Zelfstudie: Selfservice voor wachtwoordherstel terugschrijven in cloudsynchronisatie inschakelen naar een on-premises omgeving
Microsoft Entra Connect-cloudsynchronisatie kan wachtwoordwijzigingen van Microsoft Entra in realtime synchroniseren tussen gebruikers in on-premises Active Directory-domein Services-domeinen (AD DS). Microsoft Entra Connect-cloudsynchronisatie kan naast Microsoft Entra Connect op domeinniveau worden uitgevoerd om wachtwoord terugschrijven te vereenvoudigen voor aanvullende scenario's, zoals gebruikers die zich in niet-verbonden domeinen bevinden vanwege een splitsing of samenvoeging van een bedrijf. U kunt elke service in verschillende domeinen configureren om verschillende sets gebruikers te richten, afhankelijk van hun behoeften. Microsoft Entra Connect-cloudsynchronisatie maakt gebruik van de lichtgewicht Microsoft Entra-cloudinrichtingsagent om de installatie voor selfservice voor wachtwoordherstel (SSPR) te vereenvoudigen en een veilige manier te bieden om wachtwoordwijzigingen in de cloud terug te sturen naar een on-premises directory.
Voorwaarden
- Een Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld. Indien nodig kunt u er gratis een maken.
- Een beheerdersaccount voor hybride identiteit
- Microsoft Entra-id geconfigureerd voor selfservice voor wachtwoordherstel. Voltooi indien nodig deze zelfstudie om Microsoft Entra SSPR in te schakelen.
- Een on-premises AD DS-omgeving die is geconfigureerd met Microsoft Entra Connect-cloudsynchronisatie versie 1.1.977.0 of hoger. Meer informatie over het identificeren van de huidige versie van de agent. Configureer zo nodig Microsoft Entra Connect-cloudsynchronisatie met behulp van deze zelfstudie.
Implementatiestappen
- Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
- Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect-cloudsynchronisatie
- Wachtwoord terugschrijven inschakelen voor SSPR
Machtigingen voor microsoft Entra Connect-cloudsynchronisatieserviceaccounts configureren
Machtigingen voor cloudsynchronisatie zijn standaard geconfigureerd. Als machtigingen opnieuw moeten worden ingesteld, raadpleegt u Probleemoplossing voor meer informatie over de specifieke machtigingen die zijn vereist voor wachtwoord terugschrijven en hoe u deze instelt met behulp van PowerShell.
Wachtwoord terugschrijven inschakelen in SSPR
U kunt microsoft Entra Connect-cloudsynchronisatie rechtstreeks inschakelen in het Microsoft Entra-beheercentrum of via PowerShell.
Wachtwoord terugschrijven inschakelen in het Microsoft Entra-beheercentrum
Fooi
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Als wachtwoord terugschrijven is ingeschakeld in Microsoft Entra Connect-cloudsynchronisatie, controleert en configureert u Microsoft Entra selfservice voor wachtwoordherstel (SSPR) voor wachtwoord terugschrijven. Wanneer u SSPR inschakelt voor het terugschrijven van wachtwoorden, hebben gebruikers die hun wachtwoord wijzigen of opnieuw instellen, ook het bijgewerkte wachtwoord gesynchroniseerd met de on-premises AD DS-omgeving.
Voer de volgende stappen uit om wachtwoord terugschrijven in SSPR te controleren en in te schakelen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
Schakel de optie wachtwoord terugschrijven in voor gesynchroniseerde gebruikers.
(optioneel) Als Microsoft Entra Connect-inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Connect-cloudsynchronisatie.
Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
Wanneer u klaar bent, selecteert u Opslaan.
PowerShell
Met PowerShell kunt u Cloudsynchronisatie van Microsoft Entra Connect inschakelen met behulp van de set-AADCloudSyncPasswordWritebackConfiguration-cmdlet op de servers met de inrichtingsagents.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Resources opschonen
Als u de SSPR-writeback-functionaliteit die u hebt geconfigureerd als onderdeel van deze zelfstudie niet meer wilt gebruiken, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers uit.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Schakel de optie Toestaan dat gebruikers accounts ontgrendelen zonder hun wachtwoord opnieuw in te stellen.
- Wanneer u klaar bent, selecteert u Opslaan.
Als u de Microsoft Entra Connect-cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar de Microsoft Entra Connect Sync-agent wilt blijven gebruiken voor writebacks, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
- Wanneer u klaar bent, selecteert u Opslaan.
U kunt PowerShell ook gebruiken om Cloudsynchronisatie van Microsoft Entra Connect uit te schakelen voor de SSPR-writeback-functionaliteit, vanaf uw Microsoft Entra Connect-cloudsynchronisatieserver, uit Set-AADCloudSyncPasswordWritebackConfiguration te voeren met de referenties van hybrid Identity Administrator om wachtwoord terugschrijven met Microsoft Entra Connect-cloudsynchronisatie uit te schakelen.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Ondersteunde bewerkingen
Wachtwoorden worden teruggeschreven in de volgende situaties voor eindgebruikers en beheerders.
