Öğretici: Şirket içi ortama bulut eşitleme self servis parola sıfırlama geri yazmayı etkinleştirme

  • Makale

Microsoft Entra Bağlan bulut eşitlemesi, bağlantısı kesilmiş şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanlarındaki kullanıcılar arasında Microsoft Entra parola değişikliklerini gerçek zamanlı olarak eşitleyebilir. Microsoft Entra Bağlan bulut eşitlemesi, şirket bölünmesi veya birleştirilmesi nedeniyle bağlantısı kesilmiş etki alanlarındaki kullanıcılar gibi ek senaryolarda parola geri yazmayı basitleştirmek için etki alanı düzeyinde Microsoft Entra Bağlan ile yan yana çalışabilir. Farklı etki alanlarındaki her hizmeti, ihtiyaçlarına bağlı olarak farklı kullanıcı kümelerini hedef alacak şekilde yapılandırabilirsiniz. Microsoft Entra Bağlan bulut eşitlemesi, self servis parola sıfırlama (SSPR) geri yazma kurulumunu basitleştirmek ve bulutta parola değişikliklerini şirket içi dizine geri göndermek için güvenli bir yol sağlamak için basit Microsoft Entra bulut sağlama aracısını kullanır.

Önkoşullar

  • En az Microsoft Entra Id P1 veya deneme lisansı etkinleştirilmiş bir Microsoft Entra kiracısı. Gerekirse ücretsiz bir tane oluşturun.
  • Şu hesaplara sahip bir hesap:
  • Self servis parola sıfırlama için yapılandırılmış Microsoft Entra Id. Gerekirse Microsoft Entra SSPR'yi etkinleştirmek için bu öğreticiyi tamamlayın.
  • Microsoft Entra Bağlan bulut eşitleme sürümü 1.1.977.0 veya üzeri ile yapılandırılmış bir şirket içi AD DS ortamı. Aracının geçerli sürümünü tanımlamayı öğrenin. Gerekirse, bu öğreticiyi kullanarak Microsoft Entra Bağlan bulut eşitlemesini yapılandırın.

Dağıtım adımları

  1. Microsoft Entra Bağlan bulut eşitleme hizmeti hesabı izinlerini yapılandırma
  2. Microsoft Entra Bağlan bulut eşitlemesinde parola geri yazmayı etkinleştirme
  3. SSPR için parola geri yazmayı etkinleştirme

Microsoft Entra Bağlan bulut eşitleme hizmeti hesabı izinlerini yapılandırma

Bulut eşitleme izinleri varsayılan olarak yapılandırılır. İzinlerin sıfırlanması gerekiyorsa, parola geri yazma için gereken belirli izinler ve Bunları PowerShell kullanarak ayarlama hakkında daha fazla bilgi için sorun giderme bölümüne bakın.

SSPR'de parola geri yazmayı etkinleştirme

Microsoft Entra Bağlan bulut eşitleme sağlamayı doğrudan Microsoft Entra yönetim merkezinden veya PowerShell aracılığıyla etkinleştirebilirsiniz.

Microsoft Entra yönetim merkezinde parola geri yazmayı etkinleştirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra Bağlan bulut eşitlemesinde parola geri yazma etkinleştirildiğinde, şimdi parola geri yazma için Microsoft Entra self servis parola sıfırlamayı (SSPR) doğrulayın ve yapılandırın. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.

SSPR'de parola geri yazmayı doğrulamak ve etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.

  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.

  3. Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğini işaretleyin.

  4. (isteğe bağlı) Microsoft Entra Bağlan sağlama aracıları algılanırsa, Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğini de işaretleyebilirsiniz.

  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.

    Enable Microsoft Entra self-service password reset for password writeback

  6. Hazır olduğunuzda Kaydet'i seçin.

PowerShell

PowerShell ile sunuculardaki Set-AADCloudSyncPasswordWritebackConfiguration cmdlet'ini sağlama aracılarıyla birlikte kullanarak Microsoft Entra Bağlan bulut eşitlemesini etkinleştirebilirsiniz. Genel yönetici kimlik bilgileri gerekir:

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğinin işaretini kaldırın.
  4. Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğinin işaretini kaldırın.
  6. Hazır olduğunuzda Kaydet'i seçin.

SSPR geri yazma işlevi için Microsoft Entra Bağlan bulut eşitlemesini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Bağlan Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yönetici istratörü olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Microsoft Entra Bağlan bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Hazır olduğunuzda Kaydet'i seçin.

Microsoft Entra Bağlan bulut eşitleme sunucunuzdan SSPR geri yazma işlevselliği için Microsoft Entra Bağlan bulut eşitlemesini devre dışı bırakmak için PowerShell'i de kullanabilir, Microsoft Entra Bağlan bulut eşitlemesi ile parola geri yazmayı devre dışı bırakmak için Karma Kimlik Yönetici istrator kimlik bilgilerini kullanarak komutunu çalıştırabilirsinizSet-AADCloudSyncPasswordWritebackConfiguration.

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Desteklenen işlemler

Parolalar, son kullanıcılar ve yöneticiler için aşağıdaki durumlarda geri yazılır.

