Hogyan működik az önkiszolgáló jelszó-visszaállítási visszaírás a Microsoft Entra ID-ban?

A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi, hogy a felhasználók a felhőben visszaállítsák a jelszavukat, de a legtöbb vállalat helyi Active Directory Tartományi szolgáltatások (AD DS) környezettel is rendelkezik a felhasználók számára. A jelszóvisszaírás lehetővé teszi, hogy a felhőbeli jelszómódosításokat valós időben vissza lehessen írni egy helyszíni könyvtárba a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával. Amikor a felhasználók az SSPR használatával módosítják vagy alaphelyzetbe állítják a jelszavaikat a felhőben, a frissített jelszavak a helyszíni AD DS-környezetbe is visszaírhatók.

Fontos

Ez a fogalmi cikk bemutatja a rendszergazdáknak az önkiszolgáló jelszó-visszaállítási visszaírás működését. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .

Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.

A jelszóvisszaírás az alábbi hibrid identitásmodelleket használó környezetekben támogatott:

• Jelszókivonat szinkronizálása
• Átmenő hitelesítés
• Active Directory összevonási szolgáltatások

A jelszóvisszaírás a következő funkciókat biztosítja:

• A helyi Active Directory Tartományi szolgáltatások (AD DS) jelszóházirendjeinek érvényesítése: Amikor egy felhasználó visszaállítja a jelszavát, a rendszer ellenőrzi, hogy megfelel-e a helyszíni AD DS-szabályzatnak, mielőtt véglegesíti azt az adott címtárba. Ez az áttekintés magában foglalja az előzmények, összetettség, életkor, jelszószűrők és az AD DS-ben definiált egyéb jelszókorlátozások ellenőrzését.
• Nulla késleltetésű visszajelzés: A jelszóvisszaírás szinkron művelet. A felhasználók azonnal értesítést kapnak, ha a jelszó nem felel meg a szabályzatnak, vagy bármilyen okból nem állíthatók vissza vagy módosíthatók.
• Támogatja a hozzáférési panel és a Microsoft 365 jelszómódosításait: Ha az összevont vagy jelszókivonat-szinkronizált felhasználók módosítják lejárt vagy nem lejárt jelszavaikat, ezek a jelszavak vissza lesznek írva az AD DS-be.
• Támogatja a jelszóvisszaírást, ha egy rendszergazda alaphelyzetbe állítja őket a Microsoft Entra felügyeleti központból: Ha egy rendszergazda visszaállítja a felhasználó jelszavát a Microsoft Entra felügyeleti központban, ha a felhasználó összevont vagy a jelszókivonat szinkronizálva van, a rendszer visszaírja a jelszót a helyszínire. Ez a funkció jelenleg nem támogatott az Office felügyeleti portálján.
• Nincs szükség bejövő tűzfalszabályokra: A jelszóvisszaírás egy Azure Service Bus-továbbítót használ mögöttes kommunikációs csatornaként. Minden kommunikáció kimenő a 443-as porton keresztül.
• Támogatja a párhuzamos tartományszintű üzembe helyezést a Microsoft Entra Csatlakozás vagy a felhőszinkronizálás használatával, hogy a felhasználók különböző csoportjait célozza meg az igényeiknek megfelelően, beleértve a leválasztott tartományokban lévő felhasználókat is.

Megjegyzés:

A jelszóvisszaíró kérelmeket kezelő helyszíni szolgáltatásfiók nem módosíthatja a védett csoportokhoz tartozó felhasználók jelszavát. Rendszergazda istratorok módosíthatják a jelszavukat a felhőben, de nem használhatják a jelszóvisszaírást a helyszíni felhasználójuk elfelejtett jelszavának visszaállításához. További információ a védett csoportokról: Védett fiókok és csoportok az AD DS-ben.

Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagok egyikét vagy mindkettőt:

• Oktatóanyag: Az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának engedélyezése
• Oktatóanyag: A Microsoft Entra Csatlakozás felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe (előzetes verzió)

A Microsoft Entra Csatlakozás és a felhőbeli szinkronizálás egymás melletti üzembe helyezése

A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett helyezheti üzembe különböző tartományokban a különböző felhasználói csoportok megcélzásához. Így a meglévő felhasználók továbbra is visszaírhatják a jelszómódosításokat, miközben hozzáadják a lehetőséget azokban az esetekben, amikor a felhasználók a vállalat egyesülése vagy felosztása miatt leválasztott tartományokban vannak. A Microsoft Entra Csatlakozás és a felhőszinkronizálás különböző tartományokban konfigurálható, így az egyik tartomány felhasználói használhatják a Microsoft Entra Csatlakozás, míg a másik tartomány felhasználói a felhőszinkronizálást. A felhőszinkronizálás magasabb rendelkezésre állást is biztosíthat, mivel nem támaszkodik a Microsoft Entra Csatlakozás egyetlen példányára. A két üzembehelyezési lehetőség összehasonlítása a Microsoft Entra Csatlakozás és a felhőbeli szinkronizálás összehasonlítása című témakörben olvasható.

A jelszóvisszaíró működése

Ha egy felhasználói fiók összevonásra van konfigurálva, a jelszókivonat-szinkronizálás (vagy Microsoft Entra Csatlakozás üzemelő példány esetén az átmenő hitelesítés) megpróbál alaphelyzetbe állítani vagy módosítani egy jelszót a felhőben, a következő műveletek történnek:

1. A rendszer ellenőrzi, hogy a felhasználó milyen típusú jelszóval rendelkezik. Ha a jelszót a helyszínen kezelik:

   • A rendszer ellenőrzi, hogy a visszaíró szolgáltatás működik-e. Ha igen, a felhasználó továbbléphet.
   • Ha a visszaíró szolgáltatás leállt, a felhasználó értesítést kap arról, hogy a jelszava jelenleg nem állítható alaphelyzetbe.

2. Ezután a felhasználó átadja a megfelelő hitelesítési kapukat, és eléri az Új jelszó kérése lapot.

3. A felhasználó kiválaszt egy új jelszót, és megerősíti azt.

4. Amikor a felhasználó a Küldés lehetőséget választja, a rendszer titkosítja az egyszerű szöveges jelszót a visszaírás beállítása során létrehozott nyilvános kulccsal.

5. A titkosított jelszó egy hasznos adat része, amelyet a rendszer egy HTTPS-csatornán keresztül küld el a bérlőspecifikus service bus relaynek (amely a visszaírási beállítási folyamat során van beállítva). Ezt a továbbítót egy véletlenszerűen létrehozott jelszó védi, amelyet csak a helyszíni telepítés tud.

6. Miután az üzenet elérte a service busot, a jelszó-visszaállítási végpont automatikusan felébred, és azt látja, hogy függőben van egy visszaállítási kérés.

7. A szolgáltatás ezután a felhőhorgony attribútummal keresi meg a felhasználót. Ahhoz, hogy ez a keresés sikeres legyen, a következő feltételeknek kell teljesülniük:

   • A felhasználói objektumnak az AD DS-összekötő területén kell lennie.
   • A felhasználói objektumot a megfelelő metaverse (MV) objektumhoz kell csatolni.
   • A felhasználói objektumot a megfelelő Microsoft Entra-összekötő objektumhoz kell csatolni.
   • Az AD DS-összekötő objektumból az MV-be mutató hivatkozásnak tartalmaznia kell a szinkronizálási szabályt Microsoft.InfromADUserAccountEnabled.xxx a hivatkozáson.

   Amikor a hívás a felhőből érkezik, a szinkronizálási motor a cloudAnchor attribútummal keresi meg a Microsoft Entra összekötő térobjektumát. Ezután követi az MV objektumra mutató hivatkozást, majd követi az AD DS-objektumra mutató hivatkozást. Mivel ugyanahhoz a felhasználóhoz több AD DS-objektum (többerdős) is lehet, a szinkronizálási motor a Microsoft.InfromADUserAccountEnabled.xxx hivatkozásra támaszkodva választja ki a megfelelőt.

8. A felhasználói fiók megtalálása után megkísérli a jelszó visszaállítását közvetlenül a megfelelő AD DS-erdőben.

9. Ha a jelszókészlet-művelet sikeres, a rendszer azt mondja a felhasználónak, hogy módosította a jelszavát.

   Megjegyzés:

   Ha a felhasználó jelszókivonat-kivonata jelszókivonat-szinkronizálással szinkronizálódik a Microsoft Entra-azonosítóval, akkor előfordulhat, hogy a helyszíni jelszóházirend gyengébb, mint a felhőbeli jelszóházirend. Ebben az esetben a helyszíni szabályzat kényszerítve van. Ez a szabályzat biztosítja, hogy a helyszíni szabályzat a felhőben legyen kényszerítve, függetlenül attól, hogy jelszókivonat-szinkronizálást vagy összevonást használ az egyszeri bejelentkezés biztosításához.

