自助式密碼重設回寫如何在 Microsoft Entra ID 中運作？

Microsoft Entra 自助密碼重設 (SSPR) 讓使用者在雲端上重設密碼，但大部分公司也會為使用者設有內部部署的 Active Directory Domain Services (AD DS) 環境。 密碼回寫可讓雲端中的密碼變更即時回寫至內部部署目錄，方法是使用 Microsoft Entra Connect 或 Microsoft Entra Connect 雲端同步處理。當使用者在雲端中使用 SSPR 變更或重設其密碼時，更新的密碼也會寫回內部部署 AD DS 環境。

重要

此概念性文章會向系統管理員說明自助式密碼重設回寫的運作方式。 如果您是已註冊自助式密碼重設的使用者，且需要重新登入您的帳戶，請移至 https://aka.ms/sspr。

如果您的 IT 小組尚未啟用重設您自己的密碼的能力，請連絡技術服務人員以取得其他協助。

使用下列混合式身分識別模型的環境中支持密碼回寫：

• 密碼哈希同步處理
• 穿透式驗證
• Active Directory 同盟服務

密碼回寫提供下列功能：

• 強制執行內部部署 Active Directory 網域服務 （AD DS） 密碼原則：當使用者重設其密碼時，會先檢查它是否符合您的內部部署 AD DS 原則，再將它認可至該目錄。 此檢閱包括檢查歷程記錄、複雜度、存留期、密碼篩選，以及您在 AD DS 中定義的任何其他密碼限制。
• 零延遲意見反應：密碼回寫是同步作業。 如果用戶的密碼不符合原則或因任何原因而無法重設或變更，就會立即收到通知。
• 支援從存取面板和 Microsoft 365 中變更密碼：當同盟或密碼哈希同步處理的使用者嘗試變更其過期或未過期的密碼時，這些密碼會寫回 AD DS。
• 支援當系統管理員從 Microsoft Entra 系統管理中心重設密碼時密碼回寫：當系統管理員在 Microsoft Entra 系統管理中心重設使用者的密碼時，如果該使用者是已聯邦身份或密碼哈希同步，密碼將會寫回到內部部署。 Office 管理入口網站目前不支援此功能。
• 不需要任何輸入防火牆規則：密碼回寫會使用 Azure 服務總線轉送作為基礎通道。 所有通訊都是透過埠 443 輸出。
• 支援使用 Microsoft Entra Connect 或 雲端同步 針對不同組使用者根據其需求進行並行網域層級部署，包括處於已中斷聯機網域的使用者。

注意

處理密碼回寫要求的內部部署服務帳戶，無法變更屬於受保護群組之用戶的密碼。 系統管理員可以在雲端變更其密碼，但無法使用密碼回寫來重設其內部部署使用者忘記的密碼。 如需受保護群組的詳細資訊，請參閱 AD DS 中受保護的帳戶和群組。

若要開始使用 SSPR 回寫，請完成下列其中一個或兩個教學課程：

• 教學：啟用自助式密碼重設（SSPR）回寫
• 教程：啟用 Microsoft Entra Connect 雲端同步自助式密碼重置回寫至內部部署環境 (預覽)

Microsoft Entra Connect 和同步處理的雲端併用部署

您可以在不同網域中並存部署 Microsoft Entra Connect 和雲端同步，以不同的使用者集為目標。 這可協助現有用戶繼續回寫密碼變更，同時新增選項，以防使用者因公司合併或分割而處於中斷連線網域的情況。 Microsoft Entra Connect 和雲端同步可以在不同的網域中設定，讓來自某個網域的使用者可以使用 Microsoft Entra Connect，而另一個網域中的使用者則使用雲端同步處理。雲端同步處理也可以提供更高的可用性，因為它不依賴單一的 Microsoft Entra Connect 實例。 如需兩個部署選項之間的功能比較，請參閱 Entra Connect 與雲端同步Microsoft 之間的比較。

密碼回寫的運作方式

當使用者帳戶在設定為同盟時，使用密碼哈希同步（或在 Microsoft Entra Connect 部署中，使用傳遞驗證）嘗試重設或更改雲端中的密碼時，將會發生下列動作：

