Bagaimana cara kerja penulisan ulang kata sandi mandiri di ID Microsoft Entra?

Pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra memungkinkan pengguna mengatur ulang kata sandi mereka di cloud, tetapi sebagian besar perusahaan juga memiliki lingkungan Active Directory Domain Services (AD DS) lokal untuk pengguna. Penulisan ulang kata sandi memungkinkan perubahan kata sandi di cloud ditulis ulang ke direktori lokal secara waktu nyata dengan menggunakan Microsoft Entra Connect atau Sinkronisasi Cloud Microsoft Entra Connect. Saat pengguna mengubah atau mengatur ulang kata sandi mereka menggunakan SSPR di cloud, kata sandi yang diperbarui juga ditulis ulang ke lingkungan AD DS lokal.

Penting

Artikel konseptual ini menjelaskan kepada administrator cara kerja tulis balik pengaturan ulang kata sandi mandiri. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk pengaturan ulang kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim TI Anda belum mengaktifkan kemampuan untuk mengatur ulang kata sandi Anda sendiri, hubungi staf dukungan Anda untuk mendapatkan bantuan tambahan.

Tulis balik kata sandi didukung di lingkungan yang menggunakan model identitas hibrid berikut:

• sinkronisasi hash kata sandi
• autentikasi pass-through
• Layanan Federasi Direktori Aktif

Nota

SSPR dengan writeback ke domain lokal tidak didukung saat peluncuran bertahap diaktifkan untuk grup keamanan. Meskipun berfungsi dalam beberapa kasus, SSPR tidak dapat dijamin berfungsi secara konsisten ketika peluncuran bertahap diaktifkan.

Tulis balik kata sandi menyediakan fitur-fitur berikut:

• Penerapan kebijakan kata sandi Active Directory Domain Services (AD DS) lokal: Saat pengguna menyetel ulang kata sandi mereka, kata sandi diperiksa untuk memastikannya memenuhi kebijakan AD DS lokal Anda sebelum dicatatkan ke dalam direktori tersebut. Tinjauan ini mencakup memeriksa riwayat, kompleksitas, usia, filter kata sandi, dan batasan kata sandi lainnya yang Anda tentukan dalam AD DS.
• Umpan balik penundaan nol: Tulis balik kata sandi adalah operasi sinkron. Pengguna akan segera diberi tahu jika kata sandi mereka tidak memenuhi kebijakan atau tidak dapat diatur ulang atau diubah karena alasan apa pun.
• Mendukung perubahan kata sandi dari panel akses dan Microsoft 365: Saat pengguna yang menggunakan federasi atau pengguna dengan hash kata sandi yang disinkronkan datang untuk mengubah kata sandi yang sudah atau belum kedaluwarsa, kata sandi tersebut ditulis kembali ke AD DS.
• Mendukung penulisan ulang kata sandi ketika admin meresetnya dari pusat admin Microsoft Entra: Saat admin mengatur ulang kata sandi pengguna di pusat admin Microsoft Entra, jika pengguna tersebut difederasi atau hash kata sandi disinkronisasi, kata sandi ditulis ulang ke sistem lokal. Fungsionalitas ini saat ini tidak didukung di portal admin Office.
• Tidak memerlukan aturan firewall masuk: Tulis balik kata sandi menggunakan relai Azure Service Bus sebagai saluran komunikasi yang mendasar. Semua komunikasi keluar melalui port 443.
• Mendukung penyebaran tingkat domain berdampingan menggunakan Microsoft Entra Connect atau sinkronisasi cloud untuk menargetkan set pengguna yang berbeda tergantung pada kebutuhan mereka, termasuk pengguna yang berada di domain yang terputus.

Nota

Akun layanan lokal yang menangani permintaan tulis balik kata sandi tidak dapat mengubah kata sandi untuk pengguna yang termasuk dalam grup yang dilindungi. Administrator dapat mengubah kata sandi mereka di cloud tetapi mereka tidak dapat menggunakan tulis balik kata sandi untuk mengatur ulang kata sandi yang terlupakan untuk pengguna lokal mereka. Untuk informasi selengkapnya tentang grup yang dilindungi, lihat Akun dan grup yang dilindungi di AD DS.

