Tutorial: Mengaktifkan tulis balik pengaturan ulang kata sandi mandiri sinkronisasi cloud ke lingkungan lokal
Sinkronisasi cloud Microsoft Entra Connect dapat menyinkronkan perubahan kata sandi Microsoft Entra secara real time antara pengguna di domain Active Directory lokal Domain Services (AD DS) yang terputus. Sinkronisasi cloud Microsoft Entra Connect dapat berjalan berdampingan dengan Microsoft Entra Connect di tingkat domain untuk menyederhanakan tulis balik kata sandi untuk skenario tambahan, seperti pengguna yang berada di domain yang terputus karena perusahaan terpisah atau bergabung. Anda dapat mengonfigurasi setiap layanan di domain yang berbeda untuk menargetkan set pengguna yang berbeda tergantung pada kebutuhan mereka. Sinkronisasi cloud Microsoft Entra Connect menggunakan agen provisi cloud Microsoft Entra yang ringan untuk menyederhanakan penyiapan untuk tulis balik pengaturan ulang kata sandi mandiri (SSPR) dan menyediakan cara aman untuk mengirim perubahan kata sandi di cloud kembali ke direktori lokal.
Prasyarat
- Penyewa Microsoft Entra dengan setidaknya Microsoft Entra ID P1 atau lisensi uji coba diaktifkan. Jika diperlukan, buat secara gratis.
- Akun Administrator Identitas Hibrid
- ID Microsoft Entra dikonfigurasi untuk pengaturan ulang kata sandi mandiri. Jika diperlukan, selesaikan tutorial ini untuk mengaktifkan Microsoft Entra SSPR.
- Lingkungan AD DS lokal yang dikonfigurasi dengan sinkronisasi cloud Microsoft Entra Connect versi 1.1.977.0 atau yang lebih baru. Pelajari cara mengidentifikasi versi agen saat ini. Jika diperlukan, konfigurasikan sinkronisasi cloud Microsoft Entra Connect menggunakan tutorial ini.
Langkah-langkah penyebaran
- Mengonfigurasi izin akun layanan sinkronisasi cloud Microsoft Entra Connect
- Mengaktifkan tulis balik kata sandi di sinkronisasi cloud Microsoft Entra Connect
- Mengaktifkan tulis balik kata sandi untuk SSPR
Mengonfigurasi izin akun layanan sinkronisasi cloud Microsoft Entra Connect
Izin untuk sinkronisasi cloud dikonfigurasi secara default. Jika izin perlu diatur ulang, lihat Pemecahan masalah untuk detail selengkapnya tentang izin tertentu yang diperlukan untuk tulis balik kata sandi dan cara mengaturnya dengan menggunakan PowerShell.
Mengaktifkan tulis balik kata sandi di SSPR
Anda dapat mengaktifkan provisi sinkronisasi cloud Microsoft Entra Connect langsung di pusat admin Microsoft Entra atau melalui PowerShell.
Mengaktifkan tulis balik kata sandi di pusat admin Microsoft Entra
Ujung
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Dengan tulis balik kata sandi diaktifkan di sinkronisasi cloud Microsoft Entra Connect, sekarang verifikasi, dan konfigurasikan pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra untuk tulis balik kata sandi. Saat Anda mengaktifkan SSPR untuk menggunakan tulis balik kata sandi, pengguna yang mengubah atau mengatur ulang kata sandi mereka juga telah memperbarui kata sandi yang disinkronkan kembali ke lingkungan AD DS lokal.
Untuk memverifikasi dan mengaktifkan tulis balik kata sandi di SSPR, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
Centang opsi untuk Mengaktifkan tulis balik kata sandi untuk pengguna yang disinkronkan.
(opsional) Jika agen provisi Microsoft Entra Connect terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis kembali kata sandi dengan sinkronisasi cloud Microsoft Entra Connect.
Centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.
Setelah siap, pilih Simpan.
