Öğretici: Microsoft Entra self servis parola sıfırlama geri yazmayı şirket içi ortama etkinleştirme

  • Makale

Microsoft Entra self servis parola sıfırlama (SSPR) ile kullanıcılar parolalarını güncelleştirebilir veya bir web tarayıcısı kullanarak hesabının kilidini açabilir. Microsoft Entra Id'de SSPR'yi etkinleştirme ve yapılandırma konusunda bu video önerilir. Microsoft Entra Id'nin bir şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamına bağlı olduğu karma bir ortamda, bu senaryo parolaların iki dizin arasında farklı olmasına neden olabilir.

Parola geri yazma, Microsoft Entra'daki parola değişikliklerini şirket içi AD DS ortamınıza eşitlemek için kullanılabilir. Microsoft Entra Bağlan, bu parola değişikliklerini Microsoft Entra Id'den mevcut bir şirket içi dizine geri göndermek için güvenli bir mekanizma sağlar.

Önemli

Bu öğreticide, bir yöneticinin şirket içi ortama self servis parola sıfırlamayı etkinleştirmesi gösterilmektedir. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.

BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Parola geri yazma için gerekli izinleri yapılandırma
  • Microsoft Entra Bağlan'da parola geri yazma seçeneğini etkinleştirme
  • Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • En az Microsoft Entra Id P1 veya deneme lisansı etkinleştirilmiş çalışan bir Microsoft Entra kiracısı.
    • Gerekirse ücretsiz bir tane oluşturun.
    • Daha fazla bilgi için bkz . Microsoft Entra SSPR için lisans gereksinimleri.
  • Karma Kimlik Yönetici istrator'a sahip bir hesap.
  • Self servis parola sıfırlama için yapılandırılmış Microsoft Entra Id.
  • Microsoft Entra Bağlan'nin geçerli bir sürümüyle yapılandırılmış mevcut bir şirket içi AD DS ortamı.
    • Gerekirse, Hızlı veya Özel ayarlarını kullanarak Microsoft Entra Bağlan yapılandırın.
    • Etki alanı denetleyicileri, parola geri yazma özelliğini kullanmak için Windows Server'ın desteklenen herhangi bir sürümünü çalıştırabilir.

Microsoft Entra Bağlan için hesap izinlerini yapılandırma

Microsoft Entra Bağlan, şirket içi AD DS ortamı ile Microsoft Entra Id arasında kullanıcıları, grupları ve kimlik bilgilerini eşitlemenize olanak tanır. Microsoft Entra Bağlan genellikle şirket içi AD DS etki alanına katılmış bir Windows Server 2016 veya sonraki bir bilgisayara yüklersiniz.

SSPR geri yazma ile doğru şekilde çalışmak için Microsoft Entra Bağlan'de belirtilen hesabın uygun izinlere ve seçeneklere sahip olması gerekir. Şu anda hangi hesabın kullanımda olduğundan emin değilseniz Microsoft Entra Bağlan'ı açın ve Geçerli yapılandırmayı görüntüle seçeneğini belirleyin. İzin eklemeniz gereken hesap Eşitlenmiş Dizinler altında listelenir. Hesapta aşağıdaki izinler ve seçenekler ayarlanmalıdır:

  • Parola sıfırlama
  • Parola değiştirme
  • üzerinde yazma izinlerilockoutTime
  • üzerinde yazma izinleripwdLastSet
  • Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "ParolaYı Özetle" için genişletilmiş haklar.

Bu izinleri atamazsanız, geri yazma doğru yapılandırılmış gibi görünebilir, ancak kullanıcılar şirket içi parolalarını buluttan yönetirken hatalarla karşılaşır. Active Directory'de "ParolaYı Özetle" izinleri ayarlanırken, Bu nesneye ve tüm alt nesnelere, Yalnızca Bu nesneye veya Tüm alt nesnelere uygulanmalıdır ya da "ParolaYı Özetle" izni görüntülenemez.

İpucu

Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, şirket içi AD DS ortamındaki hesap için devralma seçeneğinin devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.

Parola geri yazmanın gerçekleşmesi için uygun izinleri ayarlamak için aşağıdaki adımları tamamlayın:

  1. Şirket içi AD DS ortamınızda, uygun etki alanı yöneticisi izinlerine sahip bir hesapla Active Directory Kullanıcıları ve Bilgisayarları açın.

  2. Görünüm menüsünde Gelişmiş özelliklerin açık olduğundan emin olun.

  3. Sol panelde, etki alanının kökünü temsil eden nesneyi sağ seçin ve Özellikler Güvenlik>Gelişmiş'i> seçin.

  4. İzinler sekmesinde Ekle'yi seçin.

  5. Sorumlu için, izinlerin uygulanması gereken hesabı seçin (Microsoft Entra Bağlan tarafından kullanılan hesap).

  6. Aşağıdakilere uygulanır açılan listesinde Descendant User nesneleri'ni seçin.

  7. İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:

    • Parola sıfırlama

  8. Özellikler'in altında aşağıdaki seçenekler için kutuları seçin. Varsayılan olarak ayarlanmış olabilecek bu seçenekleri bulmak için listeyi kaydırın:

    • Write lockoutTime
    • pwdLastSet yazma

    Set the appropriate permissions in Active Users and Computers for the account that is used by Microsoft Entra Connect

  9. Hazır olduğunuzda, değişiklikleri uygulamak için Uygula /Tamam'ı seçin.

  10. İzinler sekmesinde Ekle'yi seçin.

