Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Poznámka:
Samoobslužné resetování hesla se zpětným zápisem pomocí cloudové synchronizace se nepodporuje v Microsoft Azure provozovaných společností 21Vianet. Místo toho můžou správci nasadit zpětný zápis SSPR pomocí synchronizace Microsoft Entra Connect.
Synchronizace cloudu Microsoft Entra může synchronizovat změny hesel v Microsoft Entra v reálném čase mezi uživateli v odpojených místních instalacích domén Active Directory Domain Services (AD DS). Microsoft Entra Cloudová synchronizace může běžet souběžně se službou Microsoft Entra Connect na úrovni domény, aby se zjednodušilo zpětný zápis hesla pro další scénáře, jako jsou uživatelé, kteří jsou v odpojených doménách kvůli rozdělení nebo sloučení společnosti. Jednotlivé služby v různých doménách můžete nakonfigurovat tak, aby cílily na různé sady uživatelů v závislosti na jejich potřebách. Microsoft Entra Cloudová synchronizace používá lehký agent pro zřizování cloudu Microsoft Entra, aby zjednodušil nastavení samoobslužného resetování hesla (SSPR) se zpětným zápisem a poskytl bezpečný způsob, jak odesílat změny hesel v cloudu zpět do místního adresáře.
Požadavky
- Tenant Microsoft Entra s povolenou alespoň Microsoft Entra ID P1 nebo zkušební licencí. V případě potřeby si ho vytvořte zdarma.
- Účet správce hybridní identity
- Microsoft Entra ID nakonfigurované pro samoobslužné resetování hesla. V případě potřeby dokončete tento kurz a povolte Microsoft Entra SSPR.
- Lokální prostředí AD DS nakonfigurované se synchronizací s cloudem Microsoft Entra verze 1.1.977.0 nebo novější. Přečtěte si, jak zjistit aktuální verzi agenta.
Postup nasazení
- Konfigurace oprávnění účtu služby Microsoft Entra Cloud Sync
- Povolit zpětné psaní hesla v cloudové synchronizaci Microsoft Entra Connect
- Povolení zpětného zápisu hesla pro SSPR
Konfigurace oprávnění účtu služby synchronizace cloudu Microsoft Entra
Oprávnění pro synchronizaci cloudu jsou ve výchozím nastavení nakonfigurovaná. Pokud je potřeba resetovat oprávnění, přečtěte si téma Řešení potíží s dalšími podrobnostmi o konkrétních oprávněních požadovaných pro zpětný zápis hesla a o tom, jak je nastavit pomocí PowerShellu.
Povolení zpětného zápisu hesla v SSPR
Zřizování cloudové synchronizace Microsoft Entra Connect můžete povolit přímo v centru pro správu Microsoft Entra nebo prostřednictvím PowerShellu.
Povolení zpětného zápisu hesla v centru pro správu Microsoft Entra
S povoleným zpětným zápisem hesel v cloudové synchronizaci Microsoft Entra Connect nyní ověřte a nakonfigurujte Microsoft Entra samoobslužné obnovení hesla (SSPR) pro potřeby zpětného zápisu hesel. Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.
Pokud chcete ověřit a povolit zpětný zápis hesla v SSPR, proveďte následující kroky:
Přihlaste se do centra pro správu Microsoft Entra alespoň jako Hybrid Identity Administrator.
Přejděte na Entra ID>Resetování hesla, poté zvolte integraci v místních podmínkách.
Zaškrtněte políčko Povolit zpětný zápis hesla pro synchronizované uživatele.
(volitelné) Pokud jsou zjištěni agenti zřizování Microsoft Entra Connect, můžete také povolit možnost Návrat hesel pomocí cloudové synchronizace Microsoft Entra Connect.
Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
Až budete připraveni, vyberte Uložit.
PowerShell
Pomocí PowerShellu můžete povolit synchronizaci cloudu Microsoft Entra Connect pomocí rutiny Set-AADCloudSyncPasswordWritebackConfiguration na serverech s agenty zřizování.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Vyčištění prostředků
Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:
- Přihlaste se do centra pro správu Microsoft Entra alespoň jako Hybrid Identity Administrator.
- Přejděte na Entra ID>Resetování hesla, poté zvolte integraci v místních podmínkách.
- Zrušte zaškrtnutí políčka Povolit zpětný zápis hesla pro synchronizované uživatele.
- Zrušte zaškrtnutí políčka pro Psat zpět hesla pomocí cloudové synchronizace Microsoft Entra Connect.
- Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
- Až budete připraveni, vyberte Uložit.
Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Connect pro funkce zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Connect Sync pro zpětný zápis, proveďte následující kroky:
- Přihlaste se do centra pro správu Microsoft Entra alespoň jako Hybrid Identity Administrator.
- Přejděte na Entra ID>Resetování hesla, poté zvolte integraci v místních podmínkách.
- Zrušte zaškrtnutí políčka pro Psat zpět hesla pomocí cloudové synchronizace Microsoft Entra Connect.
- Až budete připraveni, vyberte Uložit.
