Hoe werkt terugschrijven van selfservice voor wachtwoordherstel in Microsoft Entra-id?

Met Selfservice voor wachtwoordherstel (SSPR) van Microsoft Entra kunnen gebruikers hun wachtwoorden opnieuw instellen in de cloud, maar de meeste bedrijven hebben ook een on-premises Active Directory-domein Services-omgeving (AD DS) voor gebruikers. Met wachtwoord terugschrijven kunnen wachtwoordwijzigingen in de cloud in realtime worden teruggeschreven naar een on-premises map met behulp van Microsoft Entra Verbinding maken of Microsoft Entra Verbinding maken cloudsynchronisatie. Wanneer gebruikers hun wachtwoorden wijzigen of opnieuw instellen met behulp van SSPR in de cloud, worden de bijgewerkte wachtwoorden ook teruggeschreven naar de on-premises AD DS-omgeving.

Belangrijk

In dit conceptuele artikel wordt uitgelegd hoe selfservice voor het terugschrijven van wachtwoorden werkt. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.

Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.

Wachtwoord terugschrijven wordt ondersteund in omgevingen die gebruikmaken van de volgende hybride identiteitsmodellen:

• Hash-synchronisatie van wachtwoord
• Pass-through-verificatie
• Active Directory Federation Services

Wachtwoord terugschrijven biedt de volgende functies:

• Afdwingen van beleid voor on-premises Active Directory-domein Services (AD DS): wanneer een gebruiker het wachtwoord opnieuw instelt, wordt dit gecontroleerd om ervoor te zorgen dat het voldoet aan uw on-premises AD DS-beleid voordat deze wordt doorgevoerd in die directory. Deze beoordeling omvat het controleren van de geschiedenis, complexiteit, leeftijd, wachtwoordfilters en eventuele andere wachtwoordbeperkingen die u in AD DS definieert.
• Feedback zonder vertraging: Wachtwoord terugschrijven is een synchrone bewerking. Gebruikers worden onmiddellijk op de hoogte gesteld als hun wachtwoord niet voldoet aan het beleid of om welke reden dan ook niet opnieuw kunnen worden ingesteld of gewijzigd.
• Ondersteunt wachtwoordwijzigingen in het toegangsvenster en Microsoft 365: wanneer gefedereerde of wachtwoord-hash-gesynchroniseerde gebruikers hun verlopen of niet-verlopen wachtwoorden wijzigen, worden deze wachtwoorden teruggeschreven naar AD DS.
• Ondersteunt het terugschrijven van wachtwoorden wanneer een beheerder deze opnieuw instelt vanuit het Microsoft Entra-beheercentrum: wanneer een beheerder het wachtwoord van een gebruiker opnieuw instelt in het Microsoft Entra-beheercentrum, als die gebruiker is gefedereerd of wachtwoordhash is gesynchroniseerd, wordt het wachtwoord teruggeschreven naar on-premises. Deze functionaliteit wordt momenteel niet ondersteund in de Office-beheerportal.
• Hiervoor zijn geen binnenkomende firewallregels vereist: wachtwoord terugschrijven maakt gebruik van een Azure Service Bus-relay als een onderliggend communicatiekanaal. Alle communicatie is uitgaand via poort 443.
• Biedt ondersteuning voor implementatie op domeinniveau naast elkaar met behulp van Microsoft Entra Verbinding maken of cloudsynchronisatie om verschillende groepen gebruikers te richten, afhankelijk van hun behoeften, inclusief gebruikers die zich in niet-verbonden domeinen bevinden.

Notitie

Het on-premises serviceaccount waarmee aanvragen voor het terugschrijven van wachtwoorden worden verwerkt, kunnen de wachtwoorden niet wijzigen voor gebruikers die deel uitmaken van beveiligde groepen. Beheer istrators kunnen hun wachtwoord in de cloud wijzigen, maar ze kunnen het terugschrijven van wachtwoorden niet gebruiken om een vergeten wachtwoord opnieuw in te stellen voor hun on-premises gebruiker. Zie Beveiligde accounts en groepen in AD DS voor meer informatie over beveiligde groepen.