10. Ha a jelszókészlet-művelet sikertelen, egy hibaüzenet kéri a felhasználót, hogy próbálkozzon újra. A művelet a következő okok miatt hiúsulhat meg:

    • A szolgáltatás leállt.
    • A kiválasztott jelszó nem felel meg a szervezet szabályzatainak.
    • A felhasználó nem található a helyi AD DS-környezetben.

    A hibaüzenetek útmutatást nyújtanak a felhasználóknak, hogy rendszergazdai beavatkozás nélkül megpróbálhassák megoldani a problémát.

Jelszóvisszaíró biztonsága

A jelszóvisszaíró egy rendkívül biztonságos szolgáltatás. Az adatok védelmének biztosítása érdekében egy négyrétegű biztonsági modell engedélyezve van az alábbiak szerint:

• Bérlőspecifikus service-bus relay
  • A szolgáltatás beállításakor egy bérlőspecifikus service bus relay van beállítva, amely egy véletlenszerűen generált erős jelszóval van védve, amelyhez a Microsoft soha nem fér hozzá.
• Zárolva, kriptográfiailag erős, jelszótitkosítási kulcs
  • A service bus relay létrehozása után létrejön egy erős szimmetrikus kulcs, amely a jelszó titkosítására szolgál a vezetéken keresztül. Ez a kulcs csak a vállalat titkos tárolójában található a felhőben, amelyet szigorúan zárolnak és naplóznak, ugyanúgy, mint bármely más jelszót a címtárban.
• Iparági szabvány szerinti transport Layer Security (TLS)
  1. Amikor jelszó-visszaállítási vagy -módosítási művelet történik a felhőben, a rendszer titkosítja a egyszerű szöveges jelszót a nyilvános kulccsal.
  2. A titkosított jelszó egy HTTPS-üzenetbe kerül, amelyet a rendszer a Microsoft TLS/SSL-tanúsítványokkal küld egy titkosított csatornán keresztül a service bus relaynek.
  3. Miután az üzenet megérkezik a service busba, a helyszíni ügynök felébred, és a korábban létrehozott erős jelszóval hitelesíti a szolgáltatásbuszt.
  4. A helyszíni ügynök felveszi a titkosított üzenetet, és visszafejti azt a titkos kulcs használatával.
  5. A helyszíni ügynök megpróbálja beállítani a jelszót az AD DS SetPassword API-n keresztül. Ez a lépés teszi lehetővé a helyszíni AD DS-jelszóházirend (például az összetettség, az életkor, az előzmények és a szűrők) érvényesítését a felhőben.
• Üzenet lejárati szabályzatai
  • Ha az üzenet azért van a service busban, mert a helyszíni szolgáltatás leállt, időtúllépés történik, és néhány perc elteltével el lesz távolítva. Az üzenet időtúllépése és eltávolítása még tovább növeli a biztonságot.

Jelszóvisszaíró titkosításának részletei

Miután a felhasználó elküldte a jelszó-visszaállítást, az alaphelyzetbe állítási kérés több titkosítási lépésen megy keresztül, mielőtt a helyszíni környezetbe érkezik. Ezek a titkosítási lépések biztosítják a szolgáltatás maximális megbízhatóságát és biztonságát. Ezek leírása a következő:

1. Jelszótitkosítás 2048 bites RSA-kulccsal: Miután egy felhasználó elküld egy jelszót, amelyet vissza kell írni a helyszínre, magát a beküldött jelszót egy 2048 bites RSA-kulccsal titkosítja a rendszer.
2. Csomagszintű titkosítás 256 bites AES-GCM-mel: A teljes csomag, a jelszó és a szükséges metaadatok az AES-GCM használatával (256 bites kulcsmérettel) titkosítva lesznek. Ez a titkosítás megakadályozza, hogy bárki, aki közvetlen hozzáféréssel rendelkezik a mögöttes Service Bus-csatornához, megtekintse vagy módosítsa a tartalmat.
3. Minden kommunikáció TLS/SSL protokollon keresztül történik: A Service Bus szolgáltatással folytatott összes kommunikáció SSL-/TLS-csatornán történik. Ez a titkosítás védi a tartalmat jogosulatlan harmadik felektől.
4. Automatikus kulcsátállítás hathavonta: Minden kulcs hathavonta átgördül, vagy amikor a jelszóvisszaíró le van tiltva, majd újra engedélyezve van a Microsoft Entra Csatlakozás, a szolgáltatás maximális biztonsága és biztonsága érdekében.

