教程:启用到本地环境的云同步自助式密码重置写回

Microsoft Entra Connect 云同步可以在断开连接的本地 Active Directory 域服务 (AD DS) 域中实时同步用户的 Microsoft Entra 密码更改。 Microsoft Entra Connect 云同步可以在域级别与 Microsoft Entra Connect 并行运行,以简化其他场景的密码写回,例如用户因公司拆分或合并而处于断开连接的域中这一场景。 针对不同的用户集,可以根据其需要在不同的域中配置每个服务。 Microsoft Entra Connect 云同步使用轻型 Microsoft Entra 云预配代理来简化自助式密码重置 (SSPR) 写回的设置,并可以安全地将云中的密码更改发送回本地目录。

先决条件

部署步骤

  1. 配置 Microsoft Entra Connect 云同步服务帐户权限
  2. 在 Microsoft Entra Connect 云同步中启用密码写回
  3. 为 SSPR 启用密码写回

配置 Microsoft Entra Connect 云同步服务帐户权限

默认配置云同步权限。 如果需要重置权限,请参阅故障排除,以详细了解密码写回所需的特定权限以及如何使用 PowerShell 设置这些权限。

在 SSPR 中启用密码写回

可以直接在 Microsoft Entra 管理中心中或通过 PowerShell 启用 Microsoft Entra Connect 云同步预配。

在 Microsoft Entra 管理中心启用密码回写

提示

本文中的步骤可能因开始使用的门户而略有不同。

在 Microsoft Entra Connect 云同步中启用密码写回后,立即验证和配置 Microsoft Entra 自助式密码重置 (SSPR) 以进行密码写回。 启用 SSPR 来使用密码写回时,更改或重置其密码的用户的已更新密码也会同步回到本地 AD DS 环境。

如果要在 SSPR 中验证并启用密码写回,请完成以下步骤:

  1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。

  3. 选中“为同步的用户启用密码回写”选项。

  4. (可选)如果检测到 Microsoft Entra Connect 预配代理,则还可以勾选“使用 Microsoft Entra Connect 云同步写回密码”选项。

  5. 勾选“允许用户在不重置密码的情况下解锁帐户”选项并将其设置为“是”。

    启用 Microsoft Entra 自助式密码重置以进行密码写回

  6. 准备就绪后,选择“保存”。

PowerShell

借助 PowerShell,可以通过在具有预配代理的服务器上使用 Set-AADCloudSyncPasswordWritebackConfiguration cmdlet 来启用 Microsoft Entra Connect 云同步。

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

清理资源

如果不再想要使用本教程中配置的 SSPR 写回功能,请完成以下步骤:

  1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。
  3. 取消选中“为同步的用户启用密码回写”选项。
  4. 取消选中“使用 Microsoft Entra Connect 云同步写回密码”选项。
  5. 取消选中“允许用户在不重置密码的情况下解锁帐户”选项。
  6. 准备就绪后,选择“保存”。

如果不再想要将 Microsoft Entra Connect 云同步用于 SSPR 写回功能,但想要继续使用 Microsoft Entra Connect 同步代理进行写回,请完成以下步骤:

  1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。
  3. 取消选中“使用 Microsoft Entra Connect 云同步写回密码”选项。
  4. 准备就绪后,选择“保存”。

还可以使用 PowerShell 从 Microsoft Entra Connect 云同步服务器为 SSPR 写回功能禁用 Microsoft Entra Connect 云同步。请使用混合标识管理员凭据运行 Set-AADCloudSyncPasswordWritebackConfiguration,以禁用通过 Microsoft Entra Connect 云同步进行的密码写回。

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

支持的操作

在以下情况下,会为最终用户和管理员写回密码。

帐户 支持的操作
最终用户 最终用户以自助形式执行的任何自愿更改密码操作。
任何最终用户自助强制更改密码操作(例如,密码到期)。
源自密码重置的任何最终用户自助密码重置。
管理员 管理员以自助形式执行的任何自愿更改密码操作。
任何管理员自助强制更改密码操作(例如,密码到期)。
源自密码重置的任何管理员自助密码重置。
任何管理员通过 Microsoft 365 管理中心发起的最终用户密码重置。
任何管理员通过 Microsoft Graph API 发起的任何最终用户密码重置操作。

