Oktatóanyag: A felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe
A Microsoft Entra Connect felhőszinkronizálása valós időben szinkronizálhatja a Microsoft Entra jelszómódosításait a leválasztott helyi Active Directory tartományi szolgáltatások (AD DS)-tartományok felhasználói között. A Microsoft Entra Connect felhőszinkronizálása a Microsoft Entra Connect szolgáltatással a tartomány szintjén párhuzamosan is futtatható, így egyszerűbbé teheti a jelszóvisszaírást a további forgatókönyvek esetében, például a vállalat felosztása vagy egyesítése miatt leválasztott tartományokban lévő felhasználók esetében. Az egyes szolgáltatások különböző tartományokban konfigurálhatók úgy, hogy az igényeiknek megfelelően különböző felhasználókat célozhassanak meg. A Microsoft Entra Connect felhőszinkronizálása az egyszerűsített Microsoft Entra felhőkiépítési ügynök használatával egyszerűsíti az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának beállítását, és biztonságos módot biztosít a jelszómódosítások helyszíni címtárba való visszaküldésére a felhőben.
Előfeltételek
- Olyan Microsoft Entra-bérlő, amely rendelkezik legalább egy P1 Microsoft Entra-azonosítóval vagy próbaverziós licenccel. Ha szükséges, hozzon létre egyet ingyen.
- Hibrid identitás-rendszergazdai fiók
- Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító. Szükség esetén végezze el ezt az oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
- A Microsoft Entra Connect 1.1.977.0-s vagy újabb verziójával konfigurált helyszíni AD DS-környezet. Ismerje meg, hogyan azonosíthatja az ügynök aktuális verzióját. Szükség esetén konfigurálja a Microsoft Entra Connect felhőszinkronizálást ezzel az oktatóanyagtal.
Központi telepítési lépések
- A Microsoft Entra Connect felhőszinkronizálási szolgáltatásfiók-engedélyeinek konfigurálása
- Jelszóvisszaírás engedélyezése a Microsoft Entra Connect felhőszinkronizálásában
- Jelszóvisszaíró engedélyezése SSPR-hez
A Microsoft Entra Connect felhőszinkronizálási szolgáltatásfiók-engedélyeinek konfigurálása
A felhőszinkronizálási engedélyek alapértelmezés szerint konfigurálva vannak. Ha az engedélyeket alaphelyzetbe kell állítani, tekintse meg a hibaelhárítást a jelszóvisszaíróhoz szükséges konkrét engedélyekkel és azok PowerShell-lel történő beállításával kapcsolatos további részletekért.
Jelszóvisszaíró engedélyezése az SSPR-ben
Engedélyezheti a Microsoft Entra Connect felhőszinkronizálás kiépítését közvetlenül a Microsoft Entra felügyeleti központban vagy a PowerShellen keresztül.
Jelszóvisszaíró engedélyezése a Microsoft Entra Felügyeleti központban
Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Connect felhőszinkronizálásában, ellenőrizze és konfigurálja a Microsoft Entra önkiszolgáló jelszó-visszaállítást (SSPR) a jelszóvisszaíráshoz. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.
A jelszóvisszaíró SSPR-ben való ellenőrzéséhez és engedélyezéséhez hajtsa végre a következő lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára.
(nem kötelező) Ha a Rendszer észleli a Microsoft Entra Connect kiépítési ügynökeit, akkor a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással beállítását is ellenőrizheti.
Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
Ha elkészült, válassza a Mentés lehetőséget.
PowerShell
A PowerShell-lel engedélyezheti a Microsoft Entra Connect felhőszinkronizálását a Set-AADCloudSyncPasswordWritebackConfiguration parancsmaggal a kiépítési ügynökökkel rendelkező kiszolgálókon.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Az erőforrások eltávolítása
Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a jelszóvisszaírás engedélyezése szinkronizált felhasználók számára jelölőnégyzetből.
- Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
- Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
- Ha elkészült, válassza a Mentés lehetőséget.
Ha már nem szeretné használni a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is a Microsoft Entra Connect Sync-ügynököt szeretné használni a visszaírásokhoz, hajtsa végre az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
- Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
- Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
- Ha elkészült, válassza a Mentés lehetőséget.
A PowerShell használatával letilthatja a Microsoft Entra Connect felhőszinkronizálási funkcióját az SSPR-visszaírási funkciókhoz a Microsoft Entra Connect felhőszinkronizálási kiszolgálóról, és hibrid identitás-rendszergazdai hitelesítő adatokkal futtatva Set-AADCloudSyncPasswordWritebackConfiguration
letilthatja a jelszóvisszaírást a Microsoft Entra Connect felhőszinkronizálással.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Támogatott műveletek
A jelszavak a következő helyzetekben íródnak vissza a végfelhasználók és rendszergazdák számára.