PowerShell
Dengan PowerShell, Anda dapat mengaktifkan sinkronisasi cloud Microsoft Entra Connect dengan menggunakan cmdlet Set-AADCloudSyncPasswordWritebackConfiguration di server dengan agen provisi.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Membersihkan sumber daya
Jika Anda tidak lagi ingin menggunakan fungsionalitas tulis balik SSPR yang telah Anda konfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
- Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
- Hapus centang opsi untuk Aktifkan tulis balik kata sandi untuk pengguna yang disinkronkan.
- Hapus centang opsi untuk Menulis kembali kata sandi dengan sinkronisasi cloud Microsoft Entra Connect.
- Hapus centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka.
- Setelah siap, pilih Simpan.
Jika Anda tidak lagi ingin menggunakan sinkronisasi cloud Microsoft Entra Connect untuk fungsionalitas tulis balik SSPR tetapi ingin terus menggunakan agen Sinkronisasi Microsoft Entra Connect untuk tulis balik, selesaikan langkah-langkah berikut:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
- Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
- Hapus centang opsi untuk Menulis kembali kata sandi dengan sinkronisasi cloud Microsoft Entra Connect.
- Setelah siap, pilih Simpan.
Anda juga dapat menggunakan PowerShell untuk menonaktifkan sinkronisasi cloud Microsoft Entra Connect untuk fungsionalitas tulis balik SSPR, dari server sinkronisasi cloud Microsoft Entra Connect Anda, berjalan Set-AADCloudSyncPasswordWritebackConfiguration menggunakan kredensial Administrator Identitas Hibrid untuk menonaktifkan tulis balik kata sandi dengan sinkronisasi cloud Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operasi yang didukung
Kata sandi ditulis kembali dalam situasi berikut untuk pengguna akhir dan administrator.
| Rekening | Operasi yang didukung |
|---|---|
| Pengguna akhir | Setiap operasi kata sandi perubahan sukarela layanan mandiri pengguna akhir. Setiap operasi perubahan kata sandi paksa mandiri pengguna akhir, misalnya, kedaluwarsa kata sandi. Setiap pengaturan ulang kata sandi mandiri pengguna akhir yang berasal dari pengaturan ulang kata sandi. |
| Administrator | Setiap administrator layanan mandiri mengubah operasi kata sandi secara sukarela. Setiap administrator memaksa mengubah operasi kata sandi, misalnya, kedaluwarsa kata sandi. Setiap pengaturan ulang kata sandi mandiri administrator yang berasal dari pengaturan ulang kata sandi. Setiap pengaturan ulang kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft Entra. Setiap reset kata sandi pengguna akhir yang dimulai administrator dari Microsoft Graph API. |
Operasi yang tidak didukung
Kata sandi tidak ditulis kembali dalam situasi berikut.
| Rekening | Operasi yang tidak didukung |
|---|---|
| Pengguna akhir | Setiap pengguna akhir mengatur ulang kata sandi mereka sendiri dengan menggunakan cmdlet PowerShell atau Microsoft Graph API. |
| Administrator | Setiap reset kata sandi pengguna akhir yang dimulai administrator dengan menggunakan cmdlet PowerShell. Setiap reset kata sandi pengguna akhir yang dimulai administrator dari pusat admin Microsoft 365. Administrator mana pun tidak dapat menggunakan alat reset kata sandi untuk mengatur ulang kata sandi mereka sendiri, atau Administrator lain di ID Microsoft Entra untuk tulis balik kata sandi. |
Skenario validasi
Coba operasi berikut untuk memvalidasi skenario menggunakan tulis balik kata sandi. Semua skenario validasi mengharuskan sinkronisasi cloud diinstal dan pengguna berada dalam cakupan untuk tulis balik kata sandi.
| Skenario | Rincian |
|---|---|
| Mengatur ulang kata sandi dari halaman masuk | Memiliki dua pengguna dari domain dan forest yang terputus melakukan SSPR. Anda juga dapat memiliki Microsoft Entra Connect dan sinkronisasi cloud yang disebarkan secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Connect dan meminta pengguna tersebut mengatur ulang kata sandi mereka. |
| Paksa perubahan kata sandi yang kedaluwarsa | Minta dua pengguna dari domain dan forest yang terputus mengubah kata sandi yang kedaluwarsa. Anda juga dapat memiliki Microsoft Entra Connect dan sinkronisasi cloud yang disebarkan secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Connect. |
| Perubahan kata sandi reguler | Minta dua pengguna dari domain dan forest yang terputus melakukan perubahan kata sandi rutin. Anda juga dapat memiliki Microsoft Entra Connect dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Connect. |
| Admin mereset kata sandi pengguna | Minta dua pengguna memutus domain dan forest yang terputus mengatur ulang kata sandi mereka dari pusat admin Microsoft Entra atau portal pekerja Frontline. Anda juga dapat memiliki Microsoft Entra Connect dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Connect |
| Buka kunci akun layanan mandiri | Minta dua pengguna dari domain dan forest yang terputus membuka kunci akun di portal SSPR yang mengatur ulang kata sandi. Anda juga dapat memiliki Microsoft Entra Connect dan sinkronisasi cloud secara berdampingan dan memiliki satu pengguna dalam cakupan konfigurasi sinkronisasi cloud dan pengguna lain dalam cakupan Microsoft Entra Connect. |
Pemecahan masalah
Grup sinkronisasi cloud Microsoft Entra Connect Akun Layanan Terkelola harus memiliki izin berikut yang diatur untuk menulis balik kata sandi secara default:
- Atur ulang kata sandi
- Menulis izin pada lockoutTime
- Izin tulis pada pwdLastSet
- Hak yang diperluas untuk "Kata Sandi Tidak Kedaluwarsa" pada objek akar setiap domain di forest tersebut, jika belum ditetapkan.
Jika izin ini tidak diatur, Anda dapat mengatur izin PasswordWriteBack pada akun layanan dengan menggunakan cmdlet Set-AADCloudSyncPermissions dan info masuk administrator perusahaan lokal:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Setelah Anda memperbarui izin, mungkin perlu waktu hingga satu jam atau lebih agar izin ini direplikasi ke semua objek di direktori Anda.
Jika kata sandi untuk beberapa akun pengguna tidak ditulis kembali ke direktori lokal, pastikan bahwa pewarisan tidak dinonaktifkan untuk akun di lingkungan AD DS lokal. Izin tulis untuk kata sandi harus diterapkan ke objek turunan agar fitur berfungsi dengan benar.
Kebijakan kata sandi di lingkungan AD DS lokal dapat mencegah pengaturan ulang kata sandi diproses dengan benar. Jika Anda menguji fitur ini dan ingin mengatur ulang kata sandi untuk pengguna lebih dari sekali per hari, kebijakan grup untuk Usia kata sandi minimum harus diatur ke 0. Pengaturan ini dapat ditemukan di bawah Kebijakan Konfigurasi > Komputer Pengaturan > Keamanan Pengaturan Keamanan > Kebijakan Akun Kebijakan > Kata Sandi dalam gpmc.msc>.
Jika Anda memperbarui kebijakan grup, tunggu kebijakan yang diperbarui untuk mereplikasi, atau gunakan perintah gpupdate /force.
Agar kata sandi segera diubah, Usia kata sandi minimum harus diatur ke 0. Namun, jika pengguna mematuhi kebijakan lokal, dan usia kata sandi minimum diatur ke nilai yang lebih besar dari nol, tulis balik kata sandi tidak akan berfungsi setelah kebijakan lokal dievaluasi.
Untuk informasi selengkapnya tentang cara memvalidasi atau menyiapkan izin yang sesuai, lihat Mengonfigurasi izin akun untuk Microsoft Entra Connect.
Langkah berikutnya
- Untuk informasi selengkapnya tentang sinkronisasi cloud dan perbandingan antara Microsoft Entra Connect dan sinkronisasi cloud, lihat Apa itu sinkronisasi cloud Microsoft Entra Connect?
- Untuk tutorial tentang menyiapkan tulis balik kata sandi dengan menggunakan Microsoft Entra Connect, lihat Tutorial: Mengaktifkan tulis balik pengaturan ulang kata sandi mandiri Microsoft Entra ke lingkungan lokal.