Hogyan működik az önkiszolgáló jelszó-visszaállítási visszaírás a Microsoft Entra ID-ban?
A Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) lehetővé teszi, hogy a felhasználók a felhőben visszaállítsák a jelszavukat, de a legtöbb vállalat helyi Active Directory Tartományi szolgáltatások (AD DS) környezettel is rendelkezik a felhasználók számára. A jelszóvisszaírás lehetővé teszi, hogy a felhőbeli jelszómódosításokat valós időben vissza lehessen írni egy helyszíni könyvtárba a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálás használatával. Amikor a felhasználók az SSPR használatával módosítják vagy alaphelyzetbe állítják a jelszavaikat a felhőben, a frissített jelszavak a helyszíni AD DS-környezetbe is visszaírhatók.
Fontos
Ez a fogalmi cikk bemutatja a rendszergazdáknak az önkiszolgáló jelszó-visszaállítási visszaírás működését. Ha Ön már regisztrálta magát az önkiszolgáló jelszó-visszaállításra, és vissza kell lépnie a fiókjába, nyissa meg a következőt https://aka.ms/sspr: .
Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.
A jelszóvisszaírás az alábbi hibrid identitásmodelleket használó környezetekben támogatott:
A jelszóvisszaírás a következő funkciókat biztosítja:
- A helyi Active Directory Tartományi szolgáltatások (AD DS) jelszóházirendjeinek érvényesítése: Amikor egy felhasználó visszaállítja a jelszavát, a rendszer ellenőrzi, hogy megfelel-e a helyszíni AD DS-szabályzatnak, mielőtt véglegesíti azt az adott címtárba. Ez az áttekintés magában foglalja az előzmények, összetettség, életkor, jelszószűrők és az AD DS-ben definiált egyéb jelszókorlátozások ellenőrzését.
- Nulla késleltetésű visszajelzés: A jelszóvisszaírás szinkron művelet. A felhasználók azonnal értesítést kapnak, ha a jelszó nem felel meg a szabályzatnak, vagy bármilyen okból nem állíthatók vissza vagy módosíthatók.
- Támogatja a hozzáférési panel és a Microsoft 365 jelszómódosításait: Ha az összevont vagy jelszókivonat-szinkronizált felhasználók módosítják lejárt vagy nem lejárt jelszavaikat, ezek a jelszavak vissza lesznek írva az AD DS-be.
- Támogatja a jelszóvisszaírást, ha egy rendszergazda alaphelyzetbe állítja őket a Microsoft Entra felügyeleti központból: Ha egy rendszergazda visszaállítja a felhasználó jelszavát a Microsoft Entra felügyeleti központban, ha a felhasználó összevont vagy a jelszókivonat szinkronizálva van, a rendszer visszaírja a jelszót a helyszínire. Ez a funkció jelenleg nem támogatott az Office felügyeleti portálján.
- Nincs szükség bejövő tűzfalszabályokra: A jelszóvisszaírás egy Azure Service Bus-továbbítót használ mögöttes kommunikációs csatornaként. Minden kommunikáció kimenő a 443-as porton keresztül.
- Támogatja a párhuzamos tartományszintű üzembe helyezést a Microsoft Entra Csatlakozás vagy a felhőszinkronizálás használatával, hogy a felhasználók különböző csoportjait célozza meg az igényeiknek megfelelően, beleértve a leválasztott tartományokban lévő felhasználókat is.
Megjegyzés:
A jelszóvisszaíró kérelmeket kezelő helyszíni szolgáltatásfiók nem módosíthatja a védett csoportokhoz tartozó felhasználók jelszavát. Rendszergazda istratorok módosíthatják a jelszavukat a felhőben, de nem használhatják a jelszóvisszaírást a helyszíni felhasználójuk elfelejtett jelszavának visszaállításához. További információ a védett csoportokról: Védett fiókok és csoportok az AD DS-ben.
Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagok egyikét vagy mindkettőt:
- Oktatóanyag: Az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának engedélyezése
- Oktatóanyag: A Microsoft Entra Csatlakozás felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe (előzetes verzió)
A Microsoft Entra Csatlakozás és a felhőbeli szinkronizálás egymás melletti üzembe helyezése
A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett helyezheti üzembe különböző tartományokban a különböző felhasználói csoportok megcélzásához. Így a meglévő felhasználók továbbra is visszaírhatják a jelszómódosításokat, miközben hozzáadják a lehetőséget azokban az esetekben, amikor a felhasználók a vállalat egyesülése vagy felosztása miatt leválasztott tartományokban vannak. A Microsoft Entra Csatlakozás és a felhőszinkronizálás különböző tartományokban konfigurálható, így az egyik tartomány felhasználói használhatják a Microsoft Entra Csatlakozás, míg a másik tartomány felhasználói a felhőszinkronizálást. A felhőszinkronizálás magasabb rendelkezésre állást is biztosíthat, mivel nem támaszkodik a Microsoft Entra Csatlakozás egyetlen példányára. A két üzembehelyezési lehetőség összehasonlítása a Microsoft Entra Csatlakozás és a felhőbeli szinkronizálás összehasonlítása című témakörben olvasható.
A jelszóvisszaíró működése
Ha egy felhasználói fiók összevonásra van konfigurálva, a jelszókivonat-szinkronizálás (vagy Microsoft Entra Csatlakozás üzemelő példány esetén az átmenő hitelesítés) megpróbál alaphelyzetbe állítani vagy módosítani egy jelszót a felhőben, a következő műveletek történnek:
A rendszer ellenőrzi, hogy a felhasználó milyen típusú jelszóval rendelkezik. Ha a jelszót a helyszínen kezelik:
- A rendszer ellenőrzi, hogy a visszaíró szolgáltatás működik-e. Ha igen, a felhasználó továbbléphet.
- Ha a visszaíró szolgáltatás leállt, a felhasználó értesítést kap arról, hogy a jelszava jelenleg nem állítható alaphelyzetbe.
Ezután a felhasználó átadja a megfelelő hitelesítési kapukat, és eléri az Új jelszó kérése lapot.
A felhasználó kiválaszt egy új jelszót, és megerősíti azt.
Amikor a felhasználó a Küldés lehetőséget választja, a rendszer titkosítja az egyszerű szöveges jelszót a visszaírás beállítása során létrehozott nyilvános kulccsal.
A titkosított jelszó egy hasznos adat része, amelyet a rendszer egy HTTPS-csatornán keresztül küld el a bérlőspecifikus service bus relaynek (amely a visszaírási beállítási folyamat során van beállítva). Ezt a továbbítót egy véletlenszerűen létrehozott jelszó védi, amelyet csak a helyszíni telepítés tud.
Miután az üzenet elérte a service busot, a jelszó-visszaállítási végpont automatikusan felébred, és azt látja, hogy függőben van egy visszaállítási kérés.
A szolgáltatás ezután a felhőhorgony attribútummal keresi meg a felhasználót. Ahhoz, hogy ez a keresés sikeres legyen, a következő feltételeknek kell teljesülniük:
- A felhasználói objektumnak az AD DS-összekötő területén kell lennie.
- A felhasználói objektumot a megfelelő metaverse (MV) objektumhoz kell csatolni.
- A felhasználói objektumot a megfelelő Microsoft Entra-összekötő objektumhoz kell csatolni.
- Az AD DS-összekötő objektumból az MV-be mutató hivatkozásnak tartalmaznia kell a szinkronizálási szabályt
Microsoft.InfromADUserAccountEnabled.xxx
a hivatkozáson.
Amikor a hívás a felhőből érkezik, a szinkronizálási motor a cloudAnchor attribútummal keresi meg a Microsoft Entra összekötő térobjektumát. Ezután követi az MV objektumra mutató hivatkozást, majd követi az AD DS-objektumra mutató hivatkozást. Mivel ugyanahhoz a felhasználóhoz több AD DS-objektum (többerdős) is lehet, a szinkronizálási motor a
Microsoft.InfromADUserAccountEnabled.xxx
hivatkozásra támaszkodva választja ki a megfelelőt.A felhasználói fiók megtalálása után megkísérli a jelszó visszaállítását közvetlenül a megfelelő AD DS-erdőben.
Ha a jelszókészlet-művelet sikeres, a rendszer azt mondja a felhasználónak, hogy módosította a jelszavát.
Megjegyzés:
Ha a felhasználó jelszókivonat-kivonata jelszókivonat-szinkronizálással szinkronizálódik a Microsoft Entra-azonosítóval, akkor előfordulhat, hogy a helyszíni jelszóházirend gyengébb, mint a felhőbeli jelszóházirend. Ebben az esetben a helyszíni szabályzat kényszerítve van. Ez a szabályzat biztosítja, hogy a helyszíni szabályzat a felhőben legyen kényszerítve, függetlenül attól, hogy jelszókivonat-szinkronizálást vagy összevonást használ az egyszeri bejelentkezés biztosításához.
