Zelfstudie: Selfservice voor het terugschrijven van wachtwoorden in Microsoft Entra inschakelen naar een on-premises omgeving

Met Microsoft Entra selfservice voor wachtwoordherstel (SSPR) kunnen gebruikers hun wachtwoord bijwerken of hun account ontgrendelen met behulp van een webbrowser. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID. In een hybride omgeving waarin Microsoft Entra ID is verbonden met een on-premises Active Directory-domein Services-omgeving (AD DS), kan dit scenario ertoe leiden dat wachtwoorden verschillen tussen de twee directory's.

Wachtwoord terugschrijven kan worden gebruikt voor het synchroniseren van wachtwoordwijzigingen in Microsoft Entra naar uw on-premises AD DS-omgeving. Microsoft Entra Verbinding maken biedt een veilig mechanisme voor het terugsturen van deze wachtwoordwijzigingen naar een bestaande on-premises directory vanuit Microsoft Entra-id.

Belangrijk

In deze zelfstudie wordt uitgelegd hoe een beheerder het terugschrijven van self-service voor wachtwoordherstel kan inschakelen voor een on-premises omgeving. Als u een eindgebruiker bent die al is geregistreerd voor self-service voor wachtwoordherstel en u weer toegang tot uw account wilt hebben, gaat u naar https://aka.ms/sspr.

Als uw IT-team u de mogelijkheid niet heeft gegeven uw eigen wachtwoord opnieuw in te stellen, kunt u contact opnemen met de helpdesk voor meer informatie.

In deze zelfstudie leert u het volgende:

• De benodigde machtigingen voor het terugschrijven van wachtwoorden configureren
• De optie wachtwoord terugschrijven inschakelen in Microsoft Entra Verbinding maken
• Wachtwoord terugschrijven inschakelen in Microsoft Entra SSPR

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

• Een werkende Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld.
  • Maak er gratis een indien nodig.
  • Zie Licentievereisten voor Microsoft Entra SSPR voor meer informatie.
• Een account met Hybrid Identity-beheerder.
• Microsoft Entra-id geconfigureerd voor selfservice voor wachtwoordherstel.
  • Voltooi indien nodig de vorige zelfstudie om Microsoft Entra SSPR in te schakelen.
• Een bestaande on-premises AD DS-omgeving die is geconfigureerd met een huidige versie van Microsoft Entra Verbinding maken.
  • Configureer zo nodig Microsoft Entra Verbinding maken met behulp van de Express- of Aangepaste instellingen.
  • Domeincontrollers kunnen elke ondersteunde versie van Windows Server uitvoeren, zodat u wachtwoord terugschrijven kunt gebruiken.

Accountmachtigingen configureren voor Microsoft Entra-Verbinding maken

Met Microsoft Entra Verbinding maken kunt u gebruikers, groepen en referenties synchroniseren tussen een on-premises AD DS-omgeving en Microsoft Entra-id. Doorgaans installeert u Microsoft Entra Verbinding maken op een Computer met Windows Server 2016 of hoger die is gekoppeld aan het on-premises AD DS-domein.

Als u correct wilt werken met terugschrijven van SSPR, moet het account dat is opgegeven in Microsoft Entra Verbinding maken over de juiste machtigingen en opties beschikken. Als u niet zeker weet welk account momenteel wordt gebruikt, opent u Microsoft Entra Verbinding maken en selecteert u de optie Huidige configuratie weergeven. Het account waaraan u machtigingen moet geven wordt vermeld onder Gesynchroniseerde mappen. Voor het account moeten de volgende machtigingen en opties zijn ingesteld:

• Wachtwoord opnieuw instellen
• Wachtwoord wijzigen
• Schrijfmachtigingen voor lockoutTime
• Schrijfmachtigingen voor pwdLastSet
• Uitgebreide rechten voor Verlopen wachtwoord terugzetten op het hoofdobject van elk domein in dat forest, indien dit nog niet is ingesteld.

Als u deze machtigingen niet toewijst, lijkt terugschrijven correct geconfigureerd, maar krijgen de gebruikers te maken met fouten bij het beheren van hun on-premises wachtwoorden in de cloud. Bij het instellen van de machtiging voor het herstellen van verlopen wachtwoorden in Active Directory, moet deze worden toegepast op Dit object en de onderliggende objecten, Alleen dit object of Alle onderliggende objecten. Anders kan de machtiging voor het herstellen van verlopen wachtwoorden niet worden weergegeven.