Untuk memulai penulisan balik SSPR, selesaikan salah satu atau kedua tutorial berikut:

• Tutorial: Mengaktifkan pemulihan pengaturan ulang kata sandi (SSPR) mandiri
• Tutorial: Mengaktifkan penulisan ulang pengaturan ulang kata sandi mandiri sinkronisasi cloud Microsoft Entra Connect ke lingkungan lokal

Microsoft Entra Connect dan penyebaran sinkronisasi cloud berdampingan

Anda dapat menyebarkan Microsoft Entra Connect dan sinkronisasi cloud secara berdampingan di domain yang berbeda untuk menargetkan set pengguna yang berbeda. Ini membantu pengguna yang ada terus menulis balik perubahan kata sandi saat menambahkan opsi dalam kasus di mana pengguna berada di domain yang terputus karena penggabungan atau pemisahan perusahaan. Microsoft Entra Connect dan sinkronisasi cloud dapat dikonfigurasi di domain yang berbeda sehingga pengguna dari satu domain dapat menggunakan Microsoft Entra Connect saat pengguna di domain lain menggunakan sinkronisasi cloud. Sinkronisasi cloud juga dapat memberikan ketersediaan yang lebih tinggi karena tidak bergantung pada satu instans Microsoft Entra Connect. Untuk perbandingan fitur antara dua opsi penyebaran, lihat Perbandingan antara Microsoft Entra Connect dan sinkronisasi cloud.

Cara kerja tulis balik kata sandi

Ketika akun pengguna dikonfigurasi untuk federasi dan sinkronisasi kata sandi hash (atau, dalam kasus penyebaran Microsoft Entra Connect, autentikasi lintas langsung) mencoba mengatur ulang atau mengubah kata sandi di cloud, tindakan berikut akan terjadi:

1. Pemeriksaan dilakukan untuk melihat jenis kata sandi apa yang dimiliki pengguna. Jika kata sandi dikelola secara lokal:

   • Pemeriksaan dilakukan untuk melihat apakah layanan tulis balik aktif dan berjalan. Jika ya, pengguna dapat melanjutkan.
   • Jika layanan tulis balik tidak berfungsi, pengguna diberi tahu bahwa kata sandi mereka tidak dapat direset sekarang.

2. Selanjutnya, pengguna melewati gerbang autentikasi yang sesuai dan mencapai halaman reset kata sandi.

3. Pengguna memilih kata sandi baru dan mengonfirmasinya.

4. Saat pengguna memilih Kirim, kata sandi teks biasa dienkripsi dengan kunci publik yang dibuat selama proses penyiapan tulis balik.

5. Kata sandi terenkripsi disertakan dalam payload yang dikirim melalui saluran HTTPS ke relai bus layanan khusus penyewa Anda (yang disiapkan untuk Anda selama proses penyiapan writeback). Relai ini dilindungi oleh kata sandi yang dihasilkan secara acak yang hanya diketahui penginstalan lokal Anda.

6. Setelah pesan mencapai bus layanan, titik akhir pengaturan ulang kata sandi secara otomatis aktif dan melihat bahwa ada permintaan pengaturan ulang yang menunggu.

7. Layanan kemudian mencari pengguna dengan menggunakan atribut cloud anchor. Agar pencarian ini berhasil, kondisi berikut harus dipenuhi:

   • Objek pengguna harus ada di ruang konektor AD DS.
   • Objek pengguna harus ditautkan ke objek metaverse (MV) yang sesuai.
   • Objek pengguna harus ditautkan ke objek konektor Microsoft Entra yang sesuai.
   • Tautan dari objek konektor AD DS ke MV harus memiliki aturan sinkronisasi Microsoft.InformADUserAccountEnabled.xxx di tautan tersebut.

   Ketika panggilan masuk dari cloud, mesin sinkronisasi menggunakan atribut cloudAnchor untuk mencari objek ruang konektor Microsoft Entra. Kemudian mengikuti tautan kembali ke objek MV, lalu mengikuti tautan kembali ke objek AD DS. Karena mungkin ada beberapa objek AD DS (multi-forest) untuk pengguna yang sama, mesin sinkronisasi bergantung pada tautan Microsoft.InformADUserAccountEnabled.xxx untuk memilih yang benar.

8. Setelah akun pengguna ditemukan, upaya dilakukan untuk mereset kata sandi langsung di hutan AD DS yang sesuai.

9. Jika operasi set kata sandi berhasil, pengguna diberi tahu kata sandi mereka telah diubah.

   Nota

   Jika hash kata sandi pengguna disinkronkan ke ID Microsoft Entra dengan menggunakan sinkronisasi hash kata sandi, ada kemungkinan kebijakan kata sandi lokal lebih lemah daripada kebijakan kata sandi cloud. Dalam hal ini, kebijakan di tempat diberlakukan. Kebijakan ini memastikan bahwa kebijakan lokal Anda diberlakukan di cloud, tidak peduli apakah Anda menggunakan sinkronisasi hash kata sandi atau federasi untuk menyediakan akses menyeluruh.

