Tutorial: Habilitar o write-back de redefinição de senha de autoatendimento do Microsoft Entra para um ambiente local

Com a redefinição de senha de autoatendimento (SSPR) do Microsoft Entra, os usuários podem atualizar sua senha ou desbloquear sua conta usando um navegador da Web. Recomendamos este vídeo sobre Como habilitar e configurar o SSPR no Microsoft Entra ID. Em um ambiente híbrido em que o Microsoft Entra ID está conectado a um ambiente local dos Serviços de Domínio Ative Directory (AD DS), esse cenário pode fazer com que as senhas sejam diferentes entre os dois diretórios.

O write-back de senha pode ser usado para sincronizar as alterações de senha no Microsoft Entra de volta ao seu ambiente AD DS local. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente a partir da ID do Microsoft Entra.

Importante

Este tutorial mostra a um administrador como habilitar a redefinição de senha de autoatendimento de volta para um ambiente local. Se você for um usuário final já registrado para redefinição de senha de autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se a sua equipa de TI não tiver ativado a capacidade de repor a sua própria palavra-passe, contacte o seu serviço de assistência para obter assistência adicional.

Neste tutorial, irá aprender a:

• Configurar as permissões necessárias para write-back de senha
• Habilite a opção de write-back de senha no Microsoft Entra Connect
• Habilitar write-back de senha no Microsoft Entra SSPR

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Um locatário do Microsoft Entra em funcionamento com pelo menos uma ID P1 do Microsoft Entra ou uma licença de avaliação habilitada.
  • Se necessário, crie um gratuitamente.
  • Para obter mais informações, consulte Requisitos de licenciamento para o Microsoft Entra SSPR.
• Uma conta com Administrador de Identidade Híbrida.
• ID do Microsoft Entra configurado para redefinição de senha de autoatendimento.
  • Se necessário, conclua o tutorial anterior para ativar a SSPR do Microsoft Entra.
• Um ambiente AD DS local existente configurado com uma versão atual do Microsoft Entra Connect.
  • Se necessário, configure o Microsoft Entra Connect usando as configurações Express ou Custom.
  • Para usar o write-back de senha, os controladores de domínio podem executar qualquer versão suportada do Windows Server.

Configurar permissões de conta para o Microsoft Entra Connect

O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente AD DS local e a ID do Microsoft Entra. Normalmente, você instala o Microsoft Entra Connect em um computador com Windows Server 2016 ou posterior que ingressou no domínio do AD DS local.

Para trabalhar corretamente com write-back SSPR, a conta especificada no Microsoft Entra Connect deve ter as permissões e opções apropriadas definidas. Se você não tiver certeza de qual conta está em uso no momento, abra o Microsoft Entra Connect e selecione a opção Exibir configuração atual. A conta à qual você precisa adicionar permissões está listada em Diretórios sincronizados. As seguintes permissões e opções devem ser definidas na conta:

• Repor palavra-passe
• Alterar palavra-passe
• Permissões de escrita em lockoutTime
• Permissões de escrita em pwdLastSet
• Direitos estendidos para "Unexpire Password" no objeto raiz de cada domínio nessa floresta, se ainda não estiver definido.

Se você não atribuir essas permissões, o write-back pode parecer configurado corretamente, mas os usuários encontram erros quando gerenciam suas senhas locais a partir da nuvem. Ao definir as permissões "Unexpire Password" no Ative Directory, ela deve ser aplicada a Este objeto e a todos os objetos descendentes, Somente a Este objeto ou Todos os objetos descendentes, ou a permissão "Unexpire Password" não pode ser exibida.

Gorjeta

Se as senhas de algumas contas de usuário não forem gravadas de volta no diretório local, verifique se a herança não está desabilitada para a conta no ambiente AD DS local. As permissões de gravação para senhas devem ser aplicadas a objetos descendentes para que o recurso funcione corretamente.

Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as seguintes etapas:

1. Em seu ambiente AD DS local, abra Usuários e Computadores do Ative Directory com uma conta que tenha as permissões de administrador de domínio apropriadas.

2. No menu Exibir, verifique se os recursos avançados estão ativados.

3. No painel esquerdo, selecione com o botão direito do mouse o objeto que representa a raiz do domínio e selecione Properties>Security>Advanced.

4. Na guia Permissões, selecione Adicionar.

5. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).

6. Na lista suspensa Aplica-se a, selecione Objetos de usuário descendente.

7. Em Permissões, marque a caixa para a seguinte opção:

   • Repor palavra-passe

8. Em Propriedades, selecione as caixas para as seguintes opções. Percorra a lista para encontrar estas opções, que já podem estar definidas por predefinição:

   • Escrever lockoutTime
   • Escrever pwdLastSet

   

9. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações.

10. Na guia Permissões, selecione Adicionar.

11. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).

12. Na lista suspensa Aplica-se a, selecione Este objeto e todos os objetos descendentes

13. Em Permissões, marque a caixa para a seguinte opção:

    • Senha sem expiração

14. Quando estiver pronto, selecione Aplicar / OK para aplicar as alterações e sair de todas as caixas de diálogo abertas.

Quando você atualiza permissões, pode levar até uma hora ou mais para que essas permissões sejam replicadas para todos os objetos no diretório.

As políticas de senha no ambiente AD DS local podem impedir que as redefinições de senha sejam processadas corretamente. Para que o write-back de senha funcione de forma mais eficiente, a política de grupo para Idade mínima da senha deve ser definida como 0. Esta definição pode ser encontrada em Políticas de Configuração do > Computador, > Definições do Windows, Definições >> de Segurança, Políticas de Conta em gpmc.msc.

Se você atualizar a política de grupo, aguarde até que a política atualizada seja replicada ou use o gpupdate /force comando.

Nota

Se você precisar permitir que os usuários alterem ou redefina senhas mais de uma vez por dia, a idade mínima da senha deve ser definida como 0. O write-back de senha funcionará depois que as políticas de senha locais forem avaliadas com êxito.

Habilitar write-back de senha no Microsoft Entra Connect

Uma das opções de configuração no Microsoft Entra Connect é para write-back de senha. Quando essa opção está habilitada, os eventos de alteração de senha fazem com que o Microsoft Entra Connect sincronize as credenciais atualizadas de volta para o ambiente AD DS local.

Para habilitar o write-back SSPR, primeiro habilite a opção write-back no Microsoft Entra Connect. No servidor Microsoft Entra Connect, conclua as seguintes etapas:

1. Entre no servidor Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
2. Na página de Boas-vindas, selecione Configurar.
3. Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Seguinte.
4. Na página Conectar à ID do Microsoft Entra, insira uma credencial de Administrador Global para seu locatário do Azure e selecione Avançar.
5. Nas páginas de filtragem Ligar diretórios e Domínio/UO, selecione Seguinte.
6. Na página Funcionalidades opcionais, selecione a caixa junto a Repetição de escrita de palavras-passe e selecione Seguinte.
7. Na página Extensões de diretório, selecione Avançar.
8. Na página Pronto a configurar, selecione Configurar e aguarde que o processo termine.
9. Quando vir a configuração a concluir, selecione Sair.

Habilitar write-back de senha para SSPR

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Com o write-back de senha habilitado no Microsoft Entra Connect, agora configure o Microsoft Entra SSPR para write-back. O SSPR pode ser configurado para write-back por meio de agentes do Microsoft Entra Connect Sync e agentes de provisionamento do Microsoft Entra Connect (sincronização na nuvem). Quando você habilita o SSPR para usar o write-back de senha, os usuários que alteram ou redefinem sua senha também têm essa senha atualizada sincronizada de volta ao ambiente local do AD DS.

Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como Administrador Global.
2. Navegue até Redefinição de senha de proteção>e escolha Integração local.
3. Marque a opção Gravar senhas de volta no diretório local .
4. (facultativo) Se os agentes de provisionamento do Microsoft Entra Connect forem detetados, você também poderá marcar a opção Gravar senhas de volta com a sincronização na nuvem do Microsoft Entra Connect.
5. Marque a opção Permitir que os usuários desbloqueiem contas sem redefinir a senha para Sim.
6. Quando estiver pronto, selecione Salvar.

Clean up resources (Limpar recursos)

Se você não quiser mais usar a funcionalidade de write-back SSPR que configurou como parte deste tutorial, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como Administrador Global.
2. Navegue até Redefinição de senha de proteção>e escolha Integração local.
3. Desmarque a opção Gravar senhas de volta no diretório local.
4. Desmarque a opção Gravar senhas com a sincronização na nuvem do Microsoft Entra Connect.
5. Desmarque a opção Permitir que os usuários desbloqueiem contas sem redefinir sua senha.
6. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back SSPR, mas quiser continuar usando o agente Microsoft Entra Connect Sync para writebacks, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como Administrador Global.
2. Navegue até Redefinição de senha de proteção>e escolha Integração local.
3. Desmarque a opção Gravar senhas com a sincronização na nuvem do Microsoft Entra Connect.
4. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor Microsoft Entra Connect:

1. Entre no servidor Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
2. Na página de Boas-vindas, selecione Configurar.
3. Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Seguinte.
4. Na página Conectar à ID do Microsoft Entra, insira uma credencial de administrador global para seu locatário do Azure e selecione Avançar.
5. Nas páginas de filtragem Ligar diretórios e Domínio/UO, selecione Seguinte.
6. Na página Recursos opcionais, desmarque a caixa ao lado de Write-back de senha e selecione Avançar.
7. Na página Pronto a configurar, selecione Configurar e aguarde que o processo termine.
8. Quando vir a configuração a concluir, selecione Sair.

Importante

Habilitar o write-back de senha pela primeira vez pode acionar os eventos de alteração de senha 656 e 657, mesmo que uma alteração de senha não tenha ocorrido. Isso ocorre porque todos os hashes de senha são sincronizados novamente após a execução de um ciclo de sincronização de hash de senha.

Próximos passos

Neste tutorial, você habilitou o write-back do Microsoft Entra SSPR para um ambiente AD DS local. Aprendeu a:

• Configurar as permissões necessárias para write-back de senha
• Habilite a opção de write-back de senha no Microsoft Entra Connect
• Habilitar write-back de senha no Microsoft Entra SSPR

Avaliar o risco de início de sessão