Tutorial: Mengaktifkan penulisan ulang pengaturan ulang kata sandi mandiri sinkronisasi cloud ke lingkungan lokal
Sinkronisasi cloud Microsoft Entra Koneksi dapat menyinkronkan perubahan kata sandi Microsoft Entra secara real time antara pengguna di domain Active Directory lokal Domain Services (AD DS) yang terputus. Sinkronisasi cloud Microsoft Entra Koneksi dapat berjalan berdampingan dengan Microsoft Entra Koneksi di tingkat domain untuk menyederhanakan tulis balik kata sandi untuk skenario tambahan, seperti pengguna yang berada di domain yang terputus karena pemisahan atau penggabungan perusahaan. Anda dapat mengonfigurasi setiap layanan di domain yang berbeda untuk menargetkan set pengguna berbeda sesuai kebutuhan mereka. Sinkronisasi cloud Microsoft Entra Koneksi menggunakan agen provisi cloud Microsoft Entra ringan untuk menyederhanakan penyiapan untuk tulis balik pengaturan ulang kata sandi mandiri (SSPR) dan menyediakan cara yang aman untuk mengirim perubahan kata sandi di cloud kembali ke direktori lokal.
Prasyarat
- Penyewa Microsoft Entra dengan setidaknya Microsoft Entra ID P1 atau lisensi uji coba diaktifkan. Jika perlu, buat secara gratis.
- Akun dengan:
- Peran Administrator Global
- ID Microsoft Entra dikonfigurasi untuk pengaturan ulang kata sandi mandiri. Jika diperlukan, selesaikan tutorial ini untuk mengaktifkan Microsoft Entra SSPR.
- Lingkungan AD DS lokal yang dikonfigurasi dengan Microsoft Entra Koneksi sinkronisasi cloud versi 1.1.977.0 atau yang lebih baru. Pelajari cara mengidentifikasi versi agen saat ini. Jika diperlukan, konfigurasikan sinkronisasi cloud Microsoft Entra Koneksi menggunakan tutorial ini.
Langkah-langkah penyebaran
- Mengonfigurasi izin akun layanan sinkronisasi cloud Microsoft Entra Koneksi
- Mengaktifkan tulis balik kata sandi di Microsoft Entra Koneksi sinkronisasi cloud
- Mengaktifkan tulis balik kata sandi untuk SSPR
Mengonfigurasi izin akun layanan sinkronisasi cloud Microsoft Entra Koneksi
Izin untuk sinkronisasi cloud dikonfigurasi secara default. Jika izin perlu diatur ulang, lihat Pemecahan masalah untuk detail selengkapnya tentang izin khusus yang diperlukan untuk tulis balik kata sandi dan cara mengaturnya dengan menggunakan PowerShell.
Mengaktifkan tulis ulang kata sandi untuk SSPR
Anda dapat mengaktifkan provisi sinkronisasi cloud Microsoft Entra Koneksi langsung di pusat admin Microsoft Entra atau melalui PowerShell.
Mengaktifkan tulis balik kata sandi di pusat admin Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Dengan tulis balik kata sandi diaktifkan di sinkronisasi cloud Microsoft Entra Koneksi, sekarang verifikasi, dan konfigurasikan pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra untuk tulis balik kata sandi. Ketika Anda mengaktifkan SSPR untuk menggunakan tulis balik kata sandi, pengguna yang mengubah atau mengatur ulang kata sandi mereka juga menyinkronkan kembali kata sandi yang diperbarui ke lingkungan AD DS lokal.
Untuk memverifikasi dan mengaktifkan tulis balik kata sandi di SSPR, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
Centang opsi untuk Mengaktifkan tulis balik kata sandi untuk pengguna yang disinkronkan.
(opsional) Jika microsoft Entra Koneksi agen provisi terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
Memeriksa opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.
Jika sudah siap, pilih Simpan.
