Poradnik: Włączanie samoobsługowego resetowania hasła z funkcją zapisu zwrotnego w synchronizacji z chmurą do środowiska lokalnego.

Uwaga / Notatka

Resetowanie haseł metodą samoobsługową z synchronizacją w chmurze nie jest obsługiwane w Microsoft Azure zarządzanym przez 21Vianet. Zamiast tego administratorzy mogą wdrażać zapisywanie zwrotne samoobsługowego resetowania hasła przy użyciu Microsoft Entra Connect sync.

Microsoft Entra Cloud Sync może synchronizować zmiany haseł Microsoft Entra w czasie rzeczywistym między użytkownikami w odłączonych lokalnych domenach Active Directory Domain Services (AD DS). Microsoft Entra Cloud Sync może być uruchamiany równolegle z Microsoft Entra Connect na poziomie domen w celu uproszczenia przywracania haseł w dodatkowych scenariuszach, takich jak użytkownicy, którzy są w rozłączonych domenach z powodu podziału lub fuzji firmy. Każdą usługę w różnych domenach można skonfigurować tak, aby kierować do różnych zestawów użytkowników w zależności od ich potrzeb. Microsoft Entra Synchronizacja w chmurze używa uproszczonego agenta aprowizacji Microsoft Entra w chmurze, aby uprościć konfigurację samoobsługowego resetowania haseł (SSPR) i zapewnić bezpieczny sposób wysyłania zmian haseł w chmurze z powrotem do katalogu lokalnego.

Wymagania wstępne

Kroki wdrażania

  1. Konfigurowanie uprawnień konta usługi synchronizacji Microsoft Entra w chmurze
  2. Włączanie zapisywania zwrotnego haseł w Microsoft Entra Connect Cloud Sync
  3. Włącz zapisywanie zwrotne haseł dla samoobsługowego resetowania haseł

Konfigurowanie uprawnień konta usługi synchronizacji Microsoft Entra w chmurze

Uprawnienia do synchronizacji w chmurze są domyślnie konfigurowane. Jeśli trzeba zresetować uprawnienia, zobacz Rozwiązywanie problemów , aby uzyskać więcej informacji na temat określonych uprawnień wymaganych do zapisywania zwrotnego haseł i sposobu ich ustawiania przy użyciu programu PowerShell.

Włącz zwrotne zapisywanie haseł w SSPR

Synchronizację w chmurze Microsoft Entra Connect można włączyć bezpośrednio w centrum administracyjnym Microsoft Entra lub za pomocą programu PowerShell.

Włącz zapisywanie zwrotne haseł w centrum administracyjnym Microsoft Entra

Po włączeniu zapisywania zwrotnego haseł w usłudze Microsoft Entra Connect, synchronizując z chmurą, zweryfikuj i skonfiguruj Microsoft Entra samoobsługowe resetowanie haseł (SSPR) na potrzeby zapisywania zwrotnego haseł. Po włączeniu funkcji samoobsługowego resetowania hasła z pisaniem zwrotnym, hasła użytkowników, którzy je zmieniają lub resetują, są również synchronizowane z powrotem do lokalnego środowiska usług AD DS.

Aby zweryfikować i włączyć funkcję zapisywania zwrotnego haseł podczas samoobsługowego resetu hasła, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako przynajmniej Hybrid Identity Administrator.

  2. Przejdź do Entra ID>Resetowanie hasła, a następnie wybierz Integracja lokalna.

  3. Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników.

  4. (opcjonalnie) Jeśli wykryto agentów aprowizacji Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisz hasła z powrotem z synchronizacją danych w chmurze Microsoft Entra Connect.

  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.

    Włącz samoobsługowe resetowanie hasła Microsoft Entra dla zapisywania zwrotnego haseł

  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

PowerShell

Za pomocą programu PowerShell można włączyć synchronizację Microsoft Entra Connect w chmurze przy użyciu polecenia cmdlet Set-AADCloudSyncPasswordWritebackConfiguration na serwerach z agentami aprowizacji.

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisywania zmian SSPR, którą skonfigurowałeś w ramach tego samouczka, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator tożsamości hybrydowej.
  2. Przejdź do Entra ID>Resetowanie hasła, a następnie wybierz Integracja lokalna.
  3. Usuń zaznaczenie opcji Włącz zapisywanie haseł dla zsynchronizowanych użytkowników.
  4. Usuń zaznaczenie opcji Odzyskiwanie haseł za pomocą synchronizacji z chmurą Microsoft Entra Connect.
  5. Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać synchronizacji z chmurą Microsoft Entra Connect dla funkcji zapisu zwrotnego samoobsługowego resetowania hasła, ale chcesz nadal korzystać z agenta synchronizacji Microsoft Entra Connect do zapisu zwrotnego, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Hybrydowej Tożsamości.
  2. Przejdź do Entra ID>Resetowanie hasła, a następnie wybierz Integracja lokalna.
  3. Usuń zaznaczenie opcji Przywróć hasła z synchronizacją w chmurze Microsoft Entra Connect.
  4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Możesz również użyć programu PowerShell, aby wyłączyć synchronizację chmury programu Microsoft Entra Connect na potrzeby funkcji zapisywania zwrotnego samoobsługowego resetowania hasła z serwera synchronizacji Microsoft Entra Connect w chmurze, uruchom polecenie Set-AADCloudSyncPasswordWritebackConfiguration przy użyciu poświadczeń administratora tożsamości hybrydowej, aby wyłączyć zapisywanie zwrotne haseł za pomocą synchronizacji z chmurą Microsoft Entra Connect.

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Obsługiwane operacje

Hasła są przywracane w następujących sytuacjach dla użytkowników końcowych i administratorów.

Konto Obsługiwane operacje
Użytkownicy końcowi Każda samoobsługowa operacja zmiany hasła przez użytkownika końcowego.
Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
Każde samoobsługowe resetowanie hasła przez użytkownika końcowego pochodzące z resetowania hasła.
Administratorzy Każda operacja zmiany hasła przez administratora z własnej inicjatywy.
Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła.
Każde samoobsługowe resetowanie hasła administratora, które pochodzi z resetowania hasła.
Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego Microsoft Entra.
Każde resetowanie hasła użytkownika przez administratora, zainicjowane za pomocą Microsoft Graph API.

Nieobsługiwane operacje

Hasła nie są zapisywane w następujących sytuacjach.

Konto Nieobsługiwane operacje
Użytkownicy końcowi Każdy użytkownik końcowy resetuje własne hasło przy użyciu poleceń cmdlet programu PowerShell lub Microsoft Graph API.
Administratorzy Każde zresetowanie hasła użytkownika końcowego zainicjowane przez administratora przy użyciu poleceń cmdlet programu PowerShell.
Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego Microsoft 365.
Żaden administrator nie może użyć narzędzia do resetowania hasła do resetowania własnego hasła ani żadnego innego administratora w Microsoft Entra ID na potrzeby zapisywania zwrotnego haseł.

Scenariusze walidacyjne

Spróbuj wykonać następujące operacje, aby zweryfikować scenariusze za pomocą zapisywania haseł zwrotnych. Wszystkie scenariusze weryfikacji wymagają, aby synchronizacja w chmurze była zainstalowana oraz że użytkownik został uprawniony do zapisywania zwrotnego haseł.

Scenariusz Szczegóły
Resetowanie hasła ze strony logowania Poleć dwóm użytkownikom z odłączonych domen i lasów wykonanie samoobsługowego resetowania hasła. Możesz również mieć wdrożone Microsoft Entra Connect oraz synchronizację z chmurą obok siebie, przy czym jeden użytkownik jest w zakresie konfiguracji synchronizacji z chmurą, a drugi w zakresie Microsoft Entra Connect, i obydwaj użytkownicy mogą zresetować swoje hasło.
Wymuś zmianę wygasłego hasła Poproś dwóch użytkowników z odłączonych domen i lasów o zmianę wygasłych haseł. Można również mieć wdrożone na raz Microsoft Entra Connect oraz synchronizację chmury, przy czym jeden użytkownik znajduje się w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie Microsoft Entra Connect.
Regularna zmiana hasła Niech dwóch użytkowników z odłączonych domen i lasów dokona rutynowej zmiany hasła. Można również mieć Microsoft Entra Connect oraz synchronizację z chmurą działające obok siebie, i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugiego w zakresie Microsoft Entra Connect.
Resetowanie hasła użytkownika przez administratora Niech dwóch użytkowników z odłączonych domen i lasów zresetuje swoje hasło w centrum administracyjnym Microsoft Entra lub portalu pracowników pierwszej linii. Możesz również używać jednocześnie Microsoft Entra Connect i synchronizacji z chmurą, mając jednego użytkownika w ramach konfiguracji synchronizacji w chmurze, a drugiego w ramach Microsoft Entra Connect.
Odblokowywanie konta samoobsługowego Niech dwóch użytkowników z niepołączonych domen i lasów odblokuje konta w portalu samoobsługowego resetowania hasła, resetując hasło. Można również mieć Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie synchronizacji z chmurą, a drugiego w zakresie Microsoft Entra Connect.

Rozwiązywanie problemów

  • Konto Zarządzanej Usługi Grupowej synchronizacji w chmurze Microsoft Entra Connect powinno mieć domyślnie ustawione następujące uprawnienia do zwrotnego zapisywania haseł:

    • Resetowanie hasła
    • Uprawnienia do zapisu na lockoutTime
    • Uprawnienia do zapisu dla pwdLastSet
    • Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.

    Jeśli te uprawnienia nie są ustawione, możesz ustawić uprawnienie PasswordWriteBack na koncie usługi przy użyciu polecenia cmdlet Set-AADCloudSyncPermissions i lokalnych poświadczeń administratora przedsiębiorstwa:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)

    Po zaktualizowaniu uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.

  • Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w lokalnym środowisku usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.

  • Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Jeśli testujesz tę funkcję i chcesz zresetować hasło dla użytkowników więcej niż raz dziennie, zasady grupy dla minimalnego wieku hasła muszą mieć wartość 0. To ustawienie można znaleźć w obszarze Konfiguracja komputera > Zasady > Ustawienia Windows > Ustawienia zabezpieczeń > Zasady konta > Zasady haseł w konsoli gpmc.msc.

  • Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj polecenia gpupdate /force.

  • Aby hasła można było natychmiast zmienić, minimalny wiek hasła musi mieć wartość 0. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż zero, zapisywanie zwrotne haseł nie będzie działać po ocenie zasad lokalnych.

Aby uzyskać więcej informacji na temat sprawdzania poprawności lub konfigurowania odpowiednich uprawnień, zobacz Konfigurowanie uprawnień konta dla programu Microsoft Entra Connect.

Następne kroki

  • Last updated on