Jelszóvisszaíró sávszélességének használata

A jelszóvisszaíró egy alacsony sávszélességű szolgáltatás, amely csak a következő körülmények között küld vissza kéréseket a helyszíni ügynöknek:

• Két üzenetet küld a rendszer, ha a funkció engedélyezve van vagy le van tiltva a Microsoft Entra Csatlakozás keresztül.
• A rendszer öt percenként egy üzenetet küld szolgáltatás szívveréseként mindaddig, amíg a szolgáltatás fut.
• Minden új jelszó elküldésekor két üzenet érkezik:
  • Az első üzenet a művelet végrehajtására irányuló kérés.
  • A második üzenet a művelet eredményét tartalmazza, és a következő körülmények között küldi el:
    • Minden alkalommal, amikor új jelszót ad meg egy felhasználó önkiszolgáló jelszó-alaphelyzetbe állítása során.
    • Minden alkalommal, amikor új jelszót ad meg a felhasználó jelszómódosítási művelete során.
    • Minden alkalommal, amikor új jelszót küld a rendszer a rendszergazda által kezdeményezett felhasználói jelszó-visszaállítás során (csak az Azure felügyeleti portáljairól).

Az üzenetek méretének és sávszélességének szempontjai

A korábban ismertetett üzenetek mérete általában 1 KB alatt van. A jelszóvisszaíró szolgáltatás még szélsőséges terhelések esetén is másodpercenként néhány kilobit/másodperc sávszélességet használ fel. Mivel az egyes üzeneteket valós időben küldi el a rendszer, csak akkor, ha jelszófrissítési művelet szükséges, és mivel az üzenet mérete olyan kicsi, hogy a visszaíró funkció sávszélesség-kihasználtsága túl kicsi ahhoz, hogy mérhető hatással legyen.

Támogatott visszaírási műveletek

A jelszavakat a rendszer az alábbi helyzetekben írja vissza:

• Támogatott végfelhasználói műveletek

  • Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet.
  • Bármely végfelhasználói önkiszolgáló kényszerítés jelszómódosítási művelet, például jelszó lejárata.
  • Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállítási portálról származik.

• Támogatott rendszergazdai műveletek

  • Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet.
  • Bármely rendszergazdai önkiszolgáló kényszerítés jelszómódosítási művelettel, például jelszó lejáratával.
  • Minden rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállítási portálról származik.
  • Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból.
  • Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból.

Nem támogatott visszaírási műveletek

A jelszavakat a rendszer nem írja vissza az alábbi helyzetekben:

• Nem támogatott végfelhasználói műveletek
  • Egy végfelhasználó a PowerShell 1-es vagy 2-es verziójával vagy a Microsoft Graph API-val próbálja meg alaphelyzetbe állítani a saját jelszavát.
• Nem támogatott rendszergazdai műveletek
  • Rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a PowerShell 1-es vagy 2-es verziójáról.
  • A rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft 365 Felügyeleti központ.
  • A rendszergazda nem tudja használni az új jelszó kérésére szolgáló eszközt arra, hogy új jelszót kérjenek a jelszóvisszaíróhoz.

Figyelmeztetés

A "Felhasználónak módosítania kell a jelszót a következő bejelentkezéskor" jelölőnégyzet használata a helyszíni AD DS felügyeleti eszközeiben( például Active Directory - felhasználók és számítógépek vagy az Active Directory Rendszergazda istrative Center) a Microsoft Entra Csatlakozás előzetes verziójú funkciójaként támogatott. További információ: Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel.

Megjegyzés:

Ha egy felhasználónál a "Jelszó soha nem jár le" beállítás van beállítva az Active Directoryban (AD), a jelszómódosítás kényszerítése jelző nem lesz beállítva az Active Directoryban (AD), így a rendszer nem kéri a felhasználót a jelszó módosítására a következő bejelentkezés során, még akkor sem, ha a rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás során a felhasználót arra kényszeríti, hogy módosítsa a jelszavát a következő bejelentkezési beállításnál.

További lépések

Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagot:

Oktatóanyag: Az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának engedélyezése