Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł synchronizacji w chmurze w środowisku lokalnym
Firma Microsoft Entra Połączenie synchronizacja w chmurze może synchronizować zmiany haseł firmy Microsoft w czasie rzeczywistym między użytkownikami w rozłączonych domenach usług lokalna usługa Active Directory domenowych (AD DS). Usługa Microsoft Entra Połączenie synchronizacja w chmurze może być uruchamiana równolegle z firmą Microsoft Entra Połączenie na poziomie domeny, aby uprościć zapisywanie zwrotne haseł w przypadku dodatkowych scenariuszy, takich jak użytkownicy, którzy znajdują się w domenach odłączonych z powodu podziału firmy lub scalania. Każdą usługę w różnych domenach można skonfigurować tak, aby kierować do różnych zestawów użytkowników w zależności od ich potrzeb. Firma Microsoft Entra Połączenie synchronizacja z chmurą używa uproszczonego agenta aprowizacji w chmurze firmy Microsoft w celu uproszczenia konfiguracji samoobsługowego resetowania hasła (SSPR) i zapewnia bezpieczny sposób wysyłania zmian haseł w chmurze z powrotem do katalogu lokalnego.
Wymagania wstępne
- Dzierżawa firmy Microsoft Entra z włączonym co najmniej licencją microsoft Entra ID P1 lub wersji próbnej. W razie potrzeby utwórz je bezpłatnie.
- Konto z:
- Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła. W razie potrzeby ukończ ten samouczek, aby włączyć samoobsługowe resetowanie hasła firmy Microsoft.
- Lokalne środowisko usług AD DS skonfigurowane przy użyciu usługi Microsoft Entra Połączenie synchronizacji w chmurze w wersji 1.1.977.0 lub nowszej. Dowiedz się, jak zidentyfikować bieżącą wersję agenta. W razie potrzeby skonfiguruj usługę Microsoft Entra Połączenie synchronizacji w chmurze przy użyciu tego samouczka.
Kroki wdrażania
- Konfigurowanie uprawnień konta usługi synchronizacji w chmurze w usłudze Microsoft Entra Połączenie
- Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie synchronizacji w chmurze
- Włączanie zapisywania zwrotnego haseł dla samoobsługowego resetowania hasła
Konfigurowanie uprawnień konta usługi synchronizacji w chmurze w usłudze Microsoft Entra Połączenie
Uprawnienia do synchronizacji w chmurze są domyślnie konfigurowane. Jeśli trzeba zresetować uprawnienia, zobacz Rozwiązywanie problemów , aby uzyskać więcej informacji na temat określonych uprawnień wymaganych do zapisywania zwrotnego haseł i sposobu ich ustawiania przy użyciu programu PowerShell.
Włączanie zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła
Możesz włączyć aprowizację synchronizacji w chmurze firmy Microsoft Połączenie bezpośrednio w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu PowerShell.
Włączanie zapisywania zwrotnego haseł w centrum administracyjnym firmy Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Po włączeniu zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie synchronizacji w chmurze teraz sprawdź i skonfiguruj samoobsługowe resetowanie haseł (SSPR) firmy Microsoft na potrzeby zapisywania zwrotnego haseł. Po włączeniu samoobsługowego resetowania hasła do korzystania z zapisywania zwrotnego haseł użytkownicy, którzy zmieniają lub resetują swoje hasło, również zaktualizowali hasło zsynchronizowane z powrotem do lokalnego środowiska usług AD DS.
Aby zweryfikować i włączyć funkcję zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników.
(opcjonalnie) Jeśli wykryto agentów aprowizacji usługi Microsoft Entra Połączenie, możesz dodatkowo sprawdzić opcję Zapisywanie haseł zwrotnych za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
PowerShell
Za pomocą programu PowerShell można włączyć synchronizację w chmurze firmy Microsoft Połączenie przy użyciu polecenia cmdlet Set-AADCloudSyncPasswordWritebackConfiguration na serwerach z agentami aprowizacji. Będą potrzebne poświadczenia administratora globalnego:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Czyszczenie zasobów
Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, które zostały skonfigurowane w ramach tego samouczka, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
- Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
- Usuń zaznaczenie opcji Włącz zapisywanie haseł dla zsynchronizowanych użytkowników.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
- Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Jeśli nie chcesz już używać usługi Microsoft Entra Połączenie synchronizacji w chmurze na potrzeby funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, ale chcesz kontynuować korzystanie z agenta microsoft Entra Połączenie Sync na potrzeby zapisywania zwrotnego, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
- Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Możesz również użyć programu PowerShell, aby wyłączyć synchronizację z chmurą firmy Microsoft Połączenie funkcji zapisywania zwrotnego samoobsługowego resetowania hasła z poziomu serwera synchronizacji microsoft Entra Połączenie w chmurze, uruchamiać Set-AADCloudSyncPasswordWritebackConfiguration przy użyciu poświadczeń usługi Hybrid Identity Administracja istrator, aby wyłączyć funkcję zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie synchronizacji w chmurze.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Obsługiwane operacje
Hasła są zapisywane w następujących sytuacjach dla użytkowników końcowych i administratorów.
| Klient | Obsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez użytkownika końcowego. Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła przez użytkownika końcowego pochodzące z resetowania hasła. |
| Administratorzy | Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez administratora. Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła administratora pochodzące z funkcji resetowania hasła. Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego firmy Microsoft Entra. Każde zainicjowane przez administratora resetowanie hasła użytkownika końcowego z interfejsu API programu Microsoft Graph. |
Nieobsługiwane operacje
Hasła nie są zapisywane w następujących sytuacjach.
| Klient | Nieobsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każdy użytkownik końcowy resetuje własne hasło przy użyciu poleceń cmdlet programu PowerShell lub interfejsu API programu Microsoft Graph. |
| Administratorzy | Każde resetowanie hasła przez administratora zainicjowane przez administratora przy użyciu poleceń cmdlet programu PowerShell. Dowolne zainicjowane przez administratora resetowanie hasła użytkownika końcowego z poziomu Centrum administracyjnego platformy Microsoft 365. Żaden administrator nie może użyć narzędzia do resetowania hasła do resetowania własnego hasła lub żadnego innego Administracja istratora w usłudze Microsoft Entra ID na potrzeby zapisywania zwrotnego haseł. |
Scenariusze walidacyjne
Spróbuj wykonać następujące operacje, aby zweryfikować scenariusze przy użyciu zapisywania zwrotnego haseł. Wszystkie scenariusze weryfikacji wymagają zainstalowania synchronizacji w chmurze, a użytkownik jest w zakresie zapisywania zwrotnego haseł.
| Scenariusz | Szczegóły |
|---|---|
| Resetowanie hasła ze strony logowania | Mają dwóch użytkowników z odłączonych domen i lasów wykonuje samoobsługowe resetowanie hasła. Możesz również mieć wdrożone Połączenie microsoft Entra i synchronizację w chmurze obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie microsoft Entra Połączenie i mieć tych użytkowników zresetować swoje hasło. |
| Wymuś zmianę wygasłego hasła | Mają dwóch użytkowników z odłączonych domen, a lasy zmieniają wygasłe hasła. Firma Microsoft Entra Połączenie i synchronizacja w chmurze może być wdrożona obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze i innego w zakresie Połączenie firmy Microsoft Entra. |
| Regularna zmiana hasła | Mają dwóch użytkowników z odłączonych domen i lasów przeprowadza rutynowe zmiany hasła. Możesz również mieć usługę Microsoft Entra Połączenie i synchronizację w chmurze obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze i innego w zakresie Połączenie firmy Microsoft Entra. |
| Administracja resetowania hasła użytkownika | Mają dwóch użytkowników odłączonych domen i lasów zresetować swoje hasło z centrum administracyjnego firmy Microsoft Entra lub portalu procesu roboczego frontline. Możesz również mieć obok siebie usługę Microsoft Entra Połączenie i synchronizację w chmurze i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie microsoft Entra Połączenie |
| Odblokowywanie konta samoobsługowego | Mają dwóch użytkowników z odłączonych domen i lasów odblokowywać konta w portalu samoobsługowego resetowania hasła. Możesz również mieć usługę Microsoft Entra Połączenie i synchronizację w chmurze obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze i innego w zakresie Połączenie firmy Microsoft Entra. |
Rozwiązywanie problemów
Konto usługi zarządzanej przez firmę Microsoft Entra Połączenie w chmurze powinno mieć następujące uprawnienia do zapisywania zwrotnego haseł domyślnie:
- Resetowanie hasła
- Uprawnienia do zapisu w lockoutTime
- Uprawnienia do zapisu w programie pwdLastSet
- Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.
Jeśli te uprawnienia nie są ustawione, możesz ustawić uprawnienie PasswordWriteBack na koncie usługi przy użyciu polecenia cmdlet Set-AADCloudSyncPermissions i lokalnych poświadczeń administratora przedsiębiorstwa:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po zaktualizowaniu uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.
Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w lokalnym środowisku usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.
Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Jeśli testujesz tę funkcję i chcesz zresetować hasło dla użytkowników więcej niż raz dziennie, zasady grupy dla minimalnego wieku hasła muszą być ustawione na 0. To ustawienie można znaleźć w obszarze Zasady konfiguracji > komputera Zasady > systemu Windows Ustawienia zabezpieczeń Ustawienia >> zasady haseł zasad > konta w programie gpmc.msc.
Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj polecenia gpupdate /force.
Aby hasła można było natychmiast zmienić, minimalny wiek hasła musi mieć wartość 0. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż zero, zapisywanie zwrotne haseł nie będzie działać po ocenie zasad lokalnych.
Aby uzyskać więcej informacji na temat sprawdzania poprawności lub konfigurowania odpowiednich uprawnień, zobacz Konfigurowanie uprawnień konta dla usługi Microsoft Entra Połączenie.
Następne kroki
- Aby uzyskać więcej informacji na temat synchronizacji chmury i porównania między usługą Microsoft Entra Połączenie i synchronizacją w chmurze, zobacz Co to jest synchronizacja firmy Microsoft Połączenie w chmurze?
- Aby zapoznać się z samouczkiem dotyczącym konfigurowania zapisywania zwrotnego haseł przy użyciu usługi Microsoft Entra Połączenie, zobacz Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł firmy Microsoft w środowisku lokalnym.