Esercitazione: Abilitare il writeback per la reimpostazione della password self-service di Microsoft Entra in un ambiente locale
Con la reimpostazione della password self-service di Microsoft Entra, gli utenti possono aggiornare la password o sbloccare l'account tramite un Web browser. È consigliabile guardare questo video su come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID. In un ambiente ibrido in cui Microsoft Entra ID è connesso a un ambiente Active Directory Domain Services locale, questo scenario può creare differenze tra le password nelle due directory.
Il writeback delle password consente di sincronizzare le modifiche delle password in Microsoft Entra nell'ambiente Active Directory Domain Services locale. Microsoft Entra Connect fornisce un meccanismo sicuro per inviare di nuovo le modifiche delle password a una directory locale esistente da Microsoft Entra ID.
Importante
Questa esercitazione illustra agli amministratori come abilitare la reimpostazione della password self-service in un ambiente locale. Se si è un utente finale già registrato per la reimpostazione della password self-service e si deve ripristinare l'accesso al proprio account, passare a https://aka.ms/sspr.
Se il team IT non ha abilitato la funzionalità per reimpostare la propria password, rivolgersi al supporto tecnico per assistenza aggiuntiva.
In questa esercitazione apprenderai a:
- Configurare le autorizzazioni necessarie per il writeback delle password
- Abilitare l'opzione di writeback delle password in Microsoft Entra Connect
- Abilitare il writeback delle password nella reimpostazione della password self-service di Microsoft Entra
Prerequisiti
Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:
- Un tenant di Microsoft Entra funzionante con almeno una licenza P1 o di prova di Microsoft Entra ID abilitata.
- Se necessario, crearne uno gratuitamente.
- Per altre informazioni, vedere Requisiti di licenza per la reimpostazione della password self-service per Microsoft Entra.
- Un account con amministratore delle identità ibride.
- Microsoft Entra ID configurato per la reimpostazione della password self-service.
- Un ambiente Active Directory Domain Services locale esistente configurato con una versione corrente di Microsoft Entra Connect.
- Se necessario, configurare Microsoft Entra Connect usando la modalità Rapida o Personalizzata.
- Per usare il writeback delle password, i controller di dominio possono eseguire qualsiasi versione supportata di Windows Server.
Configurare le autorizzazioni dell'account per Microsoft Entra Connect
Microsoft Entra Connect consente di sincronizzare utenti, gruppi e credenziali tra un ambiente Active Directory Domain Services locale e Microsoft Entra ID. In genere si installa Microsoft Entra Connect in un computer Windows Server 2016 o con una versione successiva aggiunto al dominio di Active Directory Domain Services locale.
Per usare correttamente il writeback della reimpostazione della password self-service, per l'account specificato in Microsoft Entra Connect è necessario impostare le autorizzazioni e le opzioni appropriate. Se non si è certi dell'account attualmente in uso, aprire Microsoft Entra Connect e selezionare l'opzione Visualizza la configurazione corrente. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate. Per l'account è necessario impostare le autorizzazioni e le opzioni seguenti:
- Reimpostazione della password
- Cambia password
- Autorizzazioni di scrittura su
lockoutTime
- Autorizzazioni di scrittura su
pwdLastSet
- Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.
Se non si assegnano tali autorizzazioni, potrebbe sembrare che il writeback sia configurato correttamente, ma gli utenti riscontrano errori quando gestiscono le loro password locali dal cloud. Quando si impostano le autorizzazioni "Password senza scadenza" in Active Directory, è necessario applicarle a Questo oggetto e tutti gli oggetti discendenti, Solo l'oggetto specificato o Tutti gli oggetti discendenti, oppure l'autorizzazione "Password senza scadenza" non può essere visualizzata.
Suggerimento
Se il writeback delle password non viene eseguito nella directory locale per alcuni account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.
Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:
- Nell'ambiente Active Directory Domain Services locale aprire Utenti e computer di Active Directory con un account con le autorizzazioni di amministratore di dominio appropriate.
- Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.
- Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e scegliere Proprietà>Sicurezza>Avanzate.
- Nella scheda Autorizzazioni selezionare Aggiungi.
- Per Entità di sicurezza selezionare l'account a cui applicare le autorizzazioni, ovvero l'account usato da Microsoft Entra Connect.
- Nell'elenco a discesa Applica a selezionare gli oggetti Utente discendente.
- In Autorizzazioni selezionare la casella per l'opzione seguente:
- Reimpostazione della password
- In Proprietà selezionare le caselle per le opzioni seguenti. Scorrere l'elenco per trovare queste opzioni, che potrebbero essere già specificate per impostazione predefinita:
- Quando si è pronti, selezionare Applica/OK per applicare le modifiche.
- Nella scheda Autorizzazioni selezionare Aggiungi.
- Per Entità di sicurezza selezionare l'account a cui applicare le autorizzazioni, ovvero l'account usato da Microsoft Entra Connect.
- Nell'elenco a discesa Applica a, selezionare Questo oggetto e tutti i discendenti
- In Autorizzazioni selezionare la casella per l'opzione seguente:
- Password senza scadenza
- Quando si è pronti, selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.
Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.
I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Per il corretto funzionamento del writeback delle password, i criteri di gruppo per Validità minima della password devono essere impostati su 0. Questa impostazione è disponibile in Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di protezione > Criteri degli account in gpmc.msc
.
Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando gpupdate /force
.
Nota
Se è necessario consentire agli utenti di modificare o reimpostare le password più di una volta al giorno, Validità minima password deve essere impostata su 0. Il writeback delle password funzionerà dopo il completamento della valutazione dei criteri delle password locali.
Abilitare il writeback delle password in Microsoft Entra Connect
Una delle opzioni di configurazione in Microsoft Entra Connect riguarda il writeback delle password. Quando questa opzione è abilitata, gli eventi di modifica delle password fanno sì che Microsoft Entra Connect sincronizzi di nuovo le credenziali aggiornate nell'ambiente Active Directory Domain Services locale.
Per abilitare il writeback della reimpostazione della password self-service, è prima necessario abilitare l'opzione corrispondente in Microsoft Entra Connect. Dal server Microsoft Entra Connect completare questa procedura:
- Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
- Nella pagina di benvenuto selezionare Configura.
- Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
- Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di amministratore ibrido per il tenant di Azure e selezionare Avanti.
- Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
- Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.
- Nella pagina Estensioni della directory selezionare Avanti.
- Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
- Quando la configurazione termina, selezionare Esci.
Nota
L'aggiornamento di PasswordWritebackEnabled
dalle funzionalità del servizio OnPremDirectorySynchronization non è supportato perché questo flag di funzionalità non è in uso.
Abilitare il writeback delle password per la reimpostazione della password self-service
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Con il writeback delle password abilitato in Microsoft Entra Connect, configurare ora la reimpostazione della password self-service di Microsoft Entra per il writeback. La reimpostazione della password self-service può essere configurata per il writeback tramite gli agenti di Microsoft Entra Connect Sync e gli agenti di provisioning di Microsoft Entra Connect (sincronizzazione cloud). Quando si abilita la reimpostazione della password self-service per l'uso del writeback delle password, quando gli utenti modificano o reimpostano la password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services locale.
Per abilitare il writeback delle password in reimpostazione della password self-service, seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
- Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
- Verificare l'opzione Eseguire il writeback delle password nella directory locale.
- (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, è anche possibile selezionare l'opzione Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
- Impostare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password? su Sì.
- Al termine, selezionare Salva.
Pulire le risorse
Se si decide di non volere più usare le funzionalità di writeback delle password di reimpostazione della password self-service configurata durante questa esercitazione, seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
- Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
- Deselezionare l'opzione Eseguire il writeback delle password nella directory locale.
- Deselezionare l'opzione per Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
- Deselezionare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password.
- Al termine, selezionare Salva.
Se non si vuole più usare la funzionalità di writeback per la sincronizzazione cloud di Microsoft Entra Connect per la reimpostazione della password self-service ma si vuole continuare a usare l'agente di Microsoft Entra Connect Sync per i writeback, seguire questa procedura:
- Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
- Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
- Deselezionare l'opzione per Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
- Al termine, selezionare Salva.
Se non si intende più usare alcuna funzionalità per le password, dal server di Microsoft Entra Connect completare questa procedura:
- Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
- Nella pagina di benvenuto selezionare Configura.
- Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.
- Nella pagina Connessione a Microsoft Entra ID immettere le credenziali di amministratore ibrido e selezionare Avanti.
- Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
- Nella pagina Funzionalità facoltative deselezionare la casella accanto a Writeback password e selezionare Avanti.
- Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
- Quando la configurazione termina, selezionare Esci.
Importante
L'abilitazione del writeback delle password per la prima volta può attivare eventi di modifica della password 656 e 657, anche se non si è verificata una modifica della password. Ciò è dovuto al fatto che tutti gli hash delle password vengono sincronizzati nuovamente dopo l'esecuzione di un ciclo di sincronizzazione dell'hash delle password.
Passaggi successivi
In questa esercitazione è stato abilitato il writeback della reimpostazione della password self-service di Microsoft Entra in un ambiente Active Directory Domain Services locale. Contenuto del modulo:
- Configurare le autorizzazioni necessarie per il writeback delle password
- Abilitare l'opzione di writeback delle password in Microsoft Entra Connect
- Abilitare il writeback delle password nella reimpostazione della password self-service di Microsoft Entra