自助式密碼重設回寫如何在 Microsoft Entra ID 中運作？

Microsoft Entra 自助式密碼重設 （SSPR） 可讓使用者在雲端重設其密碼，但大部分公司也有使用者內部部署的 Active Directory網域服務 （AD DS） 環境。 密碼回寫可讓雲端中的密碼變更即時回寫至內部部署目錄，方法是使用 Microsoft Entra 連線 或 Microsoft Entra 連線雲端同步 。當使用者在雲端中使用 SSPR 變更或重設其密碼時，更新的密碼也會寫回內部部署 AD DS 環境。

重要

此概念性文章會向系統管理員說明自助式密碼重設回寫的運作方式。 如果您是已註冊自助式密碼重設的使用者，且需要返回您的帳戶，請移至 https://aka.ms/sspr 。

如果您的 IT 小組尚未啟用重設您自己的密碼的能力，請連絡技術服務人員以取得其他協助。

使用下列混合式身分識別模型的環境中支援密碼回寫：

• 密碼雜湊同步處理
• 傳遞驗證
• Active Directory 同盟服務

密碼回寫提供下列功能：

• 強制執行 內部部署的 Active Directory Domain Services （AD DS） 密碼原則 ：當使用者重設其密碼時，會先檢查它，以確保它符合您的內部部署 AD DS 原則，再將它認可至該目錄。 此檢閱包括檢查歷程記錄、複雜度、存留期、密碼篩選，以及您在 AD DS 中定義的任何其他密碼限制。
• 零延遲意見反應 ：密碼回寫是同步作業。 如果使用者的密碼不符合原則或因任何原因而無法重設或變更，就會立即收到通知。
• 支援從存取面板和 Microsoft 365 進行密碼變更：當同盟或密碼雜湊同步處理的使用者變更其過期或未過期的密碼時，這些密碼會寫回 AD DS。
• 當系統管理員從 Microsoft Entra 系統管理中心重設密碼時，支援密碼回寫：當系統管理員在 Microsoft Entra 系統管理中心 重 設使用者的密碼時，如果該使用者已同盟或密碼雜湊同步，密碼會寫回內部部署。 Office 管理入口網站目前不支援此功能。
• 不需要任何輸入防火牆規則 ：密碼回寫會使用Azure 服務匯流排轉送作為基礎通道。 所有通訊都是透過連接埠 443 輸出。
• 支援使用 Microsoft Entra 連線 或 雲端同步 的並存網域層級部署 ，根據使用者的需求以不同的使用者集為目標，包括處於已中斷連線網域的使用者。

注意

處理密碼回寫要求的內部部署服務帳戶，無法變更屬於受保護群組之使用者的密碼。 管理員istrators 可以在雲端變更其密碼，但無法使用密碼回寫來重設其內部部署使用者的忘記密碼。 如需受保護群組的詳細資訊，請參閱 AD DS 中的受保護帳戶和群組。

若要開始使用 SSPR 回寫，請完成下列其中一個或兩個教學課程：

• 教學課程：啟用自助式密碼重設 （SSPR） 回寫
• 教學課程：啟用 Microsoft Entra 連線雲端同步自助密碼重設回寫至內部部署環境 （預覽）

Microsoft Entra 連線 和雲端同步並存部署

您可以在不同的網域中部署 Microsoft Entra 連線 和雲端同步處理，以不同的使用者集為目標。 這可協助現有使用者繼續回寫密碼變更，同時新增選項，以防使用者因公司合併或分割而處於中斷連線網域的情況。 Microsoft Entra 連線和雲端同步可以在不同的網域中設定，讓來自某個網域的使用者可以使用 Microsoft Entra 連線，而另一個網域中的使用者則使用雲端同步處理。雲端同步處理也可以提供更高的可用性，因為它不依賴 Microsoft Entra 連線的單一實例。 如需兩個部署選項之間的功能比較，請參閱 Microsoft Entra Connect 與雲端同步之間的比較。

密碼回寫的運作方式

當針對同盟、密碼雜湊同步處理設定的使用者帳戶（或在 Microsoft Entra 連線 部署的情況下，傳遞驗證）嘗試重設或變更雲端中的密碼時，會發生下列動作：

1. 執行檢查以查看使用者擁有的密碼類型。 如果密碼是在內部部署管理：

   • 執行檢查以查看回寫服務是否已啟動並執行。 如果是，使用者可以繼續。
   • 如果回寫服務已關閉，系統會通知使用者其密碼目前無法重設。

2. 接下來，使用者會傳遞適當的驗證閘道，並到達 [ 重設密碼 ] 頁面。

3. 使用者選取新的密碼並加以確認。

4. 當使用者選取 [提交 ] 時，純文字密碼會以回寫設定程式期間建立的公開金鑰加密。

5. 加密的密碼包含在透過 HTTPS 通道傳送至租使用者特定服務匯流排轉送的承載中（這是在回寫設定程式期間為您設定的）。 此轉寄會受到隨機產生的密碼保護，只有您的內部部署安裝知道。

