Bagaimana cara kerja penulisan ulang kata sandi mandiri di ID Microsoft Entra?

Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memungkinkan pengguna mengatur ulang kata sandi mereka di cloud, tetapi sebagian besar perusahaan juga memiliki lingkungan Active Directory lokal Domain Services (AD DS) untuk pengguna. Tulis balik kata sandi memungkinkan perubahan kata sandi di cloud ditulis kembali ke direktori lokal secara real time dengan menggunakan Microsoft Entra Koneksi atau sinkronisasi cloud Microsoft Entra Koneksi. Saat pengguna mengubah atau mengatur ulang kata sandi mereka menggunakan SSPR di cloud, kata sandi yang diperbarui juga ditulis kembali ke lingkungan AD DS lokal.

Penting

Artikel konseptual ini menjelaskan kepada administrator cara kerja tulis balik pengaturan ulang kata sandi layanan mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim IT Anda belum mengaktifkan kemampuan untuk mereset kata sandi Anda sendiri, hubungi pusat bantuan Anda untuk mendapatkan bantuan tambahan.

Tulis balik kata sandi didukung di lingkungan yang menggunakan model identitas hibrid berikut:

• Sinkronisasi hash kata sandi
• Autentikasi pass-through
• Layanan Federasi Direktori Aktif

Kata sandi tulis balik menyediakan fitur berikut:

• Penerapan kebijakan kata sandi Active Directory Domain Services lokal (AD DS) : Saat pengguna mengatur ulang kata sandinya, kata sandi diperiksa untuk memastikan kata sandi memenuhi kebijakan AD DS lokal sebelum menerapkannya ke direktori tersebut. Tinjauan ini mencakup pemeriksaan riwayat, kompleksitas, usia, filter kata sandi, dan batasan kata sandi lainnya yang ditentukan di AD DS.
• Umpan balik tanpa penundaan: Kata sandi tulis balik adalah operasi sinkronis. Pengguna akan segera diberi tahu jika kata sandinya tidak memenuhi kebijakan atau tidak dapat diatur ulang ataupun diubah untuk alasan apa pun.
• Dukungan untuk mengubah kata sandi dari panel akses dan Microsoft 365: Ketika pengguna terfederasi atau tersinkronisasi hash kata sandi datang untuk mengubah kata sandinya yang kedaluwarsa atau tidak kedaluwarsa, kata sandi tersebut ditulis balik ke AD DS.
• Mendukung tulis balik kata sandi saat admin meresetnya dari pusat admin Microsoft Entra: Saat admin mengatur ulang kata sandi pengguna di pusat admin Microsoft Entra, jika pengguna tersebut digabungkan atau hash kata sandi disinkronkan, kata sandi ditulis kembali ke lokal. Fungsionalitas ini saat ini tidak didukung di portal admin Office.
• Tidak memerlukan aturan firewall masuk: Tulis balik kata sandi menggunakan relai Azure Service Bus sebagai saluran komunikasi yang mendasarinya. Semua komunikasi keluar melalui port 443.
• Mendukung penyebaran tingkat domain berdampingan menggunakan Microsoft Entra Koneksi atau sinkronisasi cloud untuk menargetkan set pengguna yang berbeda tergantung pada kebutuhan mereka, termasuk pengguna yang berada di domain yang terputus.

Catatan

Akun layanan lokal yang menangani permintaan tulis balik kata sandi tidak dapat mengubah kata sandi untuk pengguna yang termasuk dalam grup yang dilindungi. Administrator dapat mengubah kata sandi mereka di cloud tetapi mereka tidak dapat menggunakan tulis balik kata sandi untuk mengatur ulang kata sandi yang terlupakan untuk pengguna lokal mereka. Untuk informasi selengkapnya tentang grup yang dilindungi, lihat Akun dan grup yang dilindungi di AD DS.

Untuk mulai menulis balik SSPR, selesaikan salah satu atau kedua tutorial berikut:

• Tutorial: Mengaktifkan reset kata sandi mandiri (SSPR)
• Tutorial: Mengaktifkan microsoft Entra Koneksi cloud sync tulis balik pengaturan ulang kata sandi mandiri ke lingkungan lokal (Pratinjau)

