Hur fungerar lösenordsåterställning med självbetjäning och återskrivning i Microsoft Entra-ID?

Med Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) kan användarna återställa sina lösenord i molnet, men de flesta företag har också en lokal Active Directory Domain Services-miljö (AD DS) för användare. Med tillbakaskrivning av lösenord kan lösenordsändringar i molnet skrivas tillbaka till en lokal katalog i realtid med hjälp av antingen Microsoft Entra Connect eller Microsoft Entra Connect-molnsynkronisering. När användarna ändrar eller återställer sina lösenord med SSPR i molnet skrivs även de uppdaterade lösenorden tillbaka till den lokala AD DS-miljön.

Viktig

Den här konceptuella artikeln förklarar för en administratör hur självbetjänad tillbakaskrivning av lösenordsåterställning fungerar. Om du redan är registrerad för lösenordsåterställning med självservice och behöver få tillgång till ditt konto igen, så går du till https://aka.ms/sspr.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

Tillbakaskrivning av lösenord stöds i miljöer som använder följande hybrididentitetsmodeller:

• synkronisering av lösenordshash
• Direktautentisering
• Active Directory Federation Services

Tillbakaskrivning av lösenord innehåller följande funktioner:

• Tillämpning av lokala AD DS-lösenordsprinciper (Active Directory Domain Services): När en användare återställer sitt lösenord kontrolleras det för att säkerställa att det uppfyller din lokala AD DS-princip innan den checkas in i katalogen. Den här granskningen omfattar kontroll av historik, komplexitet, ålder, lösenordsfilter och andra lösenordsbegränsningar som du definierar i AD DS.
• Omedelbar feedback: Tillbakaskrivning av lösenord är en synkron åtgärd. Användare meddelas omedelbart om deras lösenord inte uppfyller principen eller inte kan återställas eller ändras av någon anledning.
• Stöder lösenordsändringar från åtkomstpanelen och Microsoft 365: När federerade eller lösenordshashsynkrona användare kommer att ändra sina utgångna eller ej utgångna lösenord skrivs dessa lösenord tillbaka till AD DS.
• Stöder tillbakaskrivning av lösenord när en administratör återställer dem från administrationscentret för Microsoft Entra: När en administratör återställer en användares lösenord i Administrationscenter för Microsoft Entra, om användaren är federerad eller lösenordshash synkroniserad skrivs lösenordet tillbaka till lokalt. Den här funktionen stöds för närvarande inte i Office-administratörsportalen.
• Kräver inga inkommande brandväggsregler: Tillbakaskrivning av lösenord använder ett Azure Service Bus-relä som en underliggande kommunikationskanal. All kommunikation är utgående via port 443.
• Stöder distribution på domännivå sida vid sida med hjälp av Microsoft Entra Connect eller molnsynkronisering för att rikta olika uppsättningar användare beroende på deras behov, inklusive användare som befinner sig i frånkopplade domäner.

Not

Det lokala tjänstkontot som hanterar begäranden om tillbakaskrivning av lösenord kan inte ändra lösenorden för användare som tillhör skyddade grupper. Administratörer kan ändra sitt lösenord i molnet, men de kan inte använda tillbakaskrivning av lösenord för att återställa ett bortglömt lösenord för sin lokala användare. Mer information om skyddade grupper finns i Skyddade konton och grupper i AD DS.

