Kurz: Povolení zpětného zápisu samoobslužného resetování hesla Microsoft Entra do místního prostředí

S samoobslužným resetováním hesla Microsoft Entra (SSPR) můžou uživatelé aktualizovat heslo nebo odemknout svůj účet pomocí webového prohlížeče. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID. V hybridním prostředí, kde je ID Microsoft Entra připojené k prostředí místní Active Directory Domain Services (AD DS), může tento scénář způsobit, že se hesla mezi těmito dvěma adresáři liší.

Zpětný zápis hesla se dá použít k synchronizaci změn hesel v Microsoft Entra zpět do místního prostředí SLUŽBY AD DS. Microsoft Entra Připojení poskytuje zabezpečený mechanismus pro odesílání těchto změn hesel zpět do existujícího místního adresáře z Id Microsoft Entra.

Důležité

V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla zpět do místního prostředí. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .

Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.

V tomto kurzu se naučíte:

• Konfigurace požadovaných oprávnění pro zpětný zápis hesla
• Povolení možnosti zpětného zápisu hesla v Microsoft Entra Připojení
• Povolení zpětného zápisu hesla v Microsoft Entra SSPR

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Funkční tenant Microsoft Entra s alespoň povolenou zkušební licencí Microsoft Entra ID P1 nebo zkušební licencí.
  • V případě potřeby si ho vytvořte zdarma.
  • Další informace najdete v tématu Licenční požadavky pro Microsoft Entra SSPR.
• Účet s hybridní identitou Správa istrator.
• Id Microsoft Entra nakonfigurované pro samoobslužné resetování hesla
  • V případě potřeby dokončete předchozí kurz povolení samoobslužného resetování hesla v Microsoft Entra.
• Stávající místní prostředí SLUŽBY AD DS nakonfigurované s aktuální verzí služby Microsoft Entra Připojení.
  • V případě potřeby nakonfigurujte Microsoft Entra Připojení pomocí expresního nebo vlastního nastavení.
  • Pokud chcete použít zpětný zápis hesla, řadiče domény můžou používat libovolnou podporovanou verzi Windows Serveru.

Konfigurace oprávnění účtu pro Připojení Microsoft Entra

Microsoft Entra Připojení umožňuje synchronizovat uživatele, skupiny a přihlašovací údaje mezi místním prostředím AD DS a Microsoft Entra ID. Microsoft Entra Připojení obvykle nainstalujete na počítač s Windows Serverem 2016 nebo novějším připojeným k místní doméně SLUŽBY AD DS.

Aby bylo možné správně pracovat se zpětným zápisem SSPR, musí mít účet zadaný v Microsoft Entra Připojení nastavená příslušná oprávnění a možnosti. Pokud si nejste jistí, který účet se právě používá, otevřete Microsoft Entra Připojení a vyberte možnost Zobrazit aktuální konfiguraci. Účet, ke kterému potřebujete přidat oprávnění, je uvedený v části Synchronizované adresáře. Pro účet musí být nastavená následující oprávnění a možnosti:

• Resetování hesla
• Změnit heslo
• Oprávnění k zápisu na lockoutTime
• Oprávnění k zápisu na pwdLastSet
• Rozšířená práva pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě není nastavena.

Pokud tato oprávnění nepřiřadíte, může se zdát, že zpětný zápis je správně nakonfigurovaný, ale uživatelé při správě místních hesel z cloudu narazí na chyby. Když ve službě Active Directory nastavíte oprávnění Unexpire Password, musí být použita pro tento objekt a všechny potomky, pouze tento objekt nebo všechny potomky nebo nelze zobrazit oprávnění Unexpire Password.

Tip

Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být použita pro potomky objektů, aby funkce fungovala správně.

Pokud chcete nastavit odpovídající oprávnění pro zpětný zápis hesla, proveďte následující kroky:

1. V místním prostředí služby AD DS otevřete Uživatelé a počítače služby Active Directory s účtem, který má příslušná oprávnění správce domény.

2. V nabídce Zobrazení se ujistěte, že jsou zapnuté pokročilé funkce.

3. V levém panelu vyberte objekt, který představuje kořen domény, a vyberte Vlastnosti>Zabezpečení>upřesnit.

4. Na kartě Oprávnění vyberte Přidat.

5. V případě objektu zabezpečení vyberte účet, na který se mají použít oprávnění (účet používaný microsoftem Entra Připojení).

6. V rozevíracím seznamu Platí pro vyberte objekty potomků uživatele.

7. V části Oprávnění zaškrtněte políčko pro následující možnost:

   • Resetování hesla

8. V části Vlastnosti vyberte pole pro následující možnosti. Projděte si seznam a vyhledejte tyto možnosti, které už můžou být ve výchozím nastavení nastavené:

   • Doba uzamčení zápisu
   • Psaní pwdLastSet

   

9. Až budete připraveni, vyberte Použít nebo OK , aby se změny použily.

10. Na kartě Oprávnění vyberte Přidat.

11. V případě objektu zabezpečení vyberte účet, na který se mají použít oprávnění (účet používaný microsoftem Entra Připojení).

12. V rozevíracím seznamu Platí pro vyberte Tento objekt a všechny potomky.

13. V části Oprávnění zaškrtněte políčko pro následující možnost:

    • Zrušit vypršení hesla

14. Až budete připraveni, vyberte Použít /OK , aby se změny použily, a ukončete všechna otevřená dialogová okna.

Když aktualizujete oprávnění, může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.

