Oktatóanyag: A Microsoft Entra önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe

Az Microsoft Entra önkiszolgáló jelszó-visszaállítás (SSPR) használatával a felhasználók frissíthetik a jelszavaikat, vagy feloldhatják a fiókjukat egy webböngésző használatával. Ajánljuk ezt a videót a következő témában: Az SSPR engedélyezése és konfigurálása az Entra ID-ban. Olyan hibrid környezetben, ahol Microsoft Entra ID helyszíni Active Directory tartományi szolgáltatások (AD DS) környezethez csatlakozik, a jelszavak eltérhetnek a két könyvtártól.

Jelszóvisszaírással szinkronizálhatja a jelszómódosításokat Microsoft Entra vissza a helyszíni AD DS-környezetbe. A Microsoft Entra Connect biztonságos mechanizmust biztosít ezeknek a jelszómódosításoknak a Microsoft Entra-azonosítóból egy meglévő helyszíni könyvtárba való visszaküldéséhez.

Fontos

Ez az oktatóanyag bemutatja a rendszergazdáknak, hogyan engedélyezhetik az önkiszolgáló jelszó-visszaállítást egy helyszíni környezetbe. Ha Ön már regisztrált az önkiszolgáló jelszó-visszaállításra, és szeretne visszajutni a fiókjába, nyissa meg a következőt https://aka.ms/sspr.

Ha az informatikai csapat nem engedélyezte a saját jelszó visszaállítását, további segítségért forduljon a segélyszolgálathoz.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Connectben
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Előfeltételek

Az oktatóanyag elvégzéséhez a következő erőforrásokra és jogosultságokra van szüksége:

• Egy működő Microsoft Entra-bérlő, amely rendelkezik legalább p1 Microsoft Entra-azonosítóval vagy engedélyezett próbaverziós licenccel.
  • Ha szükséges, hozzon létre egyet ingyen.
  • További információ: A Microsoft Entra SSPR licencelési követelményei.
• Egy hibrid identitáskezelővel rendelkező fiók.
• Az önkiszolgáló jelszó-visszaállításhoz konfigurált Microsoft Entra-azonosító.
  • Ha szükséges, végezze el az előző oktatóanyagot a Microsoft Entra SSPR engedélyezéséhez.
• Meglévő helyszíni AD DS-környezet, amely a Microsoft Entra Connect aktuális verziójával van konfigurálva.
  • Szükség esetén konfigurálja a Microsoft Entra Connectet az Express vagy az Egyéni beállítások használatával.
  • A jelszóvisszaíró használatához a tartományvezérlők a Windows Server bármely támogatott verzióját futtathatják.

Fiókengedélyek konfigurálása a Microsoft Entra Connecthez

A Microsoft Entra Connect lehetővé teszi a felhasználók, csoportok és hitelesítő adatok szinkronizálását egy helyszíni AD DS-környezet és a Microsoft Entra-azonosító között. A Microsoft Entra Connectet általában a helyszíni AD DS-tartományhoz csatlakoztatott Windows Server 2016-os vagy újabb számítógépre telepíti.

Az SSPR-visszaírás helyes használatához a Microsoft Entra Connectben megadott fióknak rendelkeznie kell a megfelelő engedélyekkel és beállításokkal. Ha nem biztos abban, hogy melyik fiók van használatban, nyissa meg a Microsoft Entra Connectet, és válassza az Aktuális konfiguráció megtekintése lehetőséget. Az a fiók, amelyhez engedélyeket kell hozzáadnia, a Szinkronizált könyvtárak listában található. A fiókon a következő engedélyeket és beállításokat kell megadni:

• Jelszó alaphelyzetbe állítása
• Jelszó módosítása
• Írási engedélyeklockoutTime
• Írási engedélyekpwdLastSet
• Kiterjesztett jogosultságok a Jelszó lejáratának megszüntetése művelethez az adott erdő egyes tartományainak gyökérobjektumán, ha még nincs beállítva.

Ha nem rendeli hozzá ezeket az engedélyeket, előfordulhat, hogy a visszaírás megfelelően van konfigurálva, de a felhasználók hibát tapasztalnak a helyszíni jelszavak felhőből történő kezelésekor. Az Active Directoryban a Unexpire Password engedély beállításakor azt az alábbiak egyikére kell alkalmaznia: Ez az objektum és az összes leszármazott objektum, Csak erre az objektumra vagy Az összes leszármazott objektum; ellenkező esetben a Unexpire Password engedély nem jelenik meg.

Tipp

Ha egyes felhasználói fiókok jelszavai nem lesznek visszaírva a helyszíni címtárba, győződjön meg arról, hogy az öröklés nincs letiltva a helyszíni AD DS-környezetben lévő fiók esetében. A szolgáltatás megfelelő működéséhez a jelszó írási engedélyeit a leszármazott objektumokra kell alkalmazni.

A jelszóvisszaíró megfelelő engedélyeinek beállításához hajtsa végre a következő lépéseket:

1. A helyszíni AD DS-környezetben nyissa meg a Active Directory - felhasználók és számítógépek egy olyan fiókkal, amely rendelkezik a megfelelő tartományi rendszergazdai engedélyekkel.
2. A Nézet menüben győződjön meg arról, hogy a Speciális funkciók be vannak kapcsolva.
3. A bal oldali panelen kattintson a jobb gombbal arra az objektumra, amely a tartomány gyökerét jelöli, és válassza a Tulajdonságokbiztonsági> speciális beállításai>lehetőséget.
4. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
5. A(z) Principal mezőben válassza ki azt a fiókot, amelyre az engedélyeket alkalmazni kell (ezt a fiókot használja a Microsoft Entra Connect).
6. Az Applies to legördülő listában válassza a Leszármazott felhasználó objektumok lehetőséget.
7. Az Engedélyek területen válassza a Jelszó alaphelyzetbe állítása jelölőnégyzetet.
8. A Tulajdonságok területen válassza ki a következő beállítások mezőinek jelölőnégyzetét. Görgessen végig a listán, és keresse meg ezeket a beállításokat, amelyek alapértelmezés szerint már be vannak állítva:

• LockoutTime írása

• PwdLastSet írása

  

1. Ha elkészült, a módosítások alkalmazásához válassza az Alkalmaz/OK gombot.
2. Az Engedélyek lapon válassza a Hozzáadás lehetőséget.
3. A(z) Principal beállításnál válassza ki azt a fiókot, amelyre az engedélyeket alkalmazni kell (azt a fiókot, amelyet a Microsoft Entra Connect használ).
4. Válassza a Az alábbiakra vonatkozik legördülő listában a Ez az objektum és az összes leszármazottja lehetőséget.
5. Az Engedélyek csoportban jelölje be a következő beállítás jelölőnégyzetét:
   • Jelszó lejáratának megszüntetése
6. Ha elkészült, a módosítások alkalmazásához és a megnyitott párbeszédpanelek elhagyásához válassza az Alkalmaz/OK gombot.

Az engedélyek frissítésekor akár egy órát is igénybe vehet, amíg ezek az engedélyek replikálódnak a címtárban lévő összes objektumra.

A helyszíni AD DS-környezet jelszószabályzatai megakadályozhatják a jelszó-visszaállítások megfelelő feldolgozását. Ahhoz, hogy a jelszóvisszaírás a leghatékonyabban működjön, a minimális jelszó-korú csoportházirendnek 0-ra kell állítania. Ezt a beállítást a Computer Configuration > Policies > Windows Settings > Security Settings > Account Policiesgpmc.msc alatt találja.

Ha frissíti a csoportházirendet, várja meg, amíg a frissített szabályzat replikálódik vagy használja a gpupdate /force parancsot.

Feljegyzés

Ha naponta többször kell engedélyeznie a felhasználóknak a jelszavak módosítását vagy alaphelyzetbe állítását, a jelszó minimális életkorát0-ra kell állítania. A jelszóvisszaírás a helyszíni jelszóházirendek sikeres kiértékelése után működik.

Jelszóvisszaíró engedélyezése a Microsoft Entra Connectben

A Microsoft Entra Connect egyik konfigurációs lehetősége a jelszóvisszaírás. Ha ez a beállítás engedélyezve van, a jelszómódosítási események hatására a Microsoft Entra Connect szinkronizálja a frissített hitelesítő adatokat a helyszíni AD DS-környezettel.

Az SSPR-visszaírás engedélyezéséhez először engedélyezze a visszaírási lehetőséget a Microsoft Entra Connectben. A Microsoft Entra Connect-kiszolgálón hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra Connect-kiszolgálóra, és indítsa el a Microsoft Entra Connect konfigurációs varázslót.
2. Az üdvözlőlapon válassza a Konfigurálás lehetőséget.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
4. A Kapcsolódás a Microsoft Entra ID-hoz lapon adja meg az Azure-bérlőhöz tartozó Hybrid Administrator hitelesítő adatait, majd válassza a Tovább lehetőséget.
5. A Csatlakozás könyvtárak és a Tartomány/szervezeti egység szűrési oldalain válassza a Tovább gombot.
6. A Választható funkciók lapon válassza a Jelszóvisszaíró melletti jelölőnégyzetet, és válassza a Tovább gombot.
7. A Címtárbővítmények lapon válassza a Tovább gombot.
8. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget, és várja meg, amíg a folyamat befejeződik.
9. Amikor megjelenik a konfiguráció befejezése, válassza a Kilépés lehetőséget.

Feljegyzés

Az PasswordWritebackEnabled való frissítés nem támogatott, mert ez a funkciójelző nincs használatban.

Jelszóvisszaíró engedélyezése SSPR-hez

Ha a jelszóvisszaírás engedélyezve van a Microsoft Entra Connectben, most már konfigurálhatja Microsoft Entra SSPR-t a visszaíráshoz. Az SSPR-t beállíthatja visszaírásra a Microsoft Entra Connect Sync-ügynökök és a Microsoft Entra Connect kiépítési ügynökök (felhőszinkronizálás) használatával. Ha engedélyezi az SSPR-nek a jelszóvisszaírás használatát, azok a felhasználók, akik módosítják vagy visszaállítják a jelszavukat, a frissített jelszót a helyszíni AD DS-környezetbe is szinkronizálják.

Ha engedélyezni szeretné a jelszóvisszaírást az SSPR-ben, hajtsa végre a következő lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
2. Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
3. Ellenőrizze, hogy a jelszavakat vissza szeretné-e írni a helyszíni címtárba.
4. (nem kötelező) Ha a rendszer észleli a Microsoft Entra Connect beállítási ügynökeit, akkor azt a lehetőséget is ellenőrizheti, amely a jelszavak visszaírását a Microsoft Entra Connect felhőszinkronizálással teszi lehetővé.
5. Állítsa be azt a lehetőséget, hogy a felhasználók feloldhassák a fiókokat anélkül, hogy a jelszavukatIgen értékre állítanák be.
6. Ha elkészült, válassza a Mentés lehetőséget.

Az erőforrások tisztítása

Ha már nem szeretné használni az oktatóanyag részeként konfigurált SSPR-visszaírási funkciókat, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
2. Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a kijelölést a jelszó visszaírása a helyszíni címtárba lehetőségnél.
4. Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással lehetőségnél.
5. Törölje a jelölést az „Engedélyezze, hogy a felhasználók a jelszavuk visszaállítása nélkül feloldhassák a fiókokat” lehetőségről.
6. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretné használni a Microsoft Entra Connect felhőszinkronizálást az SSPR visszaírási funkcióhoz, de továbbra is a Microsoft Entra Connect Sync-ügynököt szeretné használni a visszaírásokhoz, hajtsa végre az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
2. Keresse meg az Entra ID>Jelszó visszaállítás oldalát, majd válassza a Helyszíni integráció lehetőséget.
3. Törölje a jelölést a Jelszavak visszaírása a Microsoft Entra Connect felhőszinkronizálással lehetőségnél.
4. Ha elkészült, válassza a Mentés lehetőséget.

Ha már nem szeretne jelszófunkciót használni, végezze el a Következő lépéseket a Microsoft Entra Connect-kiszolgálóról:

1. Jelentkezzen be a Microsoft Entra Connect-kiszolgálóra, és indítsa el a Microsoft Entra Connect konfigurációs varázslót.
2. Az üdvözlőlapon válassza a Konfigurálás lehetőséget.
3. A További feladatok lapon válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
4. A Kapcsolódás Microsoft Entra ID lapon adjon meg egy hibrid rendszergazdai hitelesítő adatot, majd válassza a Next lehetőséget.
5. A Csatlakozás könyvtárak és a Tartomány/szervezeti egység szűrési oldalain válassza a Tovább gombot.
6. A Választható funkciók lapon törölje a jelet a Jelszóvisszaíró melletti jelölőnégyzetből, és válassza a Tovább gombot.
7. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget, és várja meg, amíg a folyamat befejeződik.
8. Amikor megjelenik a konfiguráció befejezése, válassza a Kilépés lehetőséget.

Fontos

A jelszóvisszaíró első engedélyezése akkor is kiválthatja a 656-os és a 657-ös jelszómódosítási eseményeket, ha nem történt jelszómódosítás. Ennek az az oka, hogy a jelszókivonat-szinkronizálási ciklus futtatása után az összes jelszókivonat újraszinkronizálódik.

Következő lépések

Ebben az oktatóanyagban engedélyezte a Microsoft Entra SSPR visszaírását egy lokális AD DS-környezetbe. Megtanulta végrehajtani az alábbi műveleteket:

• A jelszóvisszaíróhoz szükséges engedélyek konfigurálása
• Jelszóvisszaíró beállítás engedélyezése a Microsoft Entra Connectben
• Jelszóvisszaíró engedélyezése a Microsoft Entra SSPR-ben

Kockázat értékelése bejelentkezéskor