

Облачная синхронизация Microsoft Entra Connect может синхронизировать изменения паролей Microsoft Entra в режиме реального времени между пользователями в отключен локальная служба Active Directory ных доменах доменов доменных служб (AD DS). Облачная синхронизация Microsoft Entra Connect может выполняться параллельно с Microsoft Entra Connect на уровне домена, чтобы упростить обратную запись паролей для дополнительных сценариев, таких как пользователи, которые находятся в отключенных доменах из-за разделения или слияния компании. Можно настроить каждую службу в разных доменах для разных групп пользователей в зависимости от их потребностей. Облачная синхронизация Microsoft Entra Connect использует упрощенный агент подготовки облака Microsoft Entra, чтобы упростить настройку для самостоятельного сброса пароля (SSPR) и обеспечить безопасный способ отправки изменений паролей в облаке обратно в локальный каталог.

Необходимые компоненты

Шаги развертывания

  1. Настройка разрешений учетной записи службы облачной синхронизации Microsoft Entra Connect
  2. Включение обратной записи паролей в облачной синхронизации Microsoft Entra Connect
  3. Включение обратной записи паролей для SSPR

Настройка разрешений учетной записи службы облачной синхронизации Microsoft Entra Connect

Разрешения для облачной синхронизации настраиваются по умолчанию. Если разрешения необходимо сбросить, см. раздел Устранение неполадок, где описаны конкретные разрешения, требуемые для обратной записи паролей, и способы их настройки с помощью PowerShell.

Включение компонента обратной записи паролей в SSPR

Вы можете включить подготовку облачной синхронизации Microsoft Entra Connect непосредственно в Центре администрирования Microsoft Entra или PowerShell.

Включение обратной записи паролей в Центре администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Если включена обратная запись паролей в облачной синхронизации Microsoft Entra Connect, теперь проверьте и настройте самостоятельный сброс пароля Microsoft Entra (SSPR) для обратной записи паролей. При включении SSPR для использования обратной записи паролей пользователи, которые меняют или сбрасывают свой пароль, синхронизируют этот пароль с локальной средой AD DS.

Чтобы проверить включить обратную запись паролей в SSPR:

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

  2. Перейдите к сбросу >, а затем выберите локальную интеграцию.

  3. Проверьте параметр включения обратной записи паролей для синхронизированных пользователей.

  4. (необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно проверить параметр обратной записи паролей с помощью облачной синхронизации Microsoft Entra Connect.

  5. Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.

    Включение самостоятельного сброса пароля Microsoft Entra для обратной записи паролей

  6. Когда все будет готово, щелкните Сохранить.

PowerShell

С помощью PowerShell вы можете включить облачную синхронизацию Microsoft Entra Connect с помощью командлета Set-AADCloudSyncPasswordWritebackConfiguration на серверах с агентами подготовки.

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Очистка ресурсов

Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную в рамках этого руководства, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к сбросу >, а затем выберите локальную интеграцию.
  3. Снимите флажок включить обратную запись паролей для синхронизированных пользователей.
  4. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
  5. Снимите флажок Разрешить пользователям разблокировать учетные записи без сброса пароля.
  6. Когда все будет готово, щелкните Сохранить.

Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к сбросу >, а затем выберите локальную интеграцию.
  3. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
  4. Когда все будет готово, щелкните Сохранить.

Вы также можете использовать PowerShell, чтобы отключить облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR с сервера облачной синхронизации Microsoft Entra Connect, запустить Set-AADCloudSyncPasswordWritebackConfiguration с помощью учетных данных администратора гибридных удостоверений, чтобы отключить обратную запись паролей с помощью облачной синхронизации Microsoft Entra Connect.

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Поддерживаемые операции

Обратная запись паролей выполняется для пользователей и администраторов в следующих ситуациях.

Учетная запись Поддерживаемые операции
Конечные пользователи все самостоятельные добровольные операции изменения пароля конечного пользователя;
все самостоятельные принудительные операции изменения пароля пользователя (например, из-за окончания срока действия пароля);
Любой самостоятельный сброс пароля конечных пользователей, исходящий из сброса пароля.
Администраторы все самостоятельные добровольные операции изменения пароля администратора;
все самостоятельные принудительные операции изменения пароля администратора (например, из-за окончания срока действия пароля);
Любой самостоятельный сброс пароля администратора, исходящий из сброса пароля.
Любой сброс пароля, инициированного администратором, из Центра администрирования Microsoft Entra.
все операции сброса пароля конечного пользователя, инициируемые администратором через API Microsoft Graph.

Неподдерживаемые операции

Обратная запись паролей не выполняется в следующих ситуациях.

Учетная запись Неподдерживаемые операции
Конечные пользователи Все операции сброса пароля пользователя с помощью командлетов PowerShell или API Microsoft Graph.
Администраторы Все операции сброса пароля пользователя с помощью командлетов PowerShell, инициированные администратором.
Все операции сброса пароля пользователя, инициируемые администратором из Центра администрирования Microsoft 365.
Ни один администратор не может использовать средство сброса пароля для сброса собственного пароля или пароля любого другого администратора в Microsoft Entra ID для обратной записи паролей.

Сценарии проверки

Попробуйте выполнить следующие операции, чтобы проверить сценарии с использованием обратной записи паролей. Для всех сценариев проверки требуется установить облачную синхронизацию. Пользователь должен быть в области обратной записи паролей.

Сценарий Подробности
Сброс пароля с страницы входа Два пользователя из отключенных доменов и лесов выполняют SSPR. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации, а другой в области Microsoft Entra Connect и сбросить пароль.
Принудительное изменение просроченного пароля Два пользователя из отключенных доменов и лесов меняют просроченные пароли. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другого в области Microsoft Entra Connect.
Обычная смена пароля Два пользователя из отключенных доменов и лесов выполняют регулярную смену пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect.
Сброс пароля пользователя администратором У двух пользователей отключенные домены и леса сбрасывают пароль с помощью Центра администрирования Microsoft Entra или портала рабочей роли Frontline. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect
Самостоятельная разблокировка учетных записей Два пользователя из отключенных доменов и лесов разблокируют учетные записи на портале SSPR, сбрасывая пароль. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect.

Устранение неполадок

  • У управляемой учетной записи службы облачной синхронизации Microsoft Entra Connect должны быть следующие разрешения для обратной записи паролей по умолчанию:

    • Введите новый пароль
    • разрешения на запись в lockoutTime;
    • разрешения на запись в pwdLastSet.
    • расширенные права для пароля без истекшего срока действия в корневом объекте каждого домена в таком лесу (если они еще не заданы).

    Если эти разрешения не заданы, можно задать разрешение PasswordWriteBack для учетной записи службы с помощью командлета Set-AADCloudSyncPermissions и учетных данных локального администратора предприятия:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)

    После обновления разрешений может потребоваться до часа или больше, чтобы эти разрешения распространились на все объекты в вашем каталоге.

  • Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.

  • Политики паролей в локальной среде AD DS могут препятствовать корректной обработке смены паролей. Если вы тестируете эту функцию и хотите сбросить пароль для пользователей более одного раза в день, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в разделе "Политики конфигурации > компьютера" Политики >> параметров безопасности параметров > учетной записи политики > паролей в gpmc.msc.

  • При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.

  • Чтобы пароли изменялись немедленно, нужно установить для параметра Минимальный срок действия пароля значение 0. Однако если пользователи соответствуют локальным политикам, а минимальный возраст пароля имеет значение больше нуля, обратная запись паролей не будет работать после оценки локальных политик.

Дополнительные сведения о проверке или настройке соответствующих разрешений см. в разделе "Настройка разрешений учетной записи для Microsoft Entra Connect".

Следующие шаги