Jak samoobslužné resetování hesla funguje zpětný zápis do Microsoft Entra ID?

Microsoft Entra samoobslužné resetování hesla (SSPR) umožňuje uživatelům resetovat hesla v cloudu, ale většina společností má také prostředí místní Active Directory Domain Services (AD DS) pro uživatele. Zpětný zápis hesla umožňuje, aby se změny hesel v cloudu zapisují zpět do místního adresáře v reálném čase pomocí Microsoft Entra Připojení nebo Microsoft Entra Připojení cloudové synchronizace. Když uživatelé změní nebo resetují svá hesla pomocí SSPR v cloudu, aktualizovaná hesla se také zapisují zpět do místního prostředí SLUŽBY AD DS.

Důležité

Tento koncepční článek vysvětluje správci, jak funguje zpětný zápis samoobslužného resetování hesla. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

Zpětný zápis hesla se podporuje v prostředích, která používají následující hybridní modely identit:

• Synchronizace hodnot hash hesel
• Předávací ověřování
• Active Directory Federation Services (AD FS)

Zpětný zápis hesla poskytuje následující funkce:

• Vynucení zásad hesel služby místní Active Directory Domain Services (AD DS): Když uživatel resetuje heslo, zkontroluje se, jestli splňuje vaše místní zásady služby AD DS, než ho potvrdíte do tohoto adresáře. Tato kontrola zahrnuje kontrolu historie, složitosti, věku, filtrů hesel a všech dalších omezení hesel, která definujete ve službě AD DS.
• Zpětná vazba s nulovou prodlevou: Zpětný zápis hesla je synchronní operace. Uživatelé se okamžitě upozorní, pokud heslo nesplňuje zásady nebo se z nějakého důvodu nedá resetovat ani změnit.
• Podporuje změny hesel z přístupového panelu a Microsoftu 365: Když federovaní uživatelé nebo synchronizovaní uživatelé s hodnotou hash hesel změní platnost hesel, jejichž platnost vypršela nebo nevypršela platnost hesel, zapíšou se tato hesla zpět do služby AD DS.
• Podporuje zpětný zápis hesla, když je správce resetuje z Centra pro správu Microsoft Entra: Když správce resetuje heslo uživatele v Centru pro správu Microsoft Entra, pokud je tento uživatel federovaný nebo hodnota hash hesel synchronizovaná, heslo se zapíše zpět do místního prostředí. Tato funkce se v současné době nepodporuje na portálu pro správu Office.
• Nevyžaduje žádná příchozí pravidla brány firewall: Zpětný zápis hesla používá předávací službu Azure Service Bus jako podkladový komunikační kanál. Veškerá komunikace je odchozí přes port 443.
• Podporuje souběžné nasazení na úrovni domény pomocí Microsoft Entra Připojení nebo cloudové synchronizace pro cílení na různé sady uživatelů v závislosti na jejich potřebách, včetně uživatelů, kteří jsou v odpojených doménách.

Poznámka:

Místní účet služby, který zpracovává žádosti o zpětný zápis hesla, nemůže změnit hesla pro uživatele, kteří patří do chráněných skupin. Správa istrátory můžou změnit heslo v cloudu, ale nemůžou použít zpětný zápis hesla k resetování zapomenutého hesla pro místního uživatele. Další informace o chráněných skupinách najdete v tématu Chráněné účty a skupiny ve službě AD DS.

Pokud chcete začít se zpětným zápisem SSPR, proveďte jeden nebo oba následující kurzy:

• Kurz: Povolení zpětného zápisu samoobslužného resetování hesla (SSPR)
• Kurz: Povolení zpětného zápisu samoobslužného resetování hesla v cloudové synchronizaci Microsoft Entra Připojení do místního prostředí (Preview)

