Oktatóanyag: A felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe
A Microsoft Entra Csatlakozás felhőszinkronizálás valós időben szinkronizálhatja a Microsoft Entra jelszómódosításait a leválasztott helyi Active Directory tartományi szolgáltatások (AD DS)-tartományok felhasználói között. A Microsoft Entra Csatlakozás felhőszinkronizálás a Microsoft Entra Csatlakozás tartományszinten párhuzamosan is futtatható, így egyszerűbbé teheti a jelszóvisszaírást olyan további forgatókönyvek esetében, mint például a vállalati felosztás vagy egyesítés miatt leválasztott tartományokban lévő felhasználók. Az egyes szolgáltatások különböző tartományokban konfigurálhatók úgy, hogy az igényeiknek megfelelően különböző felhasználókat célozhassanak meg. A Microsoft Entra Csatlakozás felhőszinkronizálás az egyszerűsített Microsoft Entra felhőkiépítési ügynök használatával egyszerűsíti az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának beállítását, és biztonságos módot biztosít a jelszómódosítások helyszíni címtárba való visszaküldésére a felhőben.
Előfeltételek
- Olyan Microsoft Entra-bérlő, amely rendelkezik legalább egy P1 Microsoft Entra-azonosítóval vagy próbaverziós licenccel. Ha szükséges, hozzon létre egyet ingyen.
- Egy fiók a következőkkel:
- Globális Rendszergazda istrator szerepkör
- Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító. Szükség esetén végezze el ezt az oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
- A Microsoft Entra Csatlakozás 1.1.977.0-s vagy újabb felhőszinkronizálási verziójával konfigurált helyszíni AD DS-környezet. Learn how to identify the agent's current version. Szükség esetén konfigurálja a Microsoft Entra Csatlakozás felhőszinkronizálást ezzel az oktatóanyagtal.
Központi telepítési lépések
- A Microsoft Entra Csatlakozás felhőszinkronizálási szolgáltatás fiókengedélyeinek konfigurálása
- Jelszóvisszaíró engedélyezése a Microsoft Entra Csatlakozás felhőszinkronizálásban
- Jelszóvisszaíró engedélyezése SSPR-hez
A Microsoft Entra Csatlakozás felhőszinkronizálási szolgáltatás fiókengedélyeinek konfigurálása
A felhőszinkronizálási engedélyek alapértelmezés szerint konfigurálva vannak. Ha az engedélyeket alaphelyzetbe kell állítani, tekintse meg a hibaelhárítást a jelszóvisszaíróhoz szükséges konkrét engedélyekkel és azok PowerShell-lel történő beállításával kapcsolatos további részletekért.
Jelszóvisszaíró engedélyezése az SSPR-ben
A Microsoft Entra Csatlakozás felhőszinkronizálás kiépítését közvetlenül a Microsoft Entra felügyeleti központban vagy a PowerShellen keresztül engedélyezheti.
Jelszóvisszaíró engedélyezése a Microsoft Entra Felügyeleti központban
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Csatlakozás felhőbeli szinkronizálásban, ellenőrizze és konfigurálja a Microsoft Entra önkiszolgáló jelszó-visszaállítást (SSPR) a jelszóvisszaíráshoz. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.
A jelszóvisszaíró SSPR-ben való ellenőrzéséhez és engedélyezéséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára.
(nem kötelező) Ha a Rendszer észleli a Microsoft Entra Csatlakozás kiépítési ügynököket, a Microsoft Entra Csatlakozás felhőszinkronizálással a jelszavak visszaírásának lehetőségét is ellenőrizheti.
Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
Ha elkészült, válassza a Mentés lehetőséget.
PowerShell
A PowerShell segítségével engedélyezheti a Microsoft Entra Csatlakozás felhőszinkronizálást a Set-AADCloudSyncPasswordWritebackConfiguration parancsmaggal a kiépítési ügynökökkel rendelkező kiszolgálókon. Globális rendszergazdai hitelesítő adatokra lesz szüksége:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Clean up resources
Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a jelszóvisszaírás engedélyezése szinkronizált felhasználók számára jelölőnégyzetből.
- Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
- Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
- Ha elkészült, válassza a Mentés lehetőséget.
Ha már nem szeretné használni a Microsoft Entra Csatlakozás felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is használni szeretné a Microsoft Entra Csatlakozás Sync-ügynököt a visszaírásokhoz, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Csatlakozás felhőszinkronizálással jelölőnégyzetből.
- Ha elkészült, válassza a Mentés lehetőséget.
