Kurz: Povolení zpětného zápisu samoobslužného resetování hesla synchronizace cloudu do místního prostředí
Synchronizace cloudu Microsoft Entra Connect může synchronizovat změny hesel Microsoft Entra v reálném čase mezi uživateli v odpojených doménách místní Active Directory Domain Services (AD DS). Cloudová synchronizace Microsoft Entra Connect může běžet souběžně se službou Microsoft Entra Connect na úrovni domény, aby se zjednodušilo zpětný zápis hesla pro další scénáře, jako jsou uživatelé, kteří jsou v odpojených doménách kvůli rozdělení nebo sloučení společnosti. Jednotlivé služby v různých doménách můžete nakonfigurovat tak, aby cílily na různé sady uživatelů v závislosti na jejich potřebách. Cloudová synchronizace Microsoft Entra Connect využívá odlehčený agent zřizování cloudu Microsoft Entra ke zjednodušení nastavení zpětného zápisu hesla samoobslužného resetování hesla (SSPR) a poskytuje bezpečný způsob odesílání změn hesel v cloudu zpět do místního adresáře.
Požadavky
- Tenant Microsoft Entra s povolenou alespoň licencí Microsoft Entra ID P1 nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
- Účet správce hybridní identity
- Id Microsoft Entra nakonfigurované pro samoobslužné resetování hesla V případě potřeby dokončete tento kurz a povolte Microsoft Entra SSPR.
- Místní prostředí SLUŽBY AD DS nakonfigurované s cloudovou synchronizací Microsoft Entra Connect verze 1.1.977.0 nebo novější. Zjistěte, jak identifikovat aktuální verzi agenta. V případě potřeby nakonfigurujte synchronizaci cloudu Microsoft Entra Connect pomocí tohoto kurzu.
Kroky nasazení
- Konfigurace oprávnění účtu cloudové synchronizační služby Microsoft Entra Connect
- Povolení zpětného zápisu hesla v cloudové synchronizaci Microsoft Entra Connect
- Povolení zpětného zápisu hesla pro SSPR
Konfigurace oprávnění účtu cloudové synchronizační služby Microsoft Entra Connect
Oprávnění pro synchronizaci cloudu jsou ve výchozím nastavení nakonfigurovaná. Pokud je potřeba resetovat oprávnění, přečtěte si téma Řešení potíží s dalšími podrobnostmi o konkrétních oprávněních požadovaných pro zpětný zápis hesla a o tom, jak je nastavit pomocí PowerShellu.
Povolení zpětného zápisu hesla v SSPR
Zřizování cloudové synchronizace Microsoft Entra Connect můžete povolit přímo v Centru pro správu Microsoft Entra nebo prostřednictvím PowerShellu.
Povolení zpětného zápisu hesla v Centru pro správu Microsoft Entra
Spropitné
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
S povoleným zpětným zápisem hesla v cloudové synchronizaci Microsoft Entra Connect teď ověřte a nakonfigurujte samoobslužné resetování hesla Microsoft Entra (SSPR) pro zpětný zápis hesla. Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.
Pokud chcete ověřit a povolit zpětný zápis hesla v SSPR, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
Přejděte k resetování hesla ochrany>a zvolte místní integraci.
Zaškrtněte políčko Povolit zpětný zápis hesla pro synchronizované uživatele.
(volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Connect, můžete také zkontrolovat možnost Zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
Až budete připraveni, vyberte Uložit.
PowerShell
Pomocí PowerShellu můžete povolit synchronizaci cloudu Microsoft Entra Connect pomocí rutiny Set-AADCloudSyncSyncPasswordWritebackConfiguration na serverech s agenty zřizování.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Vyčištění prostředků
Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Povolit zpětný zápis hesla pro synchronizované uživatele.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
- Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
- Až budete připraveni, vyberte Uložit.
Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Connect pro funkce zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Connect Sync pro zpětný zápis, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
- Až budete připraveni, vyberte Uložit.
Pomocí PowerShellu můžete také zakázat cloudovou synchronizaci Microsoft Entra Connect pro funkce zpětného zápisu SSPR z cloudového synchronizačního serveru Microsoft Entra Connect a spustit Set-AADCloudSyncPasswordWritebackConfiguration pomocí přihlašovacích údajů správce hybridní identity k zakázání zpětného zápisu hesla pomocí cloudové synchronizace Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Podporované operace
Hesla se zapisují zpět v následujících situacích pro koncové uživatele a správce.
