Как работает обратная запись самостоятельного сброса пароля в идентификаторе Microsoft Entra?

Microsoft Entra self-service password reset (SSPR) позволяет пользователям сбрасывать пароли в облаке, но большинство компаний также имеют среду локальная служба Active Directory доменных служб (AD DS) для пользователей. Обратная запись паролей позволяет вносить изменения паролей в облако в локальный каталог в режиме реального времени с помощью Microsoft Entra Подключение или Microsoft Entra Подключение облачной синхронизации. При изменении или сбросе паролей с помощью SSPR в облаке обновленные пароли также записываются в локальную среду AD DS.

Важно!

Из этой тематической статьи администратор узнает, как работает функция обратной записи при самостоятельном сбросе пароля. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

Обратная запись паролей поддерживается в средах, использующих следующие гибридные модели идентификации.

• Синхронизации хэша паролей
• Сквозная проверка подлинности
• Active Directory Federation Services (Службы федерации Active Directory)

Компонент обратной записи паролей предоставляет следующие возможности:

• Применение политик паролей локальная служба Active Directory доменных служб (AD DS): когда пользователь сбрасывает пароль, он проверка, чтобы обеспечить соответствие локальной политике AD DS перед фиксацией в этом каталоге. Проверяется журнал, сложность, срок пользования, фильтры паролей и любые другие ограничения паролей, заданные в AD DS.
• Обратная связь с нулевой задержкой. Обратная запись паролей выполняется в синхронном режиме. Пользователи немедленно получают уведомление, если их пароль не соответствует политике или его не удалось сбросить или изменить по какой-либо причине.
• Поддерживается изменение паролей с помощью панели доступа и Microsoft 365: при изменении просроченных или непросроченных паролей федеративными пользователями или пользователями с синхронизацией хэшей паролей эти пароли записываются обратно в AD DS.
• Поддерживает обратную запись паролей, когда администратор сбрасывает их из Центра администрирования Microsoft Entra: когда администратор сбрасывает пароль пользователя в Центре администрирования Microsoft Entra, если этот пользователь федеративный или хэш паролей синхронизирован, пароль записывается обратно в локальную среду. В настоящее время эта функциональная возможность не поддерживается на портале администрирования Office.
• Не требуется никаких правил входящего брандмауэра: обратная запись паролей использует ретранслятор Служебная шина Azure в качестве базового канала связи. Весь обмен данными является исходящим и осуществляется через порт 443.
• Поддерживает параллельное развертывание на уровне домена с помощью Microsoft Entra Подключение или облачной синхронизации для назначения различных наборов пользователей в зависимости от их потребностей, включая пользователей, которые находятся в отключенных доменах.

Примечание.

Локальная учетная запись службы, которая обрабатывает запросы обратной записи паролей, не может изменить пароли для пользователей, принадлежащих защищенным группам. Администратор istrator может изменить пароль в облаке, но они не могут использовать запись паролей для сброса забытого пароля для локального пользователя. Дополнительные сведения о защищенных группах см. в статье Защищенные учетные записи и группы в AD DS.

Чтобы приступить к работе с SSPR с использованием компонента обратной записи пароля, изучите один или оба следующих учебника:

• Руководство. Включение обратной записи самостоятельного сброса пароля (SSPR)
• Руководство. Включение обратной записи самостоятельного сброса пароля в локальную среду (предварительная версия) в microsoft Entra Подключение облачной синхронизации

Параллельное развертывание Microsoft Entra Подключение и облачной синхронизации

Вы можете развернуть Microsoft Entra Подключение и облачную синхронизацию параллельно в разных доменах для назначения различных наборов пользователей. Это помогает существующим пользователям и дальше использовать обратную запись изменений паролей с дополнительным вариантом в тех случаях, когда пользователи находятся в отключенных доменах из-за слияния или разделения компании. Microsoft Entra Подключение и облачная синхронизация можно настроить в разных доменах, чтобы пользователи одного домена могли использовать Microsoft Entra Подключение, а пользователи в другом домене используют облачную синхронизацию. Облачная синхронизация также может обеспечить более высокую доступность, так как она не зависит от одного экземпляра Microsoft Entra Подключение. Сравнение функций между двумя параметрами развертывания см. в разделе "Сравнение между Microsoft Entra Подключение и облачной синхронизацией".

Как работает обратная запись паролей

Если учетная запись пользователя, настроенная для федерации, синхронизация хэша паролей (или, в случае развертывания Microsoft Entra Подключение, сквозная проверка подлинности) пытается сбросить или изменить пароль в облаке, выполняются следующие действия:

1. Проверяется установленный у пользователя тип пароля. Если пароль управляется локально:

   • Проверяется, работает ли служба обратной записи. Если это так, пользователь может продолжить операцию.
   • Если служба обратной записи отключена, пользователю сообщается о том, что сейчас невозможно сбросить пароль.

2. Затем пользователь проходит соответствующие этапы аутентификации и переходит на страницу Сброс пароля.

3. Пользователь выбирает новый пароль и подтверждает его.

4. После нажатия пользователем кнопки Отправить указанный в виде простого текста пароль шифруется с помощью открытого ключа, который был создан в процессе установки компонента обратной записи.

5. Зашифрованный пароль добавляется в полезные данные, которые передаются по каналу HTTPS на ретранслятор служебной шины для определенного клиента (который был также настроен в процессе установки компонента обратной записи). Этот ретранслятор защищается случайно генерируемым паролем, который известен только локальной установленной системе.

6. После того как сообщение достигает служебной шины, конечная точка сброса пароля автоматически активируется и обнаруживает ожидающий запрос на сброс.

7. Затем служба выполняет поиск пользователя с помощью атрибута привязки облака. Для успешного поиска должны быть выполнены следующие условия.

   • Объект пользователя должен существовать в пространстве соединителя AD DS.
   • Объект пользователя должен быть связан с соответствующим объектом метавселенной (MV).
   • Объект пользователя должен быть связан с соответствующим объектом соединителя Microsoft Entra.
   • В ссылке из объекта соединителя AD DS на метавселенную должно быть правило синхронизации Microsoft.InfromADUserAccountEnabled.xxx.

   При вызове из облака подсистема синхронизации использует атрибут cloudAnchor для поиска объекта пространства соединителя Microsoft Entra. После этого он переходит по ссылке к объекту метавселенной, а затем — к объекту AD DS. Так как для одного и того же пользователя может быть несколько объектов AD DS (несколько лесов), обработчик синхронизации зависит от ссылки Microsoft.InfromADUserAccountEnabled.xxx при выборе нужного варианта.

8. После нахождения учетной записи пользователя предпринимается попытка сброса пароля непосредственно в соответствующем лесу AD DS.

9. Если операция установки пароля прошла успешно, пользователь уведомляется о том, что его пароль изменен.

   Примечание.

   Если хэш паролей пользователя синхронизируется с идентификатором Microsoft Entra с помощью синхронизации хэша паролей, существует вероятность того, что локальная политика паролей слабее облачной политики паролей. В этом случае применяется локальная политика. Благодаря этому ваша локальная политика применяется в облаке независимо от того, обеспечиваете ли вы единый вход с помощью синхронизации хэшей паролей или федерации.

10. В случае сбоя операции установки пароля отображается сообщение об ошибки и пользователю предлагается повторить попытку. Сбой может произойти по следующим причинам.

    • Служба была отключена.
    • Выбранный пароль не соответствует политикам организации.
    • Не удалось найти пользователя в локальной среде AD DS.

    Сообщения об ошибках содержат рекомендации для пользователей, с помощью которых они могут попытаться устранить проблему без помощи администратора.

Безопасность компонента обратной записи паролей

Обратная запись паролей — это служба с высоким уровнем безопасности. Для защиты информации реализуется четырехуровневая модель безопасности, описанная ниже.

• Ретранслятор служебной шины для определенного клиента
  • При настройке службы настраивается ретранслятор служебной шины для определенного клиента, который защищается случайно генерируемым надежным паролем. У корпорации Майкрософт нет доступа к этому паролю.
• Заблокированный криптографически надежный ключ шифрования пароля
  • После создания ретранслятора служебной шины создается надежный симметричный ключ, который используется для шифрования пароля при передаче по сети. Этот ключ существует только в секретном хранилище компании в облаке, которое тщательно блокируется и контролируется, подобно любому паролю в каталоге.
• Отраслевой стандартный протокол TLS
  1. При выполнении сброса или изменения пароля в облаке пароль в виде простого текста шифруется с помощью вашего открытого ключа.
  2. Затем зашифрованный пароль вставляется в сообщение HTTPS, которое передается по зашифрованному каналу с использованием TLS/SSL-сертификатов Майкрософт на ваш ретранслятор служебной шины.
  3. После поступления сообщения в служебную шину ваш локальный агент активируется и проходит аутентификацию в служебной шине с использованием ранее созданного надежного пароля.
  4. Локальный агент извлекает зашифрованное сообщение и расшифровывает его с помощью закрытого ключа.
  5. Затем локальный агент пытается установить пароль через интерфейс AD DS SetPassword API. Именно этот этап позволяет принудительно применять в облаке локальную политику паролей AD DS (например, сложность, срок пользования, историю, фильтры и т. д.).
• Политики срока действия сообщений
  • Если по какой-либо причине сообщение задержится в служебной шине из-за неработающей локальной службы, срок его ожидания истечет и оно будет удалено через несколько минут. Время ожидания и удаление сообщения повышают безопасность.

Сведения о шифровании компонента обратной записи паролей

После того, как пользователь отправит пароль, запрос на сброс пройдет несколько этапов шифрования, прежде чем поступит в вашу локальную среду. Эти этапы шифрования обеспечивают максимальную надежность и безопасность службы. Они описаны ниже.

