Tutoriel : activer la réécriture et la réinitialisation de mot de passe en libre-service Microsoft Entra dans un environnement local

Avec la réinitialisation du mot de passe en libre-service (SSPR) Microsoft Entra, les utilisateurs peuvent mettre à jour leur mot de passe ou déverrouiller leur compte en utilisant un navigateur web. Nous vous recommandons cette vidéo sur Comment activer et configurer la SSPR dans Microsoft Entra ID. Dans un environnement hybride, où Microsoft Entra ID est connecté à un environnement Active Directory Domain Services (AD DS) local, ce scénario peut entraîner une différence entre les mots de passe des deux annuaires.

La réécriture du mot de passe peut être utilisée pour synchroniser les changements de mot de passe dans Microsoft Entra sur votre environnement AD DS local. Microsoft Entra Connect fournit un mécanisme sécurisé qui renvoie ces changements de mot de passe à un annuaire local existant de Microsoft Entra ID.

Important

Ce tutoriel montre à un administrateur comment réactiver la réinitialisation de mot de passe en libre-service dans un environnement local. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Dans ce tutoriel, vous allez apprendre à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Microsoft Entra Connect
• Activer la réécriture du mot de passe dans la réinitialisation de mot de passe en libre-service Microsoft Entra

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un locataire Microsoft Entra opérationnel avec au moins une licence Microsoft Entra ID P1 ou disposant d’une licence d’essai gratuit activée.
  • Si nécessaire, créez-en un gratuitement.
  • Pour plus d’informations, consultez Conditions de licence pour la réinitialisation de mot de passe en libre-service Microsoft Entra.
• Un compte Administrateur d’identité hybride.
• Microsoft Entra ID configuré pour la réinitialisation du mot de passe en libre-service.
  • Si nécessaire, complétez le tutoriel précédent pour activer la réinitialisation de mot de passe en libre-service Microsoft Entra.
• Un environnement AD DS local existant, configuré avec une version actuelle de Microsoft Entra Connect.
  • Si nécessaire, configurez Microsoft Entra Connect en utilisant la configuration Rapide ou Personnalisée.
  • Pour utiliser la réécriture du mot de passe, les contrôleurs de domaine peuvent exécuter n’importe quelle version prise en charge de Windows Server.

Configurer les autorisations de compte pour Microsoft Entra Connect

Microsoft Entra Connect vous permet de synchroniser utilisateurs, groupes et informations d’identification entre un environnement AD DS local et Microsoft Entra ID. Généralement, vous installez Microsoft Entra Connect sur un ordinateur Windows Server 2016 ou version ultérieure joint au domaine AD DS local.

Pour fonctionner correctement avec la réécriture SSPR, le compte spécifié dans Microsoft Entra Connect doit disposer des autorisations et options appropriées définies. Si vous ne savez pas quel compte est actuellement utilisé, ouvrez Microsoft Entra Connect et sélectionnez l’option Afficher la configuration actuelle. Le compte auquel vous devez ajouter des autorisations est listé sous Annuaires synchronisés. Les autorisations et options suivantes doivent être définies sur le compte :

• Réinitialiser le mot de passe
• Modifier le mot de passe
• Autorisations en écriture sur lockoutTime
• Autorisations en écriture sur pwdLastSet
• Droits étendus pour « Ne pas faire expirer le mot de passe » sur l’objet racine de chaque domaine de cette forêt, s’il n’est pas déjà défini.

Si vous n’attribuez pas ces autorisations, la réécriture peut sembler être configurée correctement, mais les utilisateurs rencontrent des erreurs quand ils gèrent leurs mots de passe locaux à partir du cloud. Lors de la définition des autorisations « Ne pas faire expirer le mot de passe » dans Active Directory, vous devez les appliquer à Cet objet et tous les objets descendants, Cet objet uniquement ou Tous les objets descendants, ou l’autorisation « Ne pas faire expirer le mot de passe » ne pourra pas être affichée.

