Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med Microsoft Entra självbetjäning till en lokal miljö

Med Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) kan användarna uppdatera sitt lösenord eller låsa upp sitt konto med hjälp av en webbläsare. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID. I en hybridmiljö där Microsoft Entra-ID är anslutet till en lokal Active Directory Domain Services-miljö (AD DS) kan det här scenariot göra att lösenord skiljer sig mellan de två katalogerna.

Tillbakaskrivning av lösenord kan användas för att synkronisera lösenordsändringar i Microsoft Entra tillbaka till din lokala AD DS-miljö. Microsoft Entra Anslut tillhandahåller en säker mekanism för att skicka tillbaka dessa lösenordsändringar till en befintlig lokal katalog från Microsoft Entra-ID.

Viktigt!

Den här självstudien visar en administratör hur du aktiverar självbetjäning av lösenordsåterställning tillbaka till en lokal miljö. Om du är en slutanvändare som redan är registrerad för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

I den här självstudien lär du dig att:

• Konfigurera nödvändiga behörigheter för tillbakaskrivning av lösenord
• Aktivera alternativet tillbakaskrivning av lösenord i Microsoft Entra Anslut
• Aktivera tillbakaskrivning av lösenord i Microsoft Entra SSPR

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En fungerande Microsoft Entra-klient med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad.
  • Skapa en kostnadsfritt om det behövs.
  • Mer information finns i Licensieringskrav för Microsoft Entra SSPR.
• Ett konto med hybrididentitetsadministratör.
• Microsoft Entra-ID konfigurerat för självbetjäning av lösenordsåterställning.
  • Om det behövs slutför du föregående självstudie för att aktivera Microsoft Entra ID SSPR.
• En befintlig lokal AD DS-miljö som konfigurerats med en aktuell version av Microsoft Entra Anslut.
  • Om det behövs konfigurerar du Microsoft Entra Anslut med hjälp av Express- eller Custom-inställningarna.
  • Om du vill använda tillbakaskrivning av lösenord kan domänkontrollanter köra valfri version av Windows Server som stöds.

Konfigurera kontobehörigheter för Microsoft Entra Anslut

Med Microsoft Entra Anslut kan du synkronisera användare, grupper och autentiseringsuppgifter mellan en lokal AD DS-miljö och Microsoft Entra-ID. Du installerar vanligtvis Microsoft Entra Anslut på en Windows Server 2016- eller senare dator som är ansluten till den lokala AD DS-domänen.

För att fungera korrekt med tillbakaskrivning av SSPR måste det konto som anges i Microsoft Entra Anslut ha rätt behörigheter och alternativ angivna. Om du inte är säker på vilket konto som används för närvarande öppnar du Microsoft Entra Anslut och väljer alternativet Visa aktuell konfiguration. Det konto som du behöver lägga till behörigheter till visas under Synkroniserade kataloger. Följande behörigheter och alternativ måste anges för kontot:

• Återställ lösenord
• Ändra lösenord
• Skrivbehörigheter på lockoutTime
• Skrivbehörigheter på pwdLastSet
• Utökade rättigheter för "Unexpire Password" för rotobjektet för varje domän i skogen, om det inte redan har angetts.

Om du inte tilldelar dessa behörigheter kan tillbakaskrivningen verka vara korrekt konfigurerad, men användarna får fel när de hanterar sina lokala lösenord från molnet. När du anger behörigheterna "Ta bort lösenord" i Active Directory måste det tillämpas på det här objektet och alla underordnade objekt, endast det här objektet eller Alla underordnade objekt eller behörigheten "Ta bort lösenord" kan inte visas.

Dricks

Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i den lokala AD DS-miljön. Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.

Utför följande steg för att konfigurera lämpliga behörigheter för tillbakaskrivning av lösenord:

1. I din lokala AD DS-miljö öppnar du Active Directory - användare och datorer med ett konto som har rätt domänadministratörsbehörighet.

2. På menyn Visa kontrollerar du att Avancerade funktioner är aktiverade.

3. I den vänstra panelen högerklickar du på det objekt som representerar domänens rot och väljer Egenskaper>Säkerhet>Avancerat.

4. På fliken Behörigheter väljer du Lägg till.

5. Som Huvudnamn väljer du det konto som behörigheter ska tillämpas på (det konto som används av Microsoft Entra Anslut).

6. I listrutan Gäller för väljer du Underordnade användarobjekt.

7. Under Behörigheter väljer du rutan för följande alternativ:

   • Återställ lösenord

8. Under Egenskaper markerar du rutorna för följande alternativ. Bläddra igenom listan för att hitta de här alternativen, som kanske redan har angetts som standard:

   • Skriva lockoutTime
   • Skriva pwdLastSet

   

9. När du är klar väljer du Tillämpa/OK för att tillämpa ändringarna.

10. På fliken Behörigheter väljer du Lägg till.

11. Som Huvudnamn väljer du det konto som behörigheter ska tillämpas på (det konto som används av Microsoft Entra Anslut).

12. I listrutan Gäller för väljer du Det här objektet och alla underordnade objekt

13. Under Behörigheter väljer du rutan för följande alternativ:

    • Ta bort lösenord

14. När du är klar väljer du Använd/OK för att tillämpa ändringarna och avsluta alla öppna dialogrutor.

När du uppdaterar behörigheter kan det ta upp till en timme eller mer för dessa behörigheter att replikeras till alla objekt i katalogen.

Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. För att tillbakaskrivning av lösenord ska fungera mest effektivt måste grupprincipen för Lägsta lösenordsålder anges till 0. Den här inställningen finns under Datorkonfigurationsprinciper >> Windows Inställningar > Säkerhet Inställningar > Kontoprinciper i gpmc.msc.

Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder gpupdate /force kommandot .

Kommentar

Om du behöver tillåta användare att ändra eller återställa lösenord mer än en gång per dag måste lägsta ålder för lösenord anges till 0. Tillbakaskrivning av lösenord fungerar när lokala lösenordsprinciper har utvärderats.

Aktivera tillbakaskrivning av lösenord i Microsoft Entra Anslut

Ett av konfigurationsalternativen i Microsoft Entra Anslut är för tillbakaskrivning av lösenord. När det här alternativet är aktiverat leder händelser för lösenordsändring till att Microsoft Entra Anslut synkronisera de uppdaterade autentiseringsuppgifterna tillbaka till den lokala AD DS-miljön.

Aktivera tillbakaskrivning av SSPR genom att först aktivera tillbakaskrivningsalternativet i Microsoft Entra Anslut. Slutför följande steg från Microsoft Entra Anslut-servern:

1. Logga in på Microsoft Entra Anslut-servern och starta konfigurationsguiden för Microsoft Entra Anslut.
2. På sidan Välkommen klickar du på Konfigurera.
3. På sidan Ytterligare uppgifter väljer du Anpassa synkroniseringsalternativ och väljer sedan Nästa.
4. På sidan Anslut till Microsoft Entra-ID anger du en global administratörsautentiseringsuppgift för din Azure-klientorganisation och väljer sedan Nästa.
5. På filtreringssidorna Anslut kataloger och Domän/OU väljer du Nästa.
6. På sidan Valfria funktioner markerar du rutan bredvid Tillbakaskrivning av lösenord och väljer Nästa.
7. På sidan Katalogtillägg väljer du Nästa.
8. På sidan Klart att konfigurera väljer du Konfigurera och väntar tills processen slutförts.
9. När du ser att konfigurationen är klar väljer du Avsluta.

Aktivera tillbakaskrivning av lösenord för SSPR

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med tillbakaskrivning av lösenord aktiverat i Microsoft Entra Anslut konfigurerar du nu Microsoft Entra SSPR för tillbakaskrivning. SSPR kan konfigureras för tillbakaskrivning via Microsoft Entra Anslut Sync-agenter och Microsoft Entra Anslut etableringsagenter (molnsynkronisering). När du aktiverar SSPR för att använda tillbakaskrivning av lösenord har användare som ändrar eller återställer sitt lösenord även det uppdaterade lösenordet synkroniserat tillbaka till den lokala AD DS-miljön.

Utför följande steg för att aktivera tillbakaskrivning av lösenord i SSPR:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Kontrollera alternativet för Att skriva tillbaka lösenord till din lokala katalog .
4. (valfritt) Om Microsoft Entra Anslut etableringsagenter identifieras kan du dessutom kontrollera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
5. Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
6. När du är klar väljer du Spara.

Rensa resurser

Om du inte längre vill använda funktionen för tillbakaskrivning av SSPR som du har konfigurerat som en del av den här självstudien utför du följande steg:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Avmarkera alternativet för Att skriva tillbaka lösenord till din lokala katalog.
4. Avmarkera alternativet för att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
5. Avmarkera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord.
6. När du är klar väljer du Spara.

Om du inte längre vill använda Microsoft Entra-Anslut molnsynkronisering för tillbakaskrivning av SSPR men vill fortsätta använda Microsoft Entra Anslut Sync-agenten för tillbakaskrivningar utför du följande steg:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Avmarkera alternativet för att skriva tillbaka lösenord med Microsoft Entra Anslut molnsynkronisering.
4. När du är klar väljer du Spara.

Om du inte längre vill använda lösenordsfunktioner utför du följande steg från Microsoft Entra Anslut-servern:

1. Logga in på Microsoft Entra Anslut-servern och starta konfigurationsguiden för Microsoft Entra Anslut.
2. På sidan Välkommen klickar du på Konfigurera.
3. På sidan Ytterligare uppgifter väljer du Anpassa synkroniseringsalternativ och väljer sedan Nästa.
4. På sidan Anslut till Microsoft Entra-ID anger du en global administratörsautentiseringsuppgift för din Azure-klientorganisation och väljer sedan Nästa.
5. På filtreringssidorna Anslut kataloger och Domän/OU väljer du Nästa.
6. På sidan Valfria funktioner avmarkerar du rutan bredvid Tillbakaskrivning av lösenord och väljer Nästa.
7. På sidan Klart att konfigurera väljer du Konfigurera och väntar tills processen slutförts.
8. När du ser att konfigurationen är klar väljer du Avsluta.

Viktigt!

Om du aktiverar tillbakaskrivning av lösenord för första gången kan det utlösa lösenordsändringshändelserna 656 och 657, även om en lösenordsändring inte har inträffat. Detta beror på att alla lösenordshashvärden synkroniseras igen efter att en synkroniseringscykel för lösenordshash har körts.

Nästa steg

I den här självstudien har du aktiverat tillbakaskrivning av Microsoft Entra SSPR till en lokal AD DS-miljö. Du har lärt dig att:

• Konfigurera nödvändiga behörigheter för tillbakaskrivning av lösenord
• Aktivera alternativet tillbakaskrivning av lösenord i Microsoft Entra Anslut
• Aktivera tillbakaskrivning av lösenord i Microsoft Entra SSPR

Utvärdera risk vid inloggning