A PowerShell használatával letilthatja a Microsoft Entra Csatlakozás felhőszinkronizálást az SSPR-visszaírási funkciókhoz a Microsoft Entra Csatlakozás felhőszinkronizálási kiszolgálóról, és a Hibrid identitás Rendszergazda istrator hitelesítő adataival futtatva Set-AADCloudSyncPasswordWritebackConfiguration letilthatja a jelszóvisszaírást a Microsoft Entra Csatlakozás felhőszinkronizálással.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Támogatott műveletek
A jelszavak a következő helyzetekben íródnak vissza a végfelhasználók és rendszergazdák számára.
| Számla | Támogatott műveletek |
|---|---|
| Végfelhasználók | Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet. Bármely végfelhasználói önkiszolgáló kényszerítés jelszómódosítási művelet, például jelszó lejárata. Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. |
| Rendszergazdák | Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet. Bármely rendszergazdai önkiszolgáló kényszerítés jelszómódosítási művelettel, például jelszó lejáratával. Bármely rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból. Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból. |
Nem támogatott műveletek
A jelszavakat a rendszer nem írja vissza a következő helyzetekben.
| Számla | Nem támogatott műveletek |
|---|---|
| Végfelhasználók | Bármely végfelhasználó visszaállíthatja a saját jelszavát PowerShell-parancsmagok vagy a Microsoft Graph API használatával. |
| Rendszergazdák | Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás PowerShell-parancsmagok használatával. Új végfelhasználói jelszó kérésének rendszergazda általi kezdeményezése a Microsoft 365 Felügyeleti központból. A rendszergazdák nem használhatják a jelszó-visszaállítási eszközt a saját jelszavuk visszaállításához, vagy a Microsoft Entra-azonosító bármely más Rendszergazda istratorát a jelszóvisszaíráshoz. |
Érvényesítési forgatókönyvek
Próbálja ki az alábbi műveleteket a forgatókönyvek jelszóvisszaíróval történő érvényesítéséhez. Minden érvényesítési forgatókönyvhez felhőbeli szinkronizálás szükséges, és a felhasználó a jelszóvisszaírás hatókörébe tartozik.
| Eset | Részletek |
|---|---|
| Jelszó alaphelyzetbe állítása a bejelentkezési oldalról | A leválasztott tartományok és erdők két felhasználójának SSPR-t kell végrehajtania. A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Csatlakozás hatókörében, és kérheti, hogy ezek a felhasználók visszaállítsák a jelszavukat. |
| Lejárt jelszómódosítás kényszerítve | Két felhasználót kell választania a leválasztott tartományoktól és az erdőktől, és módosítsa a lejárt jelszavakat. A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Csatlakozás hatókörében. |
| Jelszó rendszeres módosítása | Két felhasználó leválasztott tartományokból és erdőkből rutinszerű jelszómódosítást hajtson végre. A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Csatlakozás hatókörében. |
| Rendszergazda felhasználói jelszó alaphelyzetbe állítása | Két felhasználó leválasztott tartománya és erdője állítsa alaphelyzetbe a jelszavát a Microsoft Entra felügyeleti központból vagy a Frontline feldolgozói portálról. A Microsoft Entra Csatlakozás és a felhőszinkronizálást is használhatja egymás mellett, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Csatlakozás |
| Önkiszolgáló fiók zárolásának feloldása | Az SSPR portálon két felhasználót kell leválasztani a leválasztott tartományokról és erdőkről, és állítsa alaphelyzetbe a jelszót. A Microsoft Entra Csatlakozás és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Csatlakozás hatókörében. |
Hibaelhárítás
A Microsoft Entra Csatlakozás felhőszinkronizálási csoport felügyelt szolgáltatásfiókjának a következő engedélyekkel kell rendelkeznie, hogy alapértelmezés szerint visszaírja a jelszavakat:
- Reset password
- Írási engedélyek a lockoutTime-on
- Írási engedélyek a pwdLastSeten
- Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.
Ha ezek az engedélyek nincsenek beállítva, a PasswordWriteBack engedélyt a szolgáltatásfiókon a Set-AADCloudSyncPermissions parancsmaggal és a helyszíni vállalati rendszergazdai hitelesítő adatokkal állíthatja be:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Az engedélyek frissítése után akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.
Ha egyes felhasználói fiókok jelszavai nincsenek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.
A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ha ezt a funkciót teszteli, és naponta többször szeretné visszaállítani a jelszót a felhasználók számára, a minimális jelszó-életkorra vonatkozó csoportházirendnek 0-ra kell állítania. Ez a beállítás a Windows >> Gépház biztonsági Gépház >> fiókszabályzatok > jelszószabályzatában található a gpmc.msc-ben.
Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.
A jelszavak azonnali módosításához a jelszó minimális életkorának 0-ra kell állítania. Ha azonban a felhasználók betartják a helyszíni szabályzatokat, és a jelszó minimális életkora nullánál nagyobb értékre van beállítva, a jelszóvisszaírás nem fog működni a helyszíni szabályzatok kiértékelése után.
A megfelelő engedélyek érvényesítéséről vagy beállításáról további információt a Microsoft Entra Csatlakozás fiókengedélyeinek konfigurálása című témakörben talál.
További lépések
- További információ a felhőszinkronizálásról, valamint a Microsoft Entra Csatlakozás és a felhőszinkronizálás összehasonlításáról: Mi a Microsoft Entra Csatlakozás felhőszinkronizálás?
- A jelszóvisszaírás Microsoft Entra Csatlakozás használatával történő beállításáról a következő oktatóanyagban olvashat: A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe.