Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uyarı
Cloud sync ile self servis parola sıfırlama geri yazma özelliği 21Vianet tarafından sağlanan Microsoft Azure desteklenmez. Bunun yerine, yöneticiler Microsoft Entra Connect sync ile SSPR geri yazma dağıtımı yapabilir.
Microsoft Entra Bulut eşitlemesi, bağlantısı kesilmiş şirket içi Active Directory Domain Services (AD DS) etki alanlarındaki kullanıcılar arasındaki Microsoft Entra parola değişikliklerini gerçek zamanlı olarak eşitleyebilir. Microsoft Entra Cloud Sync, şirket bölünmesi veya birleşmesi nedeniyle etki alanlarından kopmuş kullanıcılar gibi ek senaryolar için parola geri yazmayı basitleştirmek amacıyla etki alanı düzeyinde Microsoft Entra Connect ile paralel olarak çalışabilir. Farklı etki alanlarındaki her hizmeti, ihtiyaçlarına bağlı olarak farklı kullanıcı kümelerini hedef alacak şekilde yapılandırabilirsiniz. Microsoft Entra Cloud Sync, self servis parola sıfırlama (SSPR) geri yazma kurulumunu basitleştirir ve parola değişikliklerini bulutta şirket içi dizine güvenli bir şekilde geri göndermek için hafif Microsoft Entra bulut sağlama aracısını kullanır.
Önkoşullar
- En az Microsoft Entra ID P1 veya deneme lisansı etkinleştirilmiş bir Microsoft Entra kiracısı. Gerekirse ücretsiz bir tane oluşturun.
- Karma Kimlik Yöneticisi hesabı
- Microsoft Entra ID self servis parola sıfırlama için yapılandırıldı. Gerekirse, Microsoft Entra SSPR'yi etkinleştirmek için bu öğreticiyi tamamlayın.
- Microsoft Entra Cloud sync sürüm 1.1.977.0 veya üzeri ile yapılandırılmış bir şirket içi AD DS ortamı. Aracının geçerli sürümünü tanımlamayı öğrenin.
Dağıtım adımları
- Microsoft Entra Cloud eşitleme hizmeti hesabı izinlerini yapılandırın
- Microsoft Entra Connect cloud sync'te parola geri yazmayı etkinleştirin
- SSPR için parola geri yazmayı etkinleştirme
Microsoft Entra Bulut eşitleme hizmeti hesabı izinlerini yapılandırma
Bulut eşitleme izinleri varsayılan olarak yapılandırılır. İzinlerin sıfırlanması gerekiyorsa, parola geri yazma için gereken belirli izinler ve Bunları PowerShell kullanarak ayarlama hakkında daha fazla bilgi için sorun giderme bölümüne bakın.
SSPR'de parola geri yazmayı etkinleştirme
Microsoft Entra Connect bulut eşitleme sağlamasını doğrudan Microsoft Entra yönetim merkezinden veya PowerShell aracılığıyla etkinleştirebilirsiniz.
Microsoft Entra yönetim merkezinde parola geri yazmayı etkinleştirme
Microsoft Entra Connect bulut eşitlemesinde parola geri yazma etkinleştirilmiş olduğunda, parola geri yazma için Microsoft Entra self-servis parola sıfırlamayı (SSPR) doğrulayın ve yapılandırın. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.
SSPR'de parola geri yazmayı doğrulamak ve etkinleştirmek için aşağıdaki adımları tamamlayın:
Microsoft Entra yönetim merkezinde en az Hybrid Identity Administrator olarak oturum açın.
Entra ID>Parola sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğini işaretleyin.
(isteğe bağlı) Microsoft Entra Connect sağlama aracıları algılanırsa >Microsoft Entra Connect cloud sync ile parolaları geri yazma seçeneğini de denetleyebilirsiniz.
Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğini Evet olarak işaretleyin.
Hazır olduğunuzda Kaydet'i seçin.
PowerShell
PowerShell ile, sağlama aracılarına sahip sunucularda Set-AADCloudSyncPasswordWritebackConfiguration cmdlet'ini kullanarak Microsoft Entra Connect bulut eşitlemesini etkinleştirebilirsiniz.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Kaynakları temizleme
Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde en az Hybrid Identity Administrator olarak oturum açın.
- Entra ID>Parola sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
- Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğinin işaretini kaldırın.
- Microsoft Entra Cloud Sync ile parolaları geri yazma seçeneğinin işaretini kaldırın.
- "Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğini işaretlemeyin."
- Hazır olduğunuzda Kaydet'i seçin.
Microsoft Entra Connect cloud sync for SSPR geri yazma işlevselliğini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Connect Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde en az Hybrid Identity Administrator olarak oturum açın.
- Entra ID>Parola sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
- Microsoft Entra Cloud Sync ile parolaları geri yazma seçeneğinin işaretini kaldırın.
- Hazır olduğunuzda Kaydet'i seçin.
PowerShell'i kullanarak, Microsoft Entra Connect bulut eşitlemesi ile SSPR geri yazma işlevini devre dışı bırakabilirsiniz. Bunun için Microsoft Entra Connect bulut eşitleme sunucunuzdan, karma kimlik yöneticisi kimlik bilgilerini kullanarak Set-AADCloudSyncPasswordWritebackConfiguration komutunu çalıştırarak parola geri yazmayı devre dışı bırakın.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Desteklenen işlemler
Parolalar, son kullanıcılar ve yöneticiler için aşağıdaki durumlarda geri yazılır.
| Firma | Desteklenen işlemler |
|---|---|
| Son kullanıcılar | Kendi kendine hizmet kapsamında, herhangi bir son kullanıcının isteğe bağlı parola değiştirme işlemi. Herhangi bir son kullanıcının kendi kendine hizmet alarak, örneğin parola süresinin dolması durumunda, parolasını değiştirmeye zorlayan bir işlem. Parola sıfırlamadan kaynaklanan tüm son kullanıcı self servis parola sıfırlamaları. |
| Yöneticiler | Herhangi bir yönetici self servis isteğe bağlı parola değiştirme işlemi. Herhangi bir yönetici tarafından yapılan kendi kendine hizmet parola değiştirme işleminde, örneğin parola süresinin dolması gibi durumlarda, hesap parolasını değiştirmeye zorlayabilir. Parola sıfırlamadan kaynaklanan tüm yönetici self servis parola sıfırlamaları. Microsoft Entra yönetim merkezinden bir yöneticinin başlattığı herhangi bir son kullanıcı parola sıfırlaması. Microsoft Graph API aracılığıyla herhangi bir yönetici tarafından başlatılan son kullanıcı parolası sıfırlaması. |
Desteklenmeyen işlemler
Aşağıdaki durumlarda parolalar geri yazılamaz.
| Firma | Desteklenmeyen işlemler |
|---|---|
| Son kullanıcılar | Tüm son kullanıcılar PowerShell cmdlet'lerini veya Microsoft Graph API kullanarak kendi parolasını sıfırlar. |
| Yöneticiler | PowerShell cmdlet'lerini kullanarak yönetici tarafından başlatılan son kullanıcı parola sıfırlaması. Microsoft 365 yönetim merkezinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması. Herhangi bir yönetici kendi parolasını sıfırlamak için parola sıfırlama aracını veya parola geri yazma için Microsoft Entra ID'deki başka bir Yöneticiyi kullanamaz. |
Doğrulama senaryoları
Parola geri yazma kullanarak senaryoları doğrulamak için aşağıdaki işlemleri deneyin. Tüm doğrulama senaryoları için bulut senkronizasyonunun yüklü olması ve kullanıcının parola geri yazma için yetkili olması gerekir.
| Senaryo | Ayrıntılar |
|---|---|
| Oturum açma sayfasından parolayı sıfırlama | Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının SSPR gerçekleştirmesini sağlayın. Ayrıca, Microsoft Entra Connect ve bulut eşitlemeyi yan yana kurulum yapabilirsiniz. Bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Connect kapsamında bir başka kullanıcı olabilir. Bu kullanıcıların parolalarını sıfırlamalarını sağlayabilirsiniz. |
| Süresi dolan parola değişikliğini zorla | Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının süresi dolan parolaları değiştirmesini sağlayın. Ayrıca, Microsoft Entra Connect'i ve bulut eşitlemesini yan yana dağıtarak, bir kullanıcıyı bulut eşitleme yapılandırması kapsamında ve başka bir kullanıcıyı Microsoft Entra Connect kapsamında bulundurabilirsiniz. |
| Normal parola değişikliği | Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının rutin parola değişikliği yapmasını sağlayın. Ayrıca, Microsoft Entra Connect ve bulut eşitlemeyi yan yana kullanabilir ve bir kullanıcıyı bulut eşitleme yapılandırması kapsamında, başka bir kullanıcıyı ise Microsoft Entra Connect kapsamında tutabilirsiniz. |
| Yönetici kullanıcı parolasını sıfırla | Bağlantısı kesilen iki kullanıcının etki alanları ve ormanlarındaki şifrelerini Microsoft Entra yönetim merkezi veya Frontline çalışan portalı üzerinden sıfırlamasını sağlayın. Ayrıca, Microsoft Entra Connect ve bulut eşitlemesini yan yana kullanabilir ve bir kullanıcıyı bulut eşitleme yapılandırması kapsamında, başka bir kullanıcıyı ise Microsoft Entra Connect kapsamında tutabilirsiniz. |
| Self servis hesabın kilidini açma | SSPR portalında, bağlantısı kesilmiş etki alanları ve ormanlardan iki kullanıcının şifre sıfırlayarak hesaplarının kilidini açmasını sağlayın. Ayrıca, Microsoft Entra Connect ve bulut eşitlemesini yan yana kullanabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir. |
Sorun giderme
Microsoft Entra Connect bulut eşitleme grubu Yönetilen Hizmet Hesabı, parolaları varsayılan olarak geri yazmak için aşağıdaki izinlere sahip olmalıdır:
- Parola sıfırlama
- LockoutTime üzerinde yazma izinleri
- pwdLastSet üzerinde yazma izinleri
- Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "Parolanın Süresini Kaldır" için genişletilmiş haklar tanımlayın.
Bu izinler ayarlanmamışsa, Set-AADCloudSyncPermissions cmdlet'ini ve şirket içi kuruluş yöneticisi kimlik bilgilerini kullanarak hizmet hesabında PasswordWriteBack iznini ayarlayabilirsiniz:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)İzinleri güncelleştirdikten sonra, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.
Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, devralma işleminin şirket içi AD DS ortamındaki hesap için devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.
Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Bu özelliği test ediyorsanız ve kullanıcılar için parolayı günde birden fazla kez sıfırlamak istiyorsanız, En düşük parola yaşı için grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, gpmc.msc içindeki Bilgisayar Yapılandırması > İlkeleri > Windows Ayarları > Güvenlik Ayarları > Hesap İlkeleri > Parola İlkesi altında bulunabilir.
Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya gpupdate /force komutunu kullanın.
Parolaların hemen değiştirilmesi için En düşük parola yaşı 0 olarak ayarlanmalıdır. Ancak, kullanıcılar şirket içi ilkelere bağlı kalırsa ve Minimum parola yaşı sıfırdan büyük bir değere ayarlanırsa, şirket içi ilkeler değerlendirildikten sonra parola geri yazma çalışmaz.
Uygun izinleri doğrulama veya ayarlama hakkında daha fazla bilgi için bkz. Microsoft Entra Connect için hesap izinlerini yapılandırma.
Sonraki adımlar
- Bulut eşitleme ve Microsoft Entra Connect ile bulut eşitlemesi karşılaştırması hakkında daha fazla bilgi için bkz. Microsoft Entra Cloud Sync'e bağlanma nedir?
- Microsoft Entra Connect kullanarak parola geri yazma özelliğini ayarlama hakkında öğretici için bkz. Tutorial: Şirket içi ortama self servis parola sıfırlama geri yazmayı Microsoft Entra etkinleştirme.