不受支持操作

在以下情况下,不会写回密码。

帐户 不受支持操作
最终用户 任何最终用户使用 PowerShell cmdlet 或 Microsoft Graph API 重置自己的密码。
管理员 任何管理员发起的最终用户密码重置操作(使用 PowerShell cmdlet)。
管理员通过 Microsoft 365 管理中心发起的任何最终用户密码重置。
任何管理员都不能使用密码重置工具来重置自己的密码,也不能使用 Microsoft Entra ID 中的任何其他管理员角色来进行密码写回。

验证方案

尝试以下操作来验证使用密码写回的方案。 所有验证方案都需要安装云同步且用户可以进行密码写回。

方案 详细信息
从登录页重置密码 让来自断开连接的域和林的两位用户执行 SSPR。 你也可以并行部署 Microsoft Entra Connect 和云同步,指定一个用户在云同步配置范围内,另一个用户在 Microsoft Entra Connect 范围内,然后让这些用户重置自己的密码。
强制更改过期密码 让来自断开连接的域和林的两位用户更改过期密码。 你也可以并行部署 Microsoft Entra Connect 和云同步,指定一个用户在云同步配置范围内,另一个用户在 Microsoft Entra Connect 范围内。
定期更改密码 让来自断开连接的域和林的两位用户定期更改密码。 你也可以并行部署 Microsoft Entra Connect 和云同步,指定一个用户在云同步配置范围内,另一个用户在 Microsoft Entra Connect 范围内。
管理员重置用户密码 将来自断开连接的域和林的两位用户通过 Microsoft Entail 管理中心或一线员工门户重置自己的密码。 你也可以并行部署 Microsoft Entra Connect 和云同步,指定一个用户在云同步配置范围内,另一个用户在 Microsoft Entra Connect 范围内
解锁自助帐户 让来自断开连接的域和林的两位用户在 SSPR 门户中解锁帐户并重置密码。 你也可以并行部署 Microsoft Entra Connect 和云同步,指定一个用户在云同步配置范围内,另一个用户在 Microsoft Entra Connect 范围内。

疑难解答

  • 默认情况下,Microsoft Entra Connect 云同步组托管服务帐户应设置以下权限以写回密码:

    • 重置密码
    • 对 lockoutTime 的写入权限
    • 对 pwdLastSet 的写入权限
    • 对该林中每个域的根对象的“不过期密码”的扩展权限(如果尚未设置)。

    如果未设置这些权限,可以使用 Set-AADCloudSyncPermissions cmdlet 和本地企业管理员凭据对服务帐户设置 PasswordWriteBack 权限:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
    Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
    

    更新权限后,将这些权限复制到目录中的所有对象可能需要一小时或更长时间才能完成。

  • 如果某些用户帐户的密码未写回到本地目录,请确保未在本地 AD DS 环境中对帐户禁用继承。 必须将密码的写入权限应用于后代对象,才能使该功能正常工作。

  • 本地 AD DS 环境中的密码策略可能会导致无法正确处理密码重置。 如果正在测试此功能并且希望每天多次为用户重置密码,则必须将最短密码期限的组策略设置为 0。 此设置位于 gpmc.msc 的“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“帐户策略”>“密码策略”下。

  • 如果更新组策略,请等待更新的策略复制完成,或使用 gpupdate /force 命令。

  • 要使密码立即更改,必须将密码最短使用期限设置为 0。 但是,如果用户遵守本地策略,并且将“最短密码期限”设置为大于零的值,则在评估本地策略后,密码写回将无效。

有关如何验证或设置相应权限的详细信息,请参阅为 Microsoft Entra Connect 配置帐户权限

后续步骤