Tutorial: Mengaktifkan tulis balik pengaturan ulang kata sandi mandiri Azure Active Directory ke lingkungan lokal

Dengan pengaturan ulang kata sandi mandiri (SSPR) Azure Active Directory (ADD), pengguna dapat memperbarui kata sandinya atau membuka kunci akun mereka menggunakan browser web. Kami merekomendasikan video tentang Cara mengaktifkan dan mengonfigurasi SSPR di Azure AD. Dalam lingkungan hibrid di mana Azure Active Directory terhubung ke lingkungan Active Directory Domain Services (AD DS) lokal, skenario ini dapat menyebabkan kata sandi berbeda di antara kedua direktori.

Tulis balik kata sandi dapat digunakan untuk menyinkronkan perubahan kata sandi di Azure Active Directory kembali ke lingkungan AD DS lokal Anda. Azure Active Directory Connect menyediakan mekanisme aman untuk mengirim perubahan kata sandi ini kembali ke direktori lokal yang sudah ada dari Azure Active Directory.

Penting

Tutorial ini menunjukkan administrator cara mengaktifkan pengaturan ulang kata sandi mandiri kembali ke lingkungan lokal. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk pengaturan ulang kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim IT Anda belum mengaktifkan kemampuan untuk menyetel ulang kata sandi Anda sendiri, menjangkau bantuan teknis Anda untuk mendapatkan bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Mengonfigurasi izin yang diperlukan untuk tulis balik ulang kata sandi
  • Mengaktifkan opsi tulis balik kata sandi di Azure Active Directory Connect
  • Mengaktifkan tulis balik kata sandi di SSPR Azure Active Directory

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

Mengonfigurasi izin akun untuk Azure Active Directory Connect

Azure Active Directory Connect memungkinkan Anda menyinkronkan pengguna, grup, dan info masuk antara lingkungan AD DS lokal dan Azure Active Directory. Anda biasanya menginstal Azure AD Connect di komputer Windows Server 2016 atau yang lebih baru yang tergabung ke domain AD DS lokal.

Untuk menggunakan tulis balik SSPR dengan benar, akun yang ditentukan dalam Azure Active Directory Connect harus memiliki umpulan izin dan opsi yang sesuai. Jika Anda tidak yakin akun mana yang saat ini digunakan, buka Azure Active Directory Connect dan pilih opsi Tampilkan konfigurasi saat ini. Akun yang perlu Anda tambahkan izinnya tercantum di bawah Direktori yang Disinkronkan. Izin dan opsi berikut ini harus ditetapkan pada akun:

  • Atur ulang kata sandi
  • Izin tulis pada lockoutTime
  • Izin tulis pada pwdLastSet
  • Hak perluasan untuk "Kata Sandi Tidak Kedaluwarsa" pada objek akar dari setiap domain di forest tersebut, jika belum ditetapkan.

Jika Anda tidak menetapkan izin ini, tulis balik mungkin tampak dikonfigurasi dengan benar, tetapi pengguna mengalami kesalahan saat mengelola kata sandi lokal mereka dari cloud. Saat mengatur izin "Unexpire Password" di Active Directory Domain Services, izin ini harus diterapkan ke Objek ini dan semua objek keturunan, Objek ini saja, atau Semua objek keturunan, atau izin "Unexpire Password" tidak dapat ditampilkan.

Tip

Jika kata sandi untuk beberapa akun pengguna tidak ditulis balik ke direktori lokal, pastikan bahwa pewarisan tidak dinonaktifkan untuk akun di lingkungan AD DS lokal. Izin tulis untuk kata sandi harus diterapkan pada objek turunan agar fitur tersebut agar berfungsi dengan benar.

Untuk menyiapkan izin yang sesuai agar terjadi tulis balik kata sandi, selesaikan langkah-langkah berikut:

  1. Di lingkungan AD DS lokal Anda, buka Pengguna Direktori Aktif dan Komputer dengan akun yang memiliki izin administrator domain yang sesuai.

