Esercitazione: Abilitare il writeback della reimpostazione della password self-service per la sincronizzazione cloud in un ambiente locale
Microsoft Entra Connessione sincronizzazione cloud può sincronizzare le modifiche delle password di Microsoft Entra in tempo reale tra gli utenti in domini di Servizi di dominio Active Directory disconnessi Active Directory locale. Microsoft Entra Connessione la sincronizzazione cloud può essere eseguita side-by-side con Microsoft Entra Connessione a livello di dominio per semplificare il writeback delle password per altri scenari, ad esempio gli utenti che si trovano in domini disconnessi a causa di una divisione o un'unione aziendale. È possibile configurare ogni servizio in domini diversi per impostare diversi set di utenti in base alle proprie esigenze. Microsoft Entra Connessione la sincronizzazione cloud usa l'agente di provisioning cloud Microsoft Entra leggero per semplificare la configurazione per il writeback delle password self-service e fornire un modo sicuro per inviare le modifiche delle password nel cloud a una directory locale.
Prerequisiti
- Un tenant di Microsoft Entra con almeno una licenza microsoft Entra ID P1 o di valutazione abilitata. Se necessario, crearne uno gratuitamente.
- Un account con:
- ID Microsoft Entra configurato per la reimpostazione della password self-service. Se necessario, completare questa esercitazione per abilitare la reimpostazione della password self-service di Microsoft Entra.
- Un ambiente di Active Directory Domain Services locale configurato con Microsoft Entra Connessione cloud sync versione 1.1.977.0 o successiva. Informazioni su come identificare la versione corrente dell'agente. Se necessario, configurare La sincronizzazione cloud di Microsoft Entra Connessione usando questa esercitazione.
Passaggi per la distribuzione
- Configurare le autorizzazioni dell'account del servizio di sincronizzazione cloud di Microsoft Entra Connessione
- Abilitare il writeback delle password nella sincronizzazione cloud di Microsoft Entra Connessione
- Abilitare il writeback delle password per la reimpostazione della password self-service
Configurare le autorizzazioni dell'account del servizio di sincronizzazione cloud di Microsoft Entra Connessione
Le autorizzazioni per la sincronizzazione cloud sono configurate per impostazione predefinita. Se è necessario reimpostare le autorizzazioni, vedere Risoluzione dei problemi per altri dettagli sulle autorizzazioni specifiche necessarie per il writeback delle password e su come impostarle tramite PowerShell.
Abilitare il writeback delle password nella reimpostazione della password self-service
È possibile abilitare il provisioning della sincronizzazione cloud di Microsoft Entra Connessione direttamente nell'interfaccia di amministrazione di Microsoft Entra o tramite PowerShell.
Abilitare il writeback delle password nell'interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Con il writeback delle password abilitato in Microsoft Entra Connessione sincronizzazione cloud, ora verificare e configurare la reimpostazione della password self-service di Microsoft Entra per il writeback delle password. Quando si abilita la reimpostazione della password self-service per l'uso del writeback delle password, quando gli utenti modificano o reimpostano la password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services locale.
Per verificare e abilitare il writeback delle password nella reimpostazione della password self-service, seguire questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
Selezionare l'opzione Abilita il writeback delle password per gli utenti sincronizzati.
(facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connessione, è anche possibile controllare l'opzione Writeback password con Microsoft Entra Connessione sincronizzazione cloud.
Selezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su Sì.
Al termine, selezionare Salva.
PowerShell
Con PowerShell è possibile abilitare la sincronizzazione cloud di Microsoft Entra Connessione usando il cmdlet Set-AADCloudSyncPasswordWritebackConfiguration nei server con gli agenti di provisioning. Saranno necessarie credenziali di amministratore globale:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Pulire le risorse
Se si decide di non volere più usare le funzionalità di writeback delle password di reimpostazione della password self-service configurata durante questa esercitazione, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
- Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
- Deselezionare l'opzione Abilita il writeback delle password per gli utenti sincronizzati.
- Deselezionare l'opzione writeback delle password con Microsoft Entra Connessione sincronizzazione cloud.
- Deselezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password.
- Al termine, selezionare Salva.
Se non si vuole più usare la funzionalità di writeback di Microsoft Entra Connessione cloud per la reimpostazione della password self-service, ma si vuole continuare a usare Microsoft Entra Connessione Sync agent per i writeback, seguire questa procedura:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
- Passare a Reimpostazione password di protezione>e quindi scegliere Integrazione locale.
- Deselezionare l'opzione writeback delle password con Microsoft Entra Connessione sincronizzazione cloud.
- Al termine, selezionare Salva.
È anche possibile usare PowerShell per disabilitare la sincronizzazione cloud di Microsoft Entra Connessione per la funzionalità di writeback della reimpostazione della password self-service, dal server di sincronizzazione cloud di Microsoft Entra Connessione cloud, eseguire Set-AADCloudSyncPasswordWritebackConfiguration usando le credenziali di Identità ibride Amministrazione istrator per disabilitare il writeback delle password con Microsoft Entra Connessione sincronizzazione cloud.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operazioni supportate
Le password vengono riscritto nelle situazioni seguenti per gli utenti finali e gli amministratori.