Om du vill komma igång med tillbakaskrivning av SSPR slutför du antingen en eller båda av följande självstudier:

• Självstudie: Aktivera tillbakaskrivning av självbetjäning av lösenordsåterställning (SSPR)
• Självstudie: Aktivera självbetjäningsåterställning av lösenord för Microsoft Entra Connect-molnsynkronisering och tillbakaskrivning till en lokal miljö (förhandsversion)

Microsoft Entra Connect och molnsynkronisering för parallell distribution

Du kan distribuera Microsoft Entra Connect och molnsynkronisering sida vid sida i olika domäner för att rikta in dig på olika uppsättningar användare. Detta hjälper befintliga användare att fortsätta att skriva tillbaka lösenordsändringar samtidigt som alternativet läggs till i fall där användare befinner sig i frånkopplade domäner på grund av en företagssammanslagning eller delning. Microsoft Entra Connect och molnsynkronisering kan konfigureras i olika domäner så att användare från en domän kan använda Microsoft Entra Connect medan användare i en annan domän använder molnsynkronisering. Molnsynkronisering kan också ge högre tillgänglighet eftersom den inte förlitar sig på en enda instans av Microsoft Entra Connect. En funktionsjämförelse mellan de två distributionsalternativen finns i Jämförelse mellan Microsoft Entra Connect och molnsynkronisering.

Så här fungerar tillbakaskrivning av lösenord

När ett användarkonto som konfigurerats för federation, synkronisering av lösenordshash (eller, vid en Microsoft Entra Connect-distribution, direktautentisering) försöker återställa eller ändra ett lösenord i molnet, utförs följande åtgärder:

1. En kontroll utförs för att se vilken typ av lösenord användaren har. Om lösenordet hanteras lokalt:

   • En kontroll utförs för att se om tillbakaskrivningstjänsten är igång. Om så är fallet kan användaren fortsätta.
   • Om tillbakaskrivningstjänsten är nere informeras användaren om att deras lösenord inte kan återställas just nu.

2. Därefter passerar användaren autentiseringsportarna lämpligt och når till sidan Återställ lösenord.

3. Användaren väljer ett nytt lösenord och bekräftar det.

4. När användaren väljer Skickakrypteras lösenordet i klartext med en offentlig nyckel som skapades under tillbakaskrivningsprocessen.

5. Det krypterade lösenordet ingår i en nyttolast som skickas via en HTTPS-kanal till ditt klientspecifika Service Bus-relä (som har konfigurerats åt dig under tillbakaskrivningsprocessen). Det här reläet skyddas av ett slumpmässigt genererat lösenord som endast den lokala installationen känner till.

6. När meddelandet når servicebussen aktiveras automatiskt slutpunkten för lösenordsåterställning och ser att en återställningsbegäran väntar.

7. Tjänsten söker sedan efter användaren med hjälp av molnankarattributet. För att sökningen ska lyckas måste följande villkor vara uppfyllda:

   • Användarobjektet måste finnas i AD DS-anslutningsutrymmet.
   • Användarobjektet måste vara länkat till motsvarande metaversumobjekt (MV).
   • Användarobjektet måste vara länkat till motsvarande Microsoft Entra-anslutningsobjekt.
   • Länken från AD DS-anslutningsobjektet till MV måste ha synkroniseringsregeln Microsoft.InfromADUserAccountEnabled.xxx på länken.

   När anropet kommer in från molnet använder synkroniseringsmotorn attributet cloudAnchor för att leta upp microsoft Entra-anslutningsobjektet. Den följer sedan länken tillbaka till MV-objektet och följer sedan länken tillbaka till AD DS-objektet. Eftersom det kan finnas flera AD DS-objekt (flera skogar) för samma användare förlitar sig synkroniseringsmotorn på länken Microsoft.InfromADUserAccountEnabled.xxx för att välja rätt.

8. När användarkontot har hittats görs ett försök att återställa lösenordet direkt i lämplig AD DS-skog.

9. Om åtgärden för lösenordsuppsättning lyckas får användaren veta att lösenordet har ändrats.

   Not

   Om användarens lösenordshash synkroniseras med Microsoft Entra-ID med hjälp av synkronisering av lösenordshash finns det en risk att den lokala lösenordsprincipen är svagare än molnlösenordsprincipen. I det här fallet tillämpas den lokala policyn. Den här principen säkerställer att din lokala princip tillämpas i molnet, oavsett om du använder synkronisering av lösenordshash eller federation för att tillhandahålla enkel inloggning.