1. 執行檢查以查看使用者擁有的密碼類型。 如果密碼是在內部部署管理：

   • 執行檢查以查看回寫服務是否已啟動並執行。 如果是，用戶可以繼續。
   • 如果回寫服務已關閉，系統會通知使用者其密碼目前無法重設。

2. 接下來，用戶將通過適當的驗證關卡，並到達 重設密碼 頁面。

3. 用戶選取新的密碼並加以確認。

4. 當使用者選擇 提交時，明文密碼將以在回寫設置過程中建立的公鑰進行加密。

5. 加密的密碼包含在承載中，並且透過 HTTPS 通道傳送至您的租戶專用服務匯流排轉接器（此匯流排是在回寫設定過程中為您設置的）。 此中繼器受到隨機產生的密碼保護，只有您本地安裝知道。

6. 訊息到達服務匯流排之後，密碼重設端點會自動喚醒，並偵測到有待處理的重設請求。

7. 服務接著會使用雲端錨點屬性來尋找使用者。 若要讓此查閱成功，必須符合下列條件：

   • 用戶對象必須存在於 AD DS 連接器空間中。
   • 用戶對象必須連結到對應的 Metaverse （MV） 物件。
   • 用戶對象必須連結至對應的Microsoft Entra 連接器物件。
   • 從 AD DS 連接器物件到 MV 的連結必須具有連結上的同步處理規則 Microsoft.InfromADUserAccountEnabled.xxx。

   當呼叫來自雲端時，同步處理引擎會使用 cloudAnchor 屬性來查閱 Microsoft Entra 連接器空間物件。 然後，它會沿著連結返回到 MV 物件，再沿著連結返回到 AD DS 物件。 由於同一位使用者可能會有多個 AD DS 物件（多樹系），因此同步處理引擎會依賴 Microsoft.InfromADUserAccountEnabled.xxx 鏈接來挑選正確的連結。

8. 找到使用者帳戶之後，就會嘗試直接在適當的 AD DS 樹系中重設密碼。

9. 如果密碼設定作業成功，使用者就會被告知其密碼已變更。

   注意

   如果使用密碼哈希同步處理將用戶的密碼哈希同步處理至Microsoft Entra ID，則內部部署密碼原則有可能比雲端密碼原則弱。 在此情況下，會強制執行內部部署原則。 無論您使用密碼哈希同步處理或同盟來提供單一登錄，此原則都可確保您的內部部署原則在雲端中強制執行。

10. 如果密碼設定作業失敗，錯誤會提示使用者再試一次。 作業可能會因為下列原因而失敗：

    • 服務已關閉。
    • 他們選取的密碼不符合組織的原則。
    • 在本機 AD DS 環境中找不到使用者。

    錯誤訊息會提供指引給使用者，讓他們能夠在不需系統管理員介入的情況下嘗試解決。

密碼回寫安全性

密碼回寫是高度安全的服務。 為了確保資訊受到保護，已啟用四層式安全性模型，如下所示：

• 針對租戶的服務匯流排中繼
  • 當您設定服務時，會設定租使用者特定的服務總線轉送，該轉送會受到隨機產生的強密碼所保護，Microsoft永遠無法存取。
• 鎖定、密碼編譯強式、密碼加密密鑰
  • 建立服務匯流排轉送之後，會產生一個強式對稱密鑰，用於加密通過網路傳輸的密碼。 此金鑰只存在於您公司的雲端秘密存放區中，此存放區嚴重鎖定和稽核，就像目錄中的任何其他密碼一樣。
• 業界標準傳輸層安全性 （TLS）
  1. 當雲端發生密碼重設或變更作業時，純文本密碼會使用您的公鑰加密。
  2. 加密的密碼會放入 HTTPS 訊息中，並透過加密通道使用 Microsoft TLS/SSL 憑證傳送至服務巴士中繼。
  3. 訊息抵達服務總線之後，您的內部部署代理程式會使用先前產生的強密碼來喚醒並驗證服務總線。
  4. 內部部署代理程式會挑選加密的訊息，並使用私鑰將其解密。
  5. 內部部署代理程式會嘗試透過AD DS SetPassword API 設定密碼。 此步驟可讓您在雲端中強制執行 AD DS 內部部署密碼原則（例如複雜度、年齡、歷程記錄和篩選器）。
• 訊息到期原則
  • 如果訊息因為內部部署服務關閉而停留在服務總線中，則會超時，並在幾分鐘後移除。 訊息的時限結束和移除會進一步提高安全性。

密碼回寫加密詳細資訊

在使用者提交密碼重設之後，重設要求會先經過數個加密步驟，再抵達您的內部部署環境。 這些加密步驟可確保最大的服務可靠性和安全性。 其描述如下：

1. 密碼加密與 2048 位 RSA 金鑰：在使用者提交密碼以回寫至內部部署之後，提交的密碼本身會以 2048 位 RSA 金鑰加密。
2. 套件層級加密與 256 位 AES-GCM：整個套件，密碼加上必要的元數據，會使用 AES-GCM 加密（金鑰大小為 256 位）。 此加密可防止直接存取基礎服務總線通道的任何人檢視或竄改內容。
3. 所有通訊都會透過 TLS/SSL發生：與服務總線的所有通訊都會在 SSL/TLS 通道中發生。 此加密可保護未經授權的第三方的內容。
4. 自動金鑰變換每六個月：所有金鑰每六個月變換一次，或每次停用密碼回寫，然後在 Microsoft Entra Connect 上重新啟用，以確保服務安全性和安全性上限。

密碼回寫頻寬使用量

密碼回寫是低頻寬服務，只有在下列情況下，才會將要求傳回內部部署代理程式：

• 透過 Microsoft Entra Connect 啟用或停用此功能時，會傳送兩則訊息。
• 只要服務正在執行，每五分鐘就會傳送一則訊息作為服務心跳訊號。
• 每次提交新密碼時，都會傳送兩則訊息：
  • 第一則訊息是執行作業的要求。
  • 第二則訊息包含作業的結果，並在下列情況下傳送：
    • 每次在使用者自助式密碼重設過程中提交新密碼時。
    • 用戶更改密碼時，每次提交新密碼。
    • 每次在系統管理員發起的使用者密碼重設期間提交新密碼（僅限於 Entra 管理入口網站）。

訊息大小和頻寬考慮

先前所述的每個訊息大小通常低於 1 KB。 即使在極端負載下，密碼回寫服務本身也會耗用每秒幾千位的頻寬。 由於每個訊息都會即時傳送，因此只有在密碼更新作業需要時，而且由於訊息大小太小，回寫功能的頻寬使用量太小，因此不會影響可測量的影響。

支援的寫回操作

密碼在以下所有情況下都會被回寫：

• 支援的終端使用者作業

  • 任何最終用戶自助進行自願變更密碼的操作。
  • 任何終端使用者自助式強制變更密碼作業，例如密碼到期。
  • 任何源自 密碼重設入口網站的使用者自助式密碼重設。

• 支援的系統管理員作業

  • 任何系統管理員自助自願更改密碼操作。
  • 任何系統管理員自助式強制變更密碼作業，例如密碼到期。
  • 任何源自 密碼重設入口網站的系統管理員自助式密碼重設。
  • 從 Microsoft Entra 系統管理中心由系統管理員發起的任何用戶密碼重設。
  • 從 Microsoft Graph API中由系統管理員發起的最終使用者密碼重設。

不支援的回寫作業

在下列任何情況下，密碼不會回寫：

• 不支援的終端用戶作業

  • 任何終端使用者都使用 PowerShell 第 1 版、第 2 版或 Microsoft Graph API 來重設自己的密碼。

• 不支援的系統管理員作業

  • 任何透過 PowerShell 第 1 或第 2 版由系統管理員發起的終端使用者密碼重設。
  • 從 Microsoft 365 系統管理中心的任何系統管理員起始用戶密碼重設。
  • 任何系統管理員都無法使用密碼重設工具來重設自己的密碼進行密碼回寫。

注意

如果使用者在 Active Directory 中設定了 [密碼永不過期] 選項，系統就不會在 Active Directory 中設定強制密碼變更旗標，因此即使使用者在系統管理員起始的用戶密碼重設期間，也不會提示使用者在下次登入期間變更密碼的選項。

後續步驟

若要開始使用 SSPR 回寫，請完成下列教學課程：

教程：啟用自助式密碼重設 (SSPR) 回寫