Hoe werkt selfservice-wachtwoordresetterugschrijven in Microsoft Entra ID?

Met Microsoft Entra selfservice voor wachtwoordherstel (SSPR) kunnen gebruikers hun wachtwoorden opnieuw instellen in de cloud, maar de meeste bedrijven hebben ook een on-premises AD DS-omgeving (Active Directory Domain Services) voor gebruikers. Met wachtwoord terugschrijven kunnen wachtwoordwijzigingen in de cloud in realtime worden teruggeschreven naar een on-premises map met behulp van Microsoft Entra Connect- of Microsoft Entra Connect-cloudsynchronisatie. Wanneer gebruikers hun wachtwoorden wijzigen of opnieuw instellen met behulp van SSPR in de cloud, worden de bijgewerkte wachtwoorden ook teruggeschreven naar de on-premises AD DS-omgeving.

Belangrijk

In dit conceptuele artikel wordt aan een beheerder uitgelegd hoe het terugschrijven van wachtwoorden via zelfservice werkt. Als u een eindgebruiker bent die al is geregistreerd voor selfservice voor het opnieuw instellen van een wachtwoord en u wilt terugkeren naar uw account, gaat u naar https://aka.ms/sspr.

Als uw IT-team de mogelijkheid om uw eigen wachtwoord opnieuw in te stellen niet heeft ingeschakeld, neemt u contact op met uw helpdesk voor extra hulp.

Wachtwoord terugschrijven wordt ondersteund in omgevingen die gebruikmaken van de volgende hybride identiteitsmodellen:

• wachtwoord-hashsynchronisatie
• passthrough-verificatie
• Active Directory Federation Services

Wachtwoord terugschrijven biedt de volgende functies:

• Afdwingen van on-premises AD DS-wachtwoordbeleid (Active Directory Domain Services): Wanneer een gebruiker het wachtwoord opnieuw instelt, wordt gecontroleerd om te garanderen dat het voldoet aan uw on-premises AD DS-beleid voordat het wordt doorgevoerd in die directory. Deze beoordeling omvat het controleren van de geschiedenis, complexiteit, leeftijd, wachtwoordfilters en eventuele andere wachtwoordbeperkingen die u in AD DS definieert.
• Feedback zonder vertraging: Wachtwoord-terugschrijven is een synchrone bewerking. Gebruikers worden onmiddellijk op de hoogte gesteld als hun wachtwoord niet voldoet aan het beleid of om welke reden dan ook niet opnieuw kunnen worden ingesteld of gewijzigd.
• Ondersteunt wachtwoordwijzigingen in het toegangsvenster en Microsoft 365-: wanneer gefedereerde of wachtwoord-hash-gesynchroniseerde gebruikers hun verlopen of niet-verlopen wachtwoorden wijzigen, worden deze wachtwoorden teruggeschreven naar AD DS.
• Ondersteunt het terugschrijven van wachtwoorden wanneer een beheerder deze opnieuw instelt vanuit het Microsoft Entra-beheercentrum: wanneer een beheerder het wachtwoord van een gebruiker opnieuw instelt in het Microsoft Entra-beheercentrum, wordt het wachtwoord teruggeschreven naar on-premises als die gebruiker is gesynchroniseerd. Deze functionaliteit wordt momenteel niet ondersteund in de Office-beheerportal.
• vereist geen binnenkomende firewallregels: wachtwoord terugschrijven maakt gebruik van een Azure Service Bus-relay als een onderliggend communicatiekanaal. Alle communicatie is uitgaand via poort 443.
• Biedt ondersteuning voor parallelle implementatie op domeinniveau met behulp van Microsoft Entra Connect of cloudsynchronisatie om verschillende groepen gebruikers te benaderen, afhankelijk van hun behoeften, inclusief gebruikers in niet-verbonden domeinen.

Notitie

Het on-premises serviceaccount waarmee aanvragen voor het terugschrijven van wachtwoorden worden verwerkt, kan de wachtwoorden niet wijzigen voor gebruikers die deel uitmaken van beveiligde groepen. Beheerders kunnen hun wachtwoord in de cloud wijzigen, maar ze kunnen wachtwoord terugschrijven niet gebruiken om een vergeten wachtwoord opnieuw in te stellen voor hun on-premises gebruiker. Zie Beveiligde accounts en groepen in AD DSvoor meer informatie over beveiligde groepen.

Voltooi een of beide van de volgende zelfstudies om aan de slag te gaan met het terugschrijven van SSPR:

• Zelfstudie: Selfservice voor wachtwoordherstel (SSPR) terugschrijven inschakelen
• Zelfstudie: Selfservice-wachtwoordherstelfunctie voor Microsoft Entra Connect-cloudsynchronisatie inschakelen voor terugschrijven naar een on-premisesomgeving (preview)

Microsoft Entra Connect en cloudsynchronisatie naast elkaar implementeren

U kunt Microsoft Entra Connect en cloudsynchronisatie naast elkaar in verschillende domeinen implementeren om verschillende groepen gebruikers te richten. Hierdoor kunnen bestaande gebruikers wachtwoordwijzigingen blijven terugschrijven terwijl ze de optie toevoegen in gevallen waarin gebruikers zich in niet-verbonden domeinen bevinden vanwege een fusie of splitsing van een bedrijf. Microsoft Entra Connect en cloudsynchronisatie kunnen worden geconfigureerd in verschillende domeinen, zodat gebruikers van het ene domein Microsoft Entra Connect kunnen gebruiken terwijl gebruikers in een ander domein cloudsynchronisatie gebruiken. Cloudsynchronisatie kan ook hogere beschikbaarheid bieden omdat deze niet afhankelijk is van één exemplaar van Microsoft Entra Connect. Zie Vergelijking tussen Microsoft Entra Connect en cloudsynchronisatievoor een functievergelijking tussen de twee implementatieopties.

Hoe wachtwoord terugschrijven werkt

Wanneer een gebruikersaccount dat is geconfigureerd voor federatie, wachtwoord-hashsynchronisatie (of, in het geval van een Microsoft Entra Connect-implementatie, passthrough-verificatie) probeert een wachtwoord opnieuw in te stellen of te wijzigen in de cloud, vinden de volgende acties plaats:

1. Er wordt een controle uitgevoerd om te zien welk type wachtwoord de gebruiker heeft. Als het wachtwoord on-premises wordt beheerd:

   • Er wordt een controle uitgevoerd om te zien of de writeback-service actief is. Als dat het is, kan de gebruiker doorgaan.
   • Als de write-backservice niet beschikbaar is, wordt de gebruiker geïnformeerd dat het wachtwoord nu niet opnieuw kan worden ingesteld.

2. Vervolgens geeft de gebruiker de juiste verificatiepoorten door en bereikt de wachtwoord opnieuw instellen pagina.

3. De gebruiker selecteert een nieuw wachtwoord en bevestigt het.

4. Wanneer de gebruiker Verzendenselecteert, wordt het platte tekst wachtwoord versleuteld met een openbare sleutel die is gemaakt tijdens het inrichtingsproces voor terugschrijven.

5. Het versleutelde wachtwoord wordt opgenomen in een gegevenspakket dat via een HTTPS-kanaal wordt verzonden naar uw tenantspecifieke Service Bus relay (die voor u is ingesteld tijdens het writeback installatieproces). Deze relay wordt beveiligd door een willekeurig gegenereerd wachtwoord dat alleen uw on-premises installatie kent.

6. Nadat het bericht de servicebus heeft bereikt, wordt het eindpunt voor wachtwoordherstel automatisch geactiveerd en ziet dat er een aanvraag voor opnieuw instellen in behandeling is.

7. De service zoekt vervolgens naar de gebruiker met behulp van het cloudankerkenmerk. Voor een geslaagde zoekopdracht moet aan de volgende voorwaarden worden voldaan:

   • Het gebruikersobject moet aanwezig zijn in de AD DS-connectorruimte.
   • Het gebruikersobject moet worden gekoppeld aan het bijbehorende metaverse-object (MV).
   • Het gebruikersobject moet worden gekoppeld aan het bijbehorende Microsoft Entra-connectorobject.
   • De koppeling van het AD DS-connectorobject naar de MV moet de synchronisatieregel Microsoft.InfromADUserAccountEnabled.xxx op de koppeling hebben.

   Wanneer de aanroep vanuit de cloud binnenkomt, gebruikt de synchronisatie-engine het kenmerk cloudAnchor om het ruimteobject van de Microsoft Entra-connector op te zoeken. Vervolgens volgt u de koppeling terug naar het MV-object en volgt u de koppeling terug naar het AD DS-object. Omdat er meerdere AD DS-objecten (meerdere forests) voor dezelfde gebruiker kunnen zijn, is de synchronisatie-engine afhankelijk van de Microsoft.InfromADUserAccountEnabled.xxx koppeling om de juiste te kiezen.

8. Nadat het gebruikersaccount is gevonden, wordt geprobeerd het wachtwoord rechtstreeks in het juiste AD DS-forest opnieuw in te stellen.

9. Als de bewerking voor het instellen van wachtwoorden is geslaagd, krijgt de gebruiker te horen dat het wachtwoord is gewijzigd.

   Notitie

   Als de wachtwoord-hash van de gebruiker wordt gesynchroniseerd met Microsoft Entra ID met behulp van wachtwoord-hashsynchronisatie, is er een kans dat het on-premises wachtwoordbeleid zwakker is dan het cloudwachtwoordbeleid. In dit geval wordt het on-premises beleid gehandhaafd. Dit beleid zorgt ervoor dat uw on-premises beleid wordt afgedwongen in de cloud, ongeacht of u wachtwoord-hashsynchronisatie of federatie gebruikt om eenmalige aanmelding te bieden.

10. Als de bewerking voor het instellen van wachtwoorden mislukt, wordt de gebruiker gevraagd het opnieuw te proberen. De bewerking kan om de volgende redenen mislukken:

    • De service was niet beschikbaar.
    • Het wachtwoord dat ze hebben geselecteerd, voldoet niet aan het beleid van de organisatie.
    • Kan de gebruiker niet vinden in de lokale AD DS-omgeving.

    De foutberichten bieden gebruikers richtlijnen, zodat ze kunnen proberen om op te lossen zonder tussenkomst van de beheerder.

Beveiliging voor wachtwoord terugschrijven

Wachtwoord terugschrijven is een zeer veilige service. Om ervoor te zorgen dat uw gegevens worden beveiligd, wordt als volgt een beveiligingsmodel met vier lagen ingeschakeld:

• tenantspecifieke servicebus-relais
  • Wanneer u de service instelt, wordt een tenantspecifieke Service Bus Relay ingesteld die wordt beveiligd door een willekeurig gegenereerd sterk wachtwoord waartoe Microsoft nooit toegang heeft.
• vergrendeld, cryptografisch sterk, wachtwoordversleutelingssleutel
  • Nadat de Service Bus Relay is gemaakt, wordt er een sterke symmetrische sleutel gemaakt die wordt gebruikt om het wachtwoord te versleutelen terwijl het via de kabel komt. Deze sleutel bevindt zich alleen in het geheime archief van uw bedrijf in de cloud, dat zwaar is vergrendeld en gecontroleerd, net als elk ander wachtwoord in de directory.
• TLS- (Industrienorm Transportlaagbeveiliging)
  1. Wanneer een bewerking voor het opnieuw instellen of wijzigen van wachtwoorden plaatsvindt in de cloud, wordt het wachtwoord zonder opmaak versleuteld met uw openbare sleutel.
  2. Het versleutelde wachtwoord wordt in een HTTPS-bericht geplaatst dat via een versleuteld kanaal wordt verzonden met behulp van Microsoft TLS/SSL-certificaten naar uw Service Bus Relay.
  3. Nadat het bericht in de servicebus is binnengekomen, wordt uw lokale agent actief en maakt verbinding met de servicebus door het sterke wachtwoord te gebruiken dat eerder is gegenereerd.
  4. De on-premises agent haalt het versleutelde bericht op en ontsleutelt het met behulp van de persoonlijke sleutel.
  5. De on-premises agent probeert het wachtwoord in te stellen via de AD DS SetPassword-API. Deze stap is wat het afdwingen van uw on-premises AD DS-wachtwoordbeleid (zoals de complexiteit, leeftijd, geschiedenis en filters) in de cloud mogelijk maakt.
• verloopbeleid voor berichten
  • Als het bericht zich in de servicebus bevindt omdat uw on-premises service niet beschikbaar is, treedt er een time-out op en wordt het na enkele minuten verwijderd. De time-out en verwijdering van het bericht verhoogt de beveiliging nog verder.

Details over wachtwoordterugschrijvingsversleuteling

Nadat een gebruiker een wachtwoordherstel heeft ingediend, doorloopt de aanvraag voor opnieuw instellen verschillende versleutelingsstappen voordat deze binnenkomt in uw on-premises omgeving. Deze versleutelingsstappen zorgen voor maximale betrouwbaarheid en beveiliging van de service. Ze worden als volgt beschreven:

1. wachtwoordversleuteling met 2048-bits RSA-sleutel: nadat een gebruiker een wachtwoord heeft ingediend dat moet worden teruggeschreven naar on-premises, wordt het ingediende wachtwoord zelf versleuteld met een 2048-bits RSA-sleutel.
2. versleuteling op pakketniveau met 256-bits AES-GCM: het hele pakket, het wachtwoord plus de vereiste metagegevens, wordt versleuteld met behulp van AES-GCM (met een sleutelgrootte van 256 bits). Met deze versleuteling wordt voorkomen dat iedereen met directe toegang tot het onderliggende Service Bus-kanaal de inhoud kan bekijken of manipuleren.
3. Alle communicatie vindt plaats via TLS/SSL: alle communicatie met Service Bus vindt plaats in een SSL/TLS-kanaal. Deze versleuteling beveiligt de inhoud van onbevoegde derden.
4. Elke zes maanden automatische sleutelomrol: alle sleutels worden om de zes maanden omgerold of telkens wanneer wachtwoord terugschrijven is uitgeschakeld en vervolgens opnieuw ingeschakeld op Microsoft Entra Connect om de maximale beveiliging en bescherming van de service te garanderen.

Bandbreedtegebruik voor wachtwoord terugschrijven

Wachtwoord terugschrijven is een service met lage bandbreedte waarmee alleen aanvragen naar de on-premises agent worden verzonden onder de volgende omstandigheden:

• Er worden twee berichten verzonden wanneer de functie is ingeschakeld of uitgeschakeld via Microsoft Entra Connect.
• Eén bericht wordt elke vijf minuten verzonden als een service-heartbeat zolang de service draait.
• Er worden twee berichten verzonden telkens wanneer er een nieuw wachtwoord wordt verzonden:
  • Het eerste bericht is een aanvraag om de bewerking uit te voeren.
  • Het tweede bericht bevat het resultaat van de bewerking en wordt in de volgende omstandigheden verzonden:
    • Telkens wanneer een nieuw wachtwoord wordt verzonden tijdens het opnieuw instellen van een selfservice voor wachtwoordherstel door een gebruiker.
    • Telkens wanneer er een nieuw wachtwoord wordt ingediend tijdens een wijzigingsbewerking van een gebruikerswachtwoord.
    • Telkens wanneer een nieuw wachtwoord wordt ingediend tijdens het opnieuw instellen van een door de beheerder geïnitieerde gebruikerswachtwoord (alleen vanuit de Entra-beheerportals).

Overwegingen voor berichtgrootte en bandbreedte

De grootte van elk bericht dat eerder is beschreven, is doorgaans minder dan 1 kB. Zelfs bij extreme belastingen verbruikt de service voor het terugschrijven van wachtwoorden een paar kilobits per seconde aan bandbreedte. Omdat elk bericht in realtime wordt verzonden, alleen wanneer dit nodig is voor een bewerking voor het bijwerken van een wachtwoord en omdat de berichtgrootte zo klein is, is het bandbreedtegebruik van de write-back-functie te klein om een meetbare impact te hebben.

Ondersteunde terugschrijfbewerkingen

Wachtwoorden worden in alle volgende situaties teruggeschreven:

• Ondersteunde bewerkingen voor eindgebruikers

  • Elke vrijwillige zelfservice-wachtwoordwijziging door de eindgebruiker.
  • Elke zelfbedieningsactie door eindgebruikers om gedwongen wachtwoorden te wijzigen, bijvoorbeeld vanwege het verlopen van wachtwoorden.
  • Elke selfservice wachtwoordherstel van eindgebruikers die afkomstig is van de portal voor wachtwoordherstel.

• Ondersteunde beheerdersbewerkingen

  • Elke vrijwillige self-service wachtwoordwijziging uitgevoerd door een beheerder.
  • Elke zelfbedieningsoperatie door een beheerder om het wachtwoord te wijzigen, bijvoorbeeld wanneer wachtwoorden verlopen.
  • Zelfbedieningsopties voor wachtwoordherstel door beheerders die afkomstig zijn van de wachtwoordherstelportal.
  • Elke door een beheerder geïnitieerde wachtwoordreset van eindgebruikers van het Microsoft Entra-beheercentrum.
  • Elke door de beheerder geïnitieerde wachtwoordreset vanuit de Microsoft Graph API.

Niet-ondersteunde write-backbewerkingen

Wachtwoorden worden niet teruggeschreven in een van de volgende situaties:

• niet-ondersteunde eindgebruikersbewerkingen

  • Eindgebruikers, die hun eigen wachtwoord opnieuw instellen met behulp van PowerShell versie 1, versie 2 of de Microsoft Graph API.

• niet-ondersteunde beheerdersbewerkingen

  • Een door de beheerder geïnitieerde wachtwoordherstel via PowerShell versie 1 of versie 2.
  • Door een beheerder uitgevoerde wachtwoordreset via het Microsoft 365-beheercentrum.
  • Beheerders kunnen het hulpprogramma voor wachtwoordherstel niet gebruiken om hun eigen wachtwoord opnieuw in te stellen voor wachtwoord terugschrijven.

Notitie

Als een gebruiker de optie 'Wachtwoord nooit verloopt' heeft ingesteld in Active Directory (AD), wordt de vlag voor wachtwoordwijziging niet ingesteld in Active Directory (AD), dus de gebruiker wordt niet gevraagd het wachtwoord te wijzigen tijdens de volgende aanmelding, zelfs als de optie om de gebruiker te dwingen zijn wachtwoord te wijzigen bij de volgende aanmeldingsoptie wordt geselecteerd tijdens het opnieuw instellen van het wachtwoord door een beheerder.

Volgende stappen

Voltooi de volgende handleiding om aan de slag te gaan met SSPR-terugschrijven:

Zelfstudie: Selfservice voor wachtwoordherstel (SSPR) terugschrijven inschakelen