Aracılığıyla paylaş

Öğretici: Microsoft Entra self servis parola sıfırlama geri yazmayı şirket içi ortama etkinleştirme

  • Makale

Microsoft Entra self servis parola sıfırlama (SSPR) ile kullanıcılar parolalarını güncelleştirebilir veya bir web tarayıcısı kullanarak hesabının kilidini açabilir. Microsoft Entra Id'de SSPR'yi etkinleştirme ve yapılandırma konusunda bu video önerilir. Microsoft Entra Id'nin bir şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamına bağlı olduğu karma bir ortamda, bu senaryo parolaların iki dizin arasında farklı olmasına neden olabilir.

Parola geri yazma, Microsoft Entra'daki parola değişikliklerini şirket içi AD DS ortamınıza eşitlemek için kullanılabilir. Microsoft Entra Connect, bu parola değişikliklerini Microsoft Entra Id'den mevcut bir şirket içi dizine geri göndermek için güvenli bir mekanizma sağlar.

Önemli

Bu öğreticide, bir yöneticinin şirket içi ortama self servis parola sıfırlamayı etkinleştirmesi gösterilmektedir. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.

BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.

Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:

  • Parola geri yazma için gerekli izinleri yapılandırma
  • Microsoft Entra Connect'te parola geri yazma seçeneğini etkinleştirme
  • Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:

  • En az Microsoft Entra Id P1 veya deneme lisansı etkinleştirilmiş çalışan bir Microsoft Entra kiracısı.
    • Gerekirse ücretsiz bir tane oluşturun.
    • Daha fazla bilgi için bkz . Microsoft Entra SSPR için lisans gereksinimleri.
  • Karma Kimlik Yöneticisi'ne sahip bir hesap.
  • Self servis parola sıfırlama için yapılandırılmış Microsoft Entra Id.
  • Microsoft Entra Connect'in geçerli bir sürümüyle yapılandırılmış mevcut bir şirket içi AD DS ortamı.
    • Gerekirse, Express veya Özel ayarlarını kullanarak Microsoft Entra Connect'i yapılandırın.
    • Etki alanı denetleyicileri, parola geri yazma özelliğini kullanmak için Windows Server'ın desteklenen herhangi bir sürümünü çalıştırabilir.

Microsoft Entra Connect için hesap izinlerini yapılandırma

Microsoft Entra Connect, şirket içi AD DS ortamı ile Microsoft Entra Kimliği arasında kullanıcıları, grupları ve kimlik bilgilerini eşitlemenize olanak tanır. Microsoft Entra Connect'i genellikle şirket içi AD DS etki alanına katılmış bir Windows Server 2016 veya sonraki bir bilgisayara yüklersiniz.

SSPR geri yazma ile doğru şekilde çalışmak için, Microsoft Entra Connect'te belirtilen hesabın uygun izinlere ve seçeneklere sahip olması gerekir. Şu anda hangi hesabın kullanımda olduğundan emin değilseniz Microsoft Entra Connect'i açın ve Geçerli yapılandırmayı görüntüle seçeneğini belirleyin. İzin eklemeniz gereken hesap Eşitlenmiş Dizinler altında listelenir. Hesapta aşağıdaki izinler ve seçenekler ayarlanmalıdır:

  • Parola sıfırlama
  • Parola değiştirme
  • üzerinde yazma izinlerilockoutTime
  • üzerinde yazma izinleripwdLastSet
  • Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "ParolaYı Özetle" için genişletilmiş haklar.

Bu izinleri atamazsanız, geri yazma doğru yapılandırılmış gibi görünebilir, ancak kullanıcılar şirket içi parolalarını buluttan yönetirken hatalarla karşılaşır. Active Directory'de "ParolaYı Özetle" izinleri ayarlanırken, Bu nesneye ve tüm alt nesnelere, Yalnızca Bu nesneye veya Tüm alt nesnelere uygulanmalıdır ya da "ParolaYı Özetle" izni görüntülenemez.

İpucu

Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, şirket içi AD DS ortamındaki hesap için devralma seçeneğinin devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.

Parola geri yazmanın gerçekleşmesi için uygun izinleri ayarlamak için aşağıdaki adımları tamamlayın:

  1. Şirket içi AD DS ortamınızda, uygun etki alanı yöneticisi izinlerine sahip bir hesapla Active Directory Kullanıcıları ve Bilgisayarları açın.

  2. Görünüm menüsünde Gelişmiş özelliklerin açık olduğundan emin olun.

  3. Sol panelde, etki alanının kökünü temsil eden nesneyi sağ seçin ve Özellikler Güvenlik>Gelişmiş'i> seçin.

  4. İzinler sekmesinde Ekle'yi seçin.

  5. Sorumlu için, izinlerin uygulanması gereken hesabı (Microsoft Entra Connect tarafından kullanılan hesap) seçin.

  6. Aşağıdakilere uygulanır açılan listesinde Descendant User nesneleri'ni seçin.

  7. İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:

    • Parola sıfırlama

  8. Özellikler'in altında aşağıdaki seçenekler için kutuları seçin. Varsayılan olarak ayarlanmış olabilecek bu seçenekleri bulmak için listeyi kaydırın:

    • Write lockoutTime
    • pwdLastSet yazma

    Microsoft Entra Connect tarafından kullanılan hesap için Etkin Kullanıcılar ve Bilgisayarlar'da uygun izinleri ayarlama

  9. Hazır olduğunuzda, değişiklikleri uygulamak için Uygula /Tamam'ı seçin.

  10. İzinler sekmesinde Ekle'yi seçin.