Microsoft Entra Koneksi dan penyebaran sinkronisasi cloud berdampingan

Anda dapat menyebarkan Microsoft Entra Koneksi dan sinkronisasi cloud secara berdampingan di domain yang berbeda untuk menargetkan set pengguna yang berbeda. Ini membantu pengguna yang sudah ada untuk terus menulis balik perubahan kata sandi sambil menambahkan opsi jika pengguna berada dalam domain yang terputus karena merger atau pemisahan perusahaan. Microsoft Entra Koneksi dan sinkronisasi cloud dapat dikonfigurasi di domain yang berbeda sehingga pengguna dari satu domain dapat menggunakan Microsoft Entra Koneksi saat pengguna di domain lain menggunakan sinkronisasi cloud. Sinkronisasi cloud juga dapat memberikan ketersediaan yang lebih tinggi karena tidak bergantung pada satu instans Microsoft Entra Koneksi. Untuk perbandingan fitur antara dua opsi penyebaran, lihat Perbandingan antara Microsoft Entra Koneksi dan sinkronisasi cloud.

Cara kerja tulis balik kata sandi

Saat akun pengguna dikonfigurasi untuk federasi, sinkronisasi hash kata sandi (atau, dalam kasus penyebaran Microsoft Entra Koneksi, autentikasi pass-through) mencoba mengatur ulang atau mengubah kata sandi di cloud, tindakan berikut terjadi:

1. Pemeriksaan dilakukan untuk melihat jenis kata sandi apa yang digunakan pengguna. Jika kata sandi dikelola lokal:

   • Pemeriksaan dilakukan untuk melihat apakah layanan tulis balik sedang berjalan. Jika ya, pengguna dapat memprosesnya.
   • Jika layanan tulis balik tidak berfungsi, pengguna akan diberi tahu bahwa kata sandi mereka tidak dapat diatur ulang sekarang.

2. Selanjutnya, pengguna melewati gerbang autentikasi yang sesuai dan mencapai halaman Atur ulang kata sandi.

3. Pengguna memilih kata sandi baru lalu mengonfirmasinya.

4. Ketika pengguna memilih Submit, kata sandi teks biasa dienkripsi dengan kunci umum yang dibuat selama proses penyiapan tulis balik.

5. Kata sandi terenkripsi disertakan dalam payload yang dikirim melalui saluran HTTPS ke relai bus layanan khusus penyewa (yang disiapkan untuk Anda selama proses pengaturan tulis balik). Relai ini dilindungi oleh kata sandi yang dihasilkan secara acak yang hanya diketahui oleh penginstalan lokal Anda.

6. Setelah pesan mencapai bus layanan, titik akhir pengaturan ulang kata sandi secara otomatis aktif dan melihat bahwa kata sandi tersebut memiliki permintaan pengaturan ulang yang tertunda.

7. Kemudian layanan mencari pengguna dengan menggunakan atribut cloud jangkar. Agar pencarian ini berhasil, kondisi berikut harus dipenuhi:

   • Objek pengguna harus ada di ruang konektor AD DS.
   • Objek pengguna harus ditautkan ke objek metaverse (MV) yang sesuai.
   • Objek pengguna harus ditautkan ke objek konektor Microsoft Entra yang sesuai.
   • Tautan dari objek konektor AD DS ke MV harus memiliki aturan sinkronisasi Microsoft.InfromADUserAccountEnabled.xxx pada tautan.

   Ketika panggilan masuk dari cloud, mesin sinkronisasi menggunakan atribut cloudAnchor untuk mencari objek ruang konektor Microsoft Entra. Kemudian mesin tersebut mengikuti tautan kembali ke objek MV, lalu mengikuti tautan kembali ke objek AD DS. Karena mungkin ada beberapa objek AD DS (multi-forest) untuk pengguna yang sama, mesin sinkronisasi bergantung pada tautan Microsoft.InfromADUserAccountEnabled.xxx untuk memilih yang benar.

8. Setelah akun pengguna ditemukan, upaya untuk mengatur ulang kata sandi secara langsung di forest AD DS yang sesuai akan dibuat.

9. Jika operasi set kata sandi berhasil, pengguna akan diberi tahu bahwa kata sandinya telah diubah.

   Catatan

   Jika hash kata sandi pengguna disinkronkan ke ID Microsoft Entra dengan menggunakan sinkronisasi hash kata sandi, ada kemungkinan kebijakan kata sandi lokal lebih lemah daripada kebijakan kata sandi cloud. Dalam hal ini, kebijakan lokal dapat diberlakukan. Kebijakan ini memastikan bahwa kebijakan lokal Anda diberlakukan di cloud, baik jika Anda menggunakan sinkronisasi hash kata sandi atau federasi untuk menyediakan akses menyeluruh.