  2. Dari menu Tampilan, pastikan Fitur tingkat lanjut diaktifkan.

  3. Di panel kiri, pilih objek yang mewakili akar domain dengan tepat dan pilih Properti>Keamanan>Tingkat Lanjut.

  4. Dari tab Izin, pilih Tambahkan.

  5. Untuk Utama, pilih akun tempat izin harus diterapkan (akun yang digunakan oleh Azure Active Directory Connect).

  6. Di daftar drop-down Berlaku ke, pilih Objek Pengguna Turunan.

  7. Di bawah Izin, pilih kotak untuk opsi berikut ini:

    • Atur ulang kata sandi
  8. Di bawah Properti, pilih kotak untuk opsi berikut ini. Gulir pada daftar untuk menemukan opsi ini, yang mungkin sudah diatur secara default:

    • Tulis lockoutTime
    • Tulis pwdLastSet

    Mengatur izin yang sesuai di Pengguna dan Komputer Aktif untuk akun yang digunakan oleh Azure Active Directory Connect

  9. Jika sudah siap, pilih Terapkan/OK untuk menerapkan perubahan.

  10. Dari tab Izin, pilih Tambahkan.

  11. Untuk Utama, pilih akun tempat izin harus diterapkan (akun yang digunakan oleh Azure Active Directory Connect).

  12. Di daftar drop-down Berlaku untuk , pilih Objek ini dan semua objek turunan

  13. Di bawah Izin, pilih kotak untuk opsi berikut ini:

    • Kata Sandi Tidak Kedaluwarsa
  14. Jika sudah siap, pilih Terapkan/OK untuk menerapkan perubahan dan keluar dari kotak dialog yang terbuka.

Ketika Anda memperbarui izin, mungkin perlu waktu hingga satu jam atau lebih agar izin ini direplikasi ke semua objek di direktori Anda.

Kebijakan kata sandi di lingkungan AD DS di tempat dapat mencegah reset kata sandi diproses dengan benar. Agar tulis balik kata sandi berfungsi paling efisien, kebijakan grup untuk Usia kata sandi minimum harus diatur ke 0. Pengaturan ini dapat ditemukan di Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Akun dalam gpmc.msc.

Jika Anda memperbarui kebijakan grup, tunggu kebijakan yang diperbarui untuk mereplikasi, atau gunakan perintah gpupdate /force.

Catatan

Jika Anda perlu mengizinkan pengguna untuk mengubah atau mengatur ulang kata sandi lebih dari satu kali per hari, Usia kata sandi minimum harus diatur ke 0. Tulis balik kata sandi akan berfungsi setelah kebijakan kata sandi lokal berhasil dievaluasi.

Mengaktifkan tulis balik kata sandi di Azure Active Directory Connect

Salah satu opsi konfigurasi di Azure Active Directory Connect adalah untuk tulis balik kata sandi. Saat opsi ini diaktifkan, peristiwa perubahan kata sandi menyebabkan Azure Active Directory Connect menyinkronkan info masuk yang diperbarui kembali ke lingkungan AD DS lokal.

Untuk mengaktifkan tulis balik SSPR, pertama-tama aktifkan opsi tulis balik di Azure Active Directory Connect. Dari server Azure Active Directory Connect Anda, selesaikan langkah-langkah berikut ini:

  1. Masuk ke server Azure Active Directory Connect Anda dan mulai wizard konfigurasi Azure Active Directory Connect.

  2. Pada halaman Selamat Datang, pilih Konfigurasikan.

  3. Pada halaman Tugas tambahan, pilih Sesuaikan opsi sinkronisasi, lalu pilih Berikutnya.

  4. Pada halaman Sambungkan ke Azure Active Directory, masukkan info masuk administrator global untuk penyewa Azure Anda, lalu pilih Berikutnya.

  5. Pada halaman pemfilteran Sambungkan direktori dan Domain/unit organisasi, pilih Berikutnya.

  6. Pada halaman Fitur opsional, pilih kotak di samping Tulis balik kata sandi dan pilih Berikutnya.

    Mengonfigurasi Azure Active Directory Connect untuk tulis balik kata sandi

  7. Dalam halaman Ekstensi Direktori, pilih Berikutnya.

  8. Pada halaman Siap dikonfigurasi, pilih Konfigurasikan dan tunggu hingga proses selesai.

  9. Saat Anda melihat konfigurasi selesai, pilih Keluar.

Mengaktifkan tulis balik kata sandi untuk SSPR

Dengan tulis balik kata sandi yang diaktifkan di Azure Active Directory Connect, sekarang konfigurasikan SSPR Azure Active Directory untuk tulis balik. SSPR dapat dikonfigurasi untuk menulis ulang melalui agen sinkronisasi Azure Active Directory Connect dan agen provisi Azure Active Directory Connect (sinkronisasi cloud). Ketika Anda mengaktifkan SSPR untuk menggunakan tulis balik kata sandi, pengguna yang mengubah atau mengatur ulang kata sandi mereka juga menyinkronkan kembali kata sandi yang diperbarui ke lingkungan AD DS lokal.

Untuk mengaktifkan tulis balik kata sandi di SSPR, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Azure menggunakan akun Administrator Identitas Hibrid.

  2. Cari dan pilih Azure Active Directory, pilih Reset kata sandi, lalu pilih Integrasi lokal.

  3. Memeriksa opsi untuk Menulis ulang kata sandi ke direktori lokal.

  4. (opsional) Jika agen provisi Azure Active Directory Connect terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis ulang kata sandi dengan sinkronisasi cloud Azure Active Directory Connect.

  5. Memeriksa opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.

    Mengonfigurasi Azure Active Directory Connect untuk tulis balik kata sandi

  6. Jika sudah siap, pilih Simpan.

Menghapus sumber daya

Jika Anda tidak ingin lagi menggunakan fungsi tulis balik SSPR yang telah Anda konfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.
  2. Cari dan pilih Azure Active Directory, pilih Reset kata sandi, lalu pilih Integrasi lokal.
  3. Hapus centang opsi untuk Menulis ulang kata sandi ke direktori lokal.
  4. Hapus centang opsi untuk Menulis ulang kata sandi dengan sinkronisasi cloud Azure Active Directory Connect.
  5. Hapus centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka.
  6. Jika sudah siap, pilih Simpan.

Jika Anda tidak lagi ingin menggunakan sinkronisasi cloud Azure Active Directory Connect untuk fungsi tulis ulang SSPR tetapi ingin terus menggunakan agen sinkronisasi Azure Active Directory Connect untuk tulis ulang, selesaikan langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.
  2. Cari dan pilih Azure Active Directory, pilih Reset kata sandi, lalu pilih Integrasi lokal.
  3. Hapus centang opsi untuk Menulis ulang kata sandi dengan sinkronisasi cloud Azure Active Directory Connect.
  4. Jika sudah siap, pilih Simpan.

Jika Anda tidak ingin lagi menggunakan fungsionalitas kata sandi apa pun, selesaikan langkah-langkah berikut dari server Azure Active Directory Connect Anda:

  1. Masuk ke server Azure Active Directory Connect Anda dan mulai wizard konfigurasi Azure Active Directory Connect.
  2. Pada halaman Selamat Datang, pilih Konfigurasikan.
  3. Pada halaman Tugas tambahan, pilih Sesuaikan opsi sinkronisasi, lalu pilih Berikutnya.
  4. Pada halaman Sambungkan ke Azure Active Directory, masukkan info masuk administrator global untuk penyewa Azure Anda, lalu pilih Berikutnya.
  5. Pada halaman pemfilteran Sambungkan direktori dan Domain/unit organisasi, pilih Berikutnya.
  6. Pada halaman Fitur opsional, hapus centang pada kotak di samping Tulis balik kata sandi dan pilih Berikutnya.
  7. Pada halaman Siap dikonfigurasi, pilih Konfigurasikan dan tunggu hingga proses selesai.
  8. Saat Anda melihat konfigurasi selesai, pilih Keluar.

Penting

Mengaktifkan write-back kata sandi untuk pertama kalinya dapat memicu kejadian perubahan kata sandi 656 dan 657, bahkan jika perubahan kata sandi belum terjadi. Ini karena semua hash kata sandi disinkronkan kembali setelah siklus sinkronisasi hash kata sandi berjalan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan tulis balik SSPR Azure Active Directory ke lingkungan AD DS lokal. Anda mempelajari cara untuk:

  • Mengonfigurasi izin yang diperlukan untuk tulis balik ulang kata sandi
  • Mengaktifkan opsi tulis balik kata sandi di Azure Active Directory Connect
  • Mengaktifkan tulis balik kata sandi di SSPR Azure Active Directory