Voltooi een of beide van de volgende zelfstudies om aan de slag te gaan met het terugschrijven van SSPR:

• Zelfstudie: Selfservice voor wachtwoordherstel (SSPR) terugschrijven inschakelen
• Zelfstudie: Microsoft Entra inschakelen Verbinding maken selfservice voor wachtwoordherstel terugschrijven naar een on-premises omgeving (preview)

Implementatie van Microsoft Entra Verbinding maken en cloudsynchronisatie

U kunt Microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar in verschillende domeinen implementeren om verschillende groepen gebruikers te richten. Hierdoor kunnen bestaande gebruikers wachtwoordwijzigingen blijven terugschrijven terwijl ze de optie toevoegen in gevallen waarin gebruikers zich in niet-verbonden domeinen bevinden vanwege een fusie of splitsing van een bedrijf. Microsoft Entra Verbinding maken en cloudsynchronisatie kunnen worden geconfigureerd in verschillende domeinen, zodat gebruikers van het ene domein Microsoft Entra Verbinding maken kunnen gebruiken terwijl gebruikers in een ander domein cloudsynchronisatie gebruiken. Cloudsynchronisatie kan ook een hogere beschikbaarheid bieden, omdat deze niet afhankelijk is van één exemplaar van Microsoft Entra Verbinding maken. Zie Vergelijking tussen Microsoft Entra Verbinding maken en cloudsynchronisatie voor een functievergelijking tussen de twee implementatieopties.

Hoe wachtwoord terugschrijven werkt

Wanneer een gebruikersaccount dat is geconfigureerd voor federatie, wachtwoord-hashsynchronisatie (of, in het geval van een Implementatie van Microsoft Entra Verbinding maken, passthrough-verificatie) probeert een wachtwoord opnieuw in te stellen of te wijzigen in de cloud, vinden de volgende acties plaats:

1. Er wordt een controle uitgevoerd om te zien welk type wachtwoord de gebruiker heeft. Als het wachtwoord on-premises wordt beheerd:

   • Er wordt een controle uitgevoerd om te zien of de writeback-service actief is. Als dat het is, kan de gebruiker doorgaan.
   • Als de write-backservice niet beschikbaar is, wordt de gebruiker geïnformeerd dat het wachtwoord nu niet opnieuw kan worden ingesteld.

2. Vervolgens geeft de gebruiker de juiste verificatiepoorten door en bereikt de pagina Wachtwoord opnieuw instellen.

3. De gebruiker selecteert een nieuw wachtwoord en bevestigt het.

4. Wanneer de gebruiker Verzenden selecteert, wordt het wachtwoord zonder opmaak versleuteld met een openbare sleutel die is gemaakt tijdens het installatieproces voor terugschrijven.

5. Het versleutelde wachtwoord wordt opgenomen in een nettolading die via een HTTPS-kanaal wordt verzonden naar uw tenantspecifieke Service Bus Relay (dat voor u is ingesteld tijdens het installatieproces voor writeback). Deze relay wordt beveiligd door een willekeurig gegenereerd wachtwoord dat alleen uw on-premises installatie kent.

6. Nadat het bericht de servicebus heeft bereikt, wordt het eindpunt voor wachtwoordherstel automatisch geactiveerd en ziet u dat er een aanvraag voor opnieuw instellen in behandeling is.

7. De service zoekt vervolgens naar de gebruiker met behulp van het cloudankerkenmerk. Voor een geslaagde zoekopdracht moet aan de volgende voorwaarden worden voldaan:

   • Het gebruikersobject moet aanwezig zijn in de AD DS-connectorruimte.
   • Het gebruikersobject moet worden gekoppeld aan het bijbehorende metaverse-object (MV).
   • Het gebruikersobject moet worden gekoppeld aan het bijbehorende Microsoft Entra-connectorobject.
   • De koppeling van het AD DS-connectorobject naar de MV moet de synchronisatieregel Microsoft.InfromADUserAccountEnabled.xxx op de koppeling hebben.

   Wanneer de aanroep vanuit de cloud binnenkomt, gebruikt de synchronisatie-engine het kenmerk cloudAnchor om het ruimteobject van de Microsoft Entra-connector op te zoeken. Vervolgens volgt u de koppeling terug naar het MV-object en volgt u de koppeling terug naar het AD DS-object. Omdat er meerdere AD DS-objecten (meerdere forests) voor dezelfde gebruiker kunnen zijn, is de synchronisatie-engine afhankelijk van de Microsoft.InfromADUserAccountEnabled.xxx koppeling om de juiste te kiezen.

8. Nadat het gebruikersaccount is gevonden, wordt geprobeerd het wachtwoord rechtstreeks in het juiste AD DS-forest opnieuw in te stellen.

9. Als de bewerking voor het instellen van wachtwoorden is geslaagd, krijgt de gebruiker te horen dat het wachtwoord is gewijzigd.

   Notitie

   Als de wachtwoord-hash van de gebruiker wordt gesynchroniseerd met Microsoft Entra ID met behulp van wachtwoord-hashsynchronisatie, is er een kans dat het on-premises wachtwoordbeleid zwakker is dan het cloudwachtwoordbeleid. In dit geval wordt het on-premises beleid afgedwongen. Dit beleid zorgt ervoor dat uw on-premises beleid wordt afgedwongen in de cloud, ongeacht of u wachtwoord-hashsynchronisatie of federatie gebruikt om eenmalige aanmelding te bieden.

