Megosztás a következőn keresztül:


Oktatóanyag: A felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe

A Microsoft Entra Connect felhőszinkronizálása valós időben szinkronizálhatja a Microsoft Entra jelszómódosításait a leválasztott helyi Active Directory tartományi szolgáltatások (AD DS)-tartományok felhasználói között. A Microsoft Entra Connect felhőszinkronizálása a Microsoft Entra Connect szolgáltatással a tartomány szintjén párhuzamosan is futtatható, így egyszerűbbé teheti a jelszóvisszaírást a további forgatókönyvek esetében, például a vállalat felosztása vagy egyesítése miatt leválasztott tartományokban lévő felhasználók esetében. Az egyes szolgáltatások különböző tartományokban konfigurálhatók úgy, hogy az igényeiknek megfelelően különböző felhasználókat célozhassanak meg. A Microsoft Entra Connect felhőszinkronizálása az egyszerűsített Microsoft Entra felhőkiépítési ügynök használatával egyszerűsíti az önkiszolgáló jelszó-visszaállítás (SSPR) visszaírásának beállítását, és biztonságos módot biztosít a jelszómódosítások helyszíni címtárba való visszaküldésére a felhőben.

Előfeltételek

  • Olyan Microsoft Entra-bérlő, amely rendelkezik legalább egy P1 Microsoft Entra-azonosítóval vagy próbaverziós licenccel. Ha szükséges, hozzon létre egyet ingyen.
  • Hibrid identitás-rendszergazdai fiók
  • Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító. Szükség esetén végezze el ezt az oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
  • A Microsoft Entra Connect 1.1.977.0-s vagy újabb verziójával konfigurált helyszíni AD DS-környezet. Ismerje meg, hogyan azonosíthatja az ügynök aktuális verzióját. Szükség esetén konfigurálja a Microsoft Entra Connect felhőszinkronizálást ezzel az oktatóanyagtal.

Központi telepítési lépések

  1. A Microsoft Entra Connect felhőszinkronizálási szolgáltatásfiók-engedélyeinek konfigurálása
  2. Jelszóvisszaírás engedélyezése a Microsoft Entra Connect felhőszinkronizálásában
  3. Jelszóvisszaíró engedélyezése SSPR-hez

A Microsoft Entra Connect felhőszinkronizálási szolgáltatásfiók-engedélyeinek konfigurálása

A felhőszinkronizálási engedélyek alapértelmezés szerint konfigurálva vannak. Ha az engedélyeket alaphelyzetbe kell állítani, tekintse meg a hibaelhárítást a jelszóvisszaíróhoz szükséges konkrét engedélyekkel és azok PowerShell-lel történő beállításával kapcsolatos további részletekért.

Jelszóvisszaíró engedélyezése az SSPR-ben

Engedélyezheti a Microsoft Entra Connect felhőszinkronizálás kiépítését közvetlenül a Microsoft Entra felügyeleti központban vagy a PowerShellen keresztül.

Jelszóvisszaíró engedélyezése a Microsoft Entra Felügyeleti központban

Ha engedélyezve van a jelszóvisszaírás a Microsoft Entra Connect felhőszinkronizálásában, ellenőrizze és konfigurálja a Microsoft Entra önkiszolgáló jelszó-visszaállítást (SSPR) a jelszóvisszaíráshoz. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.

A jelszóvisszaíró SSPR-ben való ellenőrzéséhez és engedélyezéséhez hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.

  2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.

  3. Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára.

  4. (nem kötelező) Ha a Rendszer észleli a Microsoft Entra Connect kiépítési ügynökeit, akkor a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással beállítását is ellenőrizheti.

  5. Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.

    A Microsoft Entra önkiszolgáló jelszó-visszaállítás engedélyezése jelszóvisszaíráshoz

  6. Ha elkészült, válassza a Mentés lehetőséget.

PowerShell

A PowerShell-lel engedélyezheti a Microsoft Entra Connect felhőszinkronizálását a Set-AADCloudSyncPasswordWritebackConfiguration parancsmaggal a kiépítési ügynökökkel rendelkező kiszolgálókon.

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Az erőforrások eltávolítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
  2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
  3. Törölje a jelet a jelszóvisszaírás engedélyezése szinkronizált felhasználók számára jelölőnégyzetből.
  4. Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
  5. Törölje a jelet a jelölőnégyzetből, hogy a felhasználók a jelszó visszaállítása nélkül feloldhassák a fiókokat.
  6. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretné használni a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is a Microsoft Entra Connect Sync-ügynököt szeretné használni a visszaírásokhoz, hajtsa végre az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
  2. Keresse meg a Védelmi>jelszó alaphelyzetbe állítását, majd válassza a Helyszíni integráció lehetőséget.
  3. Törölje a jelet a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással jelölőnégyzetből.
  4. Ha elkészült, válassza a Mentés lehetőséget.

A PowerShell használatával letilthatja a Microsoft Entra Connect felhőszinkronizálási funkcióját az SSPR-visszaírási funkciókhoz a Microsoft Entra Connect felhőszinkronizálási kiszolgálóról, és hibrid identitás-rendszergazdai hitelesítő adatokkal futtatva Set-AADCloudSyncPasswordWritebackConfiguration letilthatja a jelszóvisszaírást a Microsoft Entra Connect felhőszinkronizálással.

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Támogatott műveletek

A jelszavak a következő helyzetekben íródnak vissza a végfelhasználók és rendszergazdák számára.

Számla Támogatott műveletek
Végfelhasználók Bármely végfelhasználói önkiszolgáló önkéntes jelszómódosítási művelet.
Bármely végfelhasználói önkiszolgáló kényszerítés jelszómódosítási művelet, például jelszó lejárata.
Minden olyan végfelhasználói önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered.
Rendszergazdák Bármely rendszergazdai önkiszolgáló önkéntes jelszómódosítási művelet.
Bármely rendszergazdai önkiszolgáló kényszerítés jelszómódosítási művelettel, például jelszó lejáratával.
Bármely rendszergazdai önkiszolgáló jelszó-visszaállítás, amely a jelszó-visszaállításból ered.
Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Entra felügyeleti központból.
Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás a Microsoft Graph API-ból.

Nem támogatott műveletek

A jelszavakat a rendszer nem írja vissza a következő helyzetekben.

Számla Nem támogatott műveletek
Végfelhasználók Bármely végfelhasználó visszaállíthatja a saját jelszavát PowerShell-parancsmagok vagy a Microsoft Graph API használatával.
Rendszergazdák Bármely rendszergazda által kezdeményezett végfelhasználói jelszó-visszaállítás PowerShell-parancsmagok használatával.
Új végfelhasználói jelszó kérésének rendszergazda általi kezdeményezése a Microsoft 365 Felügyeleti központból.
Egyetlen rendszergazda sem használhatja a jelszó-visszaállítási eszközt a saját jelszava vagy bármely más rendszergazda jelszavának visszaírásához a Microsoft Entra ID-ben.

Érvényesítési forgatókönyvek

Próbálja ki az alábbi műveleteket a forgatókönyvek jelszóvisszaíróval történő érvényesítéséhez. Minden érvényesítési forgatókönyvhez felhőbeli szinkronizálás szükséges, és a felhasználó a jelszóvisszaírás hatókörébe tartozik.

Eset Részletek
Jelszó alaphelyzetbe állítása a bejelentkezési oldalról A leválasztott tartományok és erdők két felhasználójának SSPR-t kell végrehajtania. Emellett a Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében, és kérheti, hogy ezek a felhasználók visszaállítsák a jelszavukat.
Lejárt jelszómódosítás kényszerítve Két felhasználót kell választania a leválasztott tartományoktól és az erdőktől, és módosítsa a lejárt jelszavakat. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is üzembe helyezheti, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében.
Jelszó rendszeres módosítása Két felhasználó leválasztott tartományokból és erdőkből rutinszerű jelszómódosítást hajtson végre. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében.
Rendszergazdai jelszó alaphelyzetbe állítása Két felhasználó leválasztott tartománya és erdője állítsa alaphelyzetbe a jelszavát a Microsoft Entra felügyeleti központból vagy a Frontline feldolgozói portálról. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében
Önkiszolgáló fiók zárolásának feloldása Az SSPR portálon két felhasználót kell leválasztani a leválasztott tartományokról és erdőkről, és állítsa alaphelyzetbe a jelszót. A Microsoft Entra Connectet és a felhőszinkronizálást egymás mellett is használhatja, és egy felhasználóval rendelkezhet a felhőszinkronizálási konfiguráció hatókörében, egy másik pedig a Microsoft Entra Connect hatókörében.

Hibaelhárítás

  • A Microsoft Entra Connect felhőszinkronizálási csoport felügyelt szolgáltatásfiókjának alapértelmezés szerint a következő engedélyekkel kell rendelkeznie a jelszavak visszaírásához:

    • Új jelszó létrehozása
    • Írási engedélyek a lockoutTime-on
    • Írási engedélyek a pwdLastSeten
    • Kiterjesztett jogosultságok a "Nem létező jelszó" kifejezésre az erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.

    Ha ezek az engedélyek nincsenek beállítva, a PasswordWriteBack engedélyt a szolgáltatásfiókon a Set-AADCloudSyncPermissions parancsmaggal és a helyszíni vállalati rendszergazdai hitelesítő adatokkal állíthatja be:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
    Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
    

    Az engedélyek frissítése után akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.

  • Ha egyes felhasználói fiókok jelszavai nincsenek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.

  • A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ha ezt a funkciót teszteli, és naponta többször szeretné visszaállítani a jelszót a felhasználók számára, a jelszó minimális életkorára vonatkozó csoportházirendnek 0-ra kell állítania. Ez a beállítás a Számítógép-konfigurációs > szabályzatok > Windows-beállítások > biztonsági beállítások > fiókszabályzatai jelszóházirendben > található a gpmc.msc-ben.

  • Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik, vagy használja a gpupdate /force parancsot.

  • A jelszavak azonnali módosításához a jelszó minimális életkorának 0-ra kell állítania. Ha azonban a felhasználók betartják a helyszíni szabályzatokat, és a jelszó minimális életkora nullánál nagyobb értékre van beállítva, a jelszóvisszaíró nem fog működni a helyszíni szabályzatok kiértékelése után.

A megfelelő engedélyek érvényesítéséről vagy beállításáról további információt a Microsoft Entra Connect fiókengedélyeinek konfigurálása című témakörben talál.

Következő lépések