10. Om åtgärden för lösenordsuppsättningen misslyckas uppmanas användaren att försöka igen. Åtgärden kan misslyckas på grund av följande orsaker:

    • Tjänsten var nere.
    • Lösenordet de valde uppfyller inte organisationens principer.
    • Det går inte att hitta användaren i den lokala AD DS-miljön.

    Felmeddelandena ger vägledning till användare så att de kan försöka lösa det utan administratörsintervention.

Säkerhet för tillbakaskrivning av lösenord

Tillbakaskrivning av lösenord är en mycket säker tjänst. För att säkerställa att din information är skyddad aktiveras en säkerhetsmodell med fyra nivåer på följande sätt:

• klientspecifik servicebussrelä
  • När du konfigurerar tjänsten konfigureras ett klientspecifikt Service Bus Relay som skyddas av ett slumpmässigt genererat starkt lösenord som Microsoft aldrig har åtkomst till.
• Låst, kryptografiskt stark, lösenordskrypteringsnyckel
  • När service bus-reläet har skapats skapas en stark symmetrisk nyckel som används för att kryptera lösenordet när det kommer över kabeln. Den här nyckeln finns bara i företagets hemliga butik i molnet, som är kraftigt låst och granskad, precis som andra lösenord i katalogen.
• Branschstandard Transport Layer Security (TLS)
  1. När en lösenordsåterställning eller ändringsåtgärd inträffar i molnet krypteras lösenordet i klartext med din offentliga nyckel.
  2. Det krypterade lösenordet placeras i ett HTTPS-meddelande som skickas via en krypterad kanal med hjälp av Microsoft TLS/SSL-certifikat till service bus-reläet.
  3. När meddelandet har kommit in i servicebussen vaknar den lokala agenten och autentiserar till servicebussen med hjälp av det starka lösenord som tidigare genererades.
  4. Den lokala agenten hämtar det krypterade meddelandet och dekrypterar det med hjälp av den privata nyckeln.
  5. Den lokala agenten försöker ange lösenordet via AD DS SetPassword-API:et. Det här steget gör det möjligt att tillämpa din lokala AD DS-lösenordsprincip (till exempel komplexitet, ålder, historik och filter) i molnet.
• Förfalloprinciper för meddelanden
  • Om meddelandet finns i Service Bus på grund av att den lokala tjänsten är avstängd överskrider den tidsgränsen och tas bort efter flera minuter. Tidsgränsen och borttagningen av meddelandet ökar säkerheten ytterligare.

Krypteringsinformation för tillbakaskrivning av lösenord

När en användare har skickat en lösenordsåterställning genomgår återställningsbegäran flera krypteringssteg innan den tas emot i din lokala miljö. De här krypteringsstegen säkerställer maximal tillförlitlighet och säkerhet för tjänsten. De beskrivs på följande sätt:

1. Lösenordskryptering med 2048-bitars RSA-nyckel: När en användare har skickat ett lösenord som ska skrivas tillbaka till den lokala miljön krypteras själva det skickade lösenordet med en 2048-bitars RSA-nyckel.
2. kryptering på paketnivå med 256-bitars AES-GCM: Hela paketet, lösenordet plus nödvändiga metadata, krypteras med hjälp av AES-GCM (med en nyckelstorlek på 256 bitar). Den här krypteringen hindrar alla med direkt åtkomst till den underliggande Service Bus-kanalen från att visa eller manipulera innehållet.
3. All kommunikation sker via TLS/SSL: All kommunikation med Service Bus sker i en SSL/TLS-kanal. Den här krypteringen skyddar innehållet från obehöriga tredje parter.
4. Automatisk nyckelåterställning var sjätte månad: Alla nycklar rullas över var sjätte månad, eller varje gång tillbakaskrivning av lösenord inaktiveras och sedan återaktiveras på Microsoft Entra Connect, för att säkerställa maximal servicesäkerhet och säkerhet.

Bandbreddsanvändning för tillbakaskrivning av lösenord

Tillbakaskrivning av lösenord är en tjänst med låg bandbredd som endast skickar begäranden tillbaka till den lokala agenten under följande omständigheter:

• Två meddelanden skickas när funktionen är aktiverad eller inaktiverad via Microsoft Entra Connect.
• Ett meddelande skickas en gång var femte minut som en kontrollsignal så länge tjänsten körs.
• Två meddelanden skickas varje gång ett nytt lösenord skickas:
  • Det första meddelandet är en begäran om att utföra åtgärden.
  • Det andra meddelandet innehåller resultatet av åtgärden och skickas under följande omständigheter:
    • Varje gång ett nytt lösenord skickas under en självbetjäning för lösenordsåterställning.
    • Varje gång ett nytt lösenord skickas under en ändringsåtgärd för användarlösenord.
    • Varje gång ett nytt lösenord skickas under en administratörsinitierad återställning av användarlösenord (endast från Entra-administratörsportaler).

Överväganden för meddelandestorlek och bandbredd

Storleken på vart och ett av meddelandet som beskrevs tidigare är vanligtvis under 1 KB. Även under extrema belastningar förbrukar själva tjänsten för tillbakaskrivning av lösenord några kilobitar per sekund av bandbredden. Eftersom varje meddelande skickas i realtid, endast när det krävs av en lösenordsuppdateringsåtgärd, och eftersom meddelandestorleken är så liten, är bandbreddsanvändningen för tillbakaskrivningsfunktionen för liten för att ha en mätbar inverkan.

Stödda tillbakaskrivningsoperationer

Lösenord skrivs tillbaka i alla följande situationer:

• stödda slutanvändaroperationer

  • Frivillig självbetjäning där slutanvändare ändrar lösenord.
  • Slutanvändarnas självbetjäning tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord.
  • Alla lösenordsåterställning via självbetjäning för slutanvändare som kommer från portalen för lösenordsåterställning.

• Stödda administratörsåtgärder

  • Valfri frivillig ändringslösenordsåtgärd för administratörs självbetjäning.
  • Alla självbetjäningsadministratörer tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord.
  • Alla administratörers självbetjänade återställningar av lösenord som härstammar från lösenordsåterställningsportalen .
  • Alla administratörsinitierade lösenordsåterställningar för slutanvändare i Microsoft Entras administrationscenter.
  • Alla administratörsinitierade lösenordsåterställningar av slutvändare från Microsoft Graph API.

Tillbakaskrivningsåtgärder som inte stöds

Lösenord skrivs inte tillbaka i någon av följande situationer:

• Slutanvändaråtgärder som inte stöds

  • Slutanvändare som återställer sitt eget lösenord med hjälp av PowerShell version 1, version 2 eller Microsoft Graph API.

• Administratörsåtgärder som inte stöds

  • Alla administratörsinitierade lösenordsåterställning av slutanvändare från PowerShell version 1 eller version 2.
  • Alla administratörsinitierade återställningar av slutanvändares lösenord från administrationscentret för Microsoft 365.
  • Alla administratörer kan inte använda verktyget för lösenordsåterställning för att återställa sitt eget lösenord för tillbakaskrivning av lösenord.

Not

Om en användare har alternativet "Lösenordet upphör aldrig att gälla" anges i Active Directory (AD), kommer flaggan för ändring av framtvingade lösenord inte att anges i Active Directory (AD), så användaren uppmanas inte att ändra lösenordet vid nästa inloggning även om alternativet att tvinga användaren att ändra sitt lösenord vid nästa inloggningsalternativ väljs under en administratörsinitierad lösenordsåterställning för slutanvändare.

Nästa steg

För att komma igång med återställning av lösenordsåterställningstjänsten (SSPR), slutför följande handledning:

Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning för självbetjäning (SSPR)