Hur fungerar tillbakaskrivning av lösenordsåterställning med självbetjäning i Microsoft Entra-ID?
Med Microsoft Entra-självbetjäning av lösenordsåterställning (SSPR) kan användarna återställa sina lösenord i molnet, men de flesta företag har också en lokal Active Directory Domain Services-miljö (AD DS) för användare. Tillbakaskrivning av lösenord gör att lösenordsändringar i molnet kan skrivas tillbaka till en lokal katalog i realtid med hjälp av antingen Microsoft Entra Anslut eller Microsoft Entra Anslut molnsynkronisering. När användarna ändrar eller återställer sina lösenord med SSPR i molnet skrivs även de uppdaterade lösenorden tillbaka till den lokala AD DS-miljön.
Viktigt!
Den här konceptuella artikeln förklarar för en administratör hur tillbakaskrivning av lösenordsåterställning med självbetjäning fungerar. Om du är en slutanvändare som redan är registrerad för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.
Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.
Tillbakaskrivning av lösenord stöds i miljöer som använder följande hybrididentitetsmodeller:
Tillbakaskrivning av lösenord innehåller följande funktioner:
- Tillämpning av lösenordsprinciper för lokal Active Directory Domain Services (AD DS): När en användare återställer sitt lösenord kontrolleras det för att säkerställa att det uppfyller din lokala AD DS-princip innan den checkas in i katalogen. Den här granskningen omfattar kontroll av historik, komplexitet, ålder, lösenordsfilter och andra lösenordsbegränsningar som du definierar i AD DS.
- Feedback om noll fördröjning: Tillbakaskrivning av lösenord är en synkron åtgärd. Användare meddelas omedelbart om deras lösenord inte uppfyller principen eller inte kan återställas eller ändras av någon anledning.
- Stöder lösenordsändringar från åtkomstpanelen och Microsoft 365: När federerade eller lösenordshashsynkrona användare kommer att ändra sina utgångna eller icke-utgångna lösenord skrivs dessa lösenord tillbaka till AD DS.
- Stöder tillbakaskrivning av lösenord när en administratör återställer dem från administrationscentret för Microsoft Entra: När en administratör återställer en användares lösenord i administrationscentret för Microsoft Entra skrivs lösenordet tillbaka till den lokala miljön om användaren är federerad eller lösenordshash synkroniserad. Den här funktionen stöds för närvarande inte i Office-administratörsportalen.
- Kräver inga inkommande brandväggsregler: Tillbakaskrivning av lösenord använder ett Azure Service Bus-relä som en underliggande kommunikationskanal. All kommunikation är utgående via port 443.
- Stöder distribution på domännivå sida vid sida med Hjälp av Microsoft Entra Anslut eller molnsynkronisering för att rikta olika uppsättningar användare beroende på deras behov, inklusive användare som befinner sig i frånkopplade domäner.
Kommentar
Det lokala tjänstkontot som hanterar begäranden om tillbakaskrivning av lösenord kan inte ändra lösenorden för användare som tillhör skyddade grupper. Administratörer kan ändra sitt lösenord i molnet, men de kan inte använda tillbakaskrivning av lösenord för att återställa ett bortglömt lösenord för sin lokala användare. Mer information om skyddade grupper finns i Skyddade konton och grupper i AD DS.
Om du vill komma igång med tillbakaskrivning av SSPR slutför du antingen en eller båda av följande självstudier:
- Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med självbetjäning (SSPR)
- Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med självbetjäning i Microsoft Entra Anslut molnsynkronisering till en lokal miljö (förhandsversion)
Distribution av Microsoft Entra-Anslut och molnsynkronisering sida vid sida
Du kan distribuera Microsoft Entra-Anslut och molnsynkronisering sida vid sida i olika domäner för att rikta in dig på olika uppsättningar användare. Detta hjälper befintliga användare att fortsätta att skriva tillbaka lösenordsändringar samtidigt som alternativet läggs till i fall där användare befinner sig i frånkopplade domäner på grund av en företagssammanslagning eller delning. Microsoft Entra Anslut och molnsynkronisering kan konfigureras i olika domäner så att användare från en domän kan använda Microsoft Entra Anslut medan användare i en annan domän använder molnsynkronisering. Molnsynkronisering kan också ge högre tillgänglighet eftersom den inte förlitar sig på en enda instans av Microsoft Entra Anslut. En funktionsjämförelse mellan de två distributionsalternativen finns i Jämförelse mellan Microsoft Entra Anslut och molnsynkronisering.