Számla | Támogatott műveletek |
---|---|
Végfelhasználók | Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet. Bármely végfelhasználói önkiszolgáló kényszerítés jelszómódosítási művelet, például jelszó lejárata. Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. |
Rendszergazdák | Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet. Bármely rendszergazdai önkiszolgáló kényszerítés jelszómódosítási művelettel, például jelszó lejáratával. Bármely rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered. Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból. Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból. |
Nem támogatott műveletek
A jelszavakat a rendszer nem írja vissza a következő helyzetekben.
Számla | Nem támogatott műveletek |
---|---|
Végfelhasználók | Bármely végfelhasználó visszaállíthatja a saját jelszavát PowerShell-parancsmagok vagy a Microsoft Graph API használatával. |
Rendszergazdák | Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás PowerShell-parancsmagok használatával. Új végfelhasználói jelszó kérésének rendszergazda általi kezdeményezése a Microsoft 365 Felügyeleti központból. Egyetlen rendszergazda sem használhatja a jelszó-visszaállítási eszközt a saját jelszava vagy bármely más rendszergazda jelszavának visszaírásához a Microsoft Entra ID-ben. |
Érvényesítési forgatókönyvek
Próbálja ki az alábbi műveleteket a forgatókönyvek jelszóvisszaíróval történő érvényesítéséhez. Minden érvényesítési forgatókönyvhez felhőbeli szinkronizálás szükséges, és a felhasználó a jelszóvisszaírás hatókörébe tartozik.
Eset | Részletek |
---|---|
Jelszó alaphelyzetbe állítása a bejelentkezési oldalról | A leválasztott tartományok és erdők két felhasználójának SSPR-t kell végrehajtania. Emellett a Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében, és kérheti, hogy ezek a felhasználók visszaállítsák a jelszavukat. |
Lejárt jelszómódosítás kényszerítve | Két felhasználót kell választania a leválasztott tartományoktól és az erdőktől, és módosítsa a lejárt jelszavakat. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében. |
Jelszó rendszeres módosítása | Két felhasználó leválasztott tartományokból és erdőkből rutinszerű jelszómódosítást hajtson végre. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében. |
Rendszergazdai jelszó alaphelyzetbe állítása | Két felhasználó leválasztott tartománya és erdője állítsa alaphelyzetbe a jelszavát a Microsoft Entra felügyeleti központból vagy a Frontline feldolgozói portálról. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében |
Önkiszolgáló fiók zárolásának feloldása | Az SSPR portálon két felhasználót kell leválasztani a leválasztott tartományokról és erdőkről, és állítsa alaphelyzetbe a jelszót. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében. |
Hibaelhárítás
A Microsoft Entra Connect felhőszinkronizálási csoport felügyelt szolgáltatásfiókjának alapértelmezés szerint a következő engedélyekkel kell rendelkeznie a jelszavak visszaírásához:
- Új jelszó létrehozása
- Írási engedélyek a lockoutTime-on
- Írási engedélyek a pwdLastSeten
- Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.
Ha ezek az engedélyek nincsenek beállítva, a PasswordWriteBack engedélyt a szolgáltatásfiókon a Set-AADCloudSyncPermissions parancsmaggal és a helyszíni vállalati rendszergazdai hitelesítő adatokkal állíthatja be:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
Az engedélyek frissítése után akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.
Ha egyes felhasználói fiókok jelszavai nincsenek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.
A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ha ezt a funkciót teszteli, és naponta többször szeretné visszaállítani a jelszót a felhasználók számára, a jelszó minimális életkorára vonatkozó csoportházirendnek 0-ra kell állítania. Ez a beállítás a Számítógép-konfigurációs > szabályzatok > Windows-beállítások > biztonsági beállítások > fiókszabályzatai jelszóházirendben > található a gpmc.msc-ben.
Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.
A jelszavak azonnali módosításához a jelszó minimális életkorának 0-ra kell állítania. Ha azonban a felhasználók betartják a helyszíni szabályzatokat, és a jelszó minimális életkora nullánál nagyobb értékre van beállítva, a jelszóvisszaíró nem fog működni a helyszíni szabályzatok kiértékelése után.
A megfelelő engedélyek érvényesítéséről vagy beállításáról további információt a Microsoft Entra Connect fiókengedélyeinek konfigurálása című témakörben talál.
Következő lépések
- További információ a felhőszinkronizálásról, valamint a Microsoft Entra Connect és a felhőszinkronizálás összehasonlításáról: Mi a Microsoft Entra Connect felhőszinkronizálás?
- A jelszóvisszaíró Microsoft Entra Connect használatával történő beállításáról a következő oktatóanyagban olvashat : A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe.