Tutoriel : Activer la réécriture de la réinitialisation de mot de passe en libre-service Microsoft Entra dans un environnement local

Avec la réinitialisation du mot de passe en libre-service (SSPR) Microsoft Entra, les utilisateurs peuvent mettre à jour leur mot de passe ou déverrouiller leur compte en utilisant un navigateur web. Nous vous recommandons cette vidéo sur l’activation et la configuration de SSPR dans Microsoft Entra ID. Dans un environnement hybride, où Microsoft Entra ID est connecté à un environnement Active Directory Domain Services (AD DS) local, ce scénario peut entraîner une différence entre les mots de passe des deux annuaires.

La réécriture du mot de passe peut être utilisée pour synchroniser les changements de mot de passe dans Microsoft Entra sur votre environnement AD DS local. Microsoft Entra Connect fournit un mécanisme sécurisé qui renvoie ces changements de mot de passe à un annuaire local existant de Microsoft Entra ID.

Important

Ce tutoriel montre à un administrateur comment réactiver la réinitialisation de mot de passe en libre-service dans un environnement local. Si vous êtes un utilisateur final déjà inscrit pour la réinitialisation de mot de passe en libre-service et que vous devez récupérer votre compte, accédez à https://aka.ms/sspr.

Si votre équipe informatique n’a pas activé la réinitialisation de votre propre mot de passe, contactez votre support technique pour obtenir une assistance supplémentaire.

Dans ce tutoriel, vous allez apprendre à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Microsoft Entra Connect
• Activer la réécriture du mot de passe dans la réinitialisation de mot de passe en libre-service Microsoft Entra

Prérequis

Pour effectuer ce tutoriel, vous avez besoin des ressources et des privilèges suivants :

• Un locataire Microsoft Entra opérationnel avec au moins une licence Microsoft Entra ID P1 ou disposant d’une licence d’essai gratuit activée.
  • Si nécessaire, créez-en un gratuitement.
  • Pour plus d’informations, consultez La configuration requise pour les licences pour Microsoft Entra SSPR.
• Un compte avec Administrateur D'Identité Hybride.
• Microsoft Entra ID configuré pour la réinitialisation de mot de passe autonome.
  • Si nécessaire, suivez le tutoriel précédent pour activer Microsoft Entra SSPR.
• Un environnement AD DS local existant, configuré avec une version actuelle de Microsoft Entra Connect.
  • Si nécessaire, configurez Microsoft Entra Connect à l’aide des paramètres Express ou Personnalisé .
  • Pour utiliser la réécriture du mot de passe, les contrôleurs de domaine peuvent exécuter n’importe quelle version prise en charge de Windows Server.

Configurer les autorisations de compte pour Microsoft Entra Connect

Microsoft Entra Connect vous permet de synchroniser utilisateurs, groupes et informations d’identification entre un environnement AD DS local et Microsoft Entra ID. Généralement, vous installez Microsoft Entra Connect sur un ordinateur Windows Server 2016 ou version ultérieure joint au domaine AD DS local.

Pour fonctionner correctement avec la réécriture SSPR, le compte spécifié dans Microsoft Entra Connect doit disposer des autorisations et options appropriées définies. Si vous ne savez pas quel compte est actuellement utilisé, ouvrez Microsoft Entra Connect et sélectionnez l’option Afficher la configuration actuelle . Le compte auquel vous devez ajouter des autorisations est répertorié sous Répertoires synchronisés. Les autorisations et options suivantes doivent être définies sur le compte :

• Réinitialiser le mot de passe
• Modifier le mot de passe
• Autorisations d’écriture sur lockoutTime
• Autorisations d’écriture sur pwdLastSet
• Droits étendus pour « Unexpire Password » sur l’objet racine de chaque domaine de cette forêt, si cela n’est pas déjà fait.

Si vous n’attribuez pas ces autorisations, la réécriture peut sembler être configurée correctement, mais les utilisateurs rencontrent des erreurs quand ils gèrent leurs mots de passe locaux à partir du cloud. Lors de la définition des autorisations « Unxpire Password » dans Active Directory, elle doit être appliquée à cet objet et à tous les objets descendants, cet objet uniquement ou tous les objets descendants, ou l’autorisation « Mot de passe Nonxpire » ne peut pas être affichée.

Conseil

Si les mots de passe de certains comptes d’utilisateur ne sont pas réécrits dans l’annuaire local, vérifiez que l’héritage n’est pas désactivé pour le compte dans l’environnement local AD DS. Les autorisations d’écriture pour les mots de passe doivent être appliquées aux objets descendants pour que la fonctionnalité fonctionne correctement.

Afin de configurer les autorisations appropriées pour l’écriture différée de mot de passe, procédez comme suit :

1. Dans votre environnement AD DS local, ouvrez les utilisateurs et ordinateurs Active Directory avec un compte disposant des autorisations d’administrateur de domaine appropriées.
2. Dans le menu Affichage , vérifiez que les fonctionnalités avancées sont activées.
3. Dans le volet gauche, sélectionnez avec le bouton droit l’objet qui représente la racine du domaine et sélectionnez Propriétés>Sécurité>Avancées.
4. Sous l’onglet Autorisations , sélectionnez Ajouter.
5. Pour principal, sélectionnez le compte auquel les autorisations doivent être appliquées (le compte utilisé par Microsoft Entra Connect).
6. Dans la liste déroulante S’applique à, sélectionnez Objets utilisateur descendants.
7. Sous Autorisations, sélectionnez la zone correspondant à l’option suivante :
   • Réinitialiser le mot de passe
8. Sous Propriétés, sélectionnez les zones pour les options suivantes. Faites défiler la liste pour rechercher ces options, qui peuvent être déjà définies par défaut :

• Écrire temps_de_verrouillage

• Écrire pwdLastSet

  

1. Lorsque vous êtes prêt, sélectionnez Appliquer/OK pour appliquer les modifications.
2. Sous l’onglet Autorisations , sélectionnez Ajouter.
3. Pour principal, sélectionnez le compte auquel les autorisations doivent être appliquées (le compte utilisé par Microsoft Entra Connect).
4. Dans la liste déroulante S’applique, sélectionnez Cet objet et tous les objets descendants
5. Sous Autorisations, sélectionnez la zone correspondant à l’option suivante :
   • Mot de passe non expiré
6. Lorsque vous êtes prêt, sélectionnez Appliquer/OK pour appliquer les modifications et quitter les boîtes de dialogue ouvertes.

Lorsque vous mettez à jour des autorisations, la réplication de ces autorisations pour tous les objets de l’annuaire peut durer une heure ou plus.

Les stratégies de mot de passe dans l’environnement AD DS local peuvent empêcher le traitement correct des réinitialisations de mot de passe. Pour que l’écriture différée du mot de passe fonctionne le plus efficacement, la stratégie de groupe pour l’âge minimal du mot de passe doit être définie sur 0. Ce paramètre se trouve sous Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de compte dans gpmc.msc.

Si vous mettez à jour la stratégie de groupe, attendez la réplication de la stratégie mise à jour ou utilisez la commande gpupdate /force.

Remarque

Si vous devez autoriser les utilisateurs à modifier ou réinitialiser des mots de passe plusieurs fois par jour, l’âge minimal du mot de passe doit être défini sur 0. La réécriture du mot de passe fonctionnera une fois que les stratégies de mot de passe locales auront été évaluées.

Activer la réécriture du mot de passe dans Microsoft Entra Connect

Une des options de configuration dans Microsoft Entra Connect concerne la réécriture du mot de passe. Lorsque cette option est activée, les événements de changement de mot de passe amènent Microsoft Entra Connect à synchroniser les informations d’identification mises à jour dans l’environnement AD DS local.

Pour activer la réécriture SSPR, commencez par activer l’option de réécriture dans Microsoft Entra Connect. À partir de votre serveur Microsoft Entra Connect, effectuez les étapes suivantes :

1. Connectez-vous à votre serveur Microsoft Entra Connect et démarrez l’Assistant Configuration de Microsoft Entra Connect .
2. Dans la page d’accueil , sélectionnez Configurer.
3. Dans la page Tâches supplémentaires , sélectionnez Personnaliser les options de synchronisation, puis sélectionnez Suivant.
4. Dans la page Se connecter à Microsoft Entra ID , entrez des informations d’identification d’administrateur hybride pour votre locataire Azure, puis sélectionnez Suivant.
5. Dans les répertoires Connect et les pages de filtrage domaine/unité d’organisation , sélectionnez Suivant.
6. Dans la page Fonctionnalités facultatives, sélectionnez la case à cocher en regard de écriture différée du mot de passe, puis sélectionnez Suivant.
7. Dans la page Extensions d’annuaire , sélectionnez Suivant.
8. Dans la page Prêt à configurer , sélectionnez Configurer et attendre la fin du processus.
9. Une fois la configuration terminée, sélectionnez Quitter.

Remarque

La mise à jour PasswordWritebackEnabled à partir des fonctionnalités du service OnPremDirectorySynchronization n’est pas prise en charge, car cet indicateur de fonctionnalité n’est pas utilisé.

Activer la réécriture du mot de passe pour SSPR

Avec la réécriture du mot de passe activée dans Microsoft Entra Connect, configurez maintenant Microsoft Entra SSPR pour la réécriture. SSPR peut être configuré pour la réécriture via des agents de synchronisation Microsoft Entra Connect Sync et des agents de provisionnement Microsoft Entra Connect (synchronisation cloud). Lorsque vous autorisez l’utilisation par SSPR de la réécriture du mot de passe, les utilisateurs qui changent ou réinitialisent leur mot de passe bénéficient également de la synchronisation du mot de passe mis à jour dans l’environnement AD DS local.

Pour activer la réécriture du mot de passe dans SSPR, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
2. Accédez à Entra ID>Réinitialisation de mot de passe, puis choisissez Intégration sur site.
3. Cochez l’option pour réécrire les mots de passe dans votre répertoire sur site.
4. (facultatif) Si des agents de provisionnement Microsoft Entra Connect sont détectés, vous pouvez également sélectionner l'option permettant d'écrire à nouveau les mots de passe avec la synchronisation avec le cloud Microsoft Entra Connect.
5. Cochez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe sur Oui.
6. Lorsque vous êtes prêt, sélectionnez Enregistrer.

Nettoyer les ressources

Si vous décidez de ne plus utiliser la fonctionnalité de réécriture de SSPR que vous avez configurée dans ce tutoriel, effectuez les étapes suivantes :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
2. Accédez à Entra ID>Réinitialisation de mot de passe, puis choisissez Intégration sur site.
3. Décochez l'option permettant de réécrire les mots de passe dans votre annuaire sur site.
4. Décochez l’option pour répliquer les mots de passe avec la synchronisation cloud de Microsoft Entra Connect.
5. Décochez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
6. Lorsque vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser la synchronisation cloud Microsoft Entra Connect pour la fonctionnalité d’écriture différée SSPR, mais souhaitez continuer à utiliser l’agent de synchronisation Microsoft Entra Connect pour les écritures différées, procédez comme suit :

1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur général.
2. Accédez à Entra ID>Réinitialisation de mot de passe, puis choisissez Intégration sur site.
3. Décochez l’option pour répliquer les mots de passe avec la synchronisation cloud de Microsoft Entra Connect.
4. Lorsque vous êtes prêt, sélectionnez Enregistrer.

Si vous ne souhaitez plus utiliser de fonctionnalités de mot de passe, effectuez les étapes suivantes à partir de votre serveur Microsoft Entra Connect :

1. Connectez-vous à votre serveur Microsoft Entra Connect et démarrez l’Assistant Configuration de Microsoft Entra Connect .
2. Dans la page d’accueil , sélectionnez Configurer.
3. Dans la page Tâches supplémentaires , sélectionnez Personnaliser les options de synchronisation, puis sélectionnez Suivant.
4. Dans la page Se connecter à Microsoft Entra ID , entrez des informations d’identification d’administrateur hybride, puis sélectionnez Suivant.
5. Dans les répertoires Connect et les pages de filtrage domaine/unité d’organisation , sélectionnez Suivant.
6. Dans la page Fonctionnalités facultatives , désélectionnez la zone en regard de la réécriture du mot de passe , puis sélectionnez Suivant.
7. Dans la page Prêt à configurer , sélectionnez Configurer et attendre la fin du processus.
8. Une fois la configuration terminée, sélectionnez Quitter.

Important

La première activation de la réécriture du mot de passe peut déclencher des événements de changement de mot de passe 656 et 657, même si aucun changement de mot de passe n’a eu lieu. C’est dû au fait que tous les hachages de mot de passe sont resynchronisés après l’exécution d’un cycle de synchronisation de hachage de mot de passe.

Étapes suivantes

Dans ce tutoriel, vous activez la réécriture de réinitialisation de mot de passe en libre-service Microsoft Entra dans un environnement AD DS local. Vous avez appris à :

• Configurer les autorisations nécessaires pour la réécriture du mot de passe
• Activer l’option de réécriture du mot de passe dans Microsoft Entra Connect
• Activer la réécriture du mot de passe dans la réinitialisation de mot de passe en libre-service Microsoft Entra

Évaluer le risque lors de la connexion