10. Als de bewerking voor het instellen van wachtwoorden mislukt, wordt de gebruiker gevraagd het opnieuw te proberen. De bewerking kan om de volgende redenen mislukken:

    • De service was niet beschikbaar.
    • Het wachtwoord dat ze hebben geselecteerd, voldoet niet aan het beleid van de organisatie.
    • Kan de gebruiker niet vinden in de lokale AD DS-omgeving.

    De foutberichten bieden gebruikers richtlijnen, zodat ze kunnen proberen om op te lossen zonder tussenkomst van de beheerder.

Beveiliging voor wachtwoord terugschrijven

Wachtwoord terugschrijven is een zeer veilige service. Om ervoor te zorgen dat uw gegevens worden beveiligd, wordt als volgt een beveiligingsmodel met vier lagen ingeschakeld:

• Tenantspecifieke servicebusrelais
  • Wanneer u de service instelt, wordt een tenantspecifieke Service Bus Relay ingesteld die wordt beveiligd door een willekeurig gegenereerd sterk wachtwoord waartoe Microsoft nooit toegang heeft.
• Vergrendeld, cryptografisch sterk, wachtwoordversleutelingssleutel
  • Nadat de Service Bus Relay is gemaakt, wordt er een sterke symmetrische sleutel gemaakt die wordt gebruikt om het wachtwoord te versleutelen terwijl het via de kabel komt. Deze sleutel bevindt zich alleen in het geheime archief van uw bedrijf in de cloud, dat zwaar is vergrendeld en gecontroleerd, net als elk ander wachtwoord in de directory.
• Industriestandaard Transport Layer Security (TLS)
  1. Wanneer een bewerking voor het opnieuw instellen of wijzigen van wachtwoorden plaatsvindt in de cloud, wordt het wachtwoord zonder opmaak versleuteld met uw openbare sleutel.
  2. Het versleutelde wachtwoord wordt in een HTTPS-bericht geplaatst dat via een versleuteld kanaal wordt verzonden met behulp van Microsoft TLS/SSL-certificaten naar uw Service Bus Relay.
  3. Nadat het bericht in de servicebus binnenkomt, wordt uw on-premises agent wakker en geverifieerd bij de servicebus met behulp van het sterke wachtwoord dat eerder is gegenereerd.
  4. De on-premises agent haalt het versleutelde bericht op en ontsleutelt het met behulp van de persoonlijke sleutel.
  5. De on-premises agent probeert het wachtwoord in te stellen via de AD DS SetPassword-API. Deze stap is wat het afdwingen van uw on-premises AD DS-wachtwoordbeleid (zoals de complexiteit, leeftijd, geschiedenis en filters) in de cloud mogelijk maakt.
• Verloopbeleid voor berichten
  • Als het bericht zich in de servicebus bevindt omdat uw on-premises service niet beschikbaar is, treedt er een time-out op en wordt het na enkele minuten verwijderd. De time-out en verwijdering van het bericht verhoogt de beveiliging nog verder.

Details van versleuteling voor wachtwoord terugschrijven

Nadat een gebruiker een wachtwoordherstel heeft ingediend, doorloopt de aanvraag voor opnieuw instellen verschillende versleutelingsstappen voordat deze binnenkomt in uw on-premises omgeving. Deze versleutelingsstappen zorgen voor maximale betrouwbaarheid en beveiliging van de service. Ze worden als volgt beschreven:

1. Wachtwoordversleuteling met 2048-bits RSA-sleutel: nadat een gebruiker een wachtwoord heeft ingediend dat moet worden teruggeschreven naar on-premises, wordt het ingediende wachtwoord zelf versleuteld met een 2048-bits RSA-sleutel.
2. Versleuteling op pakketniveau met 256-bits AES-GCM: het hele pakket, het wachtwoord plus de vereiste metagegevens, wordt versleuteld met behulp van AES-GCM (met een sleutelgrootte van 256 bits). Met deze versleuteling voorkomt u dat iedereen met directe toegang tot het onderliggende Service Bus-kanaal de inhoud kan bekijken of knoeien.
3. Alle communicatie vindt plaats via TLS/SSL: alle communicatie met Service Bus vindt plaats in een SSL/TLS-kanaal. Deze versleuteling beveiligt de inhoud van onbevoegde derden.
4. Automatische sleutelrollover om de zes maanden: alle sleutels worden om de zes maanden overgezet, of telkens wanneer wachtwoord terugschrijven is uitgeschakeld en vervolgens opnieuw is ingeschakeld op Microsoft Entra Verbinding maken, om de maximale beveiliging en veiligheid van de service te garanderen.