10. Jika operasi set kata sandi gagal, kesalahan akan meminta pengguna untuk mencoba lagi. Operasi mungkin gagal karena alasan berikut:

    • Layanan tidak berfungsi.
    • Kata sandi yang mereka pilih tidak memenuhi kebijakan organisasi.
    • Tidak dapat menemukan pengguna di lingkungan AD DS lokal.

    Pesan kesalahan memberikan panduan kepada pengguna sehingga mereka dapat mencoba menyelesaikan tanpa intervensi administrator.

Keamanan tulis balik kata sandi

Tulis balik kata sandi adalah layanan yang sangat aman. Untuk memastikan informasi Anda dilindungi, model keamanan empat tingkat diaktifkan sebagai berikut:

• relai layanan bus khusus penyewa
  • Saat Anda menyiapkan layanan, relai bus layanan khusus penyewa disiapkan yang dilindungi oleh kata sandi kuat yang dihasilkan secara acak dan tidak dapat diakses oleh Microsoft.
• Terkunci, kunci enkripsi kata sandi yang kuat secara kriptografis,
  • Setelah relai bus layanan dibuat, kunci simetris yang kuat dibuat yang digunakan untuk mengenkripsi kata sandi saat ditransmisikan. Kunci ini hanya berada di penyimpanan rahasia perusahaan Anda di cloud, yang sangat terkunci dan diaudit, sama seperti kata sandi lain di direktori.
• Keamanan Lapisan Transportasi (TLS) standar industri
  1. Saat operasi reset kata sandi atau perubahan terjadi di cloud, kata sandi teks biasa dienkripsi dengan kunci publik Anda.
  2. Kata sandi terenkripsi ditempatkan ke dalam pesan HTTPS yang dikirim melalui saluran terenkripsi dengan menggunakan sertifikasi Microsoft TLS/SSL ke relai bus layanan Anda.
  3. Setelah pesan tiba di bus layanan, agen lokal Anda bangun dan mengautentikasi ke bus layanan dengan menggunakan kata sandi kuat yang dibuat sebelumnya.
  4. Agen lokal mengambil pesan terenkripsi dan mendekripsinya dengan menggunakan kunci privat.
  5. Agen lokal mencoba mengatur kata sandi melalui AD DS SetPassword API. Langkah inilah yang memungkinkan penerapan kebijakan kata sandi lokal AD DS Anda (seperti kompleksitas, usia, riwayat, dan filter) di cloud.
• Kebijakan Kedaluwarsa Pesan
  • Jika pesan berada di bus layanan karena layanan lokal Anda tidak berfungsi, waktunya habis dan dihapus setelah beberapa menit. Penghentian sementara dan penghapusan pesan semakin meningkatkan keamanan.

Detail enkripsi penulisan balik kata sandi

Setelah pengguna mengirimkan pengaturan ulang kata sandi, permintaan reset melewati beberapa langkah enkripsi sebelum tiba di lingkungan lokal Anda. Langkah-langkah enkripsi ini memastikan keandalan dan keamanan layanan maksimum. Mereka dijelaskan sebagai berikut:

1. Enkripsi kata sandi dengan Kunci RSA 2048-bit: Setelah pengguna mengirimkan kata sandi untuk ditulis kembali ke lokal, kata sandi yang dikirimkan itu sendiri dienkripsi dengan kunci RSA 2048-bit.
2. Enkripsi tingkat paket denganAES-GCM 256-bit : Seluruh paket, kata sandi ditambah metadata yang diperlukan, dienkripsi dengan menggunakan AES-GCM (dengan ukuran kunci 256 bit). Enkripsi ini mencegah siapa pun dengan akses langsung ke saluran Service Bus yang mendasarinya dapat melihat atau mengubah-ubah isi pesan.
3. Semua komunikasi terjadi melaluiTLS/SSL: Semua komunikasi dengan Bus Layanan terjadi di saluran SSL/TLS. Enkripsi ini mengamankan konten dari pihak ketiga yang tidak sah.
4. Pembaruan kunci otomatis setiap enam bulan: Semua kunci diperbarui setiap enam bulan, atau setiap kali tulis balik kata sandi dinonaktifkan dan kemudian diaktifkan kembali di Microsoft Entra Connect, untuk memastikan perlindungan dan keamanan layanan maksimum.

Penggunaan bandwidth tulis balik kata sandi

Tulis balik kata sandi adalah layanan bandwidth rendah yang hanya mengirim permintaan kembali ke agen lokal dalam keadaan berikut:

• Dua pesan dikirim saat fitur diaktifkan atau dinonaktifkan melalui Microsoft Entra Connect.
• Satu pesan dikirim setiap lima menit sekali sebagai penanda hidup layanan selama layanan berjalan.
• Dua pesan dikirim setiap kali kata sandi baru dikirimkan:
  • Pesan pertama adalah permintaan untuk melakukan operasi.
  • Pesan kedua berisi hasil operasi, dan dikirim dalam keadaan berikut:
    • Setiap kali kata sandi baru dikirimkan selama pengaturan ulang kata sandi mandiri pengguna.
    • Setiap kali kata sandi baru dikirimkan selama operasi perubahan kata sandi pengguna.
    • Setiap kali kata sandi baru dimasukkan selama reset kata sandi pengguna yang diinisiasi oleh admin (hanya dari portal admin Entra).

Pertimbangan ukuran pesan dan bandwidth

Ukuran setiap pesan yang dijelaskan sebelumnya biasanya di bawah 1 KB. Bahkan di bawah beban ekstrem, layanan tulis balik kata sandi itu sendiri mengkonsumsi beberapa kilobit per detik bandwidth. Karena setiap pesan dikirim secara real time, hanya ketika diperlukan oleh operasi pembaruan kata sandi, dan karena ukuran pesan sangat kecil, penggunaan bandwidth kemampuan tulis balik terlalu kecil untuk memiliki dampak yang terukur.

Operasi tulis balik yang didukung

Kata sandi ditulis kembali dalam semua situasi berikut:

• Operasi pengguna akhir yang didukung

  • Operasi perubahan sukarela kata sandi layanan mandiri oleh pengguna akhir.
  • Operasi penggantian kata sandi yang dipaksakan oleh pengguna akhir secara mandiri, misalnya, operasi karena kedaluwarsa kata sandi.
  • Setiap pengaturan ulang kata sandi mandiri pengguna akhir yang berasal dari portal pengaturan ulang kata sandi .

• operasi administrator yang didukung

  • Setiap administrator layanan mandiri mengubah operasi kata sandi secara sukarela.
  • Setiap operasi perubahan kata sandi secara mandiri oleh administrator, misalnya, kadaluarsa kata sandi.
  • Setiap pengaturan ulang kata sandi mandiri administrator yang berasal dari portal pengaturan ulang kata sandi .
  • Setiap pengaturan ulang kata sandi pengguna akhir yang dilakukan oleh administrator dari pusat admin Microsoft Entra.
  • Setiap pengaturan ulang kata sandi oleh pengguna akhir yang dilakukan oleh administrator dari Microsoft Graph API.

Operasi tulis balik yang tidak didukung

Kata sandi tidak ditulis kembali dalam salah satu situasi berikut:

• operasi pengguna akhir yang tidak didukung

  • Setiap pengguna akhir mengatur ulang kata sandi mereka sendiri dengan menggunakan PowerShell versi 1, versi 2, atau Microsoft Graph API.

• operasi administrator yang tidak didukung

  • Setiap reset kata sandi pengguna yang diinisiasi oleh administrator dari PowerShell versi 1, atau versi 2.
  • Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft 365 .
  • Administrator mana pun tidak dapat menggunakan alat reset kata sandi untuk mengatur ulang kata sandi mereka sendiri untuk tulis balik kata sandi.

Nota

Jika pengguna memiliki opsi "Kata sandi tidak pernah kedaluwarsa" yang diatur di Direktori Aktif (AD), bendera perubahan kata sandi paksa tidak akan diatur di Direktori Aktif (AD), sehingga pengguna tidak akan diminta untuk mengubah kata sandi selama masuk berikutnya meskipun opsi untuk memaksa pengguna mengubah kata sandi mereka pada opsi masuk berikutnya dipilih selama pengaturan ulang kata sandi pengguna akhir yang dimulai administrator.

Langkah berikutnya

Untuk memulai pengembalian SSPR, selesaikan tutorial berikut:

Tutorial: Mengaktifkan pemulihan pengaturan ulang kata sandi (SSPR) mandiri