Tip

Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfrechten voor wachtwoorden moeten worden toegepast op onderliggende objecten om deze functie correct te laten werken.

Voer de volgende stappen uit om de juiste machtigingen voor het terugschrijven van wachtwoorden in te stellen:

1. Open in uw on-premises AD DS-omgeving Active Directory: gebruikers en computers met een account met de juiste machtigingen voor domeinbeheer.

2. Zorg ervoor dat in het menu Weergave de optie Geavanceerde functies is ingeschakeld.

3. Selecteer in het linkerdeelvenster met de rechtermuisknop het object dat staat voor de hoofdmap van het domein en selecteer Eigenschappen>Beveiliging>Geavanceerd.

4. Selecteer op het tabblad Machtigingen de optie Toevoegen.

5. Selecteer voor Principal het account waarop machtigingen moeten worden toegepast (het account dat wordt gebruikt door Microsoft Entra Verbinding maken).

6. Selecteer in de vervolgkeuzelijst Van toepassing op de optie Onderliggende gebruikersobjecten.

7. Selecteer onder Machtigingen het selectievakje voor de volgende optie:

   • Wachtwoord opnieuw instellen

8. Selecteer onder Eigenschappen de selectievakjes voor de volgende opties. Blader door de lijst om deze opties te vinden, die mogelijk al standaard zijn ingeschakeld:

   • Write lockoutTime
   • Write pwdLastSet

   

9. Wanneer u klaar bent, selecteert u Toepassen/OK om de wijzigingen toe te passen.

10. Selecteer op het tabblad Machtigingen de optie Toevoegen.

11. Selecteer voor Principal het account waarop machtigingen moeten worden toegepast (het account dat wordt gebruikt door Microsoft Entra Verbinding maken).

12. Selecteer in de vervolgkeuzelijst Van toepassing op dit object en alle onderliggende objecten

13. Selecteer onder Machtigingen het selectievakje voor de volgende optie:

    • Niet-verlopen wachtwoord

14. Wanneer u klaar bent, selecteert u Toepassen/OK om de wijzigingen toe te passen en eventuele geopende dialoogvensters te sluiten.

Wanneer u machtigingen bijwerkt, kan het tot een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.

Het wachtwoordbeleid in de on-premises AD DS-omgeving kan verhinderen dat het opnieuw instellen van het wachtwoord opnieuw op de juiste manier wordt verwerkt. Voor een efficiënte werking van het terugschrijven van wachtwoorden moet het groepsbeleid voor Minimale wachtwoordduur zijn ingesteld op 0. Deze instelling vindt u onder Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Accountbeleid in gpmc.msc.

Wanneer u het groepsbeleid bijwerkt, wacht u totdat het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.

Notitie

Als u wilt toestaan dat gebruikers wachtwoorden meerdere keren per dag kunnen wijzigen of opnieuw instellen, moet Minimale gebruiksduur wachtwoord op 0 worden ingesteld. Wachtwoord terugschrijven werkt nadat het on-premises wachtwoordbeleid is geëvalueerd.

Wachtwoord terugschrijven inschakelen in Microsoft Entra Verbinding maken

Een van de configuratieopties in Microsoft Entra Verbinding maken is voor wachtwoord terugschrijven. Wanneer deze optie is ingeschakeld, zorgen wachtwoordwijzigingsgebeurtenissen ervoor dat Microsoft Entra Verbinding maken de bijgewerkte referenties weer synchroniseert met de on-premises AD DS-omgeving.

Als u SSPR-writeback wilt inschakelen, schakelt u eerst de optie write-back in in Microsoft Entra Verbinding maken. Voer vanaf uw Microsoft Entra-Verbinding maken-server de volgende stappen uit:

1. Meld u aan bij uw Microsoft Entra Verbinding maken-server en start de configuratiewizard van Microsoft Entra Verbinding maken.
2. Selecteer Configureren op de welkomstpagina.
3. Op de pagina Extra taken selecteert u Synchronisatieopties aanpassen en vervolgens Volgende.
4. Voer op de pagina Verbinding maken naar Microsoft Entra ID een globale Beheer istratorreferentie voor uw Azure-tenant in en selecteer vervolgens Volgende.
5. Op de pagina's Verbinding maken met directory´s en domein/OE filteren selecteert u Volgende.
6. Op de pagina Optionele functies schakelt u het selectievakje in naast Wachtwoord terugschrijven en selecteert u Volgende.
7. Op de pagina Uitbreidingen van de directory selecteert u Volgende.
8. Op de pagina Gereed om te configureren selecteert u Configureren wacht u tot het proces is voltooid.
9. Als u ziet dat de configuratie is voltooid, selecteert u Afsluiten.