| Rekening | Ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Elke selfservice voor selfservice voor wachtwoordwijziging door eindgebruikers. Elke selfservice voor het wijzigen van wachtwoorden door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden. Elke selfservice voor wachtwoordherstel door eindgebruikers die afkomstig is van het opnieuw instellen van wachtwoorden. |
| Beheerders | Elke selfservice voor selfservice voor wachtwoordwijziging door een beheerder. Elke selfservice voor het wijzigen van het wachtwoord door een beheerder, bijvoorbeeld het verlopen van wachtwoorden. Alle selfservice voor wachtwoordherstel van beheerders die afkomstig zijn van het opnieuw instellen van wachtwoorden. Door een beheerder geïnitieerde wachtwoordherstel van eindgebruikers vanuit het Microsoft Entra-beheercentrum. Door een beheerder geïnitieerde wachtwoordherstel van de Microsoft Graph API. |
Niet-ondersteunde bewerkingen
Wachtwoorden worden niet teruggeschreven in de volgende situaties.
| Rekening | Niet-ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Eindgebruikers die hun eigen wachtwoord opnieuw instellen met behulp van PowerShell-cmdlets of de Microsoft Graph API. |
| Beheerders | Een door de beheerder geïnitieerde wachtwoordherstel door een eindgebruiker met behulp van PowerShell-cmdlets. Alle door de beheerder geïnitieerde wachtwoordherstel van de Microsoft 365-beheercentrum. Beheerders kunnen geen hulpprogramma voor wachtwoordherstel gebruiken om hun eigen wachtwoord opnieuw in te stellen of een andere beheerder in Microsoft Entra ID voor wachtwoord terugschrijven. |
Validatiescenario's
Voer de volgende bewerkingen uit om scenario's te valideren met behulp van wachtwoord terugschrijven. Voor alle validatiescenario's is cloudsynchronisatie geïnstalleerd en heeft de gebruiker het bereik voor wachtwoord terugschrijven.
| Scenario | Bijzonderheden |
|---|---|
| Wachtwoord opnieuw instellen vanaf de aanmeldingspagina | Laat twee gebruikers losgekoppelde domeinen en forests SSPR uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben binnen het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect en deze gebruikers hun wachtwoord opnieuw laten instellen. |
| Verlopen wachtwoordwijziging afdwingen | Laat twee gebruikers niet-verbonden domeinen en forests verlopen wachtwoorden wijzigen. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar laten implementeren en één gebruiker hebben in het bereik van cloudsynchronisatieconfiguratie en een andere in het bereik van Microsoft Entra Connect. |
| Normale wachtwoordwijziging | Laat twee gebruikers van niet-verbonden domeinen en forests routinematige wachtwoordwijziging uitvoeren. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
| Gebruikerswachtwoord opnieuw instellen door beheerder | Laat twee gebruikers hun wachtwoord opnieuw instellen via het Microsoft Entra-beheercentrum of de Frontline-werkportal. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect |
| Selfserviceaccount ontgrendelen | Laat twee gebruikers losgekoppelde domeinen en forests accounts ontgrendelen in de SSPR-portal, waarbij het wachtwoord opnieuw wordt ingesteld. U kunt microsoft Entra Connect en cloudsynchronisatie ook naast elkaar hebben en één gebruiker hebben in het bereik van de configuratie van cloudsynchronisatie en een andere in het bereik van Microsoft Entra Connect. |
Probleemoplossing
Het beheerde serviceaccount van de Microsoft Entra Connect-cloudsynchronisatiegroep moet de volgende machtigingen hebben ingesteld om de wachtwoorden standaard terug te schrijven:
- Wachtwoord opnieuw instellen
- Schrijfmachtigingen voor lockoutTime
- Schrijfmachtigingen voor pwdLastSet
- Uitgebreide rechten voor 'Wachtwoord ongedaan maken' in het hoofdobject van elk domein in dat forest, als dat nog niet is ingesteld.
Als deze machtigingen niet zijn ingesteld, kunt u de machtiging PasswordWriteBack voor het serviceaccount instellen met behulp van de cmdlet Set-AADCloudSyncPermissions en de referenties van de on-premises ondernemingsbeheerder:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Nadat u de machtigingen hebt bijgewerkt, kan het maximaal een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.
Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar de on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfmachtigingen voor wachtwoorden moeten worden toegepast op onderliggende objecten, zodat de functie correct werkt.
Wachtwoordbeleid in de on-premises AD DS-omgeving voorkomt mogelijk dat het opnieuw instellen van wachtwoorden correct wordt verwerkt. Als u deze functie test en het wachtwoord voor gebruikers meer dan één keer per dag opnieuw wilt instellen, moet het groepsbeleid voor minimale wachtwoordduur zijn ingesteld op 0. Deze instelling vindt u onder Computerconfiguratiebeleid > > Windows Instellingen > Beveiligingsinstellingen > Wachtwoordbeleid > wachtwoordbeleid binnen gpmc.msc.
Als u het groepsbeleid bijwerkt, wacht u tot het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.
Als u wachtwoorden onmiddellijk wilt wijzigen, moet de minimale wachtwoordduur worden ingesteld op 0. Als gebruikers echter voldoen aan het on-premises beleid en de minimale wachtwoordduur is ingesteld op een waarde die groter is dan nul, werkt wachtwoord terugschrijven niet nadat het on-premises beleid is geëvalueerd.
Zie Accountmachtigingen configureren voor Microsoft Entra Connect voor meer informatie over het valideren of instellen van de juiste machtigingen.
Volgende stappen
- Zie Wat is Microsoft Entra Connect-cloudsynchronisatie voor meer informatie over cloudsynchronisatie en een vergelijking tussen Microsoft Entra Connect en cloudsynchronisatie ?
- Voor een zelfstudie over het instellen van wachtwoord terugschrijven met behulp van Microsoft Entra Connect, raadpleegt u de zelfstudie: Selfservice voor het terugschrijven van wachtwoorden inschakelen naar een on-premises omgeving.