Oktatóanyag: A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe

A Microsoft Entra önkiszolgáló jelszó-visszaállítással (SSPR) a felhasználók frissíthetik a jelszavukat, vagy feloldhatják a fiókjukat egy webböngésző használatával. Ezt a videót az SSPR engedélyezéséről és konfigurálásáról ajánljuk a Microsoft Entra ID-ban. Olyan hibrid környezetben, ahol a Microsoft Entra ID egy helyi Active Directory Domain Services-környezethez (AD DS) csatlakozik, ez a forgatókönyv azt eredményezheti, hogy a jelszavak eltérőek lehetnek a két könyvtár között.

A jelszóvisszaírással szinkronizálhatja a Microsoft Entra jelszómódosításait a helyszíni AD DS-környezetbe. A Microsoft Entra Csatlakozás biztonságos mechanizmust biztosít a jelszómódosítások egy meglévő helyszíni könyvtárba való visszaküldéséhez a Microsoft Entra ID-ból.

Fontos

Ez az oktatóanyag bemutatja, hogyan engedélyezheti a rendszergazda számára az önkiszolgáló jelszó-visszaállítás helyszíni környezetbe való visszaállítását. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .

Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Csatlakozás
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Egy működő Microsoft Entra-bérlő, amely rendelkezik legalább p1 Microsoft Entra-azonosítóval vagy engedélyezett próbaverziós licenccel.
  • Ha szükséges, hozzon létre egyet ingyen.
  • További információ: A Microsoft Entra SSPR licencelési követelményei.
• Hibrid identitással rendelkező fiók Rendszergazda istrator.
• Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító.
  • Ha szükséges, végezze el az előző bemutatót a Microsoft Entra SSPR engedélyezéséhez.
• A Microsoft Entra Csatlakozás jelenlegi verziójával konfigurált meglévő helyszíni AD DS-környezet.
  • Szükség esetén konfigurálja a Microsoft Entra Csatlakozás az Express vagy az Egyéni beállítások használatával.
  • A jelszóvisszaíró használatához a tartományvezérlők a Windows Server bármely támogatott verzióját futtathatják.

Fiókengedélyek konfigurálása a Microsoft Entra Csatlakozás

A Microsoft Entra Csatlakozás lehetővé teszi a felhasználók, csoportok és hitelesítő adatok szinkronizálását egy helyszíni AD DS-környezet és a Microsoft Entra-azonosító között. A Microsoft Entra Csatlakozás általában olyan Windows Server 2016-os vagy újabb számítógépre telepíti, amely a helyszíni AD DS-tartományhoz csatlakozik.

Az SSPR-visszaírás helyes használatához a Microsoft Entra Csatlakozás megadott fióknak rendelkeznie kell a megfelelő engedélyekkel és beállításokkal. Ha nem biztos abban, hogy melyik fiók van jelenleg használatban, nyissa meg a Microsoft Entra Csatlakozás, és válassza az Aktuális konfiguráció megtekintése lehetőséget. A szinkronizált címtárak területen található az a fiók, amelyhez engedélyeket kell hozzáadnia. A fiókon a következő engedélyeket és beállításokat kell megadni:

• Új jelszó létrehozása
• Jelszó módosítása
• Írási engedélyeklockoutTime
• Írási engedélyekpwdLastSet
• Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.

Ha nem rendeli hozzá ezeket az engedélyeket, előfordulhat, hogy a visszaírás megfelelően van konfigurálva, de a felhasználók hibát tapasztalnak a helyszíni jelszavak felhőből történő kezelésekor. Ha az Active Directoryban a "Nem használt jelszó" engedélyeket állítja be, akkor az erre az objektumra és az összes leszármazott objektumra, csak ez az objektum vagy az Összes leszármazott objektumra kell alkalmazni, vagy a "Nem használt jelszó" engedély nem jeleníthető meg.

Tipp.

Ha egyes felhasználói fiókok jelszavai nem lesznek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.

A jelszóvisszaíró megfelelő engedélyeinek beállításához hajtsa végre a következő lépéseket:

1. A helyszíni AD DS-környezetben nyisson meg Active Directory - felhasználók és számítógépek egy olyan fiókkal, amely rendelkezik a megfelelő tartományi rendszergazdai engedélyekkel.

2. A Nézet menüben győződjön meg arról, hogy a Speciális funkciók be vannak kapcsolva.

3. A bal oldali panelen válassza ki a jobb gombbal a tartomány gyökerét képviselő objektumot, majd válassza a Tulajdonságok biztonsági>speciális beállításai>lehetőséget.

4. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.

5. Az Egyszerű beállításnál válassza ki azt a fiókot, amelyre engedélyeket kell alkalmazni (a Microsoft Entra Csatlakozás által használt fiókot).

6. Az Applies to drop-down list (Applies to drop-down list) területen válassza a Leszármazott felhasználó objektumok lehetőséget.

7. Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:

   • Új jelszó létrehozása

8. A Tulajdonságok területen válassza ki a következő beállítások mezőinek jelölőnégyzetét. Görgessen végig a listán, és keresse meg ezeket a beállításokat, amelyek alapértelmezés szerint már be vannak állítva:

   • LockoutTime írása
   • PwdLastSet írása

   

9. Ha elkészült, a módosítások alkalmazásához válassza az Alkalmaz/OK gombot.

10. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.

11. Az Egyszerű beállításnál válassza ki azt a fiókot, amelyre engedélyeket kell alkalmazni (a Microsoft Entra Csatlakozás által használt fiókot).

12. Az Applies to drop-down list (Applies to drop-down list) területen válassza az Ez az objektum és az összes leszármazott objektum lehetőséget

13. Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:

    • Meg nem oldott jelszó

14. Ha elkészült, a módosítások alkalmazásához és a megnyitott párbeszédpanelek elhagyásához válassza az Alkalmaz/OK gombot.

Az engedélyek frissítésekor akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.

A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ahhoz, hogy a jelszóvisszaírás a leghatékonyabban működjön, a minimális jelszó-korú csoportházirendnek 0-ra kell állítania. Ez a beállítás a Windows >> Gépház > Biztonsági Gépház > fiókszabályzatok gpmc.mscterületen található.

Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.

Feljegyzés

Ha naponta egynél több alkalommal kell engedélyeznie a felhasználóknak a jelszavak módosítását vagy alaphelyzetbe állítását, a jelszó minimális életkorának 0-ra kell állítania. A jelszóvisszaírás a helyszíni jelszóházirendek sikeres kiértékelése után működik.

Jelszóvisszaíró engedélyezése a Microsoft Entra Csatlakozás

A Microsoft Entra Csatlakozás egyik konfigurációs lehetősége a jelszóvisszaíró. Ha ez a beállítás engedélyezve van, a jelszómódosítási események miatt a Microsoft Entra Csatlakozás szinkronizálja a frissített hitelesítő adatokat a helyszíni AD DS-környezettel.

Az SSPR-visszaírás engedélyezéséhez először engedélyezze a visszaírási lehetőséget a Microsoft Entra Csatlakozás. A Microsoft Entra Csatlakozás-kiszolgálón hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra Csatlakozás kiszolgálóra, és indítsa el a Microsoft Entra Csatlakozás konfigurációs varázslót.
2. Az üdvözlőlapon kattintson a Konfigurálás gombra.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
4. A Microsoft Entra ID-Csatlakozás lapon adjon meg egy globális Rendszergazda istrator-hitelesítő adatot az Azure-bérlőhöz, majd válassza a Tovább gombot.
5. A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
6. A Választható funkciók lapon jelölje be a Jelszóvisszaíró melletti jelölőnégyzetet, és kattintson a Tovább gombra.
7. A Címtárbővítmények lapon válassza a Tovább gombot.
8. A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
9. Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.

Jelszóvisszaíró engedélyezése SSPR-hez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Csatlakozás, most konfigurálja a Microsoft Entra SSPR-t a visszaíráshoz. Az SSPR a Microsoft Entra Csatlakozás Szinkronizálási ügynökök és a Microsoft Entra Csatlakozás kiépítési ügynökök (felhőszinkronizálás) használatával konfigurálható visszaírásra. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.

Ha engedélyezni szeretné a jelszóvisszaírást az SSPR-ben, hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Ellenőrizze, hogy a jelszavakat vissza szeretné-e írni a helyszíni címtárba .
4. (nem kötelező) Ha a Rendszer észleli a Microsoft Entra Csatlakozás kiépítési ügynököket, a Microsoft Entra Csatlakozás felhőszinkronizálással a jelszavak visszaírásának lehetőségét is ellenőrizheti.
5. Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
6. Ha elkészült, válassza a Mentés lehetőséget.

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a jelet a jelszó visszaírása a helyszíni címtárba jelölőnégyzetből.
4. Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
5. Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
6. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretné használni a Microsoft Entra Csatlakozás felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is használni szeretné a Microsoft Entra Csatlakozás Sync-ügynököt a visszaírásokhoz, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális Rendszergazda istratorként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
4. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretne jelszófunkciót használni, hajtsa végre a következő lépéseket a Microsoft Entra Csatlakozás-kiszolgálóról:

1. Jelentkezzen be a Microsoft Entra Csatlakozás kiszolgálóra, és indítsa el a Microsoft Entra Csatlakozás konfigurációs varázslót.
2. Az üdvözlőlapon kattintson a Konfigurálás gombra.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
4. A Csatlakozás a Microsoft Entra ID lapjára írja be az Azure-bérlő globális rendszergazdai hitelesítő adatait, majd válassza a Tovább gombot.
5. A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
6. A Választható funkciók lapon törölje a jelet a Jelszóvisszaíró melletti jelölőnégyzetből, és válassza a Tovább gombot.
7. A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
8. Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.

Fontos

A jelszóvisszaírás első engedélyezése akkor is kiválthatja a 656-os és a 657-ös jelszómódosítási eseményeket, ha nem történt jelszómódosítás. Ennek az az oka, hogy a jelszókivonat-szinkronizálási ciklus futtatása után az összes jelszókivonat újra lesz szinkronizálva.

Következő lépések

Ebben az oktatóanyagban engedélyezte a Microsoft Entra SSPR visszaírását egy helyszíni AD DS-környezetbe. Megtanulta végrehajtani az alábbi műveleteket:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Csatlakozás
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Kockázat értékelése bejelentkezéskor