10. Jika operasi set kata sandi gagal, pengguna akan diminta untuk mencoba lagi. Operasi mungkin gagal karena alasan berikut:

    • Layanan tidak berfungsi.
    • Kata sandi yang dipilih tidak dapat memenuhi kebijakan organisasi.
    • Tidak dapat menemukan pengguna di lingkungan AD DS lokal.

    Pesan kesalahan memberikan panduan kepada pengguna sehingga mereka dapat mencoba menyelesaikan tanpa intervensi administrator.

Keamanan tulis ulang kata sandi

Tulis balik kata sandi adalah layanan yang sangat aman. Untuk memastikan informasi Anda terlindungi, model keamanan empat tingkat diaktifkan sebagai berikut:

• Relai bus layanan khusus penyewa
  • Saat Anda menyiapkan layanan, relai bus layanan khusus penyewa akan disiapkan dengan dilindungi oleh kata sandi kuat yang dihasilkan secara acak dan tidak pernah dapat diakses oleh Microsoft.
• Dikunci, kuat secara kriptografis, kunci enkripsi kata sandi
  • Setelah relai bus layanan dibuat, kunci simetris yang kuat akan dibuat yang digunakan untuk mengenkripsi kata sandi saat muncul di wire. Kunci ini hanya tersimpan di penyimpanan rahasia perusahaan Anda di cloud, yang sangat dikunci dan diaudit, sama seperti kata sandi lainnya di direktori.
• Keamanan Lapisan Transportasi (TLS) standar industri
  1. Saat pengaturan ulang kata sandi atau operasi perubahan terjadi di cloud, kata sandi teks biasa dienkripsi dengan kunci publik Anda.
  2. Kata sandi terenkripsi ditempatkan ke dalam pesan HTTPS yang dikirim melalui saluran terenkripsi dengan menggunakan sertifikat Microsoft TLS/SSL ke relai bus layanan Anda.
  3. Setelah pesan tiba di bus layanan, agen lokal aktif dan mengautentikasi ke bus layanan dengan menggunakan kata sandi yang kuat yang dihasilkan sebelumnya.
  4. Agen lokal mengambil pesan terenkripsi dan mendekripsikannya menggunakan kunci pribadi.
  5. Agen lokal mencoba mengatur kata sandi melalui AD DS SetPassword API. Langkah inilah yang memungkinkan penerapan kebijakan kata sandi AD DS lokal Anda (seperti kompleksitas, usia, riwayat, dan filter) di cloud.
• Kebijakan kedaluwarsa pesan
  • Jika pesan berada di bus layanan karena layanan lokal Anda tidak berfungsi, pesan kehabisan waktu dan akan dihapus setelah beberapa menit. Waktu habis dan penghapusan pesan akan meningkatkan keamanan lebih jauh.

Detail enkripsi tulis ulang kata sandi

Setelah pengguna mengirimkan pengaturan ulang kata sandi, permintaan pengaturan ulang akan melalui beberapa langkah enkripsi sebelum tiba di lingkungan lokal Anda. Langkah-langkah enkripsi ini akan memastikan keandalan dan keamanan layanan maksimum. Langkah-langkah tersebut dapat digambarkan sebagai berikut:

1. Enkripsi kata sandi dengan Kunci RSA 2048-bit: Setelah pengguna mengirimkan kata sandi untuk ditulis kembali ke lokal, kata sandi yang dikirimkan itu sendiri akan dienkripsi dengan kunci RSA 2048-bit.
2. Enkripsi tingkat paket dengan 256-bit AES-GCM: Seluruh paket, kata sandi, dan metadata yang diperlukan, dienkripsi menggunakan AES-GCM (dengan ukuran kunci 256 bit). Enkripsi ini mencegah siapa pun yang memiliki akses langsung ke saluran Bus Layanan yang mendasarinya untuk melihat atau merusak konten.
3. Semua komunikasi terjadi melalui TLS/SSL: Semua komunikasi dengan Service Bus terjadi di saluran SSL/TLS. Enkripsi ini mengamankan konten dari pihak ketiga yang tidak berwenang.
4. Rollover kunci otomatis setiap enam bulan: Semua kunci digulirkan setiap enam bulan, atau setiap kali tulis balik kata sandi dinonaktifkan dan kemudian diaktifkan kembali di Microsoft Entra Koneksi, untuk memastikan keamanan dan keamanan layanan maksimum.

