Esercitazione: Abilitare il writeback della reimpostazione della password self-service di Azure Active Directory in un ambiente locale

Con la reimpostazione della password self-service di Azure Active Directory (Azure AD), gli utenti possono reimpostare la password o sbloccare l'account tramite un Web browser. È consigliabile questo video su Come abilitare e configurare la reimpostazione della reimpostazione della password di configurazione in Azure AD. In un ambiente ibrido in cui Azure AD è connesso a un ambiente Active Directory Domain Services (AD DS) locale, possono verificarsi differenze tra le password nelle due directory.

Il writeback delle password consente di sincronizzare le modifiche delle password in Azure AD nell'ambiente Active Directory Domain Services (AD DS) locale. Azure AD Connect fornisce un meccanismo sicuro per inviare le modifiche delle password a una directory locale esistente da Azure AD.

Importante

Questa esercitazione illustra agli amministratori come abilitare la reimpostazione della password self-service in un ambiente locale. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.

Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.

In questa esercitazione verranno illustrate le procedure per:

• Configurare le autorizzazioni necessarie per il writeback delle password
• Abilitare l'opzione di writeback delle password in Azure AD Connect
• Abilitare il writeback delle password nella reimpostazione della password self-service di Azure AD

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Un tenant di Azure AD funzionante con almeno una licenza di valutazione o di Azure AD Premium P1 abilitata.
  • Se necessario, crearne uno gratuitamente.
  • Per altre informazioni, vedere Requisiti di licenza per la reimpostazione della password self-service di Azure AD.
• Un account con l'amministratore di identità ibrida.
• Azure AD configurato per la reimpostazione della password self-service.
  • Se necessario, completare l'esercitazione precedente per abilitare la reimpostazione della password self-service di Azure AD.
• Un ambiente Active Directory Domain Services locale esistente configurato con una versione corrente di Azure AD Connect.
  • Se necessario, configurare Azure AD Connect usando la modalità Rapida o Personalizzata.
  • Per usare il writeback delle password, i controller di dominio possono eseguire qualsiasi versione supportata di Windows Server.

Configurare le autorizzazioni dell'account per Azure AD Connect

Azure AD Connect consente di sincronizzare utenti, gruppi e credenziali tra un ambiente Active Directory Domain Services locale e Azure AD. In genere si installa Azure AD Connect in un computer Windows Server 2016 o versione successiva aggiunto al dominio Active Directory Domain Services locale.

Per usare correttamente il writeback della reimpostazione della password self-service, per l'account specificato in Azure AD Connect è necessario impostare le autorizzazioni e le opzioni appropriate. Se non si è certi dell'account attualmente in uso, aprire Azure AD Connect e selezionare l'opzione Visualizza la configurazione corrente. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate. Per l'account è necessario impostare le autorizzazioni e le opzioni seguenti:

• Reimpostazione della password
• Autorizzazioni di scrittura su lockoutTime
• Autorizzazioni di scrittura su pwdLastSet
• Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.

Se non si assegnano tali autorizzazioni, potrebbe sembrare che il writeback sia configurato correttamente, ma gli utenti riscontrano errori quando gestiscono le loro password locali dal cloud. Quando si impostano le autorizzazioni "Unexpire Password" in Active Directory, è necessario applicare a Questo oggetto e a tutti gli oggetti discendenti, questo oggetto solo o Tutti gli oggetti discendenti o l'autorizzazione "Unexpire Password" non può essere visualizzata.

Suggerimento

Se il writeback delle password non viene eseguito nella directory locale per alcuni account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:

1. Nell'ambiente Active Directory Domain Services locale aprire Utenti e computer di Active Directory con un account con le autorizzazioni di amministratore di dominio appropriate.

2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.

3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e scegliere Proprietà>Sicurezza>Avanzate.

4. Nella scheda Autorizzazioni selezionare Aggiungi.

5. Per Entità di sicurezza selezionare l'account a cui applicare le autorizzazioni, ovvero l'account usato da Azure AD Connect.

6. Nell'elenco a discesa Applica a selezionare gli oggetti Utente discendente.

7. In Autorizzazioni selezionare la casella per l'opzione seguente:

   • Reimpostazione della password

8. In Proprietà selezionare le caselle per le opzioni seguenti. Scorrere l'elenco per trovare queste opzioni, che potrebbero essere già specificate per impostazione predefinita:

   • Scrittura di lockoutTime
   • Scrittura di pwdLastSet

   

9. Quando si è pronti, selezionare Applica/OK per applicare le modifiche.

10. Nella scheda Autorizzazioni selezionare Aggiungi.

11. Per Entità di sicurezza selezionare l'account a cui applicare le autorizzazioni, ovvero l'account usato da Azure AD Connect.

12. Nell'elenco a discesa Applica all'elenco a discesa selezionare Questo oggetto e tutti gli oggetti discendenti

13. In Autorizzazioni selezionare la casella per l'opzione seguente:

    • Unexpire Password

14. Quando si è pronti, selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.

Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.

