Esercitazione: Abilitare il writeback della reimpostazione della password self-service di Microsoft Entra in un ambiente locale

Con la reimpostazione della password self-service (SSPR) di Microsoft Entra, gli utenti possono aggiornare la password o sbloccare il proprio account usando un Web browser. È consigliabile questo video su Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID. In un ambiente ibrido in cui Microsoft Entra ID è connesso a un ambiente Active Directory locale Domain Services (AD DS), questo scenario può causare la differenza tra le due directory.

Il writeback delle password può essere usato per sincronizzare le modifiche delle password in Microsoft Entra nell'ambiente di Active Directory Domain Services locale. Microsoft Entra Connessione fornisce un meccanismo sicuro per inviare queste modifiche alla password a una directory locale esistente da Microsoft Entra ID.

Importante

Questa esercitazione illustra agli amministratori come abilitare la reimpostazione della password self-service in un ambiente locale. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione apprenderai a:

  • Configurare le autorizzazioni necessarie per il writeback delle password
  • Abilitare l'opzione di writeback delle password in Microsoft Entra Connessione
  • Abilitare il writeback delle password in Microsoft Entra SSPR

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

Configurare le autorizzazioni dell'account per Microsoft Entra Connessione

Microsoft Entra Connessione consente di sincronizzare utenti, gruppi e credenziali tra un ambiente Active Directory Domain Services locale e l'ID Microsoft Entra. In genere si installa Microsoft Entra Connessione in un computer Windows Server 2016 o versione successiva aggiunto al dominio di Active Directory Domain Services locale.

Per funzionare correttamente con il writeback della reimpostazione della password self-service, l'account specificato in Microsoft Entra Connessione deve disporre delle autorizzazioni e delle opzioni appropriate impostate. Se non si è certi dell'account attualmente in uso, aprire Microsoft Entra Connessione e selezionare l'opzione Visualizza configurazione corrente. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate. Per l'account è necessario impostare le autorizzazioni e le opzioni seguenti:

  • Reimpostazione della password
  • Cambia password
  • Autorizzazioni di scrittura su lockoutTime
  • Autorizzazioni di scrittura su pwdLastSet
  • Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.

Se non si assegnano tali autorizzazioni, potrebbe sembrare che il writeback sia configurato correttamente, ma gli utenti riscontrano errori quando gestiscono le loro password locali dal cloud. Quando si impostano le autorizzazioni "Unexpire Password" in Active Directory, è necessario applicarle a Questo oggetto e a tutti gli oggetti discendenti, Solo questo oggetto o Tutti gli oggetti discendenti oppure l'autorizzazione "Unexpire Password" non può essere visualizzata.

Suggerimento

Se il writeback delle password non viene eseguito nella directory locale per alcuni account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:

  1. Nell'ambiente Active Directory Domain Services locale aprire Utenti e computer di Active Directory con un account con le autorizzazioni di amministratore di dominio appropriate.

  2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.

  3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e scegliere Proprietà>Sicurezza>Avanzate.

  4. Nella scheda Autorizzazioni selezionare Aggiungi.

  5. In Principal (Entità) selezionare l'account a cui applicare le autorizzazioni (l'account usato da Microsoft Entra Connessione).

  6. Nell'elenco a discesa Applica a selezionare gli oggetti Utente discendente.

  7. In Autorizzazioni selezionare la casella per l'opzione seguente:

    • Reimpostazione della password
  8. In Proprietà selezionare le caselle per le opzioni seguenti. Scorrere l'elenco per trovare queste opzioni, che potrebbero essere già specificate per impostazione predefinita:

    • Scrittura di lockoutTime
    • Scrittura di pwdLastSet

    Set the appropriate permissions in Active Users and Computers for the account that is used by Microsoft Entra Connect

  9. Quando si è pronti, selezionare Applica/OK per applicare le modifiche.

  10. Nella scheda Autorizzazioni selezionare Aggiungi.

  11. In Principal (Entità) selezionare l'account a cui applicare le autorizzazioni (l'account usato da Microsoft Entra Connessione).

  12. Nell'elenco a discesa Si applica a selezionare Questo oggetto e tutti gli oggetti discendenti

  13. In Autorizzazioni selezionare la casella per l'opzione seguente:

    • Unexpire Password
  14. Quando si è pronti, selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.

Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.

I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Per il corretto funzionamento del writeback delle password, i criteri di gruppo per Validità minima della password devono essere impostati su 0. Questa impostazione è disponibile in Criteri > di configurazione > computer Windows Impostazioni > Sicurezza Impostazioni > Criteri account all'interno gpmc.mscdi .

Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando gpupdate /force.

Nota

Se è necessario consentire agli utenti di modificare o reimpostare le password più di una volta al giorno, l'età minima della password deve essere impostata su 0. Il writeback delle password funzionerà dopo la valutazione dei criteri password locali.

Abilitare il writeback delle password in Microsoft Entra Connessione

Una delle opzioni di configurazione in Microsoft Entra Connessione è per il writeback delle password. Quando questa opzione è abilitata, gli eventi di modifica della password causa Connessione no la sincronizzazione delle credenziali aggiornate nell'ambiente di Active Directory Domain Services locale.

Per abilitare il writeback della reimpostazione della password self-service, abilitare prima l'opzione writeback in Microsoft Entra Connessione. Dal server Microsoft Entra Connessione completare i passaggi seguenti:

  1. Accedere al server Microsoft Entra Connessione e avviare la configurazione guidata di Microsoft Entra Connessione.
  2. Nella pagina di benvenuto selezionare Configura.
  3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
  4. Nella pagina Connessione a Microsoft Entra ID immettere una credenziale globale Amministrazione istrator per il tenant di Azure e quindi selezionare Avanti.
  5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
  6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.
  7. Nella pagina Estensioni directory selezionare Avanti.
  8. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
  9. Quando la configurazione termina, selezionare Esci.

Abilitare il writeback delle password per la reimpostazione della password self-service

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Con il writeback delle password abilitato in Microsoft Entra Connessione, configurare ora la reimpostazione della password self-service di Microsoft Entra per il writeback. La reimpostazione della password self-service può essere configurata per il writeback tramite gli agenti di sincronizzazione di Microsoft Entra Connessione e gli agenti di provisioning di Microsoft Entra Connessione (sincronizzazione cloud). Quando si abilita la reimpostazione della password self-service per l'uso del writeback delle password, quando gli utenti modificano o reimpostano la password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services locale.

Per abilitare il writeback delle password in reimpostazione della password self-service, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Global Amministrazione istrator.
  2. Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
  3. Selezionare l'opzione Writeback delle password nella directory locale.
  4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connessione, è anche possibile controllare l'opzione Writeback password con Microsoft Entra Connessione sincronizzazione cloud.
  5. Selezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su .
  6. Al termine, selezionare Salva.

Pulire le risorse

Se si decide di non volere più usare le funzionalità di writeback delle password di reimpostazione della password self-service configurata durante questa esercitazione, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Global Amministrazione istrator.
  2. Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
  3. Deselezionare l'opzione writeback delle password nella directory locale.
  4. Deselezionare l'opzione writeback delle password con Microsoft Entra Connessione sincronizzazione cloud.
  5. Deselezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password.
  6. Al termine, selezionare Salva.

Se non si vuole più usare la funzionalità di writeback di Microsoft Entra Connessione cloud per la reimpostazione della password self-service, ma si vuole continuare a usare Microsoft Entra Connessione Sync agent per i writeback, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come Global Amministrazione istrator.
  2. Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
  3. Deselezionare l'opzione writeback delle password con Microsoft Entra Connessione sincronizzazione cloud.
  4. Al termine, selezionare Salva.

Se non si vuole più usare alcuna funzionalità password, completare i passaggi seguenti dal server Microsoft Entra Connessione:

  1. Accedere al server Microsoft Entra Connessione e avviare la configurazione guidata di Microsoft Entra Connessione.
  2. Nella pagina di benvenuto selezionare Configura.
  3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
  4. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di amministratore globale per il tenant di Azure e quindi selezionare Avanti.
  5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
  6. Nella pagina Funzionalità facoltative deselezionare la casella accanto a Writeback password e selezionare Avanti.
  7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
  8. Quando la configurazione termina, selezionare Esci.

Importante

L'abilitazione del writeback delle password per la prima volta può attivare eventi di modifica della password 656 e 657, anche se non si è verificata una modifica della password. Ciò è dovuto al fatto che tutti gli hash delle password vengono sincronizzati nuovamente dopo l'esecuzione di un ciclo di sincronizzazione dell'hash delle password.

Passaggi successivi

In questa esercitazione è stato abilitato il writeback della reimpostazione della password self-service di Microsoft Entra in un ambiente di Active Directory Domain Services locale. Contenuto del modulo:

  • Configurare le autorizzazioni necessarie per il writeback delle password
  • Abilitare l'opzione di writeback delle password in Microsoft Entra Connessione
  • Abilitare il writeback delle password in Microsoft Entra SSPR