Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Замечание
Обратное восстановление самостоятельного сброса пароля с помощью облачной синхронизации не поддерживается в Microsoft Azure, управляемом 21Vianet. Вместо этого администраторы могут развернуть обратную запись SSPR с помощью Microsoft Entra Connect sync.
Microsoft Entra Облачная синхронизация может синхронизировать изменения паролей Microsoft Entra в реальном времени между пользователями в отключенных локальных доменах Active Directory Domain Services (AD DS). Microsoft Entra Облачная синхронизация может выполняться параллельно с Microsoft Entra Connect на уровне домена, чтобы упростить обратную запись паролей для дополнительных сценариев, таких как пользователи, которые находятся в отключенных доменах из-за разделения или слияния компании. Можно настроить каждую службу в разных доменах для разных групп пользователей в зависимости от их потребностей. Microsoft Entra Облачная синхронизация использует облегченный агент облачной настройки Microsoft Entra, чтобы упростить настройку для функции обратной записи при самостоятельном сбросе пароля (SSPR) и обеспечить безопасный способ отправки изменений паролей в облаке обратно в локальную директорию.
Предварительные условия
- Тенант Microsoft Entra с активированной лицензией Microsoft Entra ID P1 или пробной лицензией. Создайте ее бесплатно, если нужно.
- Учетная запись администратора гибридной идентичности
- Microsoft Entra ID настроен для самостоятельного сброса пароля. При необходимости выполните инструкции, чтобы включить Microsoft Entra SSPR.
- Локальная среда AD DS, настроенная с Microsoft Entra Cloud sync версии 1.1.977.0 или более поздней. Узнайте, как определить текущую версию агента.
Шаги развертывания
- Настройте разрешения учетной записи службы облачной синхронизации Microsoft Entra
- Включить обратную запись паролей в Microsoft Entra Connect для синхронизации с облаком
- Включение обратной записи паролей для SSPR
Настройка разрешений учетной записи службы облачной синхронизации Microsoft Entra
Разрешения для облачной синхронизации настраиваются по умолчанию. Если разрешения необходимо сбросить, см. раздел Устранение неполадок, где описаны конкретные разрешения, требуемые для обратной записи паролей, и способы их настройки с помощью PowerShell.
Включение компонента обратной записи паролей в SSPR
Вы можете включить подготовку облачной синхронизации Microsoft Entra Connect непосредственно в центре администрирования Microsoft Entra или с помощью PowerShell.
Включение обратной записи паролей в центре администрирования Microsoft Entra
При включении обратной записи паролей в Microsoft Entra Connect для облачной синхронизации, проверьте и настройте Microsoft Entra для самостоятельного сброса пароля (SSPR) для обратной записи паролей. При включении SSPR для использования обратной записи паролей, у пользователей, которые меняют или сбрасывают свои пароли, обновленные пароли также синхронизируются обратно с локальной средой AD DS.
Чтобы проверить и включить обратную запись паролей в SSPR, выполните следующие шаги:
Войдите в центр администрирования Microsoft Entra в качестве как минимум Администратора гибридной идентификации.
Перейдите к идентификатору Entra>сброс пароля, а затем выберите интеграция на локальном уровне.
Проверьте параметр включения обратной записи паролей для синхронизированных пользователей.
(необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно включить опцию Обратная синхронизация паролей с помощью Microsoft Entra Connect cloud sync.
Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
Когда все будет готово, щелкните Сохранить.
PowerShell
С помощью PowerShell можно включить облачную синхронизацию Microsoft Entra Connect с помощью командлета Set-AADCloudSyncPasswordWritebackConfiguration на серверах с агентами подготовки.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Очистка ресурсов
Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную в рамках этого руководства, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra в качестве как минимум Администратора гибридной идентификации.
- Перейдите к идентификатору Entra>сброс пароля, а затем выберите интеграция на локальном уровне.
- Снимите флажок «Отключить обратную запись паролей для синхронизированных пользователей».
- Снимите флажок Синхронизация паролей на обратную запись с облачным синхронизатором Microsoft Entra Connect.
- Снимите флажок Разрешить пользователям разблокировать учетные записи без сброса пароля.
- Когда все будет готово, щелкните Сохранить.
Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra в качестве как минимум Администратора гибридной идентификации.
- Перейдите к идентификатору Entra>сброс пароля, а затем выберите интеграция на локальном уровне.
- Снимите флажок Запись паролей обратно через облачную синхронизацию Microsoft Entra Connect.
- Когда все будет готово, щелкните Сохранить.
Вы также можете использовать PowerShell для отключения облачной синхронизации Microsoft Entra Connect для функций обратной записи SSPR на сервере синхронизации облака Microsoft Entra Connect, запустите Set-AADCloudSyncPasswordWritebackConfiguration с помощью учетных данных администратора гибридных удостоверений, чтобы отключить обратную запись паролей с помощью облачной синхронизации Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Поддерживаемые операции
Обратная запись паролей выполняется для пользователей и администраторов в следующих ситуациях.
| Учетная запись | Поддерживаемые операции |
|---|---|
| Конечные пользователи | все самостоятельные добровольные операции изменения пароля конечного пользователя; все самостоятельные принудительные операции изменения пароля пользователя (например, из-за окончания срока действия пароля); Любой самосервисный сброс пароля конечным пользователем, который происходит из сброса пароля. |
| Администраторы | любая самостоятельная добровольная операция изменения пароля администратора. Любая операция администратора по принудительному изменению пароля в режиме самообслуживания, например, при истечении срока действия пароля. Любой самостоятельный сброс пароля администратора, который инициирован сбросом пароля. Любой сброс пароля конечного пользователя, инициированный администратором, из панели администрирования Microsoft Entra. Любой сброс пароля, инициируемый администратором, из Microsoft Graph API. |
Неподдерживаемые операции
Обратная запись паролей не выполняется в следующих ситуациях.
| Учетная запись | Неподдерживаемые операции |
|---|---|
| Конечные пользователи | Любой пользователь может сбросить свой пароль с помощью командлетов PowerShell или Microsoft Graph API. |
| Администраторы | Любой сброс пароля пользователя, инициированный администратором с помощью командлетов PowerShell. Любой сброс пароля конечного пользователя, инициированный администратором, из центра администрирования Microsoft 365. Никакой администратор не может использовать средство сброса пароля для изменения собственного пароля или паролей других администраторов в Microsoft Entra ID для обратной записи паролей. |
Сценарии проверки
Попробуйте выполнить следующие операции, чтобы проверить сценарии с использованием обратной записи паролей. Для всех сценариев проверки требуется, чтобы облачная синхронизация была установленa и пользователь входил в область обратной записи паролей.
| Сценарий | Подробности |
|---|---|
| Сброс пароля с страницы входа | Два пользователя из изолированных доменов и лесов выполняют процесс SSPR. Кроме того, вы можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно, имея одного пользователя в рамках конфигурации облачной синхронизации и другого в рамках Microsoft Entra Connect, чтобы эти пользователи могли сбросить свои пароли. |
| Принудительное изменение просроченного пароля | Два пользователя из отключенных доменов и лесов меняют просроченные пароли. Вы также можете параллельно развернуть Microsoft Entra Connect и облачную синхронизацию и иметь одного пользователя в рамках конфигурации синхронизации с облаком, а другого - в рамках Microsoft Entra Connect. |
| Обычная смена пароля | Два пользователя из отключенных доменов и лесов выполняют регулярную смену пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию одновременно, и при этом одного пользователя назначить для конфигурации облачной синхронизации, а другого — для Microsoft Entra Connect. |
| Сброс пароля пользователя администратором | Двум пользователям, которым назначены отдельные домены и леса, необходимо сбросить пароли через центр администрирования Microsoft Entra или портал рабочих Frontline. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect |
| Самостоятельная разблокировка учетной записи | Пусть два пользователя из разъединенных доменов и лесов разблокируют учетные записи на портале SSPR путем сброса пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию вместе и иметь одного пользователя в области конфигурации облачной синхронизации и другого в области Microsoft Entra Connect. |
Устранение неполадок
У управляемой учетной записи службы облачной синхронизации Microsoft Entra Connect должны быть установлены следующие разрешения для обратной записи паролей по умолчанию:
- Введите новый пароль
- разрешения на запись в lockoutTime;
- разрешения на запись в pwdLastSet.
- Расширенные права на снятие истечения срока действия пароля на корневом объекте каждого домена в этом лесу, если они ещё не установлены.
Если эти разрешения не заданы, можно задать разрешение PasswordWriteBack для учетной записи службы с помощью командлета Set-AADCloudSyncPermissions и учетных данных локального администратора предприятия:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)После обновления разрешений может потребоваться до часа или больше, чтобы эти разрешения распространились на все объекты в вашем каталоге.
Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.
Политики паролей в локальной среде AD DS могут препятствовать корректной обработке смены паролей. Если вы тестируете эту функцию и хотите сбросить пароль для пользователей более одного раза в день, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в разделе "Конфигурация компьютера" > Политики > Настройки Windows > Параметры безопасности > Политики учетных записей > Политика паролей в gpmc.msc.
При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.
Чтобы пароли изменялись немедленно, нужно установить для параметра Минимальный срок действия пароля значение 0. Однако если пользователи соответствуют локальным политикам, а минимальный возраст пароля имеет значение больше нуля, обратная запись паролей не будет работать после оценки локальных политик.
Дополнительные сведения о проверке или настройке соответствующих разрешений см. в разделе Configure account permissions for Microsoft Entra Connect.
Следующие шаги
- Дополнительные сведения о синхронизации на основе облака и сравнение Microsoft Entra Connect и облачной синхронизации см. в статье What is Microsoft Entra Connect cloud sync?
- Руководство по настройке обратной записи паролей с помощью Microsoft Entra Connect см. в Руководстве: включение обратной записи для самостоятельного сброса пароля Microsoft Entra в локальной среде.