1. Шифрование паролей с 2048-разрядным ключом RSA: после того, как пользователь отправляет пароль для записи обратно в локальную среду, сам отправленный пароль шифруется с помощью 2048-разрядного ключа RSA.
2. Шифрование на уровне пакета по стандарту AES-GCM с ключом длиной 256 бит. Весь пакет (пароль и необходимые метаданные) шифруется с использованием алгоритма AES-GCM (с размером ключа в 256 бит). Поэтому пользователи с прямым доступом к базовому каналу Служебной шины Azure не могут просматривать или изменять содержимое.
3. Все взаимодействие происходит с применением TLS/SSL. Любой обмен данными со Служебной шиной Azure осуществляется по каналу SSL/TLS. Это позволяет защитить содержимое от несанкционированного стороннего доступа.
4. Автоматическая смена ключей каждые шесть месяцев: все ключи перекатываются каждые шесть месяцев или при каждом отключении обратной записи паролей, а затем повторно включены в Microsoft Entra Подключение, чтобы обеспечить максимальную безопасность службы и безопасность.

Использование пропускной способности компонента обратной записи паролей

Компонент обратной записи паролей — это служба с низкой пропускной способностью, которая отправляет запросы в локальный агент только при следующих условиях:

• При включении или отключении функции через Microsoft Entra Подключение отправляются два сообщения.
• Одно сообщение отправляется каждые 5 минут как сигнал пульса службы, если служба запущена.
• При каждом отправке нового пароля отправляются два сообщения:
  • Первое сообщение является запросом на выполнение операции.
  • Второе сообщение содержит результат операции и отправляется в следующих случаях:
    • Во время каждой отправки нового пароля при самостоятельном сбросе пароля пользователем.
    • Во время каждой отправки нового пароля в ходе операции по смене пароля пользователя.
    • Во время каждой отправки нового пароля при сбросе пароля, инициированном администратором (только на портале администрирования Azure).

Рекомендации по размеру сообщений и пропускной способности

Размер каждого сообщения, описанного выше, как правило, не превышает 1 КБ. Даже при экстремальных нагрузках служба обратной записи паролей будет потреблять несколько килобитов в секунду. Так как каждое сообщение отправляется в режиме реального времени, только если этого требует операция обновления пароля, и размер сообщения невелик, потребляемая компонентом обратной записи пропускная способность будет слишком незначительна, чтобы оказывать заметное влияние.

Поддерживаемые операции обратной записи

Обратная запись паролей осуществляется во всех следующих ситуациях:

• Поддерживаемые операции пользователей:

  • все самостоятельные добровольные операции изменения пароля конечного пользователя;
  • все самостоятельные принудительные операции изменения пароля пользователя (например, из-за окончания срока действия пароля);
  • все самостоятельные операции сброса пароля пользователя, выполняемые на портале сброса паролей.

• Поддерживаемые операции администрирования:

  • все самостоятельные добровольные операции изменения пароля администратора;
  • все самостоятельные принудительные операции изменения пароля администратора (например, из-за окончания срока действия пароля);
  • все самостоятельные операции сброса пароля администратора, выполняемые на портале сброса пароля;
  • Любой сброс пароля, инициированного администратором, из Центра администрирования Microsoft Entra.
  • все операции сброса пароля конечного пользователя, инициируемые администратором через API Microsoft Graph.

Неподдерживаемые операции обратной записи

Обратная запись паролей не осуществляется во всех следующих ситуациях:

• Неподдерживаемые операции пользователей:
  • все операции сброса пароля пользователя с помощью PowerShell версии 1, PowerShell версии 2 или API Microsoft Graph.
• Неподдерживаемые операции администрирования:
  • все операции сброса пароля пользователя, инициируемые администратором с помощью PowerShell версии 1 или версии 2
  • все операции сброса пароля конечного пользователя, инициируемые администратором из центра администрирования Microsoft 365.
  • Никакой администратор не может использовать средство сброса пароля, чтобы сбросить свой пароль для обратной записи.

Предупреждение

Использование проверка box "Пользователь должен изменить пароль при следующем входе" в локальных средствах администрирования AD DS, таких как Пользователи и компьютеры Active Directory или Центр Администратор istrative Center Active Directory, поддерживается в качестве предварительной версии функции Microsoft Entra Подключение. Дополнительные сведения см. в статье "Реализация синхронизации хэша паролей с помощью Microsoft Entra Подключение Sync".

Примечание.

Если у пользователя в Active Directory (AD) установлен параметр "Срок действия пароля никогда не истекает", флажок принудительного изменения пароля в Active Directory (AD) не будет установлен, поэтому пользователю не будет предложено изменить пароль при следующем входе в систему, даже если при сбросе пароля конечного пользователя, инициированного администратором, выбран параметр для принудительного изменения пользователем своего пароля при следующем входе.

Следующие шаги

Чтобы приступить к работе с обратной записью SSPR, ознакомьтесь со следующим руководством.

Руководство. Включение обратной записи самостоятельного сброса пароля (SSPR)