I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Per il corretto funzionamento del writeback delle password, i criteri di gruppo per Validità minima della password devono essere impostati su 0. Questa impostazione è disponibile in Criteri > di configurazione computer Criteri di sicurezza Impostazioni >> di windows > Criteri di sicurezza Criteri di sicurezza All'interno gpmc.mscdi .

Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando gpupdate /force.

Nota

Se è necessario consentire agli utenti di modificare o reimpostare le password più di una volta al giorno, l'età minima della password deve essere impostata su 0. Il writeback delle password funzionerà dopo la valutazione dei criteri password locali.

Abilitare il writeback delle password in Azure AD Connect

Una delle opzioni di configurazione in Azure AD Connect riguarda il writeback delle password. Quando questa opzione è abilitata, gli eventi di modifica delle password fanno sì che Azure AD Connect sincronizzi di nuovo le credenziali aggiornate nell'ambiente Active Directory Domain Services locale.

Per abilitare il writeback della reimpostazione della password self-service, è prima necessario abilitare l'opzione corrispondente in Azure AD Connect. Dal server Azure AD Connect completare questa procedura:

1. Accedere al server Azure AD Connect e avviare la configurazione guidata di Azure AD Connect.

2. Nella pagina di benvenuto selezionare Configura.

3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.

4. Nella pagina Connessione ad Azure AD immettere le credenziali di amministratore globale per il tenant di Azure e selezionare Avanti.

5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.

6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.

   

7. Nella pagina Estensioni directory selezionare Avanti.

8. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.

9. Quando la configurazione termina, selezionare Esci.

Abilitare il writeback delle password per la reimpostazione della password self-service

Dopo aver abilitato il writeback delle password in Azure AD Connect, configurare la reimpostazione della password self-service di Azure AD per il writeback. È possibile configurare la reimpostazione della reimpostazione della reimpostazione tramite gli agenti di sincronizzazione di Azure AD Connect e gli agenti di provisioning di Azure AD Connect (sincronizzazione cloud). Quando si abilita la reimpostazione della password self-service per l'uso del writeback delle password, quando gli utenti modificano o reimpostano la password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services locale.

Per abilitare il writeback delle password in reimpostazione della password self-service, seguire questa procedura:

1. Accedere alla portale di Azure usando un account di amministratore delle identità ibrido.

2. Cercare e selezionare Azure Active Directory, selezionare Reimpostazione password e quindi scegliere Integrazione locale.

3. Controllare l'opzione per scrivere le password nella directory locale .

4. (facoltativo) Se vengono rilevati agenti di provisioning di Azure AD Connect, è inoltre possibile controllare l'opzione per la scrittura delle password con sincronizzazione cloud di Azure AD Connect.

5. Selezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su Sì.

   

6. Al termine, selezionare Salva.

Pulire le risorse

Se si decide di non volere più usare le funzionalità di writeback delle password di reimpostazione della password self-service configurata durante questa esercitazione, seguire questa procedura:

1. Accedere al portale di Azure.
2. Cercare e selezionare Azure Active Directory, selezionare Reimpostazione password e quindi scegliere Integrazione locale.
3. Deselezionare l'opzione Writeback delle password nella directory locale.
4. Deselezionare l'opzione writeback delle password con la sincronizzazione cloud di Azure AD Connect.
5. Deselezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password.
6. Al termine, selezionare Salva.

Se non si vuole più usare la funzionalità di writeback della sincronizzazione cloud di Azure AD Connect per la reimpostazione della password self-service, ma si vuole continuare a usare l'agente di sincronizzazione Azure AD Connect per i writeback, completare i passaggi seguenti:

1. Accedere al portale di Azure.
2. Cercare e selezionare Azure Active Directory, selezionare Reimpostazione password e quindi scegliere Integrazione locale.
3. Deselezionare l'opzione writeback delle password con la sincronizzazione cloud di Azure AD Connect.
4. Al termine, selezionare Salva.

Se non si intende più usare alcuna funzionalità per le password, dal server Azure AD Connect completare questa procedura:

1. Accedere al server Azure AD Connect e avviare la configurazione guidata di Azure AD Connect.
2. Nella pagina di benvenuto selezionare Configura.
3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
4. Nella pagina Connessione ad Azure AD immettere le credenziali di amministratore globale per il tenant di Azure e selezionare Avanti.
5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
6. Nella pagina Funzionalità facoltative deselezionare la casella accanto a Writeback password e selezionare Avanti.
7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
8. Quando la configurazione termina, selezionare Esci.

Importante

L'abilitazione del writeback delle password per la prima volta può attivare eventi di modifica della password 656 e 657, anche se non si è verificata una modifica della password. Ciò è dovuto al fatto che tutti gli hash delle password vengono sincronizzati nuovamente dopo l'esecuzione di un ciclo di sincronizzazione dell'hash delle password.

Passaggi successivi

In questa esercitazione è stato abilitato il writeback della reimpostazione della password self-service di Azure AD in un ambiente Active Directory Domain Services locale. Si è appreso come:

• Configurare le autorizzazioni necessarie per il writeback delle password
• Abilitare l'opzione di writeback delle password in Azure AD Connect
• Abilitare il writeback delle password nella reimpostazione della password self-service di Azure AD

Valutare i rischi all'accesso