Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł w usłudze Azure Active Directory w środowisku lokalnym

Za pomocą samoobsługowego resetowania haseł (SSPR) w usłudze Azure Active Directory (Azure AD) użytkownicy mogą aktualizować swoje hasło lub odblokowywać swoje konto przy użyciu przeglądarki internetowej. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w Azure AD. W środowisku hybrydowym, w którym Azure AD jest połączony ze środowiskiem usług lokalna usługa Active Directory Domain Services (AD DS), ten scenariusz może powodować różnice haseł między dwoma katalogami.

Zapisywanie zwrotne haseł może służyć do synchronizowania zmian haseł w Azure AD z powrotem do lokalnego środowiska usług AD DS. Azure AD Connect zapewnia bezpieczny mechanizm wysyłania tych zmian haseł z powrotem do istniejącego katalogu lokalnego z Azure AD.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła z powrotem do środowiska lokalnego. Jeśli jesteś użytkownikiem końcowym, który jest już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do swojego konta, przejdź do strony https://aka.ms/sspr.

Jeśli Twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
  • Włącz opcję zapisywania zwrotnego haseł w programie Azure AD Connect
  • Włączanie zapisywania zwrotnego haseł w funkcji samoobsługowego resetowania hasła Azure AD

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Konfigurowanie uprawnień konta dla programu Azure AD Connect

Azure AD Connect umożliwia synchronizowanie użytkowników, grup i poświadczeń między lokalnym środowiskiem usług AD DS i Azure AD. Zazwyczaj program Azure AD Connect jest instalowany na komputerze Windows Server 2016 lub nowszym, który jest przyłączony do lokalnej domeny usług AD DS.

Aby poprawnie pracować z zapisywaniem zwrotnym samoobsługowego resetowania hasła, konto określone w Azure AD Connect musi mieć odpowiednie uprawnienia i opcje ustawione. Jeśli nie masz pewności, które konto jest aktualnie używane, otwórz Azure AD Połącz i wybierz opcję Wyświetl bieżącą konfigurację. Konto, do którego chcesz dodać uprawnienia, znajduje się na liście w obszarze Zsynchronizowane katalogi. Na koncie należy ustawić następujące uprawnienia i opcje:

  • Resetowanie hasła
  • Uprawnienia do zapisulockoutTime
  • Uprawnienia do zapisupwdLastSet
  • Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli nie zostały jeszcze ustawione.

Jeśli nie przypiszesz tych uprawnień, zapisywanie zwrotne może wydawać się skonfigurowane poprawnie, ale użytkownicy napotykają błędy podczas zarządzania hasłami lokalnymi z chmury. Podczas ustawiania uprawnień "Unexpire Password" w usłudze Active Directory należy go zastosować do tego obiektu i wszystkich obiektów potomnych, Tylko ten obiekt lub Wszystkie obiekty podrzędne lub nie można wyświetlić uprawnienia "Nierozwiązane hasło".

Porada

Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku lokalnym usług AD DS. Aby funkcja działała prawidłowo, uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych.

Aby skonfigurować odpowiednie uprawnienia do zapisywania zwrotnego haseł, wykonaj następujące kroki:

  1. W lokalnym środowisku usług AD DS otwórz Użytkownicy i komputery usługi Active Directory przy użyciu konta z odpowiednimi uprawnieniami administratora domeny.

  2. Z menu Widok upewnij się, że funkcje zaawansowane są włączone.

  3. W panelu po lewej stronie wybierz prawym przyciskiem pozycję obiekt reprezentujący katalog główny domeny, a następnie wybierz pozycję Właściwości>Zaawansowane zabezpieczenia>.

  4. Na karcie Uprawnienia wybierz pozycję Dodaj.

  5. W polu Podmiot zabezpieczeń wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez program Azure AD Connect).

  6. Na liście rozwijanej Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego.

  7. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:

    • Resetowanie hasła
  8. W obszarze Właściwości zaznacz pola dla następujących opcji. Przewiń listę, aby znaleźć te opcje, które mogą być już ustawione domyślnie:

    • Zapis lockoutTime
    • Pisanie elementu pwdLastSet

    Ustaw odpowiednie uprawnienia w obszarze Aktywni użytkownicy i komputery dla konta używanego przez program Azure AD Connect

  9. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany.

  10. Na karcie Uprawnienia wybierz pozycję Dodaj.

  11. W polu Podmiot zabezpieczeń wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez program Azure AD Connect).

  12. Na liście rozwijanej Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne.

  13. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:

    • Niezaszypnij hasła
  14. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK, aby zastosować zmiany i zamknąć wszystkie otwarte okna dialogowe.

Podczas aktualizowania uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.

Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić poprawne przetwarzanie resetowania haseł. Aby zapisywanie zwrotne haseł działało najwydajniej, należy ustawić zasady grupy minimalnego wieku hasła na 0. To ustawienie można znaleźć w obszarze Zasady > konfiguracji > komputera Ustawienia zabezpieczeń Ustawienia > systemu > Windows Zasady konta w programie gpmc.msc.

Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .

Uwaga

Jeśli chcesz zezwolić użytkownikom na zmianę lub resetowanie haseł więcej niż raz dziennie, minimalny wiek hasła musi mieć wartość 0. Zapisywanie zwrotne haseł będzie działać po pomyślnym przeprowadzeniu oceny lokalnych zasad haseł.

Włączanie zapisywania zwrotnego haseł w programie Azure AD Connect

Jedną z opcji konfiguracji w programie Azure AD Connect jest zapisywanie zwrotne haseł. Po włączeniu tej opcji zdarzenia zmiany hasła powodują, że Azure AD Connect zsynchronizuj zaktualizowane poświadczenia z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego samoobsługowego resetowania hasła, najpierw włącz opcję zapisywania zwrotnego w programie Azure AD Connect. Na serwerze Azure AD Connect wykonaj następujące czynności:

  1. Zaloguj się do serwera Azure AD Connect i uruchom kreatora konfiguracji Azure AD Connect.

  2. Na stronie powitalnej wybierz pozycję Konfiguruj.

  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.

  4. Na stronie Łączenie z Azure AD wprowadź poświadczenia administratora globalnego dla dzierżawy platformy Azure, a następnie wybierz przycisk Dalej.

  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.

  6. Na stronie Funkcje opcjonalne zaznacz pole obok pozycji Zapisywanie zwrotne haseł i wybierz pozycję Dalej.

    Konfigurowanie programu Azure AD Connect na potrzeby zapisywania zwrotnego haseł

  7. Na stronie Rozszerzenia katalogu wybierz pozycję Dalej.

  8. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.

  9. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Włączanie zapisywania zwrotnego haseł dla samoobsługowego resetowania hasła

Po włączeniu zapisywania zwrotnego haseł w programie Azure AD Connect skonfiguruj teraz Azure AD samoobsługowego resetowania hasła na potrzeby zapisywania zwrotnego. Samoobsługowe resetowanie hasła można skonfigurować do zapisywania zwrotnego za pośrednictwem agentów synchronizacji programu Azure AD Connect i agentów aprowizacji Azure AD Connect (synchronizacja w chmurze). Po włączeniu samoobsługowego resetowania hasła w celu używania funkcji zapisywania zwrotnego haseł użytkownicy, którzy zmieniają lub resetują swoje hasło, również zaktualizowali hasło z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego haseł w funkcji samoobsługowego resetowania hasła, wykonaj następujące kroki:

  1. Zaloguj się do Azure Portal przy użyciu konta administratora tożsamości hybrydowej.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.

  3. Zaznacz opcję Zapisuj hasła zwrotne do katalogu lokalnego .

  4. (opcjonalnie) W przypadku wykrycia Azure AD Connect provisioning agents (Łączenie agentów aprowizacji) możesz dodatkowo sprawdzić opcję Zapisywania zwrotnego haseł za pomocą synchronizacji z chmurą Azure AD Connect.

  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.

    Konfigurowanie programu Azure AD Connect na potrzeby zapisywania zwrotnego haseł

  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła skonfigurowanego w ramach tego samouczka, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz pozycję Azure Active Directory, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Usuń zaznaczenie opcji Zapisywania haseł zwrotnych do katalogu lokalnego.
  4. Usuń zaznaczenie opcji Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą Azure AD Connect.
  5. Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać synchronizacji chmury Azure AD Connect dla funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, ale chcesz kontynuować korzystanie z agenta synchronizacji Azure AD Connect na potrzeby zapisywania zwrotnego wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz pozycję Azure Active Directory, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Usuń zaznaczenie opcji Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą Azure AD Connect.
  4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać żadnych funkcji haseł, wykonaj następujące kroki z serwera Azure AD Connect:

  1. Zaloguj się do serwera Azure AD Connect i uruchom kreatora konfiguracji Azure AD Connect.
  2. Na stronie powitalnej wybierz pozycję Konfiguruj.
  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
  4. Na stronie Łączenie z Azure AD wprowadź poświadczenia administratora globalnego dla dzierżawy platformy Azure, a następnie wybierz przycisk Dalej.
  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.
  6. Na stronie Funkcje opcjonalne usuń zaznaczenie pola obok pozycji Zapisywanie zwrotne haseł i wybierz przycisk Dalej.
  7. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
  8. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Ważne

Włączenie zapisywania zwrotnego haseł po raz pierwszy może spowodować wyzwolenie zdarzeń zmiany hasła 656 i 657, nawet jeśli nie nastąpiła zmiana hasła. Dzieje się tak, ponieważ wszystkie skróty haseł są ponownie synchronizowane po uruchomieniu cyklu synchronizacji skrótów haseł.

Następne kroki

W tym samouczku włączono Azure AD zapisywania zwrotnego samoobsługowego resetowania hasła do lokalnego środowiska usług AD DS. W tym samouczku omówiono:

  • Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
  • Włącz opcję zapisywania zwrotnego haseł w programie Azure AD Connect
  • Włączanie zapisywania zwrotnego haseł w Azure AD samoobsługowego resetowania hasła