PowerShell
Dengan PowerShell, Anda dapat mengaktifkan sinkronisasi cloud Microsoft Entra Koneksi dengan menggunakan cmdlet Set-AADCloudSyncPasswordWritebackConfiguration di server dengan agen provisi. Anda akan memerlukan info masuk administrator global:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Membersihkan sumber daya
Jika Anda tidak ingin lagi menggunakan fungsi tulis balik SSPR yang telah Anda konfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
- Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
- Hapus centang opsi untuk Aktifkan tulis balik kata sandi untuk pengguna yang disinkronkan.
- Hapus centang opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
- Hapus centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka.
- Jika sudah siap, pilih Simpan.
Jika Anda tidak lagi ingin menggunakan sinkronisasi cloud Microsoft Entra Koneksi untuk fungsionalitas tulis balik SSPR tetapi ingin terus menggunakan agen Microsoft Entra Koneksi Sync untuk tulis balik selesaikan langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
- Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
- Hapus centang opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
- Jika sudah siap, pilih Simpan.
Anda juga dapat menggunakan PowerShell untuk menonaktifkan sinkronisasi cloud Microsoft Entra Koneksi untuk fungsionalitas penulisan balik SSPR, dari server sinkronisasi cloud Microsoft Entra Koneksi Anda, berjalan Set-AADCloudSyncPasswordWritebackConfiguration menggunakan kredensial Administrator Identitas Hibrid untuk menonaktifkan penulisan balik kata sandi dengan sinkronisasi cloud Microsoft Entra Koneksi.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operasi yang didukung
Kata sandi ditulis balik dalam situasi berikut untuk pengguna akhir dan administrator.
| Akun | Operasi yang didukung |
|---|---|
| Pengguna akhir | Setiap pengguna akhir layanan mandiri secara sukarela mengubah operasi kata sandi. Setiap pengguna akhir layanan mandiri memaksa mengubah operasi kata sandi, misalnya, kata sandi kedaluwarsa. Setiap pengaturan ulang kata sandi mandiri pengguna akhir yang berasal dari pengaturan ulang kata sandi. |
| Administrator | Setiap layanan mandiri administrator secara sukarela mengubah operasi kata sandi. Setiap layanan mandiri administrator memaksa mengubah operasi kata sandi, misalnya, kata sandi kedaluwarsa. Setiap pengaturan ulang kata sandi mandiri administrator yang berasal dari pengaturan ulang kata sandi. Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft Entra. Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai oleh administrator dari Microsoft Graph API. |
Operator yang tidak didukung
Kata sandi tidak ditulis balik dalam salah satu situasi berikut.
| Akun | Operator yang tidak didukung |
|---|---|
| Pengguna akhir | Setiap pengguna akhir mengatur ulang kata sandinya sendiri menggunakan cmdlet PowerShell atau Microsoft Graph API. |
| Administrator | Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai oleh administrator dengan menggunakan cmdlet PowerShell. Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft 365 . Administrator mana pun tidak dapat menggunakan alat reset kata sandi untuk mengatur ulang kata sandi mereka sendiri, atau Administrator lain di ID Microsoft Entra untuk tulis balik kata sandi. |
Skenario validasi
Coba operasi berikut untuk memvalidasi skenario menggunakan tulis balik kata sandi. Semua skenario validasi memerlukan sinkronisasi cloud yang diinstal dan pengguna berada dalam ruang lingkup untuk tulis balik kata sandi.
