Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med självbetjäning för molnsynkronisering till en lokal miljö
Microsoft Entra Anslut molnsynkronisering kan synkronisera Microsoft Entra-lösenordsändringar i realtid mellan användare i frånkopplade domäner lokal Active Directory Domain Services (AD DS). Microsoft Entra Anslut molnsynkronisering kan köras sida vid sida med Microsoft Entra Anslut på domännivå för att förenkla tillbakaskrivning av lösenord för ytterligare scenarier, till exempel användare som befinner sig i frånkopplade domäner på grund av en företagsuppdelning eller sammanslagning. Du kan konfigurera varje tjänst i olika domäner för att rikta in sig på olika uppsättningar användare beroende på deras behov. Microsoft Entra Anslut molnsynkronisering använder den lätta Microsoft Entra-molnetableringsagenten för att förenkla konfigurationen för tillbakaskrivning av lösenordsåterställning via självbetjäning (SSPR) och ge ett säkert sätt att skicka tillbaka lösenordsändringar i molnet till en lokal katalog.
Förutsättningar
- En Microsoft Entra-klientorganisation med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad. Skapa en kostnadsfritt om det behövs.
- Ett konto med:
- Microsoft Entra-ID konfigurerat för självbetjäning av lösenordsåterställning. Om det behövs slutför du den här självstudien för att aktivera Microsoft Entra SSPR.
- En lokal AD DS-miljö som konfigurerats med Microsoft Entra Anslut cloud sync version 1.1.977.0 eller senare. Lär dig hur du identifierar agentens aktuella version. Om det behövs konfigurerar du Microsoft Entra Anslut molnsynkronisering med hjälp av den här självstudien.
Instruktioner för distribution
- Konfigurera kontobehörigheter för Microsoft Entra-Anslut molnsynkroniseringstjänst
- Aktivera tillbakaskrivning av lösenord i Microsoft Entra Anslut molnsynkronisering
- Aktivera tillbakaskrivning av lösenord för SSPR
Konfigurera kontobehörigheter för Microsoft Entra-Anslut molnsynkroniseringstjänst
Behörigheter för molnsynkronisering konfigureras som standard. Om behörigheter behöver återställas kan du läsa Felsökning för mer information om de specifika behörigheter som krävs för tillbakaskrivning av lösenord och hur du anger dem med hjälp av PowerShell.
Aktivera tillbakaskrivning av lösenord i SSPR
Du kan aktivera etablering av Microsoft Entra-Anslut molnsynkronisering direkt i administrationscentret för Microsoft Entra eller via PowerShell.
Aktivera tillbakaskrivning av lösenord i administrationscentret för Microsoft Entra
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Med tillbakaskrivning av lösenord aktiverat i Microsoft Entra Anslut molnsynkronisering kontrollerar du nu och konfigurerar Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) för tillbakaskrivning av lösenord. När du aktiverar SSPR för att använda tillbakaskrivning av lösenord har användare som ändrar eller återställer sitt lösenord även det uppdaterade lösenordet synkroniserat tillbaka till den lokala AD DS-miljön.
Utför följande steg för att verifiera och aktivera tillbakaskrivning av lösenord i SSPR:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
Kontrollera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
(valfritt) Om Microsoft Entra Anslut etableringsagenter identifieras kan du dessutom kontrollera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
När du är klar väljer du Spara.
PowerShell
Med PowerShell kan du aktivera Microsoft Entra Anslut molnsynkronisering med hjälp av cmdleten Set-AADCloudSyncPasswordWritebackConfiguration på servrarna med etableringsagenterna. Du behöver autentiseringsuppgifter för global administratör:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Rensa resurser
Om du inte längre vill använda funktionen för tillbakaskrivning av SSPR som du har konfigurerat som en del av den här självstudien utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
- Avmarkera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
- Avmarkera alternativet för att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
- Avmarkera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord.
- När du är klar väljer du Spara.
Om du inte längre vill använda Microsoft Entra-Anslut molnsynkronisering för tillbakaskrivning av SSPR men vill fortsätta använda Microsoft Entra Anslut Sync-agenten för tillbakaskrivningar utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
- Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
- Avmarkera alternativet för att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
- När du är klar väljer du Spara.
Du kan också använda PowerShell för att inaktivera microsoft entra-Anslut molnsynkronisering för tillbakaskrivningsfunktioner för SSPR, från din Microsoft Entra-Anslut molnsynkroniseringsserver, kör Set-AADCloudSyncPasswordWritebackConfiguration med autentiseringsuppgifter för hybrididentitetsadministratör för att inaktivera tillbakaskrivning av lösenord med Microsoft Entra Anslut molnsynkronisering.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Åtgärder som stöds
Lösenord skrivs tillbaka i följande situationer för slutanvändare och administratörer.
| Konto | Åtgärder som stöds |
|---|---|
| Slutanvändare | Valfri lösenordsåtgärd för frivillig ändring av självbetjäning för slutanvändare. Slutanvändarnas självbetjäning tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Alla lösenordsåterställning via självbetjäning för slutanvändare som kommer från lösenordsåterställning. |
| Administratörer | Valfri frivillig ändringslösenordsåtgärd för administratörs självbetjäning. Alla självbetjäningsadministratörer tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Alla administratörsåterställning av lösenord via självbetjäning som kommer från lösenordsåterställning. Alla administratörsinitierade lösenordsåterställning av slutanvändare från administrationscentret för Microsoft Entra. Alla administratörsinitierade lösenordsåterställning från Microsoft Graph-API:et. |
Åtgärder som inte stöds
Lösenord skrivs inte tillbaka i följande situationer.
| Konto | Åtgärder som inte stöds |
|---|---|
| Slutanvändare | Slutanvändare som återställer sitt eget lösenord med hjälp av PowerShell-cmdletar eller Microsoft Graph-API:et. |
| Administratörer | Alla administratörsinitierade lösenordsåterställning av slutanvändare med hjälp av PowerShell-cmdletar. Alla administratörsinitierade lösenordsåterställningar för slutanvändare från Administrationscenter för Microsoft 365 . En administratör kan inte använda verktyget för lösenordsåterställning för att återställa sitt eget lösenord eller någon annan administratör i Microsoft Entra-ID för tillbakaskrivning av lösenord. |
Valideringsscenarier
Prova följande åtgärder för att verifiera scenarier med tillbakaskrivning av lösenord. Alla valideringsscenarier kräver att molnsynkronisering installeras och att användaren är i omfånget för tillbakaskrivning av lösenord.
| Scenario | Detaljer |
|---|---|
| Återställa lösenord från inloggningssidan | Låt två användare från frånkopplade domäner och skogar utföra SSPR. Du kan också ha Microsoft Entra-Anslut och molnsynkronisering distribuerad sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Anslut och låta användarna återställa sitt lösenord. |
| Framtvinga lösenordsändring som upphört att gälla | Låt två användare från frånkopplade domäner och skogar ändra utgångna lösenord. Du kan också ha Microsoft Entra Anslut och molnsynkronisering distribuerat sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Anslut. |
| Vanlig lösenordsändring | Låt två användare från frånkopplade domäner och skogar utföra rutinmässiga lösenordsändringar. Du kan också ha Microsoft Entra Anslut och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Anslut. |
| Användarlösenord för administratörsåterställning | Låt två användare frånkopplade domäner och skogar återställa sitt lösenord från administrationscentret för Microsoft Entra eller Frontline-arbetsportalen. Du kan också ha Microsoft Entra Anslut och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Anslut |
| Upplåsning av självbetjäningskonto | Låt två användare från frånkopplade domäner och skogar låsa upp konton i SSPR-portalen och återställa lösenordet. Du kan också ha Microsoft Entra Anslut och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Anslut. |
Felsökning
Microsoft Entra-Anslut molnsynkroniseringsgrupphanterat tjänstkonto bör ha följande behörigheter inställda på att skriva tillbaka lösenorden som standard:
- Återställa lösenord
- Skrivbehörigheter för lockoutTime
- Skrivbehörigheter för pwdLastSet
- Utökade rättigheter för "Unexpire Password" för rotobjektet för varje domän i skogen, om det inte redan har angetts.
Om dessa behörigheter inte har angetts kan du ange behörigheten PasswordWriteBack för tjänstkontot med hjälp av cmdleten Set-AADCloudSyncPermissions och autentiseringsuppgifterna för den lokala företagsadministratören:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)När du har uppdaterat behörigheterna kan det ta upp till en timme eller mer för dessa behörigheter att replikeras till alla objekt i katalogen.
Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i den lokala AD DS-miljön. Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.
Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. Om du testar den här funktionen och vill återställa lösenord för användare mer än en gång per dag måste grupprincipen för Lägsta lösenordsålder anges till 0. Den här inställningen finns under Datorkonfigurationsprinciper >> Windows Inställningar > Säkerhet Inställningar > Lösenordsprincip för kontoprinciper > i gpmc.msc.
Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder kommandot gpupdate /force.
För att lösenord ska kunna ändras omedelbart måste lägsta ålder för lösenord anges till 0. Men om användarna följer de lokala principerna och lägsta lösenordsålder är inställt på ett värde som är större än noll, fungerar inte tillbakaskrivning av lösenord när de lokala principerna har utvärderats.
Mer information om hur du verifierar eller konfigurerar lämpliga behörigheter finns i Konfigurera kontobehörigheter för Microsoft Entra Anslut.
Nästa steg
- Mer information om molnsynkronisering och en jämförelse mellan Microsoft Entra Anslut och molnsynkronisering finns i Vad är Microsoft Entra Anslut molnsynkronisering?
- En självstudiekurs om hur du konfigurerar tillbakaskrivning av lösenord med hjälp av Microsoft Entra Anslut finns i Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning via Microsoft Entra via självbetjäning till en lokal miljö.