Penggunaan bandwidth tulis balik kata sandi

Tulis balik kata sandi adalah layanan bandwidth rendah yang hanya mengirim permintaan kembali ke agen lokal pada keadaan berikut:

• Dua pesan dikirim saat fitur diaktifkan atau dinonaktifkan melalui Microsoft Entra Koneksi.
• Satu pesan dikirim setiap lima menit sekali sebagai heartbeat layanan selama layanan berjalan.
• Dua pesan dikirim setiap kali kata sandi baru dikirimkan:
  • Pesan pertama adalah permintaan untuk melakukan operasi.
  • Pesan kedua berisi hasil operasi, dan dikirim dalam keadaan berikut:
    • Setiap kali ketika kata sandi baru dikirimkan selama pengaturan ulang kata sandi layanan mandiri pengguna.
    • Setiap kali ketika kata sandi baru dikirimkan selama operasi perubahan kata sandi pengguna.
    • Setiap kali ketika kata sandi baru dikirimkan selama pengaturan ulang kata sandi pengguna yang dimulai admin (hanya dari portal admin Azure).

Pertimbangan ukuran pesan dan bandwidth

Ukuran masing-masing pesan yang telah dijelaskan sebelumnya biasanya berukuran kurang dari 1 KB. Bahkan di bawah beban ekstrem, layanan tulis balik kata sandi itu sendiri mengonsumsi bandwidth beberapa kilobit per detik. Karena setiap pesan dikirim secara real time, hanya ketika diperlukan oleh operasi pembaruan kata sandi, dan karena ukuran pesan sangat kecil, penggunaan bandwidth dari kemampuan tulis balik terlalu kecil untuk memiliki dampak yang terukur.

Operasi tulis balik yang didukung

Kata sandi akan ditulis balik dalam semua situasi berikut:

• Operasi pengguna akhir yang didukung

  • Setiap pengguna akhir layanan mandiri secara sukarela mengubah operasi kata sandi.
  • Setiap pengguna akhir layanan mandiri memaksa mengubah operasi kata sandi, misalnya, kata sandi kedaluwarsa.
  • Setiap pengaturan ulang kata sandi layanan mandiri pengguna akhir yang berasal dari portal pengaturan ulang kata sandi.

• Operasi administrator yang didukung

  • Setiap layanan mandiri administrator secara sukarela mengubah operasi kata sandi.
  • Setiap layanan mandiri administrator memaksa mengubah operasi kata sandi, misalnya, kata sandi kedaluwarsa.
  • Setiap pengaturan ulang kata sandi layanan mandiri administrator yang berasal dari portal pengaturan ulang kata sandi.
  • Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft Entra.
  • Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai oleh administrator dari Microsoft Graph API.

Operasi tulis balik yang tidak didukung

Kata sandi tidak ditulis balik pada salah satu situasi berikut:

• Operasi pengguna akhir yang tidak didukung
  • Setiap pengguna akhir mengatur ulang kata sandinya sendiri menggunakan PowerShell versi 1, versi 2, atau Microsoft Graph API.
• Operasi administrator yang tidak didukung
  • Setiap reset kata sandi pengguna akhir yang dimulai administrator dari PowerShell versi 1, atau versi 2.
  • Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai oleh administrator dari pusat admin Microsoft 365.
  • Administrator mana pun tidak dapat menggunakan alat pengaturan ulang kata sandi untuk mengatur ulang kata sandinya untuk tulis balik kata sandi.

Peringatan

Penggunaan kotak centang "Pengguna harus mengubah kata sandi saat masuk berikutnya" di alat administratif AD DS lokal seperti Pengguna Direktori Aktif dan Komputer atau Pusat Administratif Direktori Aktif didukung sebagai fitur pratinjau Microsoft Entra Koneksi. Untuk informasi selengkapnya, lihat Menerapkan sinkronisasi hash kata sandi dengan Microsoft Entra Koneksi Sync.

Catatan

Jika pengguna memiliki opsi "Kata sandi tidak pernah kedaluwarsa" yang diatur dalam Active Directory (AD), bendera perubahan kata sandi paksa tidak akan diatur dalam Active Directory (AD). Karenanya, pengguna tidak akan diminta untuk mengubah kata sandi selama proses kredensial masuk berikutnya, bahkan jika opsi untuk memaksa pengguna mengubah kata sandi pada opsi proses masuk berikutnya dipilih selama pengaturan ulang kata sandi pengguna akhir yang dimulai administrator.

Langkah berikutnya

Untuk memulai tulis balik SSPR, selesaikan tutorial berikut:

Tutorial: Mengaktifkan reset kata sandi mandiri (SSPR)