Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Megjegyzés:
A 21Vianet által üzemeltetett Microsoft Azure nem támogatja a felhőszinkronizálással történő önkiszolgáló jelszó-visszaállítás visszaírását. Ehelyett a rendszergazdák az SSPR-visszaírást a Microsoft Entra Connect szinkronizálás használatával helyezhetik üzembe.
Microsoft Entra felhőszinkronizálás valós időben képes szinkronizálni Microsoft Entra jelszómódosításokat a leválasztott helyszíni Active Directory Domain Services (AD DS) tartományok felhasználói között. A Microsoft Entra felhőszinkronizáció tartományszinten együttműködhet a Microsoft Entra Csatlakozással, hogy egyszerűsítse a jelszó visszaírást olyan további esetekben, mint például amikor a cég szétválása vagy egyesülése miatt tartományok elválnak, és ezekben a leválasztott tartományokban lévő felhasználók vannak érintve. Az egyes szolgáltatások különböző tartományokban konfigurálhatók úgy, hogy az igényeiknek megfelelően különböző felhasználókat célozhassanak meg. Microsoft Entra felhőszinkronizálás az egyszerűsített Microsoft Entra felhőkiépítési ügynök használatával egyszerűsíti az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának beállítását, és biztonságos módot biztosít a jelszómódosítások helyszíni címtárba való visszaküldésére a felhőben.
Előfeltételek
- Legalább Microsoft Entra ID P1 vagy próbaverziós licenccel rendelkező Microsoft Entra bérlő. Ha szükséges, hozzon létre egyet ingyen.
- Hibrid identitásgazda fiók
- Microsoft Entra ID önkiszolgáló jelszó-visszaállításhoz van konfigurálva. Szükség esetén végezze el ezt az útmutatót a Microsoft Entra SSPR bekapcsolásához.
- A Microsoft Entra 1.1.977.0-s vagy újabb felhőszinkronizálási verzióval konfigurált helyszíni AD DS-környezet. Ismerje meg, hogyan azonosíthatja az ügynök aktuális verzióját.
Telepítési lépések
- A Microsoft Entra felhőszinkronizálási szolgáltatásfiókhoz tartozó engedélyek konfigurálása
- Engedélyezze a jelszóvisszaírást a Microsoft Entra Connect felhőszinkronizálásban
- Jelszóvisszaíró engedélyezése SSPR-hez
Microsoft Entra felhőszinkronizálási szolgáltatásfiók engedélyeinek konfigurálása
A felhőszinkronizálási engedélyek alapértelmezés szerint konfigurálva vannak. Ha az engedélyeket alaphelyzetbe kell állítani, tekintse meg a hibaelhárítást a jelszóvisszaíróhoz szükséges konkrét engedélyekkel és azok PowerShell-lel történő beállításával kapcsolatos további részletekért.
Jelszóvisszaíró engedélyezése az SSPR-ben
A Microsoft Entra felhőalapú szinkronizáció ellátását közvetlenül a Microsoft Entra felügyeleti központban vagy a PowerShell segítségével engedélyezheti.
Jelszóvisszaíró engedélyezése a Microsoft Entra Felügyeleti központban
Ha a jelszóvisszaírás engedélyezve van a Microsoft Entra Connect felhőszinkronizálásban, ellenőrizze és konfigurálja a Microsoft Entra önkiszolgáló jelszó-visszaállítást (SSPR) a jelszóvisszaíráshoz. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.
A jelszóvisszaíró SSPR-ben való ellenőrzéséhez és engedélyezéséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Hybrid identitásadminisztrátorként.
Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára.
(nem kötelező) Ha Microsoft Entra Connect-kiépítési ügynökök észlelhetők, akkor további lehetőségként választhatja a Jelszavak visszaírása Microsoft Entra Connect felhőszinkronizálással ellenőrzését is.
Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
Ha elkészült, válassza a Mentéslehetőséget.
PowerShell
A PowerShell használatával engedélyezheti a Microsoft Entra Connect felhőszinkronizálást a Set-AADCloudSyncPasswordWritebackConfiguration parancsmag alkalmazásával a kiépítési ügynökökkel rendelkező kiszolgálókon.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Az erőforrások tisztítása
Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Hybrid identitásadminisztrátorként.
- Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a jelszóvisszaírás engedélyezése szinkronizált felhasználók számára jelölőnégyzetből.
- Távolítsa el a jelölést a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizációval jelölőnégyzetből.
- Törölje a jelölést az „Engedélyezze, hogy a felhasználók a jelszavuk visszaállítása nélkül feloldhassák a fiókokat” lehetőségről.
- Ha elkészült, válassza a Mentéslehetőséget.
Ha már nem szeretné használni a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is szeretné használni a Microsoft Entra Connect szinkronizáló ügynököt a visszaírásokhoz, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább Hybrid identitásadminisztrátorként.
- Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a Microsoft Entra Connect felhőbeli szinkronizálással végzett jelszavak visszaírása jelölőnégyzetből.
- Ha elkészült, válassza a Mentéslehetőséget.