  11. Sorumlu için, izinlerin uygulanması gereken hesabı (Microsoft Entra Connect tarafından kullanılan hesap) seçin.

  12. Aşağıdakilere uygulanır açılan listesinde Bu nesne ve tüm alt nesneler'i seçin

  13. İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:

    • Özetlenmemiş Parola

  14. Hazır olduğunuzda, değişiklikleri uygulamak ve açık iletişim kutularında çıkmak için Uygula /Tamam'ı seçin.

İzinleri güncelleştirdiğinizde, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.

Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Parola geri yazmanın en verimli şekilde çalışması için En düşük parola yaşı grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, içinde Bilgisayar Yapılandırma > İlkeleri > Windows Ayarları > Güvenlik Ayarları > Hesap İlkeleri altında gpmc.mscbulunabilir.

Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya komutunu kullanın gpupdate /force .

Not

Kullanıcıların parolaları günde birden fazla kez değiştirmesine veya sıfırlamasına izin vermeniz gerekiyorsa, En düşük parola yaşı 0 olarak ayarlanmalıdır. Şirket içi parola ilkeleri başarıyla değerlendirildikten sonra parola geri yazma çalışır.

Microsoft Entra Connect'te parola geri yazmayı etkinleştirme

Microsoft Entra Connect'teki yapılandırma seçeneklerinden biri parola geri yazma içindir. Bu seçenek etkinleştirildiğinde, parola değişikliği olayları Microsoft Entra Connect'in güncelleştirilmiş kimlik bilgilerini şirket içi AD DS ortamına eşitlemesine neden olur.

SSPR geri yazma özelliğini etkinleştirmek için önce Microsoft Entra Connect'te geri yazma seçeneğini etkinleştirin. Microsoft Entra Connect sunucunuzdan aşağıdaki adımları tamamlayın:

  1. Microsoft Entra Connect sunucunuzda oturum açın ve Microsoft Entra Connect yapılandırma sihirbazını başlatın.
  2. Hoş Geldiniz sayfasında, Yapılandır’ı seçin.
  3. Ek görevler sayfasında Eşitleme seçeneklerini özelleştirme'yi ve ardından İleri'yi seçin.
  4. Microsoft Entra Id'ye Bağlan sayfasında Azure kiracınız için genel yönetici kimlik bilgilerini girin ve İleri'yi seçin.
  5. Dizinleri bağla ve Etki Alanı/OU filtreleme sayfalarında İleri'yi seçin.
  6. İsteğe bağlı özellikler sayfasında Parola geri yazma özelliğinin yanındaki kutuyu işaretleyin ve İleri'yi seçin.
  7. Dizin uzantıları sayfasında İleri'yi seçin.
  8. Yapılandırma için hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
  9. Yapılandırma tamamlandığında Çıkış'ı seçin.

SSPR için parola geri yazmayı etkinleştirme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra Connect'te parola geri yazma etkinleştirildiğinde, microsoft Entra SSPR'yi geri yazma için yapılandırın. SSPR, Microsoft Entra Connect Sync aracıları ve Microsoft Entra Connect sağlama aracıları (bulut eşitleme) aracılığıyla geri yazma için yapılandırılabilir. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.

SSPR'de parola geri yazmayı etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Şirket içi dizininize parolaları geri yazma seçeneğini işaretleyin.
  4. (isteğe bağlı) Microsoft Entra Connect sağlama aracıları algılanırsa, Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğini de işaretleyebilirsiniz.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.
  6. Hazır olduğunuzda Kaydet'i seçin.

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Şirket içi dizininize parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğinin işaretini kaldırın.
  6. Hazır olduğunuzda Kaydet'i seçin.

SSPR geri yazma işlevi için Microsoft Entra Connect bulut eşitlemesini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Connect Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Hazır olduğunuzda Kaydet'i seçin.

Artık herhangi bir parola işlevi kullanmak istemiyorsanız, Microsoft Entra Connect sunucunuzdan aşağıdaki adımları tamamlayın:

  1. Microsoft Entra Connect sunucunuzda oturum açın ve Microsoft Entra Connect yapılandırma sihirbazını başlatın.
  2. Hoş Geldiniz sayfasında, Yapılandır’ı seçin.
  3. Ek görevler sayfasında Eşitleme seçeneklerini özelleştirme'yi ve ardından İleri'yi seçin.
  4. Microsoft Entra Id'ye Bağlan sayfasında bir Genel Yönetici kimlik bilgisi girin ve İleri'yi seçin.
  5. Dizinleri bağla ve Etki Alanı/OU filtreleme sayfalarında İleri'yi seçin.
  6. İsteğe bağlı özellikler sayfasında, Parola geri yazma'nın yanındaki kutunun seçimini kaldırın ve İleri'yi seçin.
  7. Yapılandırma için hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
  8. Yapılandırma tamamlandığında Çıkış'ı seçin.

Önemli

Parola geri yazma özelliğinin ilk kez etkinleştirilmesi, parola değişikliği gerçekleşmemiş olsa bile 656 ve 657 parola değişikliği olaylarını tetikleyebilir. Bunun nedeni, parola karması eşitleme döngüsü çalıştırıldıktan sonra tüm parola karmalarının yeniden eşitlenmesidir.

Sonraki adımlar

Bu öğreticide, Microsoft Entra SSPR geri yazma özelliğini şirket içi AD DS ortamına etkinleştirmişsinizdir. Şunları öğrendiniz:

  • Parola geri yazma için gerekli izinleri yapılandırma
  • Microsoft Entra Connect'te parola geri yazma seçeneğini etkinleştirme
  • Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme

Oturum açma sırasında risk değerlendirmesi yapma