Bandbreedtegebruik voor wachtwoord terugschrijven

Wachtwoord terugschrijven is een service met lage bandbreedte waarmee alleen aanvragen naar de on-premises agent worden verzonden onder de volgende omstandigheden:

• Er worden twee berichten verzonden wanneer de functie is ingeschakeld of uitgeschakeld via Microsoft Entra Verbinding maken.
• Eén bericht wordt één keer per vijf minuten verzonden als een service-heartbeat zolang de service wordt uitgevoerd.
• Er worden twee berichten verzonden telkens wanneer er een nieuw wachtwoord wordt verzonden:
  • Het eerste bericht is een aanvraag om de bewerking uit te voeren.
  • Het tweede bericht bevat het resultaat van de bewerking en wordt in de volgende omstandigheden verzonden:
    • Telkens wanneer een nieuw wachtwoord wordt verzonden tijdens het opnieuw instellen van een selfservice voor wachtwoordherstel door een gebruiker.
    • Telkens wanneer er een nieuw wachtwoord wordt ingediend tijdens een wijzigingsbewerking van een gebruikerswachtwoord.
    • Telkens wanneer een nieuw wachtwoord wordt ingediend tijdens het opnieuw instellen van een door de beheerder geïnitieerd gebruikerswachtwoord (alleen vanuit de Azure-beheerportals).

Overwegingen voor berichtgrootte en bandbreedte

De grootte van elk bericht dat eerder is beschreven, is doorgaans minder dan 1 kB. Zelfs bij extreme belastingen verbruikt de service voor het terugschrijven van wachtwoorden een paar kilobits per seconde bandbreedte. Omdat elk bericht in realtime wordt verzonden, alleen wanneer dit nodig is voor een bewerking voor het bijwerken van een wachtwoord en omdat de berichtgrootte zo klein is, is het bandbreedtegebruik van de write-back-functie te klein om een meetbare impact te hebben.

Ondersteunde write-backbewerkingen

Wachtwoorden worden in alle volgende situaties teruggeschreven:

• Ondersteunde bewerkingen voor eindgebruikers

  • Elke self-service voor vrijwillige wachtwoordwijziging door eindgebruikers.
  • Elke self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden.
  • Selfservice voor wachtwoordherstel van eindgebruikers die afkomstig zijn van de portal voor wachtwoordherstel.

• Ondersteunde beheerdersbewerkingen

  • Elke beheerder self-service voor vrijwillige wachtwoordwijziging door eindgebruikers.
  • Elke beheerder self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden.
  • Alle selfservice voor wachtwoordherstel van beheerders die afkomstig zijn van de portal voor wachtwoordherstel.
  • Door een beheerder geïnitieerde wachtwoordherstel van eindgebruikers vanuit het Microsoft Entra-beheercentrum.
  • Door een beheerder geïnitieerde wachtwoordherstel van de Microsoft Graph API.

Niet-ondersteunde write-backbewerkingen

Wachtwoorden worden niet teruggeschreven in een van de volgende situaties:

• Niet-ondersteunde bewerkingen van eindgebruikers
  • eindgebruikers die hun eigen wachtwoord opnieuw instellen via PowerShell versie 1, versie 2 of de Microsoft Graph API.
• Niet-ondersteunde beheerdersbewerkingen
  • Een door de beheerder geïnitieerde wachtwoordherstel via PowerShell versie 1 of versie 2.
  • Een door de beheerder geïnitieerde wachtwoordherstel van de eindgebruiker vanuit de Microsoft 365-beheercentrum.
  • Beheerders kunnen het hulpprogramma voor het opnieuw instellen van wachtwoorden niet gebruiken om hun eigen wachtwoord opnieuw in te stellen voor wachtwoord terugschrijven.

Waarschuwing

Gebruik van het selectievakje 'Gebruiker moet wachtwoord wijzigen bij volgende aanmelding' in on-premises AD DS-beheerprogramma's, zoals Active Directory of het Active Directory-Beheer istratieve centrum, wordt ondersteund als preview-functie van Microsoft Entra Verbinding maken. Zie Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync voor meer informatie.

Notitie

Als een gebruiker de optie 'Wachtwoord nooit verloopt' heeft ingesteld in Active Directory (AD), wordt de vlag voor wachtwoordwijziging niet ingesteld in Active Directory (AD), dus de gebruiker wordt niet gevraagd het wachtwoord te wijzigen tijdens de volgende aanmelding, zelfs als de optie om de gebruiker te dwingen zijn wachtwoord te wijzigen bij de volgende aanmeldingsoptie wordt geselecteerd tijdens het opnieuw instellen van het wachtwoord door een beheerder.

Volgende stappen

Voltooi de volgende zelfstudie om aan de slag te gaan met het terugschrijven van SSPR:

Zelfstudie: Selfservice voor wachtwoordherstel (SSPR) terugschrijven inschakelen