Kurz: Povolení zpětného zápisu samoobslužného resetování hesla synchronizace cloudu do místního prostředí
Synchronizace cloudových služeb Microsoft Entra Připojení může synchronizovat změny hesel Microsoft Entra v reálném čase mezi uživateli v odpojených doménách místní Active Directory Domain Services (AD DS). Synchronizace cloudu Microsoft Entra Připojení může běžet souběžně s Microsoft Entra Připojení na úrovni domény, aby se zjednodušilo zpětný zápis hesla pro další scénáře, jako jsou uživatelé, kteří jsou v odpojených doménách kvůli rozdělení nebo sloučení společnosti. Jednotlivé služby v různých doménách můžete nakonfigurovat tak, aby cílily na různé sady uživatelů v závislosti na jejich potřebách. Synchronizace cloudu Microsoft Entra Připojení využívá odlehčeného agenta zřizování cloudu Microsoft Entra ke zjednodušení nastavení zpětného zápisu samoobslužného resetování hesla (SSPR) a poskytuje bezpečný způsob odesílání změn hesel v cloudu zpět do místního adresáře.
Požadavky
- Tenant Microsoft Entra s povolenou alespoň licencí Microsoft Entra ID P1 nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
- Účet s:
- Id Microsoft Entra nakonfigurované pro samoobslužné resetování hesla V případě potřeby dokončete tento kurz a povolte Microsoft Entra SSPR.
- Místní prostředí AD DS nakonfigurované s Microsoft Entra Připojení cloudovou synchronizací verze 1.1.977.0 nebo novější. Přečtěte si, jak zjistit aktuální verzi agenta. V případě potřeby pomocí tohoto kurzu nakonfigurujte synchronizaci cloudu Microsoft Entra Připojení.
Postup nasazení
- Konfigurace oprávnění účtu služby synchronizace cloudu v Microsoft Entra Připojení
- Povolení zpětného zápisu hesla v synchronizaci cloudu Microsoft Entra Připojení
- Povolení zpětného zápisu hesla pro SSPR
Konfigurace oprávnění účtu služby synchronizace cloudu v Microsoft Entra Připojení
Oprávnění pro synchronizaci cloudu jsou ve výchozím nastavení nakonfigurovaná. Pokud je potřeba resetovat oprávnění, přečtěte si téma Řešení potíží s dalšími podrobnostmi o konkrétních oprávněních požadovaných pro zpětný zápis hesla a o tom, jak je nastavit pomocí PowerShellu.
Povolení zpětného zápisu hesla v SSPR
Zřizování synchronizace cloudu microsoftu Entra Připojení můžete povolit přímo v Centru pro správu Microsoft Entra nebo prostřednictvím PowerShellu.
Povolení zpětného zápisu hesla v Centru pro správu Microsoft Entra
Tip
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
S povoleným zpětným zápisem hesla v Microsoft Entra Připojení cloudové synchronizaci teď ověřte a nakonfigurujte samoobslužné resetování hesla Microsoft Entra (SSPR) pro zpětný zápis hesla. Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.
Pokud chcete ověřit a povolit zpětný zápis hesla v SSPR, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
Přejděte k resetování hesla ochrany>a zvolte místní integraci.
Zaškrtněte políčko Povolit zpětný zápis hesla pro synchronizované uživatele.
(volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Připojení, můžete také zkontrolovat možnost Zapisovat zpět hesla pomocí Microsoft Entra Připojení cloudové synchronizace.
Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
Až budete připraveni, vyberte Uložit.
PowerShell
Pomocí PowerShellu můžete povolit synchronizaci cloudu Microsoft Entra Připojení pomocí rutiny Set-AADCloudSyncSyncPasswordWritebackConfiguration na serverech s agenty zřizování. Budete potřebovat přihlašovací údaje globálního správce:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Vyčištění prostředků
Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Povolit zpětný zápis hesla pro synchronizované uživatele.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí Microsoft Entra Připojení cloudové synchronizace.
- Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
- Až budete připraveni, vyberte Uložit.
Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Připojení pro funkci zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Připojení Sync pro zpětný zápis, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí Microsoft Entra Připojení cloudové synchronizace.
- Až budete připraveni, vyberte Uložit.
PowerShell můžete také použít k zakázání cloudové synchronizace Microsoft Entra Připojení pro funkci zpětného zápisu SSPR z vašeho cloudového synchronizačního serveru Microsoft Entra Připojení cloud, spustit Set-AADCloudSyncPasswordWritebackConfiguration pomocí přihlašovacích údajů hybridní identity Správa istrator zakázat zpětný zápis hesla pomocí Microsoft Entra Připojení cloudové synchronizaci.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Podporované operace
Hesla se zapisují zpět v následujících situacích pro koncové uživatele a správce.
| Obchodní vztah | Podporované operace |
|---|---|
| Koncové uživatele | Jakákoli samoobslužná operace samoobslužné změny hesla pro koncové uživatele Jakákoli samoobslužná operace vynucení koncového uživatele může změnit operaci hesla, například vypršení platnosti hesla. Veškeré samoobslužné resetování hesla koncového uživatele, které pochází z resetování hesla. |
| Správci | Jakákoli samoobslužná operace samoobslužné změny hesla správce. Jakákoli samoobslužná operace vynucení správce změní heslo, například vypršení platnosti hesla. Samoobslužné resetování hesla správce, které pochází z resetování hesla. Jakékoli resetování hesla koncového uživatele iniciované správcem z Centra pro správu Microsoft Entra. Jakékoli resetování hesla koncového uživatele iniciované správcem z rozhraní Microsoft Graph API |
Nepodporované operace
Hesla se nezapisuje v následujících situacích.
| Obchodní vztah | Nepodporované operace |
|---|---|
| Koncové uživatele | Každý koncový uživatel resetuje vlastní heslo pomocí rutin PowerShellu nebo rozhraní Microsoft Graph API. |
| Správci | Jakékoli resetování hesla koncového uživatele iniciované správcem pomocí rutin PowerShellu Obnovení hesla koncového uživatele iniciované správcem z centra pro správu řešení Microsoft 365. Každý správce nemůže použít nástroj pro resetování hesla k resetování vlastního hesla ani k žádnému jinému Správa istratoru v Microsoft Entra ID pro zpětný zápis hesla. |
Ověřovací scénáře
Zkuste následující operace ověřit scénáře pomocí zpětného zápisu hesla. Všechny scénáře ověřování vyžadují instalaci cloudové synchronizace a uživatel je v oboru zpětného zápisu hesla.
| Scénář | Detaily |
|---|---|
| Resetování hesla z přihlašovací stránky | Mít dva uživatele z odpojených domén a doménových struktur provádějí samoobslužné resetování hesla. Můžete také mít nasazenou Připojení Microsoft Entra a cloudovou synchronizaci a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Připojení a nechat tyto uživatele resetovat heslo. |
| Vynucená změna hesla s vypršenou platností | Požádejte dva uživatele z odpojených domén a doménových struktur změnit hesla s vypršenou platností. Můžete také mít nasazené Připojení Microsoft Entra a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru microsoft Entra Připojení. |
| Běžná změna hesla | Mít dva uživatele z odpojených domén a doménových struktur provádět rutinní změnu hesla. Můžete mít také microsoft Entra Připojení a cloudovou synchronizaci vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Připojení. |
| Správa resetování hesla uživatele | Požádejte dva uživatele, aby odpojili domény a doménové struktury, resetovali heslo z Centra pro správu Microsoft Entra nebo z portálu pracovních procesů frontline. Můžete mít také microsoft Entra Připojení a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Připojení |
| Samoobslužné odemknutí účtu | Na portálu SSPR resetujte heslo dvěma uživateli z odpojených domén a doménových struktur. Můžete mít také microsoft Entra Připojení a cloudovou synchronizaci vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Připojení. |
Řešení problému
Účet spravované služby spravované služby skupiny synchronizace cloudu microsoft Entra Připojení by měl mít ve výchozím nastavení nastavená následující oprávnění pro zpětný zápis hesel:
- Resetování hesla
- Oprávnění k zápisu v lockoutTime
- Oprávnění k zápisu do pwdLastSet
- Rozšířená práva pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě není nastavena.
Pokud tato oprávnění nejsou nastavená, můžete pro účet služby nastavit oprávnění PasswordWriteBack pomocí rutiny Set-AADCloudSyncPermissions a přihlašovacích údajů místního podnikového správce:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po aktualizaci oprávnění může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.
Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být použita pro potomky objektů, aby funkce fungovala správně.
Zásady hesel v místním prostředí služby AD DS můžou bránit správnému zpracování resetování hesel. Pokud tuto funkci testujete a chcete resetovat heslo pro uživatele více než jednou denně, musí být zásada skupiny pro minimální stáří hesla nastavená na 0. Toto nastavení najdete v části Zásady > konfigurace > počítače systému Windows Nastavení > Zabezpečení Nastavení > Zásady hesel zásad > účtu v gpmc.msc.
Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz gpupdate /force.
Aby se hesla okamžitě změnila, musí být minimální stáří hesla nastaveno na 0. Pokud ale uživatelé dodržují místní zásady a minimální stáří hesla je nastavené na hodnotu větší než nula, zpětný zápis hesla po vyhodnocení místních zásad nebude fungovat.
Další informace o tom, jak ověřit nebo nastavit příslušná oprávnění, naleznete v tématu Konfigurace oprávnění účtu pro Microsoft Entra Připojení.
Další kroky
- Další informace o synchronizaci cloudu a porovnání mezi microsoft entra Připojení a cloudovou synchronizací najdete v tématu Co je Microsoft Entra Připojení cloud sync?
- Kurz nastavení zpětného zápisu hesla pomocí microsoft Entra Připojení najdete v kurzu: Povolení zpětného zápisu samoobslužného resetování hesla microsoft Entra do místního prostředí.