Tutoriel : Activer la réécriture de la réinitialisation du mot de passe en libre-service Azure Active Directory dans un environnement local

Avec SSPR Azure AD, la réinitialisation du mot de passe en libre-service Azure Active Directory, les utilisateurs peuvent mettre à jour leur mot de passe ou déverrouiller leur compte en utilisant un navigateur web. Nous vous recommandons de regarder cette vidéo sur la façon d’activer et de configurer SSPR dans Azure AD. Dans un environnement hybride, où Azure AD est connecté à un environnement Active Directory Domain Services (AD DS) local, ce scénario peut entraîner une différence entre les mots de passe des deux annuaires.

La réécriture du mot de passe peut être utilisée pour synchroniser les changements de mot de passe dans Azure AD sur votre environnement AD DS local. Azure AD Connect fournit un mécanisme sécurisé qui renvoie ces changements de mot de passe à un annuaire local existant d’Azure AD.

Important

Ce tutoriel montre à un administrateur comment réactiver la réinitialisation de mot de passe en libre-service dans un environnement local. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Dans ce tutoriel, vous allez apprendre à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Azure AD Connect
• Activer la réécriture du mot de passe dans SSPR Azure AD

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un locataire Azure AD actif avec au moins un abonnement Azure AD Premium P1 ou une licence d’évaluation activée.
  • Si nécessaire, créez-en un gratuitement.
  • Pour plus d’informations, consultez Conditions de licence pour la réinitialisation de mot de passe en libre-service Azure AD.
• Un compte Administrateur d’identité hybride.
• Azure AD configuré pour la réinitialisation du mot de passe en libre-service.
  • Si nécessaire, suivez le tutoriel précédent pour activer la réinitialisation de mot de passe en libre-service Azure AD.
• Un environnement AD DS local existant, configuré avec une version actuelle d’Azure AD Connect.
  • Si nécessaire, configurez Azure AD Connect en utilisant la configuration Rapide ou Personnalisée.
  • Pour utiliser la réécriture du mot de passe, les contrôleurs de domaine peuvent exécuter n’importe quelle version prise en charge de Windows Server.

Configurer les autorisations de compte pour Azure AD Connect

Azure AD Connect vous permet de synchroniser utilisateurs, groupes et informations d’identification entre un environnement AD DS local et Azure AD. Généralement, vous installez Azure AD Connect sur un ordinateur Windows Server 2016 ou version ultérieure joint au domaine AD DS local.

Pour fonctionner correctement avec la réécriture SSPR, le compte spécifié dans Azure AD Connect doit disposer des autorisations et options appropriées définies. Si vous ne savez pas quel compte est actuellement utilisé, ouvrez Azure AD Connect et sélectionnez l’option Afficher la configuration actuelle. Le compte auquel vous devez ajouter des autorisations est listé sous Annuaires synchronisés. Les autorisations et options suivantes doivent être définies sur le compte :

• Réinitialiser le mot de passe
• Autorisations en écriture sur lockoutTime
• Autorisations en écriture sur pwdLastSet
• Droits étendus pour « Ne pas faire expirer le mot de passe » sur l’objet racine de chaque domaine de cette forêt, s’il n’est pas déjà défini.

Si vous n’attribuez pas ces autorisations, la réécriture peut sembler être configurée correctement, mais les utilisateurs rencontrent des erreurs quand ils gèrent leurs mots de passe locaux à partir du cloud. Lors de la définition des autorisations « Ne pas faire expirer le mot de passe » dans Active Directory, vous devez les appliquer à Cet objet et tous les objets descendants, Cet objet uniquement ou Tous les objets descendants, ou l’autorisation « Ne pas faire expirer le mot de passe » ne pourra pas être affichée.

Conseil

Si les mots de passe de certains comptes d’utilisateur ne sont pas réécrits dans l’annuaire local, vérifiez que l’héritage n’est pas désactivé pour le compte dans l’environnement local AD DS. Les autorisations d’écriture pour les mots de passe doivent être appliquées aux objets descendants pour que la fonctionnalité fonctionne correctement.

