Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med Microsoft Entra självbetjäning till en lokal miljö

Med Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) kan användarna uppdatera sitt lösenord eller låsa upp sitt konto med hjälp av en webbläsare. Vi rekommenderar den här videon om hur du aktiverar och konfigurerar SSPR i Microsoft Entra-ID. I en hybridmiljö där Microsoft Entra-ID är anslutet till en lokal Active Directory Domain Services-miljö (AD DS) kan det här scenariot göra att lösenord skiljer sig mellan de två katalogerna.

Tillbakaskrivning av lösenord kan användas för att synkronisera lösenordsändringar i Microsoft Entra tillbaka till din lokala AD DS-miljö. Microsoft Entra Connect tillhandahåller en säker mekanism för att skicka tillbaka dessa lösenordsändringar till en befintlig lokal katalog från Microsoft Entra ID.

Viktig

Den här självstudien visar en administratör hur du aktiverar självbetjäning av lösenordsåterställning tillbaka till en lokal miljö. Om du är en slutanvändare som redan är registrerad för självbetjäning av lösenordsåterställning och behöver komma tillbaka till ditt konto går du till https://aka.ms/sspr.

Om IT-teamet inte har aktiverat möjligheten att återställa ditt eget lösenord kontaktar du supportavdelningen för ytterligare hjälp.

I den här självstudien lär du dig att:

• Konfigurera nödvändiga behörigheter för tillbakaskrivning av lösenord
• Aktivera alternativet tillbakaskrivning av lösenord i Microsoft Entra Connect
• Aktivera tillbakaskrivning av lösenord i Microsoft Entra SSPR

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser och behörigheter:

• En fungerande Microsoft Entra-klient med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad.
  • Skapa en kostnadsfritt om det behövs.
  • Mer information finns i Licensieringskrav för Microsoft Entra SSPR.
• Ett konto med hybrididentitetsadministratör.
• Microsoft Entra-ID konfigurerat för självbetjäning av lösenordsåterställning.
  • Om det behövs slutför du den föregående självstudien för att aktivera Microsoft Entra SSPR.
• En befintlig lokal AD DS-miljö som konfigurerats med en aktuell version av Microsoft Entra Connect.
  • Om det behövs konfigurerar du Microsoft Entra Connect med hjälp av Express- eller Custom-inställningarna.
  • Om du vill använda tillbakaskrivning av lösenord kan domänkontrollanter köra valfri version av Windows Server som stöds.

Konfigurera kontobehörigheter för Microsoft Entra Connect

Med Microsoft Entra Connect kan du synkronisera användare, grupper och autentiseringsuppgifter mellan en lokal AD DS-miljö och Microsoft Entra-ID. Du installerar vanligtvis Microsoft Entra Connect på en Windows Server 2016- eller senare dator som är ansluten till den lokala AD DS-domänen.

För att fungera korrekt med SSPR-tillbakaskrivning måste det konto som anges i Microsoft Entra Connect ha rätt behörigheter och alternativ angivna. Om du inte är säker på vilket konto som används för närvarande öppnar du Microsoft Entra Connect och väljer alternativet Visa aktuell konfiguration . Det konto som du behöver lägga till behörigheter till visas under Synkroniserade kataloger. Följande behörigheter och alternativ måste anges för kontot:

• Återställa lösenord
• Ändra lösenord
• Skrivbehörigheter på lockoutTime
• Skrivbehörigheter på pwdLastSet
• Utökade rättigheter för "Unexpire Password" för rotobjektet för varje domän i skogen, om det inte redan har angetts.

Om du inte tilldelar dessa behörigheter kan tillbakaskrivningen verka vara korrekt konfigurerad, men användarna får fel när de hanterar sina lokala lösenord från molnet. När du anger behörigheterna "Ta bort lösenord" i Active Directory måste det tillämpas på det här objektet och alla underordnade objekt, endast det här objektet eller Alla underordnade objekt eller behörigheten "Ta bort lösenord" kan inte visas.

Dricks

Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i den lokala AD DS-miljön. Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.

Utför följande steg för att konfigurera lämpliga behörigheter för tillbakaskrivning av lösenord:

1. I din lokala AD DS-miljö öppnar du Active Directory - användare och datorer med ett konto som har rätt domänadministratörsbehörighet.
2. På menyn Visa kontrollerar du att Avancerade funktioner är aktiverade.
3. I den vänstra panelen högerklickar du på det objekt som representerar domänens rot och väljer Egenskaper>Säkerhet>Avancerat.
4. På fliken Behörigheter väljer du Lägg till.
5. Som Huvudnamn väljer du det konto som behörigheter ska tillämpas på (det konto som används av Microsoft Entra Connect).
6. I listrutan Gäller för väljer du Underordnade användarobjekt.
7. Under Behörigheter väljer du rutan för följande alternativ:
   • Återställa lösenord
8. Under Egenskaper markerar du rutorna för följande alternativ. Bläddra igenom listan för att hitta de här alternativen, som kanske redan har angetts som standard:

• Skriva lockoutTime

• Skriva pwdLastSet

  

1. När du är klar väljer du Tillämpa/OK för att tillämpa ändringarna.
2. På fliken Behörigheter väljer du Lägg till.
3. Som Huvudnamn väljer du det konto som behörigheter ska tillämpas på (det konto som används av Microsoft Entra Connect).
4. I listrutan Gäller för väljer du Det här objektet och alla underordnade objekt
5. Under Behörigheter väljer du rutan för följande alternativ:
   • Ta bort lösenord
6. När du är klar väljer du Använd/OK för att tillämpa ändringarna och avsluta alla öppna dialogrutor.

När du uppdaterar behörigheter kan det ta upp till en timme eller mer för dessa behörigheter att replikeras till alla objekt i katalogen.

Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. För att tillbakaskrivning av lösenord ska fungera mest effektivt måste grupprincipen för Lägsta lösenordsålder anges till 0. Den här inställningen finns under Datorkonfigurationsprinciper > > Windows-inställningar > Säkerhetsinställningar > Kontoprinciper i gpmc.msc.

Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder gpupdate /force kommandot .

Not

Om du behöver tillåta användare att ändra eller återställa lösenord mer än en gång per dag måste lägsta ålder för lösenord anges till 0. Tillbakaskrivning av lösenord fungerar när lokala lösenordsprinciper har utvärderats.

Aktivera tillbakaskrivning av lösenord i Microsoft Entra Connect

Ett av konfigurationsalternativen i Microsoft Entra Connect är för tillbakaskrivning av lösenord. När det här alternativet är aktiverat gör händelser för lösenordsändring att Microsoft Entra Connect synkroniserar de uppdaterade autentiseringsuppgifterna tillbaka till den lokala AD DS-miljön.

Aktivera tillbakaskrivning av SSPR genom att först aktivera tillbakaskrivningsalternativet i Microsoft Entra Connect. Slutför följande steg från Microsoft Entra Connect-servern:

1. Logga in på Microsoft Entra Connect-servern och starta konfigurationsguiden för Microsoft Entra Connect .
2. På sidan Välkommen väljer du Konfigurera.
3. På sidan Ytterligare uppgifter väljer du Anpassa synkroniseringsalternativ och sedan Nästa.
4. På sidan Anslut till Microsoft Entra-ID anger du en autentiseringsuppgift för hybridadministratör för din Azure-klientorganisation och väljer sedan Nästa.
5. På filtreringssidorna Anslut kataloger och domän/organisationsenhet väljer du Nästa.
6. På sidan Valfria funktioner markerar du rutan bredvid Tillbakaskrivning av lösenord och väljer Nästa.
7. På sidan Katalogtillägg väljer du Nästa.
8. På sidan Redo att konfigurera väljer du Konfigurera och väntar tills processen har slutförts.
9. När konfigurationen är klar väljer du Avsluta.

Not

Uppdatering PasswordWritebackEnabled från funktionerna i OnPremDirectorySynchronization-tjänsten stöds inte eftersom den här funktionsflaggan inte används.

Aktivera tillbakaskrivning av lösenord för SSPR

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Med tillbakaskrivning av lösenord aktiverat i Microsoft Entra Connect konfigurerar du nu Microsoft Entra SSPR för tillbakaskrivning. SSPR kan konfigureras för tillbakaskrivning via Microsoft Entra Connect Sync-agenter och Microsoft Entra Connect-etableringsagenter (molnsynkronisering). När du aktiverar SSPR för att använda tillbakaskrivning av lösenord har användare som ändrar eller återställer sitt lösenord även det uppdaterade lösenordet synkroniserat tillbaka till den lokala AD DS-miljön.

Utför följande steg för att aktivera tillbakaskrivning av lösenord i SSPR:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Kontrollera alternativet för Att skriva tillbaka lösenord till din lokala katalog .
4. (valfritt) Om Microsoft Entra Connect-etableringsagenter identifieras kan du dessutom kontrollera alternativet för att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
5. Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
6. När du är klar väljer du Spara.

Rensa resurser

Om du inte längre vill använda funktionen för tillbakaskrivning av SSPR som du har konfigurerat som en del av den här självstudien utför du följande steg:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Avmarkera alternativet för Att skriva tillbaka lösenord till din lokala katalog.
4. Avmarkera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
5. Avmarkera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord.
6. När du är klar väljer du Spara.

Om du inte längre vill använda microsoft Entra Connect-molnsynkronisering för SSPR-tillbakaskrivningsfunktioner men vill fortsätta använda Microsoft Entra Connect Sync-agenten för tillbakaskrivningar utför du följande steg:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.
2. Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
3. Avmarkera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
4. När du är klar väljer du Spara.

Om du inte längre vill använda lösenordsfunktioner utför du följande steg från Microsoft Entra Connect-servern:

1. Logga in på Microsoft Entra Connect-servern och starta konfigurationsguiden för Microsoft Entra Connect .
2. På sidan Välkommen väljer du Konfigurera.
3. På sidan Ytterligare uppgifter väljer du Anpassa synkroniseringsalternativ och sedan Nästa.
4. På sidan Anslut till Microsoft Entra-ID anger du en autentiseringsuppgift för hybridadministratör och väljer sedan Nästa.
5. På filtreringssidorna Anslut kataloger och domän/organisationsenhet väljer du Nästa.
6. På sidan Valfria funktioner avmarkerar du rutan bredvid Tillbakaskrivning av lösenord och väljer Nästa.
7. På sidan Redo att konfigurera väljer du Konfigurera och väntar tills processen har slutförts.
8. När konfigurationen är klar väljer du Avsluta.

Viktig

Om du aktiverar tillbakaskrivning av lösenord för första gången kan det utlösa lösenordsändringshändelserna 656 och 657, även om en lösenordsändring inte har inträffat. Detta beror på att alla lösenordshashvärden synkroniseras igen efter att en synkroniseringscykel för lösenordshash har körts.

Nästa steg

I den här självstudien har du aktiverat tillbakaskrivning av Microsoft Entra SSPR till en lokal AD DS-miljö. Du har lärt dig att:

• Konfigurera nödvändiga behörigheter för tillbakaskrivning av lösenord
• Aktivera alternativet tillbakaskrivning av lösenord i Microsoft Entra Connect
• Aktivera tillbakaskrivning av lösenord i Microsoft Entra SSPR

Utvärdera risk vid inloggning