Zelfstudie: Selfservice voor het terugschrijven van wachtwoorden in Microsoft Entra inschakelen naar een on-premises omgeving

Met Microsoft Entra selfservice voor wachtwoordherstel (SSPR) kunnen gebruikers hun wachtwoord bijwerken of hun account ontgrendelen met behulp van een webbrowser. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID. In een hybride omgeving waarin Microsoft Entra ID is verbonden met een on-premises Active Directory-domein Services-omgeving (AD DS), kan dit scenario ertoe leiden dat wachtwoorden verschillen tussen de twee directory's.

Wachtwoord terugschrijven kan worden gebruikt voor het synchroniseren van wachtwoordwijzigingen in Microsoft Entra naar uw on-premises AD DS-omgeving. Microsoft Entra Connect biedt een beveiligd mechanisme voor het terugsturen van deze wachtwoordwijzigingen naar een bestaande on-premises map van Microsoft Entra ID.

Belangrijk

Deze zelfstudie laat een beheerder zien hoe u selfservice voor wachtwoordherstel kunt inschakelen naar een on-premises omgeving. Als u een eindgebruiker bent die al is geregistreerd voor selfservice voor het opnieuw instellen van wachtwoorden en u weer toegang wilt krijgen tot uw account, gaat u naar https://aka.ms/sspr.

Als uw IT-team de mogelijkheid om uw eigen wachtwoord opnieuw in te stellen niet heeft ingeschakeld, neemt u contact op met uw helpdesk voor extra hulp.

In deze zelfstudie leert u het volgende:

• De vereiste machtigingen voor wachtwoord terugschrijven configureren
• De optie wachtwoord terugschrijven inschakelen in Microsoft Entra Connect
• Wachtwoord terugschrijven inschakelen in Microsoft Entra SSPR

Voorwaarden

U hebt de volgende resources en bevoegdheden nodig om deze zelfstudie te voltooien:

• Een werkende Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld.
  • Indien nodig kunt u er gratis een maken.
  • Zie Licentievereisten voor Microsoft Entra SSPR voor meer informatie.
• Een account met hybride identiteitsbeheerder.
• Microsoft Entra-id geconfigureerd voor selfservice voor wachtwoordherstel.
  • Voltooi indien nodig de vorige zelfstudie om Microsoft Entra SSPR in te schakelen.
• Een bestaande on-premises AD DS-omgeving die is geconfigureerd met een huidige versie van Microsoft Entra Connect.
  • Configureer Microsoft Entra Connect indien nodig met behulp van de Express - of Aangepaste instellingen.
  • Als u wachtwoord terugschrijven wilt gebruiken, kunnen domeincontrollers elke ondersteunde versie van Windows Server uitvoeren.

Accountmachtigingen configureren voor Microsoft Entra Connect

Met Microsoft Entra Connect kunt u gebruikers, groepen en referenties synchroniseren tussen een on-premises AD DS-omgeving en Microsoft Entra-id. Doorgaans installeert u Microsoft Entra Connect op een Computer met Windows Server 2016 of hoger die is gekoppeld aan het on-premises AD DS-domein.

Als u het terugschrijven van SSPR correct wilt gebruiken, moet het account dat is opgegeven in Microsoft Entra Connect, beschikken over de juiste machtigingen en opties. Als u niet zeker weet welk account momenteel wordt gebruikt, opent u Microsoft Entra Connect en selecteert u de optie Huidige configuratie weergeven. Het account waaraan u machtigingen moet toevoegen, wordt vermeld onder Gesynchroniseerde mappen. De volgende machtigingen en opties moeten worden ingesteld voor het account:

• Wachtwoord opnieuw instellen
• Wachtwoord wijzigen
• Schrijfmachtigingen voor lockoutTime
• Schrijfmachtigingen voor pwdLastSet
• Uitgebreide rechten voor 'Wachtwoord ongedaan maken' in het hoofdobject van elk domein in dat forest, als dat nog niet is ingesteld.

Als u deze machtigingen niet toewijst, lijkt terugschrijven mogelijk correct te zijn geconfigureerd, maar treden gebruikers fouten op wanneer ze hun on-premises wachtwoorden vanuit de cloud beheren. Wanneer u de machtigingen 'Wachtwoord ongedaan maken' instelt in Active Directory, moet deze worden toegepast op dit object en alle onderliggende objecten, alleen dit object of alle onderliggende objecten, of alle onderliggende objecten, of de machtiging Niet-verlopen wachtwoord kan niet worden weergegeven.

Fooi

Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar de on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfmachtigingen voor wachtwoorden moeten worden toegepast op onderliggende objecten, zodat de functie correct werkt.

Voer de volgende stappen uit om de juiste machtigingen in te stellen voor het terugschrijven van wachtwoorden:

1. Open Active Directory in uw on-premises AD DS-omgeving met een account met de juiste domeinbeheerdersmachtigingen.
2. Controleer in het menu Beeld of Geavanceerde functies zijn ingeschakeld.
3. Selecteer in het linkerdeelvenster met de rechtermuisknop het object dat de hoofdmap van het domein vertegenwoordigt en selecteer Eigenschappenbeveiliging>>Geavanceerd.
4. Selecteer Toevoegen op het tabblad Machtigingen.
5. Selecteer voor Principal het account waarop machtigingen moeten worden toegepast (het account dat wordt gebruikt door Microsoft Entra Connect).
6. Selecteer in de vervolgkeuzelijst Van toepassing op onderliggende gebruikersobjecten.
7. Selecteer onder Machtigingen het selectievakje voor de volgende optie:
   • Wachtwoord opnieuw instellen
8. Selecteer onder Eigenschappen de vakken voor de volgende opties. Blader door de lijst om deze opties te vinden, die mogelijk al standaard zijn ingesteld:

• LockoutTime schrijven

• PwdLastSet schrijven

  

1. Wanneer u klaar bent, selecteert u Toepassen/OK om de wijzigingen toe te passen.
2. Selecteer Toevoegen op het tabblad Machtigingen.
3. Selecteer voor Principal het account waarop machtigingen moeten worden toegepast (het account dat wordt gebruikt door Microsoft Entra Connect).
4. Selecteer in de vervolgkeuzelijst Van toepassing op dit object en alle onderliggende objecten
5. Selecteer onder Machtigingen het selectievakje voor de volgende optie:
   • Niet-verlopen wachtwoord
6. Wanneer u klaar bent, selecteert u Toepassen/OK om de wijzigingen toe te passen en sluit u alle geopende dialoogvensters af.

Wanneer u machtigingen bijwerkt, kan het tot een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.

Wachtwoordbeleid in de on-premises AD DS-omgeving voorkomt mogelijk dat het opnieuw instellen van wachtwoorden correct wordt verwerkt. Wachtwoord terugschrijven werkt het beste als het groepsbeleid voor minimale wachtwoordduur is ingesteld op 0. Deze instelling vindt u onder Computerconfiguratiebeleid > > Windows Instellingen > Beveiligingsinstellingen > Accountbeleid binnen gpmc.msc.

Als u het groepsbeleid bijwerkt, wacht u tot het bijgewerkte beleid is gerepliceerd of gebruikt u de gpupdate /force opdracht.

Notitie

Als u wilt toestaan dat gebruikers wachtwoorden meer dan één keer per dag kunnen wijzigen of opnieuw instellen, moet de minimale wachtwoordduur zijn ingesteld op 0. Wachtwoord terugschrijven werkt nadat het on-premises wachtwoordbeleid is geëvalueerd.

Wachtwoord terugschrijven inschakelen in Microsoft Entra Connect

Een van de configuratieopties in Microsoft Entra Connect is voor wachtwoord terugschrijven. Wanneer deze optie is ingeschakeld, zorgen wachtwoordwijzigingsgebeurtenissen ervoor dat Microsoft Entra Connect de bijgewerkte referenties weer synchroniseert met de on-premises AD DS-omgeving.

Als u SSPR-writeback wilt inschakelen, moet u eerst de optie voor terugschrijven inSchakelen in Microsoft Entra Connect inschakelen. Voer vanaf uw Microsoft Entra Connect-server de volgende stappen uit:

1. Meld u aan bij uw Microsoft Entra Connect-server en start de configuratiewizard van Microsoft Entra Connect .
2. Selecteer Configureren op de welkomstpagina.
3. Selecteer op de pagina Aanvullende taken de optie Synchronisatieopties aanpassen en selecteer vervolgens Volgende.
4. Voer op de pagina Verbinding maken met Microsoft Entra-id een hybride beheerdersreferentie voor uw Azure-tenant in en selecteer vervolgens Volgende.
5. Selecteer Volgende op de pagina's Verbinding maken met mappen en domein-/OE-filterpagina's.
6. Selecteer op de pagina Optionele functies het vak naast Wachtwoord terugschrijven en selecteer Volgende.
7. Selecteer Volgende op de pagina Directory-extensies.
8. Selecteer configureren op de pagina Gereed om te configureren de optie Configureren en wacht tot het proces is voltooid.
9. Wanneer de configuratie is voltooid, selecteert u Afsluiten.