A PowerShell használatával letilthatja a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcionalitásra. A Microsoft Entra Connect felhőszinkronizálási kiszolgálóról futtassa a Set-AADCloudSyncPasswordWritebackConfiguration parancsot hibrid identitás-rendszergazdai hitelesítő adatokkal a jelszóvisszaírás letiltásához.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Támogatott műveletek
A jelszavak a következő helyzetekben íródnak vissza a végfelhasználók és rendszergazdák számára.
| Számla | Támogatott műveletek |
|---|---|
| Végfelhasználók | Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet. Bármely végfelhasználói önkiszolgáló jelszókötelező változtatás művelet, például jelszó lejárata esetén. Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. |
| Rendszergazdák | Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet. Bármely rendszergazdai önkiszolgáló jelszómódosítási kényszerítő művelet, például a jelszólejárat miatt. Bármely rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. A rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból. A rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból. |
Nem támogatott műveletek
A jelszavakat a rendszer nem írja vissza a következő helyzetekben.
| Számla | Nem támogatott műveletek |
|---|---|
| Végfelhasználók | Bármely végfelhasználó visszaállíthatja a saját jelszavát PowerShell-parancsmagok vagy a Microsoft Graph API használatával. |
| Rendszergazdák | Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás PowerShell-parancsmagok használatával. A rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft 365 felügyeleti központból. A rendszergazdák nem használhatják a jelszó-visszaállítási eszközt a saját jelszavuk visszaállításához, illetve a Microsoft Entra ID bármely más rendszergazdáját a jelszóvisszaíráshoz. |
Érvényesítési forgatókönyvek
Próbálja ki az alábbi műveleteket a forgatókönyvek jelszóvisszaíróval történő érvényesítéséhez. Minden érvényesítési forgatókönyvhez felhőbeli szinkronizálás szükséges, és a felhasználó a jelszóvisszaírás hatókörébe tartozik.
| Forgatókönyv | Részletek |
|---|---|
| Jelszó alaphelyzetbe állítása a bejelentkezési oldalról | A leválasztott tartományok és erdők két felhasználójának SSPR-t kell végrehajtania. Emellett a Microsoft Entra Connect és a felhőszinkronizálás egymás mellett üzembe helyezhető, és egy felhasználó a felhőszinkronizálási konfiguráció hatókörébe, míg egy másik a Microsoft Entra Connect hatókörébe tartozhat, és ezek a felhasználók visszaállíthatják a jelszavukat. |
| Lejárt jelszó módosításának kényszerítése | Két felhasználónak kell a leválasztott tartományokból és erdőkből megváltoztatnia a lejárt jelszavakat. Emellett a Microsoft Entra Csatlakozás és a felhőszinkronizálás egymás mellett üzembe helyezhető, és egy felhasználó a felhőszinkronizálási konfiguráció hatókörébe, egy másik pedig a Microsoft Entra Connect hatókörébe tartozik. |
| Jelszó rendszeres módosítása | Két felhasználó leválasztott tartományokból és erdőkből rutinszerű jelszómódosítást hajtson végre. A Microsoft Entra Csatlakozás és a felhőszinkronizálás is létezhet egymás mellett, és lehet egy felhasználó a felhőszinkronizálási konfiguráció hatókörében, míg egy másik a Microsoft Entra Connect hatókörében. |
| Rendszergazda alaphelyzetbe állította a felhasználó jelszavát. | Két felhasználó, akik leválasztott tartományokban és erdőkben dolgoznak, állítsák vissza a jelszavukat a Microsoft Entra felügyeleti központból vagy a Frontline dolgozói portálról. A Microsoft Entra Connect és a felhőszinkronizálás egymás mellett is működhet úgy, hogy az egyik felhasználó a felhőszinkronizálási konfiguráció hatókörében van, míg egy másik a Microsoft Entra Connect hatókörében. |
| Önkiszolgáló fiók zárolásának feloldása | Két felhasználó a leválasztott tartományokból és erdőkből oldjon fel zárolt fiókokat az SSPR portálon, majd állítsák vissza a jelszavakat. A Microsoft Entra Connect és a felhőszinkronizálás egymás mellett is használható, lehet úgy is, hogy az egyik felhasználó a felhőszinkronizálási konfiguráció hatókörében van, míg egy másik a Microsoft Entra Connect hatókörében. |
Hibaelhárítás
A Microsoft Entra Felhőszinkronizálási csoport felügyelt szolgáltatásfiókjának alapértelmezés szerint a következő engedélyekkel kell rendelkeznie a jelszavak visszaírásához:
- Új jelszó létrehozása
- Írási engedélyek a lockoutTime attribútra
- Írási engedélyek a pwdLastSeten
- Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.
Ha ezek az engedélyek nincsenek beállítva, a PasswordWriteBack engedélyt a szolgáltatásfiókon a Set-AADCloudSyncPermissions parancsmaggal és a helyszíni vállalati rendszergazdai hitelesítő adatokkal állíthatja be:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Az engedélyek frissítése után akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.
Ha egyes felhasználói fiókok jelszavai nincsenek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.
A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ha ezt a funkciót teszteli, és naponta többször szeretné visszaállítani a jelszót a felhasználók számára, a jelszó minimális életkorára vonatkozó csoportházirendnek 0-ra kell állítania. Ez a beállítás a Számítógép konfigurációs > Házirendek > Windows Beállítások > Biztonsági beállítások > Fiókszabályzatok > jelszóházirend a gpmc.msc-n belül található.
Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.
A jelszavak azonnali módosításához a jelszó minimális életkorának 0-ra kell állítania. Ha azonban a felhasználók betartják a helyszíni szabályzatokat, és a jelszó minimális életkora nullánál nagyobb értékre van beállítva, a jelszóvisszaíró nem fog működni a helyszíni szabályzatok kiértékelése után.
A megfelelő engedélyek érvényesítéséről vagy beállításáról a Microsoft Entra Connect
Következő lépések
- További információért a felhőszinkronizálásról, valamint a Microsoft Entra Connect és a felhőszinkronizálás összehasonlításáról tekintse meg a Mi az a Microsoft Entra Connect felhőszinkronizálás?
- Az Microsoft Entra Connect használatával történő jelszóvisszaírás beállításáról a Tutorial: Az Microsoft Entra önkiszolgáló jelszó-visszaállítás helyszíni környezetbe történő visszaírásának engedélyezése című témakörben olvashat.