Поделиться через


Руководство. Включение обратной записи самостоятельного сброса пароля Microsoft Entra в локальную среду

При самостоятельном сбросе пароля Microsoft Entra (SSPR) пользователи могут обновлять пароль или разблокировать свою учетную запись с помощью веб-браузера. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. В гибридной среде, в которой идентификатор Microsoft Entra подключен к среде локальная служба Active Directory доменных служб (AD DS), этот сценарий может вызвать разные пароли между двумя каталогами.

Обратная запись паролей может использоваться для синхронизации изменений паролей в Microsoft Entra обратно в локальную среду AD DS. Microsoft Entra Connect предоставляет безопасный механизм для отправки этих изменений паролей обратно в существующий локальный каталог из идентификатора Microsoft Entra.

Внимание

В этом руководстве рассказывается, как администратор может включить самостоятельный сброс пароля в локальной среде. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

В этом руководстве описано следующее:

  • настройка требуемых разрешений для обратной записи паролей;
  • Включение параметра обратной записи паролей в Microsoft Entra Connect
  • Включение обратной записи паролей в Microsoft Entra SSPR

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

Настройка разрешений учетной записи для Microsoft Entra Connect

Microsoft Entra Connect позволяет синхронизировать пользователей, группы и учетные данные между локальной средой AD DS и идентификатором Microsoft Entra. Обычно вы устанавливаете Microsoft Entra Connect на компьютере Windows Server 2016 или более поздней версии, присоединенном к локальному домену AD DS.

Чтобы правильно работать с обратной записью SSPR, учетная запись, указанная в Microsoft Entra Connect, должна иметь соответствующие разрешения и параметры. Если вы не уверены, какая учетная запись сейчас используется, откройте Microsoft Entra Connect и выберите параметр "Просмотреть текущую конфигурацию ". Учетная запись, для которой необходимо добавить разрешение, указана в разделе Синхронизированные каталоги. Для учетной записи необходимо задать следующие разрешения и параметры:

  • Сброс пароля
  • Изменить пароль
  • разрешения на запись для lockoutTime;
  • разрешения на запись для pwdLastSet;
  • расширенные права для пароля без истекшего срока действия в корневом объекте каждого домена в таком лесу (если они еще не заданы).

Если эти разрешения не будут назначены, даже при кажущейся правильной настройке обратной записи паролей пользователи столкнутся с ошибками при попытке управления своими локальными паролями из облака. Устанавливаемые разрешения "Отмена истечения срока пароля" в Active Directory должны распространятся на Этот объект и все дочерние объекты, Только этот объект или Все дочерние объекты. В противном случае разрешение "Отмена истечения срока пароля" не будет отображаться.

Совет

Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.

Чтобы задать соответствующие разрешения для компонента обратной записи паролей, сделайте следующее.

  1. В локальной среде AD DS откройте оснастку Пользователи и компьютеры Active Directory с учетной записью с правами администратора соответствующего домена.
  2. В меню Представление включите параметр Расширенные возможности.
  3. На панели слева щелкните правой кнопкой мыши объект, который представляет корень домена, и выберите Свойства>Безопасность>Дополнительно.
  4. На вкладке Разрешения нажмите кнопку Добавить.
  5. Для субъекта выберите учетную запись, к которым должны применяться разрешения (учетная запись, используемая Microsoft Entra Connect).
  6. Из раскрывающегося списка Применяется к выберите Descendent User objects (Дочерние объекты-пользователи).
  7. В разделе "Разрешения" выберите поле для следующего параметра:
    • Сброс пароля
  8. В разделе Свойства установите флажки для следующих параметров. Прокрутите список, чтобы найти эти параметры; они уже могут быть установлены по умолчанию:
  • Write lockoutTime (Запись времени блокировки);

  • Write pwdLastSet (Запись времени последней установки пароля).

    Задайте соответствующие разрешения в активных пользователях и компьютерах для учетной записи, используемой Microsoft Entra Connect

  1. Когда все готово, нажмите кнопку "Применить/ ОК ", чтобы применить изменения.
  2. На вкладке Разрешения нажмите кнопку Добавить.
  3. Для субъекта выберите учетную запись, к которым должны применяться разрешения (учетная запись, используемая Microsoft Entra Connect).
  4. В раскрывающемся списке "Область применения" выберите этот объект и все объекты-потомки
  5. В разделе "Разрешения" выберите поле для следующего параметра:
    • Отмена пароля
  6. Когда все будет готово, щелкните Применить и "ОК", чтобы применить изменения, а затем закройте все открытые диалоговые окна.

При обновлении разрешений их репликация на всех объектах каталога может занять час или больше.

Политики паролей в локальной среде AD DS могут препятствовать правильной обработке сброса паролей. Чтобы компонент обратной записи паролей работал как можно эффективнее, значение групповой политики для минимального срока действия пароля должно быть равно 0. Этот параметр можно найти в разделе Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики учетных записей в gpmc.msc.

При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.

Примечание.

Если необходимо разрешить пользователям изменять или сбрасывать пароли несколько раз в день, параметру Минимальный срок действия пароля должно быть задано значение 0. Обратная запись паролей начнет работать после успешной оценки локальных политик паролей.

Включение обратной записи паролей в Microsoft Entra Connect

Одним из вариантов конфигурации в Microsoft Entra Connect является обратная запись паролей. Если этот параметр включен, события изменения пароля вызывают Microsoft Entra Connect синхронизацию обновленных учетных данных обратно в локальную среду AD DS.

Чтобы включить обратную запись SSPR, сначала включите параметр обратной записи в Microsoft Entra Connect. На сервере Microsoft Entra Connect выполните следующие действия.

  1. Войдите на сервер Microsoft Entra Connect и запустите мастер настройки Microsoft Entra Connect .
  2. На странице Приветствие нажмите кнопку Настроить.
  3. Выберите Настроить параметры синхронизации на странице Дополнительные задачи и нажмите кнопку Далее.
  4. На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные гибридного администратора для клиента Azure и нажмите кнопку "Далее".
  5. На страницах фильтров Подключить каталоги и Домен или подразделение нажмите кнопку Далее.
  6. На странице Дополнительные компоненты установите флажок рядом с параметром Обратная запись паролей и нажмите кнопку Далее.
  7. На странице Расширения каталогов щелкните Далее.
  8. На странице Готово к настройке щелкните Настроить и дождитесь завершения процесса.
  9. После завершения настройки нажмите кнопку Выход.

Примечание.

Обновление PasswordWritebackEnabled функций службы OnPremDirectorySynchronization не поддерживается, так как этот флаг функции не используется.

Включение обратной записи паролей для SSPR

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

После включения обратной записи паролей в Microsoft Entra Connect теперь настройте Microsoft Entra SSPR для обратной записи. SSPR можно настроить для обратной записи с помощью агентов синхронизации Microsoft Entra Connect и агентов подготовки Microsoft Entra Connect (облачная синхронизация). При включении SSPR для использования обратной записи паролей пользователи, которые меняют или сбрасывают свой пароль, синхронизируют этот пароль с локальной средой AD DS.

Чтобы включить обратную запись паролей в SSPR, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
  3. Установите флажок Обратная запись паролей в локальный каталог.
  4. (необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно проверить параметр обратной записи паролей с помощью облачной синхронизации Microsoft Entra Connect.
  5. Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
  6. Когда все будет готово, щелкните Сохранить.

Очистка ресурсов

Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную с помощью этого руководства, сделайте следующее:

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
  3. Снимите флажок Включить обратную запись паролей в локальный каталог.
  4. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
  5. Снимите флажок Разрешить пользователям разблокировать учетные записи без сброса пароля.
  6. Когда все будет готово, щелкните Сохранить.

Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
  2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
  3. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
  4. Когда все будет готово, щелкните Сохранить.

Если вы больше не хотите использовать какие-либо функции паролей, выполните следующие действия с сервера Microsoft Entra Connect:

  1. Войдите на сервер Microsoft Entra Connect и запустите мастер настройки Microsoft Entra Connect .
  2. На странице Приветствие нажмите кнопку Настроить.
  3. Выберите Настроить параметры синхронизации на странице Дополнительные задачи и нажмите кнопку Далее.
  4. На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные гибридного администратора и нажмите кнопку "Далее".
  5. На страницах фильтров Подключить каталоги и Домен или подразделение нажмите кнопку Далее.
  6. На странице Дополнительные компоненты снимите флажок рядом с параметром Обратная запись паролей и нажмите кнопку Далее.
  7. На странице Готово к настройке щелкните Настроить и дождитесь завершения процесса.
  8. После завершения настройки нажмите кнопку Выход.

Внимание

Включение компонента обратной записи паролей в первый раз может инициировать события смены пароля 656 и 657, даже если пароль не изменялся. Это происходит потому, что все хэши паролей повторно синхронизируются после выполнения цикла синхронизации хэшированных паролей.

Следующие шаги

В этом руководстве вы включили обратную запись Microsoft Entra SSPR в локальную среду AD DS. Вы научились выполнять следующие задачи:

  • настройка требуемых разрешений для обратной записи паролей;
  • Включение параметра обратной записи паролей в Microsoft Entra Connect
  • Включение обратной записи паролей в Microsoft Entra SSPR

Tutorial: Use risk events to trigger Multi-Factor Authentication and password changes (Руководство. Использование событий риска для запуска Многофакторной идентификации и изменений пароля)