Wachtwoord terugschrijven voor SSPR inschakelen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Nu wachtwoord terugschrijven is ingeschakeld in Microsoft Entra Verbinding maken, configureert u Microsoft Entra SSPR voor write-back. SSPR kan worden geconfigureerd voor terugschrijven via Microsoft Entra Verbinding maken Sync-agents en Microsoft Entra Verbinding maken inrichtingsagents (cloudsynchronisatie). Wanneer u SSPR inschakelt voor wachtwoord terugschrijven, worden bijgewerkte wachtwoorden van gebruikers die hun wachtwoord hebben gewijzigd of opnieuw ingesteld ook gesynchroniseerd met de on-premises AD DS-omgeving.

Voer de volgende stappen uit om wachtwoord terugschrijven in SSPR in te schakelen:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Global Beheer istrator.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Controleer de optie voor wachtwoorden terugschrijven naar uw on-premises map .
4. (optioneel) Als Microsoft Entra Verbinding maken inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Verbinding maken cloudsynchronisatie.
5. Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
6. Selecteer Opslaan wanneer u klaar bent.

Resources opschonen

Als u niet langer gebruik wilt maken van de SSPR-terugschrijffunctionaliteit die u als onderdeel van deze zelfstudie hebt geconfigureerd, voert u de volgende stappen uit:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Global Beheer istrator.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Schakel de optie voor Wachtwoorden terugschrijven naar uw on-premises map uit.
4. Schakel de optie voor wachtwoorden terugschrijven uit met Microsoft Entra Verbinding maken cloudsynchronisatie.
5. Schakel de optie Toestaan dat gebruikers accounts ontgrendelen zonder hun wachtwoord opnieuw in te stellen.
6. Selecteer Opslaan wanneer u klaar bent.

Als u de Microsoft Entra-Verbinding maken cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar microsoft Entra Verbinding maken Sync-agent wilt blijven gebruiken voor write-backs, voert u de volgende stappen uit:

1. Meld u aan bij het Microsoft Entra-beheercentrum als Global Beheer istrator.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Schakel de optie voor wachtwoorden terugschrijven uit met Microsoft Entra Verbinding maken cloudsynchronisatie.
4. Selecteer Opslaan wanneer u klaar bent.

Als u geen wachtwoordfunctionaliteit meer wilt gebruiken, voert u de volgende stappen uit vanaf uw Microsoft Entra-Verbinding maken-server:

1. Meld u aan bij uw Microsoft Entra Verbinding maken-server en start de configuratiewizard van Microsoft Entra Verbinding maken.
2. Selecteer Configureren op de welkomstpagina.
3. Op de pagina Extra taken selecteert u Synchronisatieopties aanpassen en vervolgens Volgende.
4. Voer op de pagina Verbinding maken naar Microsoft Entra-id een globale beheerdersreferentie voor uw Azure-tenant in en selecteer vervolgens Volgende.
5. Op de pagina's Verbinding maken met directory´s en domein/OE filteren selecteert u Volgende.
6. Op de pagina Optionele functies schakelt u het selectievakje uit naast Wachtwoord terugschrijven en selecteert u Volgende.
7. Op de pagina Gereed om te configureren selecteert u Configureren wacht u tot het proces is voltooid.
8. Als u ziet dat de configuratie is voltooid, selecteert u Afsluiten.

Belangrijk

Het eerste keer inschakelen van wachtwoord terugschrijven kan gebeurtenissen voor wachtwoordwijziging 656 en 657 activeren, zelfs als er geen wachtwoordwijziging heeft plaatsgevonden. Dit komt doordat alle wachtwoordhashes opnieuw worden gesynchroniseerd nadat er een hash-synchronisatiecyclus voor wachtwoorden is uitgevoerd.

Volgende stappen

In deze zelfstudie hebt u Writeback van Microsoft Entra SSPR ingeschakeld voor een on-premises AD DS-omgeving. U hebt geleerd hoe u:

• De benodigde machtigingen voor het terugschrijven van wachtwoorden configureren
• De optie wachtwoord terugschrijven inschakelen in Microsoft Entra Verbinding maken
• Wachtwoord terugschrijven inschakelen in Microsoft Entra SSPR

Risico's beoordelen bij het aanmelden