Så fungerar tillbakaskrivning av lösenord
När ett användarkonto som har konfigurerats för federation, synkronisering av lösenordshash (eller vid distribution av Microsoft Entra Anslut direktautentisering) försöker återställa eller ändra ett lösenord i molnet utförs följande åtgärder:
En kontroll utförs för att se vilken typ av lösenord användaren har. Om lösenordet hanteras lokalt:
- En kontroll utförs för att se om tillbakaskrivningstjänsten är igång. Om så är fallet kan användaren fortsätta.
- Om tillbakaskrivningstjänsten är nere informeras användaren om att deras lösenord inte kan återställas just nu.
Därefter skickar användaren lämpliga autentiseringsportar och når sidan Återställ lösenord .
Användaren väljer ett nytt lösenord och bekräftar det.
När användaren väljer Skicka krypteras lösenordet i klartext med en offentlig nyckel som skapades under tillbakaskrivningsprocessen.
Det krypterade lösenordet ingår i en nyttolast som skickas via en HTTPS-kanal till ditt klientspecifika Service Bus-relä (som har konfigurerats åt dig under tillbakaskrivningsprocessen). Det här reläet skyddas av ett slumpmässigt genererat lösenord som endast den lokala installationen känner till.
När meddelandet når servicebussen aktiveras automatiskt slutpunkten för lösenordsåterställning och ser att en återställningsbegäran väntar.
Tjänsten söker sedan efter användaren med hjälp av molnankarattributet. För att sökningen ska lyckas måste följande villkor vara uppfyllda:
- Användarobjektet måste finnas i AD DS-anslutningsutrymmet.
- Användarobjektet måste vara länkat till motsvarande metaversumobjekt (MV).
- Användarobjektet måste vara länkat till motsvarande Microsoft Entra-anslutningsobjekt.
- Länken från AD DS-anslutningsobjektet till MV måste ha synkroniseringsregeln
Microsoft.InfromADUserAccountEnabled.xxx
på länken.
När anropet kommer in från molnet använder synkroniseringsmotorn attributet cloudAnchor för att leta upp microsoft Entra-anslutningsobjektet. Den följer sedan länken tillbaka till MV-objektet och följer sedan länken tillbaka till AD DS-objektet. Eftersom det kan finnas flera AD DS-objekt (flera skogar) för samma användare förlitar sig synkroniseringsmotorn på
Microsoft.InfromADUserAccountEnabled.xxx
länken för att välja rätt.När användarkontot har hittats görs ett försök att återställa lösenordet direkt i lämplig AD DS-skog.
Om åtgärden för lösenordsuppsättning lyckas får användaren veta att lösenordet har ändrats.
Kommentar
Om användarens lösenordshash synkroniseras med Microsoft Entra-ID med hjälp av synkronisering av lösenordshash finns det en risk att den lokala lösenordsprincipen är svagare än molnlösenordsprincipen. I det här fallet tillämpas den lokala principen. Den här principen säkerställer att din lokala princip tillämpas i molnet, oavsett om du använder synkronisering av lösenordshash eller federation för att tillhandahålla enkel inloggning.
Om åtgärden för lösenordsuppsättningen misslyckas uppmanas användaren att försöka igen. Åtgärden kan misslyckas på grund av följande orsaker:
- Tjänsten var nere.
- Lösenordet de valde uppfyller inte organisationens principer.
- Det går inte att hitta användaren i den lokala AD DS-miljön.
Felmeddelandena ger vägledning till användare så att de kan försöka lösa det utan administratörsintervention.
Säkerhet för tillbakaskrivning av lösenord
Tillbakaskrivning av lösenord är en mycket säker tjänst. För att säkerställa att din information är skyddad aktiveras en säkerhetsmodell med fyra nivåer på följande sätt:
- Klientspecifikt service bus-relä
- När du konfigurerar tjänsten konfigureras ett klientspecifikt Service Bus Relay som skyddas av ett slumpmässigt genererat starkt lösenord som Microsoft aldrig har åtkomst till.
- Låst, kryptografiskt stark lösenordskrypteringsnyckel
- När service bus-reläet har skapats skapas en stark symmetrisk nyckel som används för att kryptera lösenordet när det kommer över kabeln. Den här nyckeln finns bara i företagets hemliga butik i molnet, som är kraftigt låst och granskad, precis som andra lösenord i katalogen.
- TLS (Industry Standard Transport Layer Security)
- När en lösenordsåterställning eller ändringsåtgärd inträffar i molnet krypteras lösenordet i klartext med din offentliga nyckel.
- Det krypterade lösenordet placeras i ett HTTPS-meddelande som skickas via en krypterad kanal med hjälp av Microsoft TLS/SSL-certifikat till service bus-reläet.
- När meddelandet har kommit in i servicebussen vaknar den lokala agenten och autentiserar till servicebussen med hjälp av det starka lösenord som tidigare genererades.
- Den lokala agenten hämtar det krypterade meddelandet och dekrypterar det med hjälp av den privata nyckeln.
- Den lokala agenten försöker ange lösenordet via AD DS SetPassword-API:et. Det här steget gör det möjligt att tillämpa din lokala AD DS-lösenordsprincip (till exempel komplexitet, ålder, historik och filter) i molnet.
- Principer för förfallodatum för meddelanden
- Om meddelandet finns i Service Bus på grund av att den lokala tjänsten är avstängd överskrider den tidsgränsen och tas bort efter flera minuter. Tidsgränsen och borttagningen av meddelandet ökar säkerheten ytterligare.
Krypteringsinformation för tillbakaskrivning av lösenord
När en användare har skickat en lösenordsåterställning genomgår återställningsbegäran flera krypteringssteg innan den tas emot i din lokala miljö. De här krypteringsstegen säkerställer maximal tillförlitlighet och säkerhet för tjänsten. De beskrivs på följande sätt:
- Lösenordskryptering med 2048-bitars RSA-nyckel: När en användare har skickat ett lösenord som ska skrivas tillbaka till den lokala datorn krypteras själva det skickade lösenordet med en 2048-bitars RSA-nyckel.
- Kryptering på paketnivå med 256-bitars AES-GCM: Hela paketet, lösenordet plus nödvändiga metadata, krypteras med hjälp av AES-GCM (med en nyckelstorlek på 256 bitar). Den här krypteringen hindrar alla med direkt åtkomst till den underliggande Service Bus-kanalen från att visa eller manipulera innehållet.
- All kommunikation sker via TLS/SSL: All kommunikation med Service Bus sker i en SSL/TLS-kanal. Den här krypteringen skyddar innehållet från obehöriga tredje parter.
- Automatisk nyckelåterställning var sjätte månad: Alla nycklar rullas över var sjätte månad, eller varje gång tillbakaskrivning av lösenord inaktiveras och sedan återaktiveras på Microsoft Entra Anslut, för att säkerställa maximal servicesäkerhet och säkerhet.
Bandbreddsanvändning för tillbakaskrivning av lösenord
Tillbakaskrivning av lösenord är en tjänst med låg bandbredd som endast skickar begäranden tillbaka till den lokala agenten under följande omständigheter:
- Två meddelanden skickas när funktionen är aktiverad eller inaktiverad via Microsoft Entra Anslut.
- Ett meddelande skickas en gång var femte minut som ett tjänstslag så länge tjänsten körs.
- Två meddelanden skickas varje gång ett nytt lösenord skickas:
- Det första meddelandet är en begäran om att utföra åtgärden.
- Det andra meddelandet innehåller resultatet av åtgärden och skickas under följande omständigheter:
- Varje gång ett nytt lösenord skickas under en självbetjäningsåterställning av lösenord.
- Varje gång ett nytt lösenord skickas under en ändringsåtgärd för användarlösenord.
- Varje gång ett nytt lösenord skickas under en administratörsinitierad återställning av användarlösenord (endast från Azure-administratörsportalerna).
Överväganden för meddelandestorlek och bandbredd
Storleken på vart och ett av meddelandet som beskrevs tidigare är vanligtvis under 1 KB. Även under extrema belastningar förbrukar själva tjänsten för tillbakaskrivning av lösenord några kilobitar per sekund av bandbredden. Eftersom varje meddelande skickas i realtid, endast när det krävs av en lösenordsuppdateringsåtgärd, och eftersom meddelandestorleken är så liten, är bandbreddsanvändningen för tillbakaskrivningsfunktionen för liten för att ha en mätbar inverkan.
Tillbakaskrivningsåtgärder som stöds
Lösenord skrivs tillbaka i alla följande situationer:
Slutanvändaråtgärder som stöds
- Valfri lösenordsåtgärd för frivillig ändring av självbetjäning för slutanvändare.
- Slutanvändarnas självbetjäning tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord.
- Alla självbetjäningsåterställning av lösenord för slutanvändare som kommer från portalen för lösenordsåterställning.
Administratörsåtgärder som stöds
- Valfri frivillig ändringslösenordsåtgärd för administratörs självbetjäning.
- Alla självbetjäningsadministratörer tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord.
- Alla administratörsåterställning av lösenord via självbetjäning som kommer från portalen för lösenordsåterställning.
- Alla administratörsinitierade lösenordsåterställning av slutanvändare från administrationscentret för Microsoft Entra.
- Alla administratörsinitierade lösenordsåterställning från Microsoft Graph-API:et.
Tillbakaskrivningsåtgärder som inte stöds
Lösenord skrivs inte tillbaka i någon av följande situationer:
- Slutanvändaråtgärder som inte stöds
- Slutanvändare återställer sina egna lösenord med hjälp av PowerShell version 1, version 2 eller Microsoft Graph API.
- Administratörsåtgärder som inte stöds
- Alla administratörsinitierade lösenordsåterställning av slutanvändare från PowerShell version 1 eller version 2.
- Alla administratörsinitierade lösenordsåterställning från Administrationscenter för Microsoft 365.
- Administratörer kan inte använda verktyget för lösenordsåterställning för att återställa sina egna lösenord för tillbakaskrivning av lösenord.
Varning
Användning av kryssrutan "Användaren måste ändra lösenord vid nästa inloggning" i lokala administrativa AD DS-verktyg som Active Directory - användare och datorer eller Active Directory Administrationscenter stöds som en förhandsversionsfunktion i Microsoft Entra Anslut. Mer information finns i Implementera synkronisering av lösenordshash med Microsoft Entra Anslut Sync.
Kommentar
Om en användare har alternativet "Lösenordet upphör aldrig att gälla" anges i Active Directory (AD), kommer flaggan för ändring av framtvingade lösenord inte att anges i Active Directory (AD), så användaren uppmanas inte att ändra lösenordet vid nästa inloggning även om alternativet att tvinga användaren att ändra sitt lösenord vid nästa inloggningsalternativ väljs under en administratörsinitierad lösenordsåterställning för slutanvändare.
Nästa steg
Slutför följande självstudie för att komma igång med tillbakaskrivning av SSPR: