Oktatóanyag: A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe

A Microsoft Entra önkiszolgáló jelszó-visszaállítással (SSPR) a felhasználók frissíthetik a jelszavukat, vagy feloldhatják a fiókjukat egy webböngésző használatával. Ezt a videót az SSPR engedélyezéséről és konfigurálásáról ajánljuk a Microsoft Entra ID-ban. Olyan hibrid környezetben, ahol a Microsoft Entra ID egy helyi Active Directory Domain Services-környezethez (AD DS) csatlakozik, ez a forgatókönyv azt eredményezheti, hogy a jelszavak eltérőek lehetnek a két könyvtár között.

A jelszóvisszaírással szinkronizálhatja a Microsoft Entra jelszómódosításait a helyszíni AD DS-környezetbe. A Microsoft Entra Connect biztonságos mechanizmust biztosít ezeknek a jelszómódosításoknak a Microsoft Entra-azonosítóból egy meglévő helyszíni könyvtárba való visszaküldéséhez.

Fontos

Ez az oktatóanyag bemutatja, hogyan engedélyezheti a rendszergazda számára az önkiszolgáló jelszó-visszaállítás helyszíni környezetbe való visszaállítását. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .

Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Connectben
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Egy működő Microsoft Entra-bérlő, amely rendelkezik legalább p1 Microsoft Entra-azonosítóval vagy engedélyezett próbaverziós licenccel.
  • Ha szükséges, hozzon létre egyet ingyen.
  • További információ: A Microsoft Entra SSPR licencelési követelményei.
• Egy hibrid identitáskezelővel rendelkező fiók.
• Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító.
  • Ha szükséges, végezze el az előző bemutatót a Microsoft Entra SSPR engedélyezéséhez.
• Meglévő helyszíni AD DS-környezet, amely a Microsoft Entra Connect aktuális verziójával van konfigurálva.
  • Szükség esetén konfigurálja a Microsoft Entra Connectet az Express vagy az Egyéni beállítások használatával.
  • A jelszóvisszaíró használatához a tartományvezérlők a Windows Server bármely támogatott verzióját futtathatják.

Fiókengedélyek konfigurálása a Microsoft Entra Connecthez

A Microsoft Entra Connect lehetővé teszi a felhasználók, csoportok és hitelesítő adatok szinkronizálását egy helyszíni AD DS-környezet és a Microsoft Entra-azonosító között. A Microsoft Entra Connectet általában a helyszíni AD DS-tartományhoz csatlakoztatott Windows Server 2016-os vagy újabb számítógépre telepíti.

Az SSPR-visszaírás helyes használatához a Microsoft Entra Connectben megadott fióknak rendelkeznie kell a megfelelő engedélyekkel és beállításokkal. Ha nem biztos abban, hogy melyik fiók van használatban, nyissa meg a Microsoft Entra Connectet, és válassza az Aktuális konfiguráció megtekintése lehetőséget. A szinkronizált címtárak területen található az a fiók, amelyhez engedélyeket kell hozzáadnia. A fiókon a következő engedélyeket és beállításokat kell megadni:

• Új jelszó létrehozása
• Jelszó módosítása
• Írási engedélyeklockoutTime
• Írási engedélyekpwdLastSet
• Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.

Ha nem rendeli hozzá ezeket az engedélyeket, előfordulhat, hogy a visszaírás megfelelően van konfigurálva, de a felhasználók hibát tapasztalnak a helyszíni jelszavak felhőből történő kezelésekor. Ha az Active Directoryban a "Nem használt jelszó" engedélyeket állítja be, akkor az erre az objektumra és az összes leszármazott objektumra, csak ez az objektum vagy az Összes leszármazott objektumra kell alkalmazni, vagy a "Nem használt jelszó" engedély nem jeleníthető meg.

Tipp.

Ha egyes felhasználói fiókok jelszavai nem lesznek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.

A jelszóvisszaíró megfelelő engedélyeinek beállításához hajtsa végre a következő lépéseket:

1. A helyszíni AD DS-környezetben nyisson meg Active Directory - felhasználók és számítógépek egy olyan fiókkal, amely rendelkezik a megfelelő tartományi rendszergazdai engedélyekkel.
2. A Nézet menüben győződjön meg arról, hogy a Speciális funkciók be vannak kapcsolva.
3. A bal oldali panelen válassza ki a jobb gombbal a tartomány gyökerét képviselő objektumot, majd válassza a Tulajdonságok biztonsági>speciális beállításai>lehetőséget.
4. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
5. Az Egyszerű beállításnál válassza ki azt a fiókot, amelyhez engedélyeket kell alkalmazni (a Microsoft Entra Connect által használt fiókra).
6. Az Applies to drop-down list (Applies to drop-down list) területen válassza a Leszármazott felhasználó objektumok lehetőséget.
7. Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:
   • Új jelszó létrehozása
8. A Tulajdonságok területen válassza ki a következő beállítások mezőinek jelölőnégyzetét. Görgessen végig a listán, és keresse meg ezeket a beállításokat, amelyek alapértelmezés szerint már be vannak állítva:

• LockoutTime írása

• PwdLastSet írása

  

1. Ha elkészült, a módosítások alkalmazásához válassza az Alkalmaz/OK gombot.
2. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
3. Az Egyszerű beállításnál válassza ki azt a fiókot, amelyhez engedélyeket kell alkalmazni (a Microsoft Entra Connect által használt fiókra).
4. Az Applies to drop-down list (Applies to drop-down list) területen válassza az Ez az objektum és az összes leszármazott objektum lehetőséget
5. Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:
   • Meg nem oldott jelszó
6. Ha elkészült, a módosítások alkalmazásához és a megnyitott párbeszédpanelek elhagyásához válassza az Alkalmaz/OK gombot.

Az engedélyek frissítésekor akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.

A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ahhoz, hogy a jelszóvisszaírás a leghatékonyabban működjön, a minimális jelszó-korú csoportházirendnek 0-ra kell állítania. Ez a beállítás a Számítógép-konfigurációs > házirendek > Windows-beállítások > biztonsági beállítások > fiókszabályzataigpmc.mscközött található.

Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.

Feljegyzés

Ha naponta egynél több alkalommal kell engedélyeznie a felhasználóknak a jelszavak módosítását vagy alaphelyzetbe állítását, a jelszó minimális életkorának 0-ra kell állítania. A jelszóvisszaírás a helyszíni jelszóházirendek sikeres kiértékelése után működik.

Jelszóvisszaíró engedélyezése a Microsoft Entra Connectben

A Microsoft Entra Connect egyik konfigurációs lehetősége a jelszóvisszaírás. Ha ez a beállítás engedélyezve van, a jelszómódosítási események hatására a Microsoft Entra Connect szinkronizálja a frissített hitelesítő adatokat a helyszíni AD DS-környezettel.

Az SSPR-visszaírás engedélyezéséhez először engedélyezze a visszaírási lehetőséget a Microsoft Entra Connectben. A Microsoft Entra Connect-kiszolgálón hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra Connect-kiszolgálóra, és indítsa el a Microsoft Entra Connect konfigurációs varázslót.
2. Az üdvözlőlapon kattintson a Konfigurálás gombra.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
4. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg az Azure-bérlő globális rendszergazdai hitelesítő adatait, majd válassza a Tovább gombot.
5. A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
6. A Választható funkciók lapon jelölje be a Jelszóvisszaíró melletti jelölőnégyzetet, és kattintson a Tovább gombra.
7. A Címtárbővítmények lapon válassza a Tovább gombot.
8. A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
9. Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.

Feljegyzés

Az OnPremDirectorySynchronization szolgáltatás szolgáltatásairólvaló frissítés PasswordWritebackEnabled nem támogatott, mivel ez a funkciójelző nincs használatban.

Jelszóvisszaíró engedélyezése SSPR-hez

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Connectben, most konfigurálja a Microsoft Entra SSPR-t a visszaíráshoz. Az SSPR a Microsoft Entra Connect Sync-ügynökökön és a Microsoft Entra Connect kiépítési ügynökökön (felhőszinkronizáláson) keresztül konfigurálható visszaírásra. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.

Ha engedélyezni szeretné a jelszóvisszaírást az SSPR-ben, hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Ellenőrizze, hogy a jelszavakat vissza szeretné-e írni a helyszíni címtárba .
4. (nem kötelező) Ha a Rendszer észleli a Microsoft Entra Connect kiépítési ügynökeit, akkor a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással beállítását is ellenőrizheti.
5. Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
6. Ha elkészült, válassza a Mentés lehetőséget.

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a jelet a jelszó visszaírása a helyszíni címtárba jelölőnégyzetből.
4. Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
5. Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
6. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretné használni a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is a Microsoft Entra Connect Sync-ügynököt szeretné használni a visszaírásokhoz, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba globális rendszergazdaként.
2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
4. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretne jelszófunkciót használni, végezze el a Következő lépéseket a Microsoft Entra Connect-kiszolgálóról:

1. Jelentkezzen be a Microsoft Entra Connect-kiszolgálóra, és indítsa el a Microsoft Entra Connect konfigurációs varázslót.
2. Az üdvözlőlapon kattintson a Konfigurálás gombra.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása elemet, majd kattintson a Tovább gombra.
4. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adjon meg egy globális rendszergazdai hitelesítő adatot, majd válassza a Tovább gombot.
5. A Címtárak csatlakoztatása és a Tartomány/szervezeti egység szűrőoldalakon kattintson a Tovább gombra.
6. A Választható funkciók lapon törölje a jelet a Jelszóvisszaíró melletti jelölőnégyzetből, és válassza a Tovább gombot.
7. A Konfigurálásra kész lapon kattintson a Konfigurálás gombra, és várja meg, amíg a folyamat véget ér.
8. Ha látja, hogy a konfigurálás befejeződött, kattintson a Kilépés gombra.

Fontos

A jelszóvisszaírás első engedélyezése akkor is kiválthatja a 656-os és a 657-ös jelszómódosítási eseményeket, ha nem történt jelszómódosítás. Ennek az az oka, hogy a jelszókivonat-szinkronizálási ciklus futtatása után az összes jelszókivonat újra lesz szinkronizálva.

Következő lépések

Ebben az oktatóanyagban engedélyezte a Microsoft Entra SSPR visszaírását egy helyszíni AD DS-környezetbe. Megtanulta végrehajtani az alábbi műveleteket:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Connectben
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Kockázat értékelése bejelentkezéskor