  11. Sorumlu için, izinlerin uygulanması gereken hesabı seçin (Microsoft Entra Bağlan tarafından kullanılan hesap).

  12. Aşağıdakilere uygulanır açılan listesinde Bu nesne ve tüm alt nesneler'i seçin

  13. İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:

    • Özetlenmemiş Parola

  14. Hazır olduğunuzda, değişiklikleri uygulamak ve açık iletişim kutularında çıkmak için Uygula /Tamam'ı seçin.

İzinleri güncelleştirdiğinizde, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.

Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Parola geri yazmanın en verimli şekilde çalışması için En düşük parola yaşı grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, içinde gpmc.mscWindows >> Ayarlar > Güvenlik Ayarlar > Hesap İlkeleri altında bulunabilir.

Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya komutunu kullanın gpupdate /force .

Not

Kullanıcıların parolaları günde birden fazla kez değiştirmesine veya sıfırlamasına izin vermeniz gerekiyorsa, En düşük parola yaşı 0 olarak ayarlanmalıdır. Şirket içi parola ilkeleri başarıyla değerlendirildikten sonra parola geri yazma çalışır.

Microsoft Entra Bağlan'de parola geri yazmayı etkinleştirme

Microsoft Entra Bağlan'daki yapılandırma seçeneklerinden biri parola geri yazmadır. Bu seçenek etkinleştirildiğinde, parola değişikliği olayları Microsoft Entra Bağlan'ın güncelleştirilmiş kimlik bilgilerini şirket içi AD DS ortamına eşitlemesine neden olur.

SSPR geri yazma özelliğini etkinleştirmek için önce Microsoft Entra Bağlan'da geri yazma seçeneğini etkinleştirin. Microsoft Entra Bağlan sunucunuzdan aşağıdaki adımları tamamlayın:

  1. Microsoft Entra Bağlan sunucunuzda oturum açın ve Microsoft Entra Bağlan yapılandırma sihirbazını başlatın.
  2. Hoş Geldiniz sayfasında, Yapılandır’ı seçin.
  3. Ek görevler sayfasında Eşitleme seçeneklerini özelleştirme'yi ve ardından İleri'yi seçin.
  4. Microsoft Entra Id'ye Bağlan sayfasında Azure kiracınız için genel Yönetici istrator kimlik bilgilerini girin ve İleri'yi seçin.
  5. Dizinleri bağla ve Etki Alanı/OU filtreleme sayfalarında İleri'yi seçin.
  6. İsteğe bağlı özellikler sayfasında Parola geri yazma özelliğinin yanındaki kutuyu işaretleyin ve İleri'yi seçin.
  7. Dizin uzantıları sayfasında İleri'yi seçin.
  8. Yapılandırma için hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
  9. Yapılandırma tamamlandığında Çıkış'ı seçin.

SSPR için parola geri yazmayı etkinleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra Bağlan'da parola geri yazma özelliği etkinleştirildiğinde, microsoft Entra SSPR'yi geri yazma için yapılandırın. SSPR, Microsoft Entra Bağlan Sync aracıları ve Microsoft Entra Bağlan sağlama aracıları (bulut eşitleme) aracılığıyla geri yazma için yapılandırılabilir. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.

SSPR'de parola geri yazmayı etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Şirket içi dizininize parolaları geri yazma seçeneğini işaretleyin.
  4. (isteğe bağlı) Microsoft Entra Bağlan sağlama aracıları algılanırsa, Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğini de işaretleyebilirsiniz.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.
  6. Hazır olduğunuzda Kaydet'i seçin.

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Şirket içi dizininize parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğinin işaretini kaldırın.
  6. Hazır olduğunuzda Kaydet'i seçin.

SSPR geri yazma işlevi için Microsoft Entra Bağlan bulut eşitlemesini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Bağlan Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici istrator olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Hazır olduğunuzda Kaydet'i seçin.

Artık herhangi bir parola işlevi kullanmak istemiyorsanız, Microsoft Entra Bağlan sunucunuzdan aşağıdaki adımları tamamlayın:

  1. Microsoft Entra Bağlan sunucunuzda oturum açın ve Microsoft Entra Bağlan yapılandırma sihirbazını başlatın.
  2. Hoş Geldiniz sayfasında, Yapılandır’ı seçin.
  3. Ek görevler sayfasında Eşitleme seçeneklerini özelleştirme'yi ve ardından İleri'yi seçin.
  4. Microsoft Entra Id'ye Bağlan sayfasında Azure kiracınız için genel yönetici kimlik bilgilerini girin ve İleri'yi seçin.
  5. Dizinleri bağla ve Etki Alanı/OU filtreleme sayfalarında İleri'yi seçin.
  6. İsteğe bağlı özellikler sayfasında, Parola geri yazma'nın yanındaki kutunun seçimini kaldırın ve İleri'yi seçin.
  7. Yapılandırma için hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
  8. Yapılandırma tamamlandığında Çıkış'ı seçin.

Önemli

Parola geri yazma özelliğinin ilk kez etkinleştirilmesi, parola değişikliği gerçekleşmemiş olsa bile 656 ve 657 parola değişikliği olaylarını tetikleyebilir. Bunun nedeni, parola karması eşitleme döngüsü çalıştırıldıktan sonra tüm parola karmalarının yeniden eşitlenmesidir.

Sonraki adımlar

Bu öğreticide, Microsoft Entra SSPR geri yazma özelliğini şirket içi AD DS ortamına etkinleştirmişsinizdir. Şunları öğrendiniz:

  • Parola geri yazma için gerekli izinleri yapılandırma
  • Microsoft Entra Bağlan'da parola geri yazma seçeneğini etkinleştirme
  • Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme

Oturum açma sırasında risk değerlendirmesi yapma