Zásady hesel v místním prostředí služby AD DS můžou bránit správnému zpracování resetování hesel. Aby zpětný zápis hesla fungoval nejefektivněji, musí být zásady skupiny pro minimální stáří hesla nastaveny na 0. Toto nastavení najdete v části Zásady konfigurace počítače systému Windows Nastavení > Zabezpečení Nastavení > Zásady účtu v rámci gpmc.msc.>>

Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte gpupdate /force příkaz.

Poznámka:

Pokud potřebujete uživatelům povolit změnu nebo resetování hesel více než jednou denně, musí být minimální stáří hesla nastaveno na 0. Zpětný zápis hesla bude fungovat po úspěšném vyhodnocení místních zásad hesel.

Povolení zpětného zápisu hesla v microsoft entra Připojení

Jednou z možností konfigurace v Microsoft Entra Připojení je zpětný zápis hesla. Pokud je tato možnost povolená, události změny hesel způsobí, že Microsoft Entra Připojení synchronizovat aktualizované přihlašovací údaje zpět do místního prostředí SLUŽBY AD DS.

Chcete-li povolit zpětný zápis SSPR, nejprve povolte možnost zpětného zápisu v Microsoft Entra Připojení. Na serveru Microsoft Entra Připojení proveďte následující kroky:

1. Přihlaste se ke svému serveru Microsoft Entra Připojení a spusťte průvodce konfigurací Microsoft Entra Připojení.
2. Na úvodní stránce vyberte Konfigurovat.
3. Na stránce Další úlohy vyberte Přizpůsobit možnosti synchronizace a potom vyberte Další.
4. Na stránce Připojení na ID Microsoft Entra zadejte globální přihlašovací údaje Správa istrator pro vašeho tenanta Azure a pak vyberte Další.
5. Na stránkách filtrování Připojení adresářů a Doména či organizační jednotka vyberte Další.
6. Na stránce Volitelné funkce vyberte políčko vedle Zpětný zápis hesla a vyberte Další.
7. Na stránce Rozšíření adresáře vyberte Další.
8. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
9. Až se konfigurace dokončí, vyberte Ukončit.

Povolení zpětného zápisu hesla pro SSPR

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

S povoleným zpětným zápisem hesla v Microsoft Entra Připojení teď nakonfigurujte Microsoft Entra SSPR pro zpětný zápis. SSPR je možné nakonfigurovat pro zpětný zápis prostřednictvím agentů Microsoft Entra Připojení Sync a agentů zřizování Microsoft Entra Připojení (synchronizace cloudu). Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.

Pokud chcete povolit zpětný zápis hesla v SSPR, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální Správa istrator.
2. Přejděte k resetování hesla ochrany>a zvolte místní integraci.
3. Zaškrtněte políčko Pro zápis hesel do místního adresáře .
4. (volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Připojení, můžete také zkontrolovat možnost Zapisovat zpět hesla pomocí Microsoft Entra Připojení cloudové synchronizace.
5. Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
6. Až budete připraveni, vyberte Uložit.

Vyčištění prostředků

Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální Správa istrator.
2. Přejděte k resetování hesla ochrany>a zvolte místní integraci.
3. Zrušte zaškrtnutí políčka Pro zápis hesel do místního adresáře.
4. Zrušte zaškrtnutí políčka Pro zápis hesel pomocí Microsoft Entra Připojení cloudové synchronizace.
5. Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
6. Až budete připraveni, vyberte Uložit.

Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Připojení pro funkci zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Připojení Sync pro zpětný zápis, proveďte následující kroky:

1. Přihlaste se do Centra pro správu Microsoft Entra jako globální Správa istrator.
2. Přejděte k resetování hesla ochrany>a zvolte místní integraci.
3. Zrušte zaškrtnutí políčka Pro zápis hesel pomocí Microsoft Entra Připojení cloudové synchronizace.
4. Až budete připraveni, vyberte Uložit.

Pokud už nechcete používat žádné funkce hesel, proveďte následující kroky ze serveru Microsoft Entra Připojení:

1. Přihlaste se ke svému serveru Microsoft Entra Připojení a spusťte průvodce konfigurací Microsoft Entra Připojení.
2. Na úvodní stránce vyberte Konfigurovat.
3. Na stránce Další úlohy vyberte Přizpůsobit možnosti synchronizace a potom vyberte Další.
4. Na stránce Připojení na ID Microsoft Entra zadejte přihlašovací údaje globálního správce pro vašeho tenanta Azure a pak vyberte Další.
5. Na stránkách filtrování Připojení adresářů a Doména či organizační jednotka vyberte Další.
6. Na stránce Volitelné funkce zrušte zaškrtnutí políčka vedle zpětného zápisu hesla a vyberte Další.
7. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
8. Až se konfigurace dokončí, vyberte Ukončit.

Důležité

Povolení zpětného zápisu hesla může poprvé aktivovat události změny hesla 656 a 657, i když nedošlo ke změně hesla. Důvodem je to, že se všechny hodnoty hash hesel znovu synchronizují po spuštění cyklu synchronizace hodnot hash hesel.

Další kroky

V tomto kurzu jste povolili zpětný zápis Microsoft Entra SSPR do místního prostředí SLUŽBY AD DS. Naučili jste se:

• Konfigurace požadovaných oprávnění pro zpětný zápis hesla
• Povolení možnosti zpětného zápisu hesla v Microsoft Entra Připojení
• Povolení zpětného zápisu hesla v Microsoft Entra SSPR

Hodnocení rizika při přihlášení