Afin de configurer les autorisations appropriées pour l’écriture différée de mot de passe, procédez comme suit :

1. Dans votre environnement AD DS local, ouvrez Utilisateurs et ordinateurs Active Directory avec un compte disposant des autorisations d’administrateur de domaine appropriées.

2. Dans le menu Affichage, assurez-vous que l’option Fonctionnalités avancées est activée.

3. Dans le volet gauche, cliquez avec le bouton droit sur l’objet représentant la racine du domaine, puis sélectionnez Propriétés>Sécurité>Avancée.

4. Dans l’onglet Autorisations, sélectionnez Ajouter.

5. Pour Principal, sélectionnez le compte auquel les autorisations doivent être appliquées (compte utilisé par Azure AD Connect).

6. Dans la liste déroulante S’applique à, sélectionnez Objets utilisateur descendants.

7. Sous Autorisations, cochez la case correspondant à l’option suivante :

   • Réinitialiser le mot de passe

8. Sous Propriétés, cochez les cases correspondant aux options suivantes. Faites défiler la liste pour rechercher ces options, qui peuvent être déjà définies par défaut :

   • Écrire lockoutTime
   • Écrire pwdLastSet

   

9. Lorsque vous êtes prêt, sélectionnez Appliquer/OK pour appliquer les modifications.

10. Dans l’onglet Autorisations, sélectionnez Ajouter.

11. Pour Principal, sélectionnez le compte auquel les autorisations doivent être appliquées (compte utilisé par Azure AD Connect).

12. Dans la liste déroulante Appliquer à, sélectionnez Cet objet et tous ceux descendants.

13. Sous Autorisations, cochez la case correspondant à l’option suivante :

    • Ne pas faire expirer le mot de passe

14. Lorsque vous êtes prêt, sélectionnez Appliquer / OK pour appliquer les changements et fermer les boîtes de dialogue ouvertes.

Lorsque vous mettez à jour des autorisations, la réplication de ces autorisations pour tous les objets de l’annuaire peut durer une heure ou plus.

Les stratégies de mot de passe dans l’environnement AD DS local peuvent empêcher le traitement correct des réinitialisations de mot de passe. Pour que la réécriture du mot de passe fonctionne le plus efficacement possible, la stratégie de groupe pour Âge minimal du mot de passe doit être définie sur 0. Ce paramètre se trouve sous Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte dans gpmc.msc.

Si vous mettez à jour la stratégie de groupe, attendez la réplication de la stratégie mise à jour ou utilisez la commande gpupdate /force.

Notes

Si vous devez autoriser les utilisateurs à modifier ou à réinitialiser les mots de passe plus d’une fois par jour, la durée de vie minimale du mot de passe doit être définie sur 0. La réécriture du mot de passe fonctionnera une fois que les stratégies de mot de passe locales auront été évaluées.

Activer la réécriture du mot de passe dans Azure AD Connect

Une des options de configuration dans Azure AD Connect concerne la réécriture du mot de passe. Lorsque cette option est activée, les événements de changement de mot de passe amènent Azure AD Connect à synchroniser les informations d’identification mises à jour dans l’environnement AD DS local.

Pour activer la réécriture SSPR, commencez par activer l’option de réécriture dans Azure AD Connect. À partir de votre serveur Azure AD Connect, effectuez les étapes suivantes :

1. Connectez-vous à votre serveur Azure AD Connect et démarrez l’Assistant de configuration Azure AD Connect.

2. Sur la page d’accueil, sélectionnez Configurer.

3. Sur la page Tâches supplémentaires, sélectionnez Personnalisation des options de synchronisation, puis cliquez sur Suivant.

4. Dans la page Connexion à Azure AD, entrez les informations d’identification d’administrateur général pour votre locataire Azure et sélectionnez Suivant.

5. Sur les pages Connexion des annuaires et Filtrage par domaine/unité d’organisation, sélectionnez Suivant.

6. Sur la page Fonctionnalités facultatives, cochez la case située à côté de l’option Écriture différée de mot de passe, puis sélectionnez Suivant.

   

7. Sur la page Extensions de répertoire, sélectionnez Suivant.

8. Sur la page Prêt à configurer, sélectionnez Configurer et attendez la fin du processus.

9. Lorsque la configuration prend fin, sélectionnez Quitter.

Activer la réécriture du mot de passe pour SSPR

La réécriture du mot de passe étant activée dans Azure AD Connect, configurez à présent SSPR Azure AD pour la réécriture. SSPR peut être configuré pour l’écriture différée via des agents de synchronisation et d’approvisionnement Azure AD Connect (synchronisation cloud). Lorsque vous autorisez l’utilisation par SSPR de la réécriture du mot de passe, les utilisateurs qui changent ou réinitialisent leur mot de passe bénéficient également de la synchronisation du mot de passe mis à jour dans l’environnement AD DS local.

Pour activer la réécriture du mot de passe dans SSPR, procédez comme suit :

1. Connectez-vous au portail Azure à l’aide d’un compte Administrateur d’identité hybride.

2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Réinitialisation de mot de passe et choisissez Intégration locale.

3. Activez l’option Réécrire les mots de passe dans votre annuaire local.

4. (facultatif) Si des agents d’approvisionnement Azure AD Connect sont détectés, vous pouvez en outre activer l’option Réécrire les mots de passe avec la synchronisation cloud Azure AD Connect.

5. Activez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.

   

6. Quand vous êtes prêt, sélectionnez Enregistrer.

Nettoyer les ressources

Si vous décidez de ne plus utiliser la fonctionnalité de réécriture de SSPR que vous avez configurée dans ce tutoriel, effectuez les étapes suivantes :

1. Connectez-vous au portail Azure.
2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Réinitialisation de mot de passe et choisissez Intégration locale.
3. Désactivez l’option Réécrire les mots de passe dans votre annuaire local.
4. Désactivez l’option Réécrire les mots de passe avec la synchronisation cloud Azure AD Connect.
5. Désactivez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
6. Quand vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser la synchronisation cloud Azure AD Connect pour la fonctionnalité d’écriture différée SSPR, mais souhaitez continuer à utiliser l’agent de synchronisation Azure AD Connect pour les écritures différées, procédez comme suit :

1. Connectez-vous au portail Azure.
2. Recherchez et sélectionnez Azure Active Directory, puis sélectionnez Réinitialisation de mot de passe et choisissez Intégration locale.
3. Désactivez l’option Réécrire les mots de passe avec la synchronisation cloud Azure AD Connect.
4. Quand vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser de fonctionnalités de mot de passe, effectuez les étapes suivantes à partir de votre serveur Azure AD Connect :

1. Connectez-vous à votre serveur Azure AD Connect et démarrez l’Assistant de configuration Azure AD Connect.
2. Sur la page d’accueil, sélectionnez Configurer.
3. Sur la page Tâches supplémentaires, sélectionnez Personnalisation des options de synchronisation, puis cliquez sur Suivant.
4. Dans la page Connexion à Azure AD, entrez les informations d’identification d’administrateur général pour votre locataire Azure et sélectionnez Suivant.
5. Sur les pages Connexion des annuaires et Filtrage par domaine/unité d’organisation, sélectionnez Suivant.
6. Dans la page Fonctionnalités facultatives, décochez la case située en regard de l’option Réécriture du mot de passe, puis sélectionnez Suivant.
7. Sur la page Prêt à configurer, sélectionnez Configurer et attendez la fin du processus.
8. Lorsque la configuration prend fin, sélectionnez Quitter.

Important

La première activation de la réécriture du mot de passe peut déclencher des événements de changement de mot de passe 656 et 657, même si aucun changement de mot de passe n’a eu lieu. C’est dû au fait que tous les hachages de mot de passe sont resynchronisés après l’exécution d’un cycle de synchronisation de hachage de mot de passe.

Étapes suivantes

Dans ce tutoriel, vous avez activé la réécriture SSPR Azure AD dans un environnement AD DS local. Vous avez appris à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Azure AD Connect
• Activer la réécriture du mot de passe dans SSPR Azure AD

Évaluer les risques lors de la connexion