Firma Desteklenen işlemler
Son kullanıcılar Tüm son kullanıcı self servis isteğe bağlı değiştirme parolası işlemleri.
Herhangi bir son kullanıcı self servis, parola süresinin dolması gibi parolayı değiştirmeye zorlar.
Parola sıfırlamadan kaynaklanan tüm son kullanıcı self servis parola sıfırlamaları.
Yöneticiler Herhangi bir yönetici self servis isteğe bağlı parola değiştirme işlemi.
Herhangi bir yönetici self servis parolayı değiştirmeye zorlar, örneğin parola süre sonu.
Parola sıfırlamadan kaynaklanan tüm yönetici self servis parola sıfırlamaları.
Microsoft Entra yönetim merkezinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Microsoft Graph API'sinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.

Desteklenmeyen işlemler

Aşağıdaki durumlarda parolalar geri yazılamaz.

Firma Desteklenmeyen işlemler
Son kullanıcılar Tüm son kullanıcılar PowerShell cmdlet'lerini veya Microsoft Graph API'sini kullanarak kendi parolasını sıfırlar.
Yöneticiler PowerShell cmdlet'lerini kullanarak yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Microsoft 365 yönetim merkezinden yönetici tarafından başlatılan son kullanıcı parolasını sıfırlama işlemleri.
Herhangi bir yönetici kendi parolasını sıfırlamak için parola sıfırlama aracını veya parola geri yazma için Microsoft Entra Id'de başka bir Yönetici oluşturucu kullanamaz.

Doğrulama senaryoları

Parola geri yazma kullanarak senaryoları doğrulamak için aşağıdaki işlemleri deneyin. Tüm doğrulama senaryoları için bulut eşitlemesinin yüklü olması ve kullanıcının parola geri yazma kapsamında olması gerekir.

Senaryo Ayrıntılı
Oturum açma sayfasından parola sıfırlama Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının SSPR gerçekleştirmesini sağlayın. Ayrıca Microsoft Entra Bağlan ve cloud sync'i yan yana dağıtabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Bağlan kapsamında başka bir kullanıcınız olabilir ve bu kullanıcıların parolalarını sıfırlamasını sağlayabilirsiniz.
Süresi dolan parola değişikliğini zorla Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının süresi dolan parolaları değiştirmesini sağlayın. Ayrıca Microsoft Entra Bağlan ve bulut eşitlemesi yan yana dağıtılabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Bağlan kapsamında başka bir kullanıcınız olabilir.
Normal parola değişikliği Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının rutin parola değişikliği yapmasını sağlayın. Ayrıca Microsoft Entra Bağlan ve bulut eşitlemesini yan yana kullanabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Bağlan kapsamında başka bir kullanıcınız olabilir.
Kullanıcı parolasını sıfırlamayı Yönetici İki kullanıcının bağlantısı kesilmiş etki alanlarını ve ormanları Microsoft Entra yönetim merkezinden veya Ön Cephe çalışan portalından parolalarını sıfırlamasını sağlayın. Ayrıca Microsoft Entra Bağlan ve bulut eşitlemesini yan yana kullanabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Bağlan kapsamında başka bir kullanıcınız olabilir
Self servis hesabın kilidini açma SSPR portalında iki kullanıcının bağlantısı kesilmiş etki alanlarından ve ormanlardan hesapların kilidini açmasını sağlayın. Ayrıca Microsoft Entra Bağlan ve bulut eşitlemesini yan yana kullanabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Bağlan kapsamında başka bir kullanıcınız olabilir.

Sorun giderme

  • Microsoft Entra Bağlan bulut eşitleme grubu Yönetilen Hizmet Hesabı, parolaları varsayılan olarak geri yazmak için aşağıdaki izinlere sahip olmalıdır:

    • Parola sıfırlama
    • LockoutTime üzerinde yazma izinleri
    • pwdLastSet üzerinde yazma izinleri
    • Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "ParolaYı Özetle" için genişletilmiş haklar.

    Bu izinler ayarlanmadıysa, Set-AADCloudSyncPermissions cmdlet'ini ve şirket içi kuruluş yöneticisi kimlik bilgilerini kullanarak hizmet hesabında PasswordWriteBack iznini ayarlayabilirsiniz:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)

    İzinleri güncelleştirdikten sonra, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.

  • Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, devralma işleminin şirket içi AD DS ortamındaki hesap için devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.

  • Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Bu özelliği test ediyorsanız ve kullanıcılar için parolayı günde bir kereden fazla sıfırlamak istiyorsanız, En düşük parola yaşı grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, gpmc.msc içindeki Bilgisayar Yapılandırma > İlkeleri > Windows Ayarlar > Güvenlik Ayarlar > Hesap İlkeleri > Parola İlkesi altında bulunabilir.

  • Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya gpupdate /force komutunu kullanın.

  • Parolaların hemen değiştirilmesi için En düşük parola yaşı 0 olarak ayarlanmalıdır. Ancak, kullanıcılar şirket içi ilkelere bağlı kalırsa ve Minimum parola yaşı sıfırdan büyük bir değere ayarlanırsa, şirket içi ilkeler değerlendirildikten sonra parola geri yazma çalışmaz.

Uygun izinleri doğrulama veya ayarlama hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan için hesap izinlerini yapılandırma.

Sonraki adımlar