| Skenario | Detail |
|---|---|
| Mengatur ulang kata sandi dari halaman login | Mintalah dua pengguna dari domain dan forest yang terputus untuk melakukan SSPR. Anda juga dapat memiliki Microsoft Entra Koneksi dan sinkronisasi cloud yang disebarkan secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Koneksi dan meminta pengguna tersebut mengatur ulang kata sandi mereka. |
| Terapkan perubahan kata sandi yang kedaluwarsa | Mintalah dua pengguna dari domain dan forest yang terputus untuk mengubah kata sandi kedaluwarsa. Anda juga dapat memiliki Microsoft Entra Koneksi dan sinkronisasi cloud yang disebarkan secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Koneksi. |
| Perubahan kata sandi reguler | Mintalah dua pengguna dari domain dan forest yang terputus untuk melakukan perubahan kata sandi secara rutin. Anda juga dapat memiliki Microsoft Entra Koneksi dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Koneksi. |
| Admin mengatur ulang kata sandi pengguna | Minta dua pengguna memutus domain dan forest yang terputus mengatur ulang kata sandi mereka dari pusat admin Microsoft Entra atau portal pekerja Frontline. Anda juga dapat memiliki Microsoft Entra Koneksi dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Koneksi |
| Membuka akun layanan mandiri | Mintalah dua pengguna dari domain dan forest yang terputus untuk membuka kunci akun di portal SSPR yang mengatur ulang kata sandi. Anda juga dapat memiliki Microsoft Entra Koneksi dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Koneksi. |
Pemecahan Masalah
Akun Layanan Terkelola grup sinkronisasi cloud Microsoft Entra Koneksi harus memiliki izin berikut yang diatur untuk menulis balik kata sandi secara default:
- Atur ulang kata sandi
- Menulis izin pada lockoutTime
- Menulis izin pada pwdLastSet
- Hak perluasan untuk "Kata Sandi Tidak Kedaluwarsa" pada objek akar dari setiap domain di forest tersebut, jika belum ditetapkan.
Jika izin ini tidak diatur, Anda dapat mengatur izin PasswordWriteBack pada akun layanan dengan menggunakan cmdlet Set-AADCloudSyncPermissions dan kredensial administrator perusahaan lokal:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Setelah Anda memperbarui izin, mungkin perlu waktu hingga satu jam atau lebih agar izin ini direplikasi ke semua objek di direktori Anda.
Jika kata sandi untuk beberapa akun pengguna tidak ditulis ulang ke direktori lokal, pastikan bahwa pewarisan tidak dinonaktifkan untuk akun di lingkungan AD DS lokal. Izin tulis untuk kata sandi harus diterapkan pada objek turunan agar fitur tersebut agar berfungsi dengan benar.
Kebijakan kata sandi di lingkungan AD DS di tempat dapat mencegah reset kata sandi diproses dengan benar. Jika Anda menguji fitur ini dan ingin mengatur ulang kata sandi untuk pengguna lebih dari sekali per hari, kebijakan grup untuk usia kata sandi Minimum harus diatur ke 0. Pengaturan ini dapat ditemukan di bawah Kebijakan > Konfigurasi > Komputer Windows Pengaturan > Kebijakan Keamanan Pengaturan > Kebijakan > Kata Sandi Akun dalam gpmc.msc.
Jika Anda memperbarui kebijakan grup, tunggu kebijakan yang diperbarui untuk direplikasi, atau gunakan perintah gpupdate /force.
Agar kata sandi dapat segera diubah, Usia sandi minimum harus diatur ke 0. Namun, jika pengguna mematuhi kebijakan lokal, dan usia kata sandi minimum diatur ke nilai yang lebih besar dari nol, tulis balik kata sandi tidak akan berfungsi setelah kebijakan lokal dievaluasi.
Untuk informasi selengkapnya tentang cara memvalidasi atau menyiapkan izin yang sesuai, lihat Mengonfigurasi izin akun untuk Microsoft Entra Koneksi.
Langkah berikutnya
- Untuk informasi selengkapnya tentang sinkronisasi cloud dan perbandingan antara Microsoft Entra Koneksi dan sinkronisasi cloud, lihat Apa itu sinkronisasi cloud Microsoft Entra Koneksi?
- Untuk tutorial tentang menyiapkan tulis balik kata sandi dengan menggunakan Microsoft Entra Koneksi, lihat Tutorial: Mengaktifkan tulis balik pengaturan ulang kata sandi mandiri Microsoft Entra ke lingkungan lokal.