Ha a jelszókészlet-művelet sikertelen, egy hibaüzenet kéri a felhasználót, hogy próbálkozzon újra. A művelet a következő okok miatt hiúsulhat meg:
- A szolgáltatás leállt.
- A kiválasztott jelszó nem felel meg a szervezet szabályzatainak.
- A felhasználó nem található a helyi AD DS-környezetben.
A hibaüzenetek útmutatást nyújtanak a felhasználóknak, hogy rendszergazdai beavatkozás nélkül megpróbálhassák megoldani a problémát.
Jelszóvisszaíró biztonsága
A jelszóvisszaíró egy rendkívül biztonságos szolgáltatás. Az adatok védelmének biztosítása érdekében egy négyrétegű biztonsági modell engedélyezve van az alábbiak szerint:
- Bérlőspecifikus service-bus relay
- A szolgáltatás beállításakor egy bérlőspecifikus service bus relay van beállítva, amely egy véletlenszerűen generált erős jelszóval van védve, amelyhez a Microsoft soha nem fér hozzá.
- Zárolva, kriptográfiailag erős, jelszótitkosítási kulcs
- A service bus relay létrehozása után létrejön egy erős szimmetrikus kulcs, amely a jelszó titkosítására szolgál a vezetéken keresztül. Ez a kulcs csak a vállalat titkos tárolójában található a felhőben, amelyet szigorúan zárolnak és naplóznak, ugyanúgy, mint bármely más jelszót a címtárban.
- Iparági szabvány szerinti transport Layer Security (TLS)
- Amikor jelszó-visszaállítási vagy -módosítási művelet történik a felhőben, a rendszer titkosítja a egyszerű szöveges jelszót a nyilvános kulccsal.
- A titkosított jelszó egy HTTPS-üzenetbe kerül, amelyet a rendszer a Microsoft TLS/SSL-tanúsítványokkal küld egy titkosított csatornán keresztül a service bus relaynek.
- Miután az üzenet megérkezik a service busba, a helyszíni ügynök felébred, és a korábban létrehozott erős jelszóval hitelesíti a szolgáltatásbuszt.
- A helyszíni ügynök felveszi a titkosított üzenetet, és visszafejti azt a titkos kulcs használatával.
- A helyszíni ügynök megpróbálja beállítani a jelszót az AD DS SetPassword API-n keresztül. Ez a lépés teszi lehetővé a helyszíni AD DS-jelszóházirend (például az összetettség, az életkor, az előzmények és a szűrők) érvényesítését a felhőben.
- Üzenet lejárati szabályzatai
- Ha az üzenet azért van a service busban, mert a helyszíni szolgáltatás leállt, időtúllépés történik, és néhány perc elteltével el lesz távolítva. Az üzenet időtúllépése és eltávolítása még tovább növeli a biztonságot.
Jelszóvisszaíró titkosításának részletei
Miután a felhasználó elküldte a jelszó-visszaállítást, az alaphelyzetbe állítási kérés több titkosítási lépésen megy keresztül, mielőtt a helyszíni környezetbe érkezik. Ezek a titkosítási lépések biztosítják a szolgáltatás maximális megbízhatóságát és biztonságát. Ezek leírása a következő:
- Jelszótitkosítás 2048 bites RSA-kulccsal: Miután egy felhasználó elküld egy jelszót, amelyet vissza kell írni a helyszínre, magát a beküldött jelszót egy 2048 bites RSA-kulccsal titkosítja a rendszer.
- Csomagszintű titkosítás 256 bites AES-GCM-mel: A teljes csomag, a jelszó és a szükséges metaadatok az AES-GCM használatával (256 bites kulcsmérettel) titkosítva lesznek. Ez a titkosítás megakadályozza, hogy bárki, aki közvetlen hozzáféréssel rendelkezik a mögöttes Service Bus-csatornához, megtekintse vagy módosítsa a tartalmat.
- Minden kommunikáció TLS/SSL protokollon keresztül történik: A Service Bus szolgáltatással folytatott összes kommunikáció SSL-/TLS-csatornán történik. Ez a titkosítás védi a tartalmat jogosulatlan harmadik felektől.
- Automatikus kulcsátállítás hathavonta: Minden kulcs hathavonta átgördül, vagy amikor a jelszóvisszaíró le van tiltva, majd újra engedélyezve van a Microsoft Entra Csatlakozás, a szolgáltatás maximális biztonsága és biztonsága érdekében.
Jelszóvisszaíró sávszélességének használata
A jelszóvisszaíró egy alacsony sávszélességű szolgáltatás, amely csak a következő körülmények között küld vissza kéréseket a helyszíni ügynöknek:
- Két üzenetet küld a rendszer, ha a funkció engedélyezve van vagy le van tiltva a Microsoft Entra Csatlakozás keresztül.
- A rendszer öt percenként egy üzenetet küld szolgáltatás szívveréseként mindaddig, amíg a szolgáltatás fut.
- Minden új jelszó elküldésekor két üzenet érkezik:
- Az első üzenet a művelet végrehajtására irányuló kérés.
- A második üzenet a művelet eredményét tartalmazza, és a következő körülmények között küldi el:
- Minden alkalommal, amikor új jelszót ad meg egy felhasználó önkiszolgáló jelszó-alaphelyzetbe állítása során.
- Minden alkalommal, amikor új jelszót ad meg a felhasználó jelszómódosítási művelete során.
- Minden alkalommal, amikor új jelszót küld a rendszer a rendszergazda által kezdeményezett felhasználói jelszó-visszaállítás során (csak az Azure felügyeleti portáljairól).
Az üzenetek méretének és sávszélességének szempontjai
A korábban ismertetett üzenetek mérete általában 1 KB alatt van. A jelszóvisszaíró szolgáltatás még szélsőséges terhelések esetén is másodpercenként néhány kilobit/másodperc sávszélességet használ fel. Mivel az egyes üzeneteket valós időben küldi el a rendszer, csak akkor, ha jelszófrissítési művelet szükséges, és mivel az üzenet mérete olyan kicsi, hogy a visszaíró funkció sávszélesség-kihasználtsága túl kicsi ahhoz, hogy mérhető hatással legyen.
Támogatott visszaírási műveletek
A jelszavakat a rendszer az alábbi helyzetekben írja vissza:
Támogatott végfelhasználói műveletek
- Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet.
- Bármely végfelhasználói önkiszolgáló kényszerítés jelszómódosítási művelet, például jelszó lejárata.
- Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállítási portálról származik.
Támogatott rendszergazdai műveletek
- Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet.
- Bármely rendszergazdai önkiszolgáló kényszerítés jelszómódosítási művelettel, például jelszó lejáratával.
- Minden rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállítási portálról származik.
- Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból.
- Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból.
Nem támogatott visszaírási műveletek
A jelszavakat a rendszer nem írja vissza az alábbi helyzetekben:
- Nem támogatott végfelhasználói műveletek
- Egy végfelhasználó a PowerShell 1-es vagy 2-es verziójával vagy a Microsoft Graph API-val próbálja meg alaphelyzetbe állítani a saját jelszavát.
- Nem támogatott rendszergazdai műveletek
- Rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a PowerShell 1-es vagy 2-es verziójáról.
- A rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft 365 Felügyeleti központ.
- A rendszergazda nem tudja használni az új jelszó kérésére szolgáló eszközt arra, hogy új jelszót kérjenek a jelszóvisszaíróhoz.
Figyelmeztetés
A "Felhasználónak módosítania kell a jelszót a következő bejelentkezéskor" jelölőnégyzet használata a helyszíni AD DS felügyeleti eszközeiben( például Active Directory - felhasználók és számítógépek vagy az Active Directory Rendszergazda istrative Center) a Microsoft Entra Csatlakozás előzetes verziójú funkciójaként támogatott. További információ: Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel.
Megjegyzés:
Ha egy felhasználónál a "Jelszó soha nem jár le" beállítás van beállítva az Active Directoryban (AD), a jelszómódosítás kényszerítése jelző nem lesz beállítva az Active Directoryban (AD), így a rendszer nem kéri a felhasználót a jelszó módosítására a következő bejelentkezés során, még akkor sem, ha a rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás során a felhasználót arra kényszeríti, hogy módosítsa a jelszavát a következő bejelentkezési beállításnál.
További lépések
Az SSPR-visszaírás első lépéseihez végezze el az alábbi oktatóanyagot: