Oktatóanyag: A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe
A Microsoft Entra önkiszolgáló jelszó-visszaállítással (SSPR) a felhasználók frissíthetik a jelszavukat, vagy feloldhatják a fiókjukat egy webböngésző használatával. Ezt a videót az SSPR engedélyezéséről és konfigurálásáról ajánljuk a Microsoft Entra ID-ban. Olyan hibrid környezetben, ahol a Microsoft Entra ID egy helyi Active Directory Domain Services-környezethez (AD DS) csatlakozik, ez a forgatókönyv azt eredményezheti, hogy a jelszavak eltérőek lehetnek a két könyvtár között.
A jelszóvisszaírással szinkronizálhatja a Microsoft Entra jelszómódosításait a helyszíni AD DS-környezetbe. A Microsoft Entra Csatlakozás biztonságos mechanizmust biztosít a jelszómódosítások egy meglévő helyszíni könyvtárba való visszaküldéséhez a Microsoft Entra ID-ból.
Fontos
Ez az oktatóanyag bemutatja, hogyan engedélyezheti a rendszergazda számára az önkiszolgáló jelszó-visszaállítás helyszíni környezetbe való visszaállítását. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .
Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
- Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Csatlakozás
- Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben
Előfeltételek
Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:
- Egy működő Microsoft Entra-bérlő, amely rendelkezik legalább p1 Microsoft Entra-azonosítóval vagy engedélyezett próbaverziós licenccel.
- Ha szükséges, hozzon létre egyet ingyen.
- További információ: A Microsoft Entra SSPR licencelési követelményei.
- Hibrid identitással rendelkező fiók Rendszergazda istrator.
- Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító.
- Ha szükséges, végezze el az előző bemutatót a Microsoft Entra SSPR engedélyezéséhez.
- A Microsoft Entra Csatlakozás jelenlegi verziójával konfigurált meglévő helyszíni AD DS-környezet.
Fiókengedélyek konfigurálása a Microsoft Entra Csatlakozás
A Microsoft Entra Csatlakozás lehetővé teszi a felhasználók, csoportok és hitelesítő adatok szinkronizálását egy helyszíni AD DS-környezet és a Microsoft Entra-azonosító között. A Microsoft Entra Csatlakozás általában olyan Windows Server 2016-os vagy újabb számítógépre telepíti, amely a helyszíni AD DS-tartományhoz csatlakozik.
Az SSPR-visszaírás helyes használatához a Microsoft Entra Csatlakozás megadott fióknak rendelkeznie kell a megfelelő engedélyekkel és beállításokkal. Ha nem biztos abban, hogy melyik fiók van jelenleg használatban, nyissa meg a Microsoft Entra Csatlakozás, és válassza az Aktuális konfiguráció megtekintése lehetőséget. A szinkronizált címtárak területen található az a fiók, amelyhez engedélyeket kell hozzáadnia. A fiókon a következő engedélyeket és beállításokat kell megadni:
- Új jelszó létrehozása
- Jelszó módosítása
- Írási engedélyek
lockoutTime
- Írási engedélyek
pwdLastSet
- Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.
Ha nem rendeli hozzá ezeket az engedélyeket, előfordulhat, hogy a visszaírás megfelelően van konfigurálva, de a felhasználók hibát tapasztalnak a helyszíni jelszavak felhőből történő kezelésekor. Ha az Active Directoryban a "Nem használt jelszó" engedélyeket állítja be, akkor az erre az objektumra és az összes leszármazott objektumra, csak ez az objektum vagy az Összes leszármazott objektumra kell alkalmazni, vagy a "Nem használt jelszó" engedély nem jeleníthető meg.
Tipp.
Ha egyes felhasználói fiókok jelszavai nem lesznek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.
A jelszóvisszaíró megfelelő engedélyeinek beállításához hajtsa végre a következő lépéseket:
A helyszíni AD DS-környezetben nyisson meg Active Directory - felhasználók és számítógépek egy olyan fiókkal, amely rendelkezik a megfelelő tartományi rendszergazdai engedélyekkel.
A Nézet menüben győződjön meg arról, hogy a Speciális funkciók be vannak kapcsolva.
A bal oldali panelen válassza ki a jobb gombbal a tartomány gyökerét képviselő objektumot, majd válassza a Tulajdonságok biztonsági>speciális beállításai>lehetőséget.
Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
Az Egyszerű beállításnál válassza ki azt a fiókot, amelyre engedélyeket kell alkalmazni (a Microsoft Entra Csatlakozás által használt fiókot).
Az Applies to drop-down list (Applies to drop-down list) területen válassza a Leszármazott felhasználó objektumok lehetőséget.
Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:
- Új jelszó létrehozása
A Tulajdonságok területen válassza ki a következő beállítások mezőinek jelölőnégyzetét. Görgessen végig a listán, és keresse meg ezeket a beállításokat, amelyek alapértelmezés szerint már be vannak állítva:
- LockoutTime írása
- PwdLastSet írása
Ha elkészült, a módosítások alkalmazásához válassza az Alkalmaz/OK gombot.
Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
Az Egyszerű beállításnál válassza ki azt a fiókot, amelyre engedélyeket kell alkalmazni (a Microsoft Entra Csatlakozás által használt fiókot).
Az Applies to drop-down list (Applies to drop-down list) területen válassza az Ez az objektum és az összes leszármazott objektum lehetőséget
Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:
- Meg nem oldott jelszó
Ha elkészült, a módosítások alkalmazásához és a megnyitott párbeszédpanelek elhagyásához válassza az Alkalmaz/OK gombot.
Az engedélyek frissítésekor akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.
A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ahhoz, hogy a jelszóvisszaírás a leghatékonyabban működjön, a minimális jelszó-korú csoportházirendnek 0-ra kell állítania. Ez a beállítás a Windows >> Gépház > Biztonsági Gépház > fiókszabályzatok gpmc.msc
területen található.
Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force
parancsot.
Feljegyzés
Ha naponta egynél több alkalommal kell engedélyeznie a felhasználóknak a jelszavak módosítását vagy alaphelyzetbe állítását, a jelszó minimális életkorának 0-ra kell állítania. A jelszóvisszaírás a helyszíni jelszóházirendek sikeres kiértékelése után működik.
Jelszóvisszaíró engedélyezése a Microsoft Entra Csatlakozás
A Microsoft Entra Csatlakozás egyik konfigurációs lehetősége a jelszóvisszaíró. Ha ez a beállítás engedélyezve van, a jelszómódosítási események miatt a Microsoft Entra Csatlakozás szinkronizálja a frissített hitelesítő adatokat a helyszíni AD DS-környezettel.
Az SSPR-visszaírás engedélyezéséhez először engedélyezze a visszaírási lehetőséget a Microsoft Entra Csatlakozás. A Microsoft Entra Csatlakozás-kiszolgálón hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra Csatlakozás kiszolgálóra, és indítsa el a Microsoft Entra Csatlakozás konfigurációs varázslót.
- Az üdvözlőlapon kattintson a Konfigurálás gombra.
- A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
- A Microsoft Entra ID-Csatlakozás lapon adjon meg egy globális Rendszergazda istrator-hitelesítő adatot az Azure-bérlőhöz, majd válassza a Tovább gombot.
- A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
- A Választható funkciók lapon jelölje be a Jelszóvisszaíró melletti jelölőnégyzetet, és kattintson a Tovább gombra.
- A Címtárbővítmények lapon válassza a Tovább gombot.
- A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
- Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.
Jelszóvisszaíró engedélyezése SSPR-hez
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Csatlakozás, most konfigurálja a Microsoft Entra SSPR-t a visszaíráshoz. Az SSPR a Microsoft Entra Csatlakozás Szinkronizálási ügynökök és a Microsoft Entra Csatlakozás kiépítési ügynökök (felhőszinkronizálás) használatával konfigurálható visszaírásra. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.
Ha engedélyezni szeretné a jelszóvisszaírást az SSPR-ben, hajtsa végre a következő lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Ellenőrizze, hogy a jelszavakat vissza szeretné-e írni a helyszíni címtárba .
- (nem kötelező) Ha a Rendszer észleli a Microsoft Entra Csatlakozás kiépítési ügynököket, a Microsoft Entra Csatlakozás felhőszinkronizálással a jelszavak visszaírásának lehetőségét is ellenőrizheti.
- Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
- Ha elkészült, válassza a Mentés lehetőséget.
Az erőforrások eltávolítása
Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a jelszó visszaírása a helyszíni címtárba jelölőnégyzetből.
- Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
- Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
- Ha elkészült, válassza a Mentés lehetőséget.
Ha már nem szeretné használni a Microsoft Entra Csatlakozás felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is használni szeretné a Microsoft Entra Csatlakozás Sync-ügynököt a visszaírásokhoz, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
- Ha elkészült, válassza a Mentés lehetőséget.
Ha már nem szeretne jelszófunkciót használni, hajtsa végre a következő lépéseket a Microsoft Entra Csatlakozás-kiszolgálóról:
- Jelentkezzen be a Microsoft Entra Csatlakozás kiszolgálóra, és indítsa el a Microsoft Entra Csatlakozás konfigurációs varázslót.
- Az üdvözlőlapon kattintson a Konfigurálás gombra.
- A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
- A Csatlakozás a Microsoft Entra ID lapjára írja be az Azure-bérlő globális rendszergazdai hitelesítő adatait, majd válassza a Tovább gombot.
- A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
- A Választható funkciók lapon törölje a jelet a Jelszóvisszaíró melletti jelölőnégyzetből, és válassza a Tovább gombot.
- A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
- Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.
Fontos
A jelszóvisszaírás első engedélyezése akkor is kiválthatja a 656-os és a 657-ös jelszómódosítási eseményeket, ha nem történt jelszómódosítás. Ennek az az oka, hogy a jelszókivonat-szinkronizálási ciklus futtatása után az összes jelszókivonat újra lesz szinkronizálva.
Következő lépések
Ebben az oktatóanyagban engedélyezte a Microsoft Entra SSPR visszaírását egy helyszíni AD DS-környezetbe. Megtanulta végrehajtani az alábbi műveleteket:
- A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
- Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Csatlakozás
- Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben