Jak działa samoobsługowe zapisywanie zwrotne resetowania haseł w identyfikatorze Entra firmy Microsoft?

Firma Microsoft Entra samoobsługowego resetowania hasła (SSPR) umożliwia użytkownikom resetowanie haseł w chmurze, ale większość firm ma również środowisko usług lokalna usługa Active Directory Domain Services (AD DS) dla użytkowników. Zapisywanie zwrotne haseł umożliwia zapisywanie zmian haseł w chmurze w katalogu lokalnym w czasie rzeczywistym przy użyciu usługi Microsoft Entra Połączenie lub microsoft Entra Połączenie synchronizacji w chmurze. Gdy użytkownicy zmieniają lub resetują swoje hasła przy użyciu samoobsługowego resetowania hasła w chmurze, zaktualizowane hasła są również zapisywane z powrotem w lokalnym środowisku usług AD DS.

Ważne

W tym artykule koncepcyjnym wyjaśniono administratorowi, jak działa samoobsługowe zapisywanie zwrotne resetowania haseł. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Zapisywanie zwrotne haseł jest obsługiwane w środowiskach korzystających z następujących modeli tożsamości hybrydowych:

• Synchronizacja skrótów haseł
• Uwierzytelnianie przekazywane
• Usługi Active Directory Federation Services

Zapisywanie zwrotne haseł zapewnia następujące funkcje:

• Wymuszanie zasad haseł usług lokalna usługa Active Directory Domain Services (AD DS): gdy użytkownik resetuje swoje hasło, sprawdza, czy spełnia on lokalne zasady usług AD DS przed zatwierdzeniem go do tego katalogu. Ten przegląd obejmuje sprawdzanie historii, złożoności, wieku, filtrów haseł i innych ograniczeń haseł zdefiniowanych w usługach AD DS.
• Opinie o zerowym opóźnieniu: Zapisywanie zwrotne haseł jest operacją synchroniczną. Użytkownicy są powiadamiani natychmiast, jeśli ich hasło nie spełnia zasad lub nie można ich zresetować ani zmienić z jakiegokolwiek powodu.
• Obsługuje zmiany haseł z panelu dostępu i platformy Microsoft 365: gdy zsynchronizowani użytkownicy federacyjni lub skrót haseł wejdą w celu zmiany wygasłych lub nie wygasłych haseł, te hasła są zapisywane z powrotem w usługach AD DS.
• Obsługuje zapisywanie zwrotne haseł, gdy administrator resetuje je z centrum administracyjnego firmy Microsoft Entra: gdy administrator resetuje hasło użytkownika w centrum administracyjnym firmy Microsoft Entra, jeśli ten użytkownik jest federacyjny lub zsynchronizowany skrót hasła, hasło jest zapisywane z powrotem do środowiska lokalnego. Ta funkcja nie jest obecnie obsługiwana w portalu administracyjnym pakietu Office.
• Nie wymaga żadnych reguł zapory dla ruchu przychodzącego: zapisywanie zwrotne haseł używa przekaźnika usługi Azure Service Bus jako bazowego kanału komunikacyjnego. Cała komunikacja jest wychodząca przez port 443.
• Obsługuje równoległe wdrażanie na poziomie domeny przy użyciu usługi Microsoft Entra Połączenie lub synchronizacji w chmurze w celu kierowania różnych zestawów użytkowników w zależności od ich potrzeb, w tym użytkowników, którzy znajdują się w domenach bez połączenia.

Uwaga

Lokalne konto usługi obsługujące żądania zapisywania zwrotnego haseł nie może zmienić haseł dla użytkowników należących do chronionych grup. Administracja istratorzy mogą zmienić hasło w chmurze, ale nie mogą używać zapisywania zwrotnego haseł w celu zresetowania zapomnianego hasła dla użytkownika lokalnego. Aby uzyskać więcej informacji na temat chronionych grup, zobacz Chronione konta i grupy w usługach AD DS.

Aby rozpocząć pracę z zapisywaniem zwrotnym samoobsługowego resetowania hasła, wykonaj jedną lub obie z następujących samouczków:

• Samouczek: włączanie samoobsługowego resetowania hasła (SSPR) zapisywania zwrotnego
• Samouczek: włączanie funkcji samoobsługowego zapisywania zwrotnego funkcji samoobsługowego resetowania haseł w usłudze Microsoft Entra Połączenie w chmurze w środowisku lokalnym (wersja zapoznawcza)

Microsoft Entra Połączenie i wdrożenie synchronizacji w chmurze

Możesz wdrożyć usługę Microsoft Entra Połączenie i synchronizację w chmurze obok siebie w różnych domenach, aby kierować do różnych zestawów użytkowników. Pomaga to istniejącym użytkownikom w dalszym ciągu zapisywać zmiany haseł podczas dodawania opcji w przypadkach, gdy użytkownicy znajdują się w domenach bez połączenia lub podziału firmy. Firma Microsoft Entra Połączenie i synchronizacja w chmurze można skonfigurować w różnych domenach, aby użytkownicy z jednej domeny mogli korzystać z usługi Microsoft Entra Połączenie, podczas gdy użytkownicy w innej domenie korzystają z synchronizacji w chmurze. Synchronizacja w chmurze może również zapewnić wyższą dostępność, ponieważ nie polega na pojedynczym wystąpieniu usługi Microsoft Entra Połączenie. Aby zapoznać się z porównaniem funkcji między dwiema opcjami wdrażania, zobacz Porównanie między usługą Microsoft Entra Połączenie i synchronizacją w chmurze.

Jak działa zapisywanie zwrotne haseł

Gdy konto użytkownika skonfigurowane na potrzeby federacji, synchronizacja skrótów haseł (lub w przypadku wdrożenia usługi Microsoft Entra Połączenie, uwierzytelnianie przekazywane) próbuje zresetować lub zmienić hasło w chmurze, są wykonywane następujące akcje:

1. Wykonywane jest sprawdzenie, jaki typ hasła ma użytkownik. Jeśli hasło jest zarządzane lokalnie:

   • Wykonywane jest sprawdzanie, czy usługa zapisywania zwrotnego jest uruchomiona. Jeśli tak jest, użytkownik może kontynuować.
   • Jeśli usługa zapisywania zwrotnego nie działa, użytkownik otrzymuje informację, że nie można teraz zresetować hasła.

2. Następnie użytkownik przekazuje odpowiednie bramy uwierzytelniania i dociera do strony Resetowanie hasła .

3. Użytkownik wybiera nowe hasło i potwierdza je.

4. Gdy użytkownik wybierze pozycję Prześlij, hasło w postaci zwykłego tekstu jest szyfrowane przy użyciu klucza publicznego utworzonego podczas procesu instalacji zapisywania zwrotnego.

5. Zaszyfrowane hasło znajduje się w ładunku, który jest wysyłany za pośrednictwem kanału HTTPS do przekaźnika usługi Service Bus specyficznego dla dzierżawy (który jest skonfigurowany dla Ciebie podczas procesu instalacji zapisywania zwrotnego). Ten przekaźnik jest chroniony przez losowo wygenerowane hasło, które zna tylko instalacja lokalna.

6. Po dotarciu do magistrali usług punkt końcowy resetowania hasła automatycznie wznawia się i widzi, że ma oczekujące żądanie resetowania.

7. Następnie usługa wyszukuje użytkownika przy użyciu atrybutu kotwicy chmury. Aby to wyszukiwanie powiodło się, należy spełnić następujące warunki:

   • Obiekt użytkownika musi istnieć w przestrzeni łącznika usług AD DS.
   • Obiekt użytkownika musi być połączony z odpowiednim obiektem metaverse (MV).
   • Obiekt użytkownika musi być połączony z odpowiednim obiektem łącznika Microsoft Entra.
   • Link z obiektu łącznika usług AD DS do MV musi mieć regułę Microsoft.InfromADUserAccountEnabled.xxx synchronizacji na linku.

   Gdy wywołanie pochodzi z chmury, aparat synchronizacji używa atrybutu cloudAnchor , aby wyszukać obiekt przestrzeni łącznika Entra firmy Microsoft. Następnie następuje link z powrotem do obiektu MV, a następnie następuje po linku z powrotem do obiektu usług AD DS. Ponieważ dla tego samego użytkownika może istnieć wiele obiektów usług AD DS (wiele lasów), aparat synchronizacji korzysta z linku Microsoft.InfromADUserAccountEnabled.xxx w celu wybrania poprawnego.

8. Po znalezieniu konta użytkownika zostanie podjęta próba zresetowania hasła bezpośrednio w odpowiednim lesie usług AD DS.

9. Jeśli operacja zestawu haseł zakończy się pomyślnie, użytkownik zostanie poinformowany o zmianie hasła.

   Uwaga

   Jeśli skrót hasła użytkownika jest synchronizowany z identyfikatorem Entra firmy Microsoft przy użyciu synchronizacji skrótów haseł, istnieje prawdopodobieństwo, że lokalne zasady haseł są słabsze niż zasady haseł w chmurze. W takim przypadku zasady lokalne są wymuszane. Te zasady zapewniają, że zasady lokalne są wymuszane w chmurze, niezależnie od tego, czy używasz synchronizacji skrótów haseł lub federacji w celu zapewnienia logowania jednokrotnego.

10. Jeśli operacja zestawu haseł nie powiedzie się, zostanie wyświetlony komunikat o błędzie z monitem użytkownika o ponowną próbę. Operacja może zakończyć się niepowodzeniem z następujących powodów:

    • Usługa została wyłączona.
    • Wybrane hasło nie spełnia zasad organizacji.
    • Nie można odnaleźć użytkownika w lokalnym środowisku usług AD DS.

    Komunikaty o błędach zawierają wskazówki dla użytkowników, aby mogli spróbować rozwiązać problem bez interwencji administratora.

Zabezpieczenia zapisywania zwrotnego haseł

Zapisywanie zwrotne haseł to wysoce bezpieczna usługa. Aby zapewnić ochronę informacji, model zabezpieczeń czterowarstwowy jest włączony w następujący sposób:

• Przekaźnik service-bus specyficzny dla dzierżawy
  • Po skonfigurowaniu usługi przekaźnik magistrali usług specyficzny dla dzierżawy jest skonfigurowany, który jest chroniony przez losowo wygenerowane silne hasło, do którego firma Microsoft nigdy nie ma dostępu.
• Zablokowane, kryptograficznie silne, klucz szyfrowania haseł
  • Po utworzeniu przekaźnika usługi Service Bus tworzony jest silny klucz symetryczny, który jest używany do szyfrowania hasła podczas jego przesyłania przez przewody. Ten klucz znajduje się tylko w tajnym magazynie firmy w chmurze, który jest mocno zablokowany i poddany inspekcji, podobnie jak każde inne hasło w katalogu.
• Standard branżowy Transport Layer Security (TLS)
  1. Gdy operacja resetowania lub zmiany hasła odbywa się w chmurze, hasło w postaci zwykłego tekstu jest szyfrowane przy użyciu klucza publicznego.
  2. Zaszyfrowane hasło jest umieszczane w wiadomości HTTPS wysyłanej za pośrednictwem zaszyfrowanego kanału przy użyciu certyfikatów TLS/SSL firmy Microsoft do przekaźnika usługi Service Bus.
  3. Po nadejściu komunikatu w magistrali usług agent lokalny wznawia i uwierzytelnia się w usłudze Service Bus przy użyciu silnego hasła, które zostało wcześniej wygenerowane.
  4. Agent lokalny pobiera zaszyfrowany komunikat i odszyfrowuje go przy użyciu klucza prywatnego.
  5. Agent lokalny próbuje ustawić hasło za pomocą interfejsu API SetPassword usług AD DS. Ten krok umożliwia wymuszanie lokalnych zasad haseł usług AD DS (takich jak złożoność, wiek, historia i filtry) w chmurze.
• Zasady wygasania komunikatów
  • Jeśli komunikat znajduje się w usłudze Service Bus, ponieważ usługa lokalna nie działa, upłynął limit czasu i zostanie usunięty po kilku minutach. Przekroczenie limitu czasu i usunięcie komunikatu jeszcze bardziej zwiększa bezpieczeństwo.

Szczegóły szyfrowania zwrotnego haseł

Po przesłaniu przez użytkownika resetowania hasła żądanie resetowania przechodzi przez kilka kroków szyfrowania przed przybyciem do środowiska lokalnego. Te kroki szyfrowania zapewniają maksymalną niezawodność i bezpieczeństwo usługi. Są one opisane w następujący sposób:

1. Szyfrowanie haseł przy użyciu 2048-bitowego klucza RSA: po przesłaniu przez użytkownika hasła, które ma zostać zapisane z powrotem do środowiska lokalnego, przesłane hasło jest szyfrowane przy użyciu klucza RSA w wersji 2048-bitowej.
2. Szyfrowanie na poziomie pakietu z 256-bitowym szyfrowaniem AES-GCM: cały pakiet, hasło i wymagane metadane, jest szyfrowane przy użyciu usługi AES-GCM (z rozmiarem klucza 256 bitów). To szyfrowanie uniemożliwia wszystkim osobom z bezpośrednim dostępem do bazowego kanału usługi Service Bus wyświetlanie lub manipulowanie zawartością.
3. Cała komunikacja odbywa się za pośrednictwem protokołu TLS/SSL: Cała komunikacja z usługą Service Bus odbywa się w kanale SSL/TLS. To szyfrowanie zabezpiecza zawartość przed nieautoryzowanymi osobami trzecimi.
4. Automatyczne przerzucanie klucza co sześć miesięcy: wszystkie klucze są przerzucane co sześć miesięcy lub za każdym razem, gdy zapisywanie zwrotne haseł jest wyłączone, a następnie ponownie włączone w usłudze Microsoft Entra Połączenie, aby zapewnić maksymalną ochronę i bezpieczeństwo usługi.

Użycie przepustowości zapisywania zwrotnego haseł

Zapisywanie zwrotne haseł to usługa o niskiej przepustowości, która wysyła żądania tylko do agenta lokalnego w następujących okolicznościach:

• Dwa komunikaty są wysyłane, gdy funkcja jest włączona lub wyłączona za pośrednictwem usługi Microsoft Entra Połączenie.
• Jeden komunikat jest wysyłany co pięć minut jako puls usługi tak długo, jak usługa jest uruchomiona.
• Dwa komunikaty są wysyłane za każdym razem, gdy zostanie przesłane nowe hasło:
  • Pierwszy komunikat to żądanie wykonania operacji.
  • Drugi komunikat zawiera wynik operacji i jest wysyłany w następujących okolicznościach:
    • Za każdym razem, gdy nowe hasło jest przesyłane podczas samoobsługowego resetowania hasła użytkownika.
    • Za każdym razem, gdy nowe hasło jest przesyłane podczas operacji zmiany hasła użytkownika.
    • Przy każdym przesłaniu nowego hasła podczas resetowania hasła zainicjowanego przez administratora (tylko w portalach administracyjnych platformy Azure).

Zagadnienia dotyczące rozmiaru i przepustowości komunikatów

Rozmiar każdego z opisanych wcześniej komunikatów wynosi zwykle poniżej 1 KB. Nawet w przypadku ekstremalnych obciążeń sama usługa zapisywania zwrotnego haseł zużywa kilka kilobitów na sekundę przepustowości. Ponieważ każdy komunikat jest wysyłany w czasie rzeczywistym, tylko wtedy, gdy jest to wymagane przez operację aktualizacji hasła, a rozmiar komunikatu jest tak mały, użycie przepustowości możliwości zapisywania zwrotnego jest zbyt małe, aby mieć wymierny wpływ.

Obsługiwane operacje zapisywania zwrotnego

Hasła są zapisywane w następujących sytuacjach:

• Obsługiwane operacje użytkowników końcowych

  • Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez użytkownika końcowego.
  • Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
  • Każde samoobsługowe resetowanie hasła przez użytkownika końcowego pochodzące z portalu resetowania hasła.

• Obsługiwane operacje administratora

  • Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez administratora.
  • Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
  • Każde samoobsługowe resetowanie hasła administratora pochodzące z portalu resetowania haseł.
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego firmy Microsoft Entra.
  • Każde zainicjowane przez administratora resetowanie hasła użytkownika końcowego z interfejsu API programu Microsoft Graph.

Nieobsługiwane operacje zapisywania zwrotnego

Hasła nie są zapisywane w żadnej z następujących sytuacji:

• Nieobsługiwane operacje użytkownika końcowego
  • Każdy użytkownik końcowy resetujący własne hasło przy użyciu programu PowerShell w wersji 1, wersji 2 lub interfejsu API programu Microsoft Graph.
• Nieobsługiwane operacje administratora
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z programu PowerShell w wersji 1 lub w wersji 2.
  • Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z Centrum administracyjne platformy Microsoft 365.
  • Żaden administrator nie może korzystać z narzędzia do resetowania haseł, aby zresetować własne hasło na potrzeby funkcji zapisywania zwrotnego haseł.

Ostrzeżenie

Użyj pola wyboru "Użytkownik musi zmienić hasło przy następnym logowaniu" w lokalnych narzędziach administracyjnych usług AD DS, takich jak Użytkownicy i komputery usługi Active Directory lub Active Directory Administracja istrative Center jest obsługiwany jako funkcja w wersji zapoznawczej firmy Microsoft Entra Połączenie. Aby uzyskać więcej informacji, zobacz Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Połączenie Sync.

Uwaga

Jeśli użytkownik ma opcję "Hasło nigdy nie wygasa" ustawioną w usłudze Active Directory (AD), flaga wymuszania zmiany hasła nie zostanie ustawiona w usłudze Active Directory (AD), więc użytkownik nie zostanie poproszony o zmianę hasła podczas następnego logowania, nawet jeśli podczas następnego resetowania hasła użytkownika końcowego zostanie wybrana opcja wymuszania zmiany hasła przez użytkownika końcowego.

Następne kroki

Aby rozpocząć pracę z zapisywaniem zwrotnym samoobsługowego resetowania hasła, wykonaj czynności opisane w następującym samouczku:

Samouczek: włączanie samoobsługowego resetowania hasła (SSPR) zapisywania zwrotnego