Souběžné nasazení Microsoft Entra Připojení a synchronizace cloudu

Microsoft Entra Připojení a cloudovou synchronizaci můžete nasadit souběžně v různých doménách, abyste mohli cílit na různé sady uživatelů. Stávajícím uživatelům to pomůže pokračovat ve zpětném zápisu změn hesla při přidávání možností v případech, kdy jsou uživatelé v odpojených doménách kvůli sloučení nebo rozdělení společnosti. Microsoft Entra Připojení a synchronizace cloudu je možné nakonfigurovat v různých doménách, aby uživatelé z jedné domény mohli používat Microsoft Entra Připojení, zatímco uživatelé v jiné doméně používají cloudovou synchronizaci. Synchronizace cloudu může také poskytovat vyšší dostupnost, protože nespoléhá na jedinou instanci microsoft Entra Připojení. Porovnání funkcí mezi těmito dvěma možnostmi nasazení najdete v tématu Porovnání mezi microsoft entra Připojení a cloudovou synchronizací.

Jak funguje zpětný zápis hesla

Pokud se uživatelský účet nakonfigurovaný pro federaci, synchronizaci hodnot hash hesel (nebo v případě nasazení Microsoft Entra Připojení, předávací ověřování) pokusí resetovat nebo změnit heslo v cloudu, dojde k následujícím akcím:

1. Provede se kontrola, abyste zjistili, jaký typ hesla uživatel má. Pokud je heslo spravované místně:

   • Provede se kontrola, která zjistí, jestli je služba zpětného zápisu spuštěná. Pokud ano, může uživatel pokračovat.
   • Pokud je služba zpětného zápisu spuštěná, uživatel se informuje, že jeho heslo teď nejde resetovat.

2. Dále uživatel předá příslušné ověřovací brány a přejde na stránku Resetovat heslo .

3. Uživatel vybere nové heslo a potvrdí ho.

4. Když uživatel vybere možnost Odeslat, heslo prostého textu se zašifruje pomocí veřejného klíče vytvořeného během procesu nastavení zpětného zápisu.

5. Šifrované heslo je součástí datové části, která se odešle přes kanál HTTPS do přenosu služby Service Bus specifického pro vašeho tenanta (který je nastavený během procesu nastavení zpětného zápisu). Tato přenosová služba je chráněná náhodně vygenerovaným heslem, které zná pouze vaše místní instalace.

6. Jakmile zpráva dosáhne služby Service Bus, koncový bod pro resetování hesla se automaticky probudí a zjistí, že čeká na resetování žádosti.

7. Služba pak vyhledá uživatele pomocí atributu cloudového ukotvení. Aby bylo vyhledávání úspěšné, musí být splněny následující podmínky:

   • Objekt uživatele musí existovat v prostoru konektoru služby AD DS.
   • Uživatelský objekt musí být propojený s odpovídajícím objektem metaverse (MV).
   • Uživatelský objekt musí být propojený s odpovídajícím objektem konektoru Microsoft Entra.
   • Propojení z objektu konektoru služby AD DS s MV musí mít na odkazu synchronizační pravidlo Microsoft.InfromADUserAccountEnabled.xxx .

   Když volání přichází z cloudu, synchronizační modul používá atribut cloudAnchor k vyhledání objektu prostoru konektoru Microsoft Entra. Potom následuje odkaz zpět na objekt MV a pak následuje odkaz zpět na objekt AD DS. Vzhledem k tomu, že pro stejného uživatele může existovat více objektů služby AD DS (více doménových struktur), synchronizační modul spoléhá na odkaz a Microsoft.InfromADUserAccountEnabled.xxx vybere ten správný.

8. Po nalezení uživatelského účtu se provede pokus o resetování hesla přímo v příslušné doménové struktuře služby AD DS.

9. Pokud je operace nastavení hesla úspěšná, uživateli se řekne, že se změnilo heslo.

   Poznámka:

   Pokud je hodnota hash hesel uživatele synchronizována s Microsoft Entra ID pomocí synchronizace hodnot hash hesel, je možné, že místní zásady hesel jsou slabší než cloudové zásady hesel. V takovém případě se vynucují místní zásady. Tato zásada zajišťuje, že se vaše místní zásady vynucují v cloudu bez ohledu na to, jestli k poskytování jednotného přihlašování používáte synchronizaci hodnot hash hesel nebo federaci.