Notitie

Het bijwerken PasswordWritebackEnabled van onPremDirectorySynchronization-servicefuncties wordt niet ondersteund omdat deze functievlag niet wordt gebruikt.

Wachtwoord terugschrijven inschakelen voor SSPR

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Als wachtwoord terugschrijven is ingeschakeld in Microsoft Entra Connect, configureert u nu Microsoft Entra SSPR voor write-back. SSPR kan worden geconfigureerd voor terugschrijven via Microsoft Entra Connect Sync-agents en Microsoft Entra Connect-inrichtingsagents (cloudsynchronisatie). Wanneer u SSPR inschakelt voor het terugschrijven van wachtwoorden, hebben gebruikers die hun wachtwoord wijzigen of opnieuw instellen, ook het bijgewerkte wachtwoord gesynchroniseerd met de on-premises AD DS-omgeving.

Voer de volgende stappen uit om wachtwoord terugschrijven in te schakelen in SSPR:

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Controleer de optie voor wachtwoorden terugschrijven naar uw on-premises map .
4. (optioneel) Als Microsoft Entra Connect-inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Connect-cloudsynchronisatie.
5. Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
6. Wanneer u klaar bent, selecteert u Opslaan.

Resources opschonen

Als u de SSPR-writeback-functionaliteit die u hebt geconfigureerd als onderdeel van deze zelfstudie niet meer wilt gebruiken, voert u de volgende stappen uit:

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Schakel de optie voor Wachtwoorden terugschrijven naar uw on-premises map uit.
4. Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
5. Schakel de optie Toestaan dat gebruikers accounts ontgrendelen zonder hun wachtwoord opnieuw in te stellen.
6. Wanneer u klaar bent, selecteert u Opslaan.

Als u de Microsoft Entra Connect-cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar de Microsoft Entra Connect Sync-agent wilt blijven gebruiken voor writebacks, voert u de volgende stappen uit:

1. Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
3. Schakel de optie voor Wachtwoorden terugschrijven uit met Microsoft Entra Connect-cloudsynchronisatie.
4. Wanneer u klaar bent, selecteert u Opslaan.

Als u geen wachtwoordfunctionaliteit meer wilt gebruiken, voert u de volgende stappen uit vanaf uw Microsoft Entra Connect-server:

1. Meld u aan bij uw Microsoft Entra Connect-server en start de configuratiewizard van Microsoft Entra Connect .
2. Selecteer Configureren op de welkomstpagina.
3. Selecteer op de pagina Aanvullende taken de optie Synchronisatieopties aanpassen en selecteer vervolgens Volgende.
4. Voer op de pagina Verbinding maken met Microsoft Entra-id een referentie voor hybride beheerder in en selecteer vervolgens Volgende.
5. Selecteer Volgende op de pagina's Verbinding maken met mappen en domein-/OE-filterpagina's.
6. Schakel op de pagina Optionele functies het selectievakje naast Wachtwoord terugschrijven uit en selecteer Volgende.
7. Selecteer configureren op de pagina Gereed om te configureren de optie Configureren en wacht tot het proces is voltooid.
8. Wanneer de configuratie is voltooid, selecteert u Afsluiten.

Belangrijk

Als u wachtwoord terugschrijven voor de eerste keer inschakelt, kan wachtwoordwijzigingsgebeurtenissen 656 en 657 activeren, zelfs als er geen wachtwoordwijziging is opgetreden. Dit komt doordat alle wachtwoordhashes opnieuw worden gesynchroniseerd nadat een wachtwoord-hashsynchronisatiecyclus is uitgevoerd.

Volgende stappen

In deze zelfstudie hebt u Writeback van Microsoft Entra SSPR ingeschakeld voor een on-premises AD DS-omgeving. U hebt geleerd hoe u het volgende kunt doen:

• De vereiste machtigingen voor wachtwoord terugschrijven configureren
• De optie wachtwoord terugschrijven inschakelen in Microsoft Entra Connect
• Wachtwoord terugschrijven inschakelen in Microsoft Entra SSPR

Risico's evalueren bij aanmelden