Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł firmy Microsoft w środowisku lokalnym

Dzięki funkcji samoobsługowego resetowania hasła firmy Microsoft (SSPR) użytkownicy mogą aktualizować swoje hasło lub odblokować swoje konto przy użyciu przeglądarki internetowej. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft. W środowisku hybrydowym, w którym identyfikator Entra firmy Microsoft jest połączony ze środowiskiem usług lokalna usługa Active Directory Domain Services (AD DS), ten scenariusz może powodować różnice haseł między dwoma katalogami.

Zapisywanie zwrotne haseł może służyć do synchronizowania zmian haseł w firmie Microsoft Entra z powrotem do lokalnego środowiska usług AD DS. Program Microsoft Entra Connect zapewnia bezpieczny mechanizm wysyłania tych zmian haseł z powrotem do istniejącego katalogu lokalnego z identyfikatora Entra firmy Microsoft.

Ważny

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła z powrotem do środowiska lokalnego. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

• Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
• Włącz opcję zapisywania zwrotnego haseł w programie Microsoft Entra Connect
• Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra SSPR

Warunki wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

• Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID P1 lub wersji próbnej.
  • W razie potrzeby utwórz je bezpłatnie.
  • Aby uzyskać więcej informacji, zobacz Wymagania dotyczące licencjonowania dla usługi Microsoft Entra SSPR.
• Konto z administratorem tożsamości hybrydowej.
• Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła.
  • W razie potrzeby ukończ poprzedni samouczek, aby włączyć samoobsługowe resetowanie hasła firmy Microsoft.
• Istniejące lokalne środowisko usług AD DS skonfigurowane przy użyciu bieżącej wersji programu Microsoft Entra Connect.
  • W razie potrzeby skonfiguruj program Microsoft Entra Connect przy użyciu ustawień ekspresowych lub niestandardowych.
  • Aby użyć zapisywania zwrotnego haseł, kontrolery domeny mogą uruchamiać dowolną obsługiwaną wersję systemu Windows Server.

Konfigurowanie uprawnień konta dla programu Microsoft Entra Connect

Program Microsoft Entra Connect umożliwia synchronizowanie użytkowników, grup i poświadczeń między lokalnym środowiskiem usług AD DS i identyfikatorem Entra firmy Microsoft. Zazwyczaj program Microsoft Entra Connect jest instalowany na komputerze z systemem Windows Server 2016 lub nowszym dołączonym do lokalnej domeny usług AD DS.

Aby poprawnie pracować z zapisywaniem zwrotnym samoobsługowego resetowania hasła, konto określone w programie Microsoft Entra Connect musi mieć odpowiednie uprawnienia i opcje ustawione. Jeśli nie masz pewności, które konto jest obecnie używane, otwórz program Microsoft Entra Connect i wybierz opcję Wyświetl bieżącą konfigurację. Konto, do którego chcesz dodać uprawnienia, znajduje się na liście w obszarze Synchronizowane katalogi. Na koncie należy ustawić następujące uprawnienia i opcje:

• Resetowanie hasła
• Zmienianie hasła
• Uprawnienia do zapisu w usłudze lockoutTime
• Uprawnienia do zapisu w usłudze pwdLastSet
• Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.

Jeśli te uprawnienia nie zostaną przypisane, zapisywanie zwrotne może wydawać się być skonfigurowane poprawnie, ale użytkownicy napotykają błędy podczas zarządzania hasłami lokalnymi z chmury. W przypadku ustawiania uprawnień "Niewyświetnij hasło" w usłudze Active Directory należy zastosować je do tego obiektu i wszystkich obiektów potomnych, tylko ten obiekt lub Wszystkie obiekty potomne albo nie można wyświetlić uprawnienia "Nieexpire Password".

Napiwek

Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku lokalnym usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.

Aby skonfigurować odpowiednie uprawnienia do zapisywania zwrotnego haseł, wykonaj następujące kroki:

1. W lokalnym środowisku usług AD DS otwórz Użytkownicy i komputery usługi Active Directory przy użyciu konta z odpowiednimi uprawnieniami administratora domeny.
2. Z menu Widok upewnij się, że funkcje zaawansowane są włączone.
3. W panelu po lewej stronie wybierz prawym przyciskiem pozycję obiekt reprezentujący katalog główny domeny, a następnie wybierz pozycję Właściwości>Zaawansowane zabezpieczenia.>
4. Na karcie Uprawnienia wybierz pozycję Dodaj.
5. W polu Principal (Podmiot zabezpieczeń) wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez program Microsoft Entra Connect).
6. Na liście rozwijanej Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego.
7. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:
   • Resetowanie hasła
8. W obszarze Właściwości zaznacz pola dla następujących opcji. Przewiń listę, aby znaleźć te opcje, które mogą być już ustawione domyślnie:

• Zapis lockoutTime

• Pisanie elementu pwdLastSet

  

1. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany.
2. Na karcie Uprawnienia wybierz pozycję Dodaj.
3. W polu Principal (Podmiot zabezpieczeń) wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez program Microsoft Entra Connect).
4. Na liście rozwijanej Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne
5. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:
   • Niewyświetne hasło
6. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany i zakończyć wszystkie otwarte okna dialogowe.

Podczas aktualizowania uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.

Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Aby zapisywanie zwrotne haseł działało najwydajniej, należy ustawić zasady grupy minimalnego wieku hasła na 0. To ustawienie można znaleźć w obszarze Zasady > konfiguracji > komputera Ustawienia zabezpieczeń Ustawienia > systemu > Windows Zasady konta w programie gpmc.msc.

Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .

Nuta

Jeśli chcesz zezwolić użytkownikom na zmienianie lub resetowanie haseł więcej niż raz dziennie, minimalny wiek hasła musi mieć wartość 0. Zapisywanie zwrotne haseł będzie działać po pomyślnym ocenie lokalnych zasad haseł.

Włączanie zapisywania zwrotnego haseł w programie Microsoft Entra Connect

Jedną z opcji konfiguracji w programie Microsoft Entra Connect jest zapisywanie zwrotne haseł. Po włączeniu tej opcji zdarzenia zmiany hasła powodują, że program Microsoft Entra Connect synchronizuje zaktualizowane poświadczenia z powrotem z lokalnym środowiskiem usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego samoobsługowego resetowania hasła, najpierw włącz opcję zapisywania zwrotnego w programie Microsoft Entra Connect. Na serwerze Microsoft Entra Connect wykonaj następujące kroki:

1. Zaloguj się do serwera Microsoft Entra Connect i uruchom kreatora konfiguracji microsoft Entra Connect .
2. Na stronie Powitanie wybierz pozycję Konfiguruj.
3. Na stronie Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz przycisk Dalej.
4. Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora hybrydowego dla dzierżawy platformy Azure, a następnie wybierz przycisk Dalej.
5. Na stronie Łączenie katalogów i filtrowania domen/jednostek organizacyjnych wybierz pozycję Dalej.
6. Na stronie Funkcje opcjonalne wybierz pole obok pozycji Zapisywanie zwrotne haseł i wybierz przycisk Dalej.
7. Na stronie Rozszerzenia katalogu wybierz pozycję Dalej.
8. Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
9. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

Nuta

Aktualizowanie PasswordWritebackEnabled z funkcji usługi OnPremDirectorySynchronization nie jest obsługiwane, ponieważ ta flaga funkcji nie jest używana.

Włączanie zapisywania zwrotnego haseł dla samoobsługowego resetowania hasła

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Po włączeniu zapisywania zwrotnego haseł w programie Microsoft Entra Connect skonfiguruj teraz funkcję zapisywania zwrotnego w usłudze Microsoft Entra SSPR. Samoobsługowe resetowanie hasła można skonfigurować do zapisywania zwrotnego za pośrednictwem agentów microsoft Entra Connect Sync i agentów aprowizacji programu Microsoft Entra Connect (synchronizacja w chmurze). Po włączeniu samoobsługowego resetowania hasła do korzystania z zapisywania zwrotnego haseł użytkownicy, którzy zmieniają lub resetują swoje hasło, również zaktualizowali hasło zsynchronizowane z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
3. Sprawdź opcję Zapisuj zwrotne hasła do katalogu lokalnego .
4. (opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, które zostały skonfigurowane w ramach tego samouczka, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
3. Usuń zaznaczenie opcji Zapisuj hasła zwrotne do katalogu lokalnego.
4. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
5. Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać funkcji zapisywania zwrotnego funkcji zapisywania zwrotnego funkcji zapisywania zwrotnego protokołu SSPR firmy Microsoft Entra Connect, ale chcesz nadal używać agenta microsoft Entra Connect Sync na potrzeby zapisywania zwrotnego, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny.
2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
3. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać żadnych funkcji haseł, wykonaj następujące kroki z serwera Microsoft Entra Connect:

1. Zaloguj się do serwera Microsoft Entra Connect i uruchom kreatora konfiguracji microsoft Entra Connect .
2. Na stronie Powitanie wybierz pozycję Konfiguruj.
3. Na stronie Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz przycisk Dalej.
4. Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź poświadczenia administratora hybrydowego, a następnie wybierz przycisk Dalej.
5. Na stronie Łączenie katalogów i filtrowania domen/jednostek organizacyjnych wybierz pozycję Dalej.
6. Na stronie Funkcje opcjonalne usuń zaznaczenie pola obok pozycji Zapisywanie zwrotne haseł i wybierz przycisk Dalej.
7. Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
8. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

Ważny

Włączenie zapisywania zwrotnego haseł po raz pierwszy może spowodować wyzwolenie zdarzeń zmiany hasła 656 i 657, nawet jeśli zmiana hasła nie wystąpiła. Dzieje się tak, ponieważ wszystkie skróty haseł są ponownie synchronizowane po uruchomieniu cyklu synchronizacji skrótów haseł.

Następne kroki

W tym samouczku włączono funkcję zapisywania zwrotnego samoobsługowego resetowania haseł firmy Microsoft w lokalnym środowisku usług AD DS. Wiesz już, jak wykonać następujące działania:

• Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
• Włącz opcję zapisywania zwrotnego haseł w programie Microsoft Entra Connect
• Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra SSPR

Ocena ryzyka podczas logowania