| Conto | Operazioni supportate |
|---|---|
| Utenti finali | Qualsiasi operazione self-service volontaria di modifica della password dell'utente finale. Qualsiasi operazione self-service forzata di modifica della password dell'utente finale, ad esempio in seguito a scadenza della password. Qualsiasi reimpostazione della password self-service dell'utente finale che ha origine dalla reimpostazione della password. |
| Amministratori | Qualsiasi operazione self-service volontaria di modifica della password dell'amministratore. Qualsiasi operazione self-service forzata di modifica della password dell'amministratore, ad esempio in seguito a scadenza della password. Qualsiasi reimpostazione della password self-service dell'amministratore che ha origine dalla reimpostazione della password. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft Entra. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'API Microsoft Graph. |
Operazioni non supportate
Le password non vengono riscritto nelle situazioni seguenti.
| Conto | Operazioni non supportate |
|---|---|
| Utenti finali | Qualsiasi utente finale che reimposta la propria password usando i cmdlet di PowerShell o l'API Microsoft Graph. |
| Amministratori | Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore usando i cmdlet di PowerShell. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft 365. Qualsiasi amministratore non può usare lo strumento di reimpostazione della password per reimpostare la password o qualsiasi altro Amministrazione istrator in Microsoft Entra ID per il writeback delle password. |
Scenari di convalida
Provare le operazioni seguenti per convalidare gli scenari usando il writeback delle password. Tutti gli scenari di convalida richiedono l'installazione della sincronizzazione cloud e l'utente è nell'ambito del writeback delle password.
| Scenario | Dettagli |
|---|---|
| Reimpostare la password dalla pagina di accesso | Chiedere a due utenti di domini disconnessi e foreste di eseguire la reimpostazione della password self-service. È anche possibile che Microsoft Entra Connessione e la sincronizzazione cloud siano distribuite side-by-side e che un utente abbia un utente nell'ambito della configurazione della sincronizzazione cloud e un altro nell'ambito di Microsoft Entra Connessione e che gli utenti reimpostano la password. |
| Forzare la modifica della password scaduta | Chiedere a due utenti di domini disconnessi e foreste di modificare le password scadute. È anche possibile distribuire side-by-side Microsoft Entra Connessione e la sincronizzazione cloud e avere un utente nell'ambito della configurazione di sincronizzazione cloud e un altro nell'ambito di Microsoft Entra Connessione. |
| Modifica regolare della password | Chiedere a due utenti di domini disconnessi e foreste di modificare la password di routine. È anche possibile che Microsoft Entra Connessione e la sincronizzazione cloud siano affiancati e che un utente abbia un utente nell'ambito della configurazione di sincronizzazione cloud e un altro nell'ambito di Microsoft Entra Connessione. |
| Amministrazione reimpostare la password utente | Chiedere a due utenti di disconnettere domini e foreste di reimpostare la password dall'interfaccia di amministrazione di Microsoft Entra o dal portale del ruolo di lavoro sul campo. È anche possibile avere microsoft Entra Connessione e la sincronizzazione cloud affiancata e avere un utente nell'ambito della configurazione di sincronizzazione cloud e un altro nell'ambito di Microsoft Entra Connessione |
| Sblocco dell'account self-service | Chiedere a due utenti di domini disconnessi e foreste di sbloccare gli account nel portale SSPR reimpostando la password. È anche possibile che Microsoft Entra Connessione e la sincronizzazione cloud siano affiancati e che un utente abbia un utente nell'ambito della configurazione di sincronizzazione cloud e un altro nell'ambito di Microsoft Entra Connessione. |
Risoluzione dei problemi
L'account del servizio gestito del gruppo di sincronizzazione cloud Entra Connessione Microsoft Entra deve avere le autorizzazioni seguenti impostate per il writeback delle password per impostazione predefinita:
- Immettere una nuova password
- Autorizzazioni di scrittura per lockoutTime
- Autorizzazioni di scrittura per pwdLastSet
- Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.
Se queste autorizzazioni non sono impostate, è possibile impostare l'autorizzazione PasswordWriteBack per l'account del servizio usando il cmdlet Set-AADCloudSyncPermissions e le credenziali di amministratore dell'organizzazione locale:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Dopo aver aggiornato le autorizzazioni, potrebbero essere necessarie fino a un'ora o più perché queste autorizzazioni vengano replicate in tutti gli oggetti nella directory.
Se le password per alcuni account utente non vengono riscritto nella directory locale, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.
I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Se si sta testando questa funzionalità e si vuole reimpostare la password per gli utenti più di una volta al giorno, i criteri di gruppo per Validità minima password devono essere impostati su 0. Questa impostazione è disponibile in Criteri > di configurazione > computer Windows Impostazioni > Sicurezza Impostazioni > Criteri password criteri > account all'interno di gpmc.msc.
Se si aggiornano i criteri di gruppo, attendere che i criteri aggiornati vengano replicati o usare il comando gpupdate /force.
Affinché le password vengano modificate immediatamente, l'età minima della password deve essere impostata su 0. Tuttavia, se gli utenti rispettano i criteri locali e la validità minima della password è impostata su un valore maggiore di zero, il writeback delle password non funzionerà dopo la valutazione dei criteri locali.
Per altre informazioni su come convalidare o configurare le autorizzazioni appropriate, vedere Configurare le autorizzazioni dell'account per Microsoft Entra Connessione.
Passaggi successivi
- Per altre informazioni sulla sincronizzazione cloud e un confronto tra Microsoft Entra Connessione e la sincronizzazione cloud, vedere Che cos'è la sincronizzazione cloud di Microsoft Entra Connessione?
- Per un'esercitazione sulla configurazione del writeback delle password tramite Microsoft Entra Connessione, vedere Esercitazione: Abilitare il writeback della reimpostazione della password self-service di Microsoft Entra in un ambiente locale.