Pomocí PowerShellu můžete také zakázat cloudovou synchronizaci Microsoft Entra Connect pro funkci zpětného zápisu hesla (SSPR). Z vašeho cloudového synchronizačního serveru Microsoft Entra Connect spusťte Set-AADCloudSyncPasswordWritebackConfiguration s přihlašovacími údaji správce hybridní identity, abyste zakázali zpětný zápis hesla pomocí cloudové synchronizace Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Podporované operace
Hesla se zapisují zpět v následujících situacích pro koncové uživatele a správce.
| Účet | Podporované operace |
|---|---|
| Koncové uživatele | Jakákoli dobrovolná samoobslužná operace změny hesla pro koncové uživatele Jakákoli samoobslužná operace, kdy si koncový uživatel vynutí změnu hesla, například při vypršení platnosti hesla. Veškeré samoobslužné resetování hesla koncového uživatele, které pochází z resetování hesla. |
| Správci | Jakákoliv samoobslužná operace pro dobrovolnou změnu hesla administrátorem. Jakákoli samoobslužná operace změny hesla provedená správcem, například při vypršení platnosti hesla. Samoobslužné resetování hesla pro správce, které vychází z resetování hesla. Jakékoli resetování hesla koncového uživatele iniciované správcem z centra pro správu Microsoft Entra. Jakékoli resetování hesla koncového uživatele iniciované správcem z microsoft Graph API. |
Nepodporované operace
Hesla se nezapisují v následujících situacích.
| Účet | Nepodporované operace |
|---|---|
| Koncové uživatele | Každý koncový uživatel resetuje svoje vlastní heslo pomocí rutin PowerShellu nebo Microsoftu Graph API. |
| Správci | Jakékoli resetování hesla koncového uživatele iniciované správcem pomocí rutin PowerShellu Jakékoli resetování hesla koncového uživatele iniciované správcem z centra pro správu Microsoft 365. Žádný správce nemůže použít nástroj pro resetování hesla k resetování vlastního hesla ani hesla jakéhokoli jiného správce v Microsoft Entra ID při zpětném zápisu hesla. |
Ověřovací scénáře
Zkuste následující operace ověřit scénáře pomocí zpětného zápisu hesla. Všechny scénáře ověřování vyžadují, aby byla nainstalována synchronizace s cloudem a aby měl uživatel povoleno zpětné zápis hesla.
| Scénář | Detaily |
|---|---|
| Resetování hesla z přihlašovací stránky | Mějte dva uživatele z odpojených domén a lesů provádět samoobslužné resetování hesla. Můžete mít také nasazenou Microsoft Entra Connect a cloudovou synchronizaci a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a jiného v oboru Microsoft Entra Connect a nechat uživatele resetovat heslo. |
| Vynucená změna hesla s vypršenou platností | Nechte dva uživatele z nepropojených domén a lesů změnit hesla s vypršenou platností. Můžete mít také nasazenou Microsoft Entra Connect a cloudovou synchronizaci a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Běžná změna hesla | Nechat dva uživatele z odpojených domén a lesů domén provádět rutinní změnu hesla. Můžete mít také Microsoft Entra Connect a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Resetování hesla uživatele správcem | Požádejte dva uživatele, aby odpojili domény a doménové struktury, resetovali heslo z centra pro správu Microsoft Entra nebo z portálu pracovních procesů frontline. Můžete mít také vedle sebe Microsoft Entra Connect a cloudovou synchronizaci a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
| Samoobslužné odemknutí účtu | Nechte dva uživatele z odpojených domén a doménových struktur odemknout účty na portálu SSPR. Můžete mít také Microsoft Entra Connect a synchronizaci cloudu vedle sebe a mít jednoho uživatele v oboru konfigurace cloudové synchronizace a dalšího v oboru Microsoft Entra Connect. |
Řešení problému
Účet spravované služby Microsoft Entra Connect cloudové skupiny synchronizace by měl mít ve výchozím nastavení nastavená následující oprávnění pro zpětný zápis hesel:
- Resetování hesla
- Oprávnění k zápisu v lockoutTime
- Oprávnění k zápisu do pwdLastSet
- Rozšířená oprávnění pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě nejsou nastavena.
Pokud tato oprávnění nejsou nastavená, můžete pro účet služby nastavit oprávnění PasswordWriteBack pomocí rutiny Set-AADCloudSyncPermissions a přihlašovacích údajů místního podnikového správce:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po aktualizaci oprávnění může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.
Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být použita pro potomky objektů, aby funkce fungovala správně.
Zásady hesel v místním prostředí SLUŽBY AD DS můžou bránit správnému zpracování resetování hesel. Pokud tuto funkci testujete a chcete resetovat heslo pro uživatele více než jednou denně, musí být zásada skupiny pro minimální stáří hesla nastavená na 0. Toto nastavení najdete v části Konfigurace počítače > Zásady > Windows Nastavení > Nastavení zabezpečení > Zásady účtu > Zásady hesel v rámci gpmc.msc.
Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte příkaz gpupdate /force.
Aby se hesla okamžitě změnila, musí být minimální stáří hesla nastaveno na 0. Pokud ale uživatelé dodržují místní zásady a minimální stáří hesla je nastavené na hodnotu větší než nula, zpětný zápis hesla po vyhodnocení místních zásad nebude fungovat.
Další informace o tom, jak ověřit nebo nastavit příslušná oprávnění, najdete v tématu Konfigurování oprávnění účtu pro Microsoft Entra Connect.
Další kroky
- Další informace o synchronizaci cloudů a porovnání mezi Microsoft Entra Connect a cloudovou synchronizací najdete v tématu Co je synchronizace cloudů Microsoft Entra Connect?
- Pro návod na nastavení zpětného zápisu hesla pomocí Microsoft Entra Connect viz Tutorial: Povolení samoobslužného resetování hesla pomocí Microsoft Entra pro zpětný zápis do místního prostředí.