Conseil

Si les mots de passe de certains comptes d’utilisateur ne sont pas réécrits dans l’annuaire local, vérifiez que l’héritage n’est pas désactivé pour le compte dans l’environnement local AD DS. Les autorisations d’écriture pour les mots de passe doivent être appliquées aux objets descendants pour que la fonctionnalité fonctionne correctement.

Afin de configurer les autorisations appropriées pour l’écriture différée de mot de passe, procédez comme suit :

1. Dans votre environnement AD DS local, ouvrez Utilisateurs et ordinateurs Active Directory avec un compte disposant des autorisations d’administrateur de domaine appropriées.

2. Dans le menu Affichage, assurez-vous que l’option Fonctionnalités avancées est activée.

3. Dans le volet gauche, cliquez avec le bouton droit sur l’objet représentant la racine du domaine, puis sélectionnez Propriétés>Sécurité>Avancée.

4. Dans l’onglet Autorisations, sélectionnez Ajouter.

5. Pour Principal, sélectionnez le compte auquel les autorisations doivent être appliquées (compte utilisé par Microsoft Entra Connect).

6. Dans la liste déroulante S’applique à, sélectionnez Objets utilisateur descendants.

7. Sous Autorisations, cochez la case correspondant à l’option suivante :

   • Réinitialiser le mot de passe

8. Sous Propriétés, cochez les cases correspondant aux options suivantes. Faites défiler la liste pour rechercher ces options, qui peuvent être déjà définies par défaut :

   • Écrire lockoutTime
   • Écrire pwdLastSet

   

9. Lorsque vous êtes prêt, sélectionnez Appliquer/OK pour appliquer les modifications.

10. Dans l’onglet Autorisations, sélectionnez Ajouter.

11. Pour Principal, sélectionnez le compte auquel les autorisations doivent être appliquées (compte utilisé par Microsoft Entra Connect).

12. Dans la liste déroulante Appliquer à, sélectionnez Cet objet et tous ceux descendants.

13. Sous Autorisations, cochez la case correspondant à l’option suivante :

    • Ne pas faire expirer le mot de passe

14. Lorsque vous êtes prêt, sélectionnez Appliquer / OK pour appliquer les changements et fermer les boîtes de dialogue ouvertes.

Lorsque vous mettez à jour des autorisations, la réplication de ces autorisations pour tous les objets de l’annuaire peut durer une heure ou plus.

Les stratégies de mot de passe dans l’environnement AD DS local peuvent empêcher le traitement correct des réinitialisations de mot de passe. Pour que la réécriture du mot de passe fonctionne le plus efficacement possible, la stratégie de groupe pour Âge minimal du mot de passe doit être définie sur 0. Ce paramètre se trouve sous Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte dans gpmc.msc.

Si vous mettez à jour la stratégie de groupe, attendez la réplication de la stratégie mise à jour ou utilisez la commande gpupdate /force.

Notes

Si vous devez autoriser les utilisateurs à modifier ou à réinitialiser les mots de passe plus d’une fois par jour, la durée de vie minimale du mot de passe doit être définie sur 0. La réécriture du mot de passe fonctionnera une fois que les stratégies de mot de passe locales auront été évaluées.

Activer la réécriture du mot de passe dans Microsoft Entra Connect

Une des options de configuration dans Microsoft Entra Connect concerne la réécriture du mot de passe. Lorsque cette option est activée, les événements de changement de mot de passe amènent Microsoft Entra Connect à synchroniser les informations d’identification mises à jour dans l’environnement AD DS local.

Pour activer la réécriture SSPR, commencez par activer l’option de réécriture dans Microsoft Entra Connect. À partir de votre serveur Microsoft Entra Connect, effectuez les étapes suivantes :

1. Connectez-vous à votre serveur Microsoft Entra Connect et démarrez l’Assistant Configuration Microsoft Entra Connect.
2. Sur la page d’accueil, sélectionnez Configurer.
3. Sur la page Tâches supplémentaires, sélectionnez Personnalisation des options de synchronisation, puis cliquez sur Suivant.
4. Dans la page Connexion à Microsoft Entra ID, entrez les informations d’identification d’Administrateur général pour votre locataire Azure et sélectionnez Suivant.
5. Sur les pages Connexion des annuaires et Filtrage par domaine/unité d’organisation, sélectionnez Suivant.
6. Sur la page Fonctionnalités facultatives, cochez la case située à côté de l’option Écriture différée de mot de passe, puis sélectionnez Suivant.
7. Sur la page Extensions de répertoire, sélectionnez Suivant.
8. Sur la page Prêt à configurer, sélectionnez Configurer et attendez la fin du processus.
9. Lorsque la configuration prend fin, sélectionnez Quitter.

Activer la réécriture du mot de passe pour SSPR

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Avec la réécriture du mot de passe activée dans Microsoft Entra Connect, configurez maintenant Microsoft Entra SSPR pour la réécriture. SSPR peut être configuré pour l’écriture différée via des agents de synchronisation et d’approvisionnement de Microsoft Entra Connect (synchronisation cloud). Lorsque vous autorisez l’utilisation par SSPR de la réécriture du mot de passe, les utilisateurs qui changent ou réinitialisent leur mot de passe bénéficient également de la synchronisation du mot de passe mis à jour dans l’environnement AD DS local.

Pour activer la réécriture du mot de passe dans SSPR, procédez comme suit :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur global.
2. Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
3. Activez l’option Réécrire les mots de passe dans votre annuaire local.
4. (facultatif) Si des agents d'approvisionnement Microsoft Entra Connect sont détectés, vous pouvez en outre activer l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
5. Activez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
6. Quand vous êtes prêt, sélectionnez Enregistrer.

Nettoyer les ressources

Si vous décidez de ne plus utiliser la fonctionnalité de réécriture de SSPR que vous avez configurée dans ce tutoriel, effectuez les étapes suivantes :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur global.
2. Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
3. Désactivez l’option Réécrire les mots de passe dans votre annuaire local.
4. Désactivez l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
5. Désactivez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
6. Quand vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser la synchronisation cloud Microsoft Entra Connect pour la fonctionnalité d'écriture différée SSPR, mais souhaitez continuer à utiliser l'agent de synchronisation Microsoft Entra Connect pour les écritures différées, procédez comme suit :

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur global.
2. Accédez à Protection>Réinitialisation du mot de passe, puis choisissez Intégration locale.
3. Désactivez l'option Réécrire les mots de passe avec la synchronisation cloud Microsoft Entra Connect.
4. Quand vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser de fonctionnalités de mot de passe, effectuez les étapes suivantes à partir de votre serveur Microsoft Entra Connect :

1. Connectez-vous à votre serveur Microsoft Entra Connect et démarrez l’Assistant Configuration Microsoft Entra Connect.
2. Sur la page d’accueil, sélectionnez Configurer.
3. Sur la page Tâches supplémentaires, sélectionnez Personnalisation des options de synchronisation, puis cliquez sur Suivant.
4. Dans la page Connexion à Microsoft Entra ID, entrez les informations d’identification d’administrateur général pour votre locataire Azure et sélectionnez Suivant.
5. Sur les pages Connexion des annuaires et Filtrage par domaine/unité d’organisation, sélectionnez Suivant.
6. Dans la page Fonctionnalités facultatives, décochez la case située en regard de l’option Réécriture du mot de passe, puis sélectionnez Suivant.
7. Sur la page Prêt à configurer, sélectionnez Configurer et attendez la fin du processus.
8. Lorsque la configuration prend fin, sélectionnez Quitter.

Important

La première activation de la réécriture du mot de passe peut déclencher des événements de changement de mot de passe 656 et 657, même si aucun changement de mot de passe n’a eu lieu. C’est dû au fait que tous les hachages de mot de passe sont resynchronisés après l’exécution d’un cycle de synchronisation de hachage de mot de passe.

Étapes suivantes

Dans ce tutoriel, vous avez activé la réécriture SSPR Microsoft Entra dans un environnement AD DS local. Vous avez appris à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Microsoft Entra Connect
• Activer la réécriture du mot de passe dans la réinitialisation de mot de passe en libre-service Microsoft Entra

Évaluer les risques lors de la connexion