10. Pokud operace sady hesel selže, zobrazí se uživateli výzva k dalšímu pokusu. Operace může selhat z následujících důvodů:

    • Služba byla dole.
    • Vybrané heslo nesplňuje zásady organizace.
    • Nelze najít uživatele v místním prostředí služby AD DS.

    Chybové zprávy poskytují uživatelům pokyny, aby se mohli pokusit vyřešit bez zásahu správce.

Zabezpečení zpětného zápisu hesla

Zpětný zápis hesla je vysoce zabezpečená služba. Aby se zajistilo, že jsou vaše informace chráněné, je model zabezpečení se čtyřmi vrstvami povolený následujícím způsobem:

• Předávání služby service-bus specifické pro tenanta
  • Když službu nastavíte, nastaví se předávací služba service bus specifická pro tenanta, která je chráněná náhodně vygenerovaným silným heslem, ke kterému Microsoft nikdy nemá přístup.
• Uzamčeno, kryptograficky silné, šifrovací klíč hesla
  • Po vytvoření přenosu přes service bus se vytvoří silný symetrický klíč, který se použije k šifrování hesla při přenosu. Tento klíč se nachází jenom v úložišti tajných kódů vaší společnosti v cloudu, který je silně uzamčený a auditovaný, stejně jako jakékoli jiné heslo v adresáři.
• Standardní protokol TLS (Transport Layer Security)
  1. Když v cloudu dojde k resetování nebo změně hesla, heslo ve formátu prostého textu se zašifruje pomocí vašeho veřejného klíče.
  2. Šifrované heslo se umístí do zprávy HTTPS, která se odesílá přes šifrovaný kanál pomocí certifikátů Microsoft TLS/SSL pro přenos přes service bus.
  3. Po doručení zprávy do služby Service Bus se místní agent probudí a ověří ve službě Service Bus pomocí silného hesla, které bylo dříve vygenerováno.
  4. Místní agent převezme zašifrovanou zprávu a dešifruje ji pomocí privátního klíče.
  5. Místní agent se pokusí nastavit heslo prostřednictvím rozhraní API setPassword služby AD DS. Tento krok umožňuje vynucování místních zásad hesel služby AD DS (například složitost, stáří, historie a filtry) v cloudu.
• Zásady vypršení platnosti zpráv
  • Pokud se zpráva nachází ve službě Service Bus, protože je vaše místní služba mimo provoz, vyprší časový limit a po několika minutách se odebere. Časový limit a odebrání zprávy zvyšuje zabezpečení ještě více.

Podrobnosti o šifrování zpětného zápisu hesla

Jakmile uživatel odešle resetování hesla, žádost o resetování projde několika kroky šifrování, než dorazí do místního prostředí. Tyto kroky šifrování zajišťují maximální spolehlivost a zabezpečení služeb. Jsou popsány takto:

1. Šifrování hesla s 2048bitovým klíčem RSA: Po odeslání hesla zpět do místního prostředí se odeslané heslo zašifruje 2048bitovým klíčem RSA.
2. Šifrování na úrovni balíčku s 256bitovou sadou AES-GCM: Celý balíček, heslo a požadovaná metadata je šifrované pomocí AES-GCM (s velikostí klíče 256 bitů). Toto šifrování brání všem, kdo mají přímý přístup k podkladovému kanálu Služby Service Bus, aby obsah zobrazil nebo zfalšoval.
3. Veškerá komunikace probíhá přes protokol TLS/SSL: Veškerá komunikace se službou Service Bus probíhá v kanálu SSL/TLS. Toto šifrování zabezpečuje obsah před neoprávněnými třetími stranami.
4. Automatická změna klíče každých šest měsíců: Všechny klíče se převrácejí každých šest měsíců, nebo pokaždé, když je zpětný zápis hesla zakázaný a pak znovu povolí v Microsoft Entra Připojení, aby se zajistilo maximální zabezpečení a bezpečnost služeb.

Využití šířky pásma zpětného zápisu hesla

Zpětný zápis hesla je služba s nízkou šířkou pásma, která odesílá požadavky zpět do místního agenta za následujících okolností:

• Dvě zprávy se posílají, když je tato funkce povolená nebo zakázaná prostřednictvím Připojení Microsoft Entra.
• Jedna zpráva se odešle každých pět minut jako prezenčních signálů služby, pokud je služba spuštěná.
• Při každém odeslání nového hesla se odešlou dvě zprávy:
  • První zpráva je žádost o provedení operace.
  • Druhá zpráva obsahuje výsledek operace a odešle se za následujících okolností:
    • Při každém odeslání nového hesla během samoobslužného resetování hesla uživatele.
    • Pokaždé, když se nové heslo odešle během operace změny hesla uživatele.
    • Pokaždé, když se během resetování hesla iniciovaného správcem odešle nové heslo (jenom z portálů pro správu Azure).

Důležité informace o velikosti zprávy a šířce pásma

Velikost každé zprávy popsané výše je obvykle pod 1 kB. I v případě extrémních zatížení služba zpětného zápisu hesla využívá několik kilobitů za sekundu šířky pásma. Vzhledem k tomu, že se každá zpráva odesílá v reálném čase, pouze v případě, že to vyžaduje operace aktualizace hesla, a protože je velikost zprávy tak malá, je využití šířky pásma funkce zpětného zápisu příliš malé, aby mělo měřitelný dopad.

Podporované operace zpětného zápisu

Hesla se zapisují zpět ve všech následujících situacích:

• Podporované operace koncových uživatelů

  • Jakákoli samoobslužná operace samoobslužné změny hesla pro koncové uživatele
  • Jakákoli samoobslužná operace vynucení koncového uživatele může změnit operaci hesla, například vypršení platnosti hesla.
  • Veškeré samoobslužné resetování hesla koncového uživatele, které pochází z portálu pro resetování hesel.

• Podporované operace správce

  • Jakákoli samoobslužná operace samoobslužné změny hesla správce.
  • Jakákoli samoobslužná operace vynucení správce změní heslo, například vypršení platnosti hesla.
  • Samoobslužné resetování hesla správce, které pochází z portálu pro resetování hesel.
  • Jakékoli resetování hesla koncového uživatele iniciované správcem z Centra pro správu Microsoft Entra.
  • Jakékoli resetování hesla koncového uživatele iniciované správcem z rozhraní Microsoft Graph API

Nepodporované operace zpětného zápisu

Hesla se nepíšou v žádné z následujících situací:

• Nepodporované operace koncových uživatelů
  • Kterýkoli koncový uživatel se pokouší o resetování vlastního hesla pomocí PowerShellu verze 1, verze 2 nebo rozhraní Microsoft Graph API.
• Nepodporované operace správce
  • Jakékoli resetování hesla koncového uživatele iniciované správcem z PowerShellu verze 1 nebo verze 2.
  • Jakékoli resetování hesla koncového uživatele iniciované správcem z Centrum pro správu Microsoftu 365.
  • Každý správce nemůže pomocí nástroje pro obnovení hesla obnovit své vlastní heslo pro účely zpětného zápisu hesla.

Upozorňující

Použití zaškrtávacího políčka "Uživatel musí změnit heslo při příštím přihlášení" v místních nástrojích pro správu SLUŽBY AD DS, jako jsou Uživatelé a počítače služby Active Directory nebo Centrum služby Active Directory Správa istrative Center, je podporováno jako funkce Preview microsoft Entra Připojení. Další informace naleznete v tématu Implementace synchronizace hodnot hash hesel s Microsoft Entra Připojení Sync.

Poznámka:

Pokud má uživatel možnost "Heslo nikdy nevyprší" nastavená ve službě Active Directory (AD), příznak vynucené změny hesla se ve službě Active Directory (AD) nenastaví, takže se uživateli při příštím přihlášení nezobrazí výzva ke změně hesla, a to ani v případě, že možnost vynutit, aby uživatel změnil heslo při dalším přihlášení, je vybrán během resetování hesla iniciovaného správcem.

Další kroky

Pokud chcete začít se zpětným zápisem SSPR, dokončete následující kurz:

Kurz: Povolení zpětného zápisu samoobslužného resetování hesla (SSPR)