| Účet | Podporované operace |
|---|---|
| Koncoví uživatelé | Jakákoli samoobslužná operace samoobslužné změny hesla pro koncové uživatele Jakákoli samoobslužná operace vynucení koncového uživatele může změnit operaci hesla, například vypršení platnosti hesla. Veškeré samoobslužné resetování hesla koncového uživatele, které pochází z resetování hesla. |
| Správci | Jakákoli samoobslužná operace samoobslužné změny hesla správce. Jakákoli samoobslužná operace vynucení správce změní heslo, například vypršení platnosti hesla. Samoobslužné resetování hesla správce, které pochází z resetování hesla. Jakékoli resetování hesla koncového uživatele iniciované správcem z Centra pro správu Microsoft Entra. Jakékoli resetování hesla koncového uživatele iniciované správcem z rozhraní Microsoft Graph API |
Nepodporované operace
Hesla se nezapisuje v následujících situacích.
| Účet | Nepodporované operace |
|---|---|
| Koncoví uživatelé | Každý koncový uživatel resetuje vlastní heslo pomocí rutin PowerShellu nebo rozhraní Microsoft Graph API. |
| Správci | Jakékoli resetování hesla koncového uživatele iniciované správcem pomocí rutin PowerShellu Jakékoli resetování hesla koncového uživatele iniciované správcem z Centrum pro správu Microsoftu 365. Každý správce nemůže použít nástroj pro resetování hesla k resetování vlastního hesla nebo jiného správce v Microsoft Entra ID pro zpětný zápis hesla. |
Scénáře ověřování
Zkuste následující operace ověřit scénáře pomocí zpětného zápisu hesla. Všechny scénáře ověřování vyžadují instalaci cloudové synchronizace a uživatel je v oboru zpětného zápisu hesla.
| Scénář | Podrobnosti |
|---|---|
| Resetování hesla z přihlašovací stránky | Mít dva uživatele z odpojených domén a doménových struktur provádějí samoobslužné resetování hesla. Můžete mít také nasazenou synchronizaci Microsoft Entra Connect a cloudovou synchronizaci vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru služby Microsoft Entra Connect a nechat uživatele resetovat heslo. |
| Vynucená změna hesla s vypršenou platností | Požádejte dva uživatele z odpojených domén a doménových struktur změnit hesla s vypršenou platností. Můžete mít také nasazenou synchronizaci Microsoft Entra Connect a cloudovou synchronizaci vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Běžná změna hesla | Mít dva uživatele z odpojených domén a doménových struktur provádět rutinní změnu hesla. Můžete mít také microsoft Entra Connect a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Resetování hesla uživatele správcem | Požádejte dva uživatele, aby odpojili domény a doménové struktury, resetovali heslo z Centra pro správu Microsoft Entra nebo z portálu pracovních procesů frontline. Můžete mít také microsoft Entra Connect a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Samoobslužné odemknutí účtu | Na portálu SSPR resetujte heslo dvěma uživateli z odpojených domén a doménových struktur. Můžete mít také microsoft Entra Connect a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
Řešení problémů
Účet spravované služby ve skupině synchronizace cloudu Microsoft Entra Connect by měl mít ve výchozím nastavení nastavená následující oprávnění pro zpětný zápis hesel:
- Resetování hesla
- Oprávnění k zápisu v lockoutTime
- Oprávnění k zápisu do pwdLastSet
- Rozšířená práva pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě není nastavena.
Pokud tato oprávnění nejsou nastavená, můžete pro účet služby nastavit oprávnění PasswordWriteBack pomocí rutiny Set-AADCloudSyncPermissions a přihlašovacích údajů místního podnikového správce:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po aktualizaci oprávnění může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.
Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být použita pro potomky objektů, aby funkce fungovala správně.
Zásady hesel v místním prostředí služby AD DS můžou bránit správnému zpracování resetování hesel. Pokud tuto funkci testujete a chcete resetovat heslo pro uživatele více než jednou denně, musí být zásada skupiny pro minimální stáří hesla nastavená na 0. Toto nastavení najdete v části Zásady konfigurace > počítače v části Zásady > zabezpečení nastavení > > zabezpečení zásady > účtu zásad hesel zásad zabezpečení v nástroji gpmc.msc.
Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz gpupdate /force.
Aby se hesla okamžitě změnila, musí být minimální stáří hesla nastaveno na 0. Pokud ale uživatelé dodržují místní zásady a minimální stáří hesla je nastavené na hodnotu větší než nula, zpětný zápis hesla po vyhodnocení místních zásad nebude fungovat.
Další informace o tom, jak ověřit nebo nastavit příslušná oprávnění, naleznete v tématu Konfigurace oprávnění účtu pro Microsoft Entra Connect.
Další kroky
- Další informace o synchronizaci cloudu a porovnání mezi Microsoft Entra Connect a cloudovou synchronizací najdete v tématu Co je cloudová synchronizace Microsoft Entra Connect?
- Kurz nastavení zpětného zápisu hesla pomocí služby Microsoft Entra Connect najdete v kurzu : Povolení zpětného zápisu samoobslužného resetování hesla Microsoft Entra do místního prostředí.