6. 訊息到達服務匯流排之後，密碼重設端點會自動喚醒，並看到它有擱置的重設要求。

7. 服務接著會使用雲端錨點屬性來尋找使用者。 若要讓此查閱成功，必須符合下列條件：

   • 使用者物件必須存在於 AD DS 連接器空間中。
   • 使用者物件必須連結到對應的 Metaverse （MV） 物件。
   • 使用者物件必須連結到對應的 Microsoft Entra 連接器物件。
   • 從 AD DS 連接器物件到 MV 的連結必須具有連結上的同步處理規則 Microsoft.InfromADUserAccountEnabled.xxx 。

   當呼叫來自雲端時，同步處理引擎會使用 cloudAnchor 屬性來查閱 Microsoft Entra 連接器空間物件。 然後，它會遵循連結回到 MV 物件，然後遵循連結回到 AD DS 物件。 因為同一位使用者可能會有多個 AD DS 物件（多樹系），因此同步處理引擎依賴 Microsoft.InfromADUserAccountEnabled.xxx 連結來挑選正確的 AD DS 物件。

8. 找到使用者帳戶之後，就會嘗試直接在適當的 AD DS 樹系中重設密碼。

9. 如果密碼設定作業成功，使用者就會被告知其密碼已變更。

   注意

   如果使用密碼雜湊同步處理將使用者的密碼雜湊同步處理至 Microsoft Entra ID，則內部部署密碼原則有可能比雲端密碼原則弱。 在此情況下，會強制執行內部部署原則。 無論您使用密碼雜湊同步處理或同盟來提供單一登入，此原則都可確保您的內部部署原則在雲端中強制執行。

10. 如果密碼設定作業失敗，錯誤會提示使用者再試一次。 作業可能會因為下列原因而失敗：

    • 服務已關閉。
    • 他們選取的密碼不符合組織的原則。
    • 在本機 AD DS 環境中找不到使用者。

    錯誤訊息會提供指引給使用者，讓他們能夠在不需系統管理員介入的情況下嘗試解決。

密碼回寫安全性

密碼回寫是高度安全的服務。 為了確保資訊受到保護，已啟用四層式安全性模型，如下所示：

• 租使用者特定的服務匯流排轉送
  • 當您設定服務時，會設定租使用者特定的服務匯流排轉送，該轉送受到 Microsoft 永遠無法存取的隨機產生的強式密碼保護。
• 鎖定、密碼編譯強式、密碼加密金鑰
  • 建立服務匯流排轉送之後，會建立強式對稱金鑰，用來加密透過網路的密碼。 此金鑰只存在於您公司的雲端秘密存放區中，此存放區嚴重鎖定和稽核，就像目錄中的任何其他密碼一樣。
• 業界標準傳輸層安全性 （TLS）
  1. 當雲端發生密碼重設或變更作業時，純文字密碼會使用您的公開金鑰加密。
  2. 加密的密碼會放入 HTTPS 訊息中，該訊息會使用 Microsoft TLS/SSL 憑證傳送至服務匯流排轉送，透過加密通道傳送。
  3. 訊息抵達服務匯流排之後，您的內部部署代理程式會使用先前產生的強式密碼來喚醒並驗證服務匯流排。
  4. 內部部署代理程式會挑選加密的訊息，並使用私密金鑰將其解密。
  5. 內部部署代理程式會嘗試透過 AD DS SetPassword API 設定密碼。 此步驟可讓您在雲端中強制執行 AD DS 內部部署密碼原則（例如複雜度、年齡、歷程記錄和篩選器）。
• 訊息到期原則
  • 如果訊息因為內部部署服務關閉而位於服務匯流排中，則會逾時，並在幾分鐘後移除。 訊息逾時和移除會進一步提高安全性。

密碼回寫加密詳細資料

在使用者提交密碼重設之後，重設要求會先經過數個加密步驟，再抵達您的內部部署環境。 這些加密步驟可確保最大的服務可靠性和安全性。 其描述如下：

1. 密碼加密與 2048 位 RSA 金鑰 ：當使用者提交密碼以回寫至內部部署之後，提交的密碼本身會以 2048 位 RSA 金鑰加密。
2. 使用 256 位 AES-GCM 的套件層級加密：使用 AES-GCM 來加密整個套件、密碼加上必要的中繼資料（金鑰大小為 256 位）。 此加密可防止直接存取基礎服務匯流排通道的任何人檢視或竄改內容。
3. 所有通訊都會透過 TLS/SSL 發生：所有與 服務匯流排的通訊都會發生在 SSL/TLS 通道中。 此加密可保護未經授權的協力廠商的內容。
4. 自動金鑰變換每六個月：所有金鑰每六個月 變換一次，或每次停用密碼回寫，然後在 Microsoft Entra 連線 上重新啟用，以確保服務安全性和安全性上限。

密碼回寫頻寬使用量

密碼回寫是低頻寬服務，只有在下列情況下，才會將要求傳回內部部署代理程式：

• 透過 Microsoft Entra 連線啟用或停用此功能時，會傳送兩則訊息。
• 只要服務正在執行，每五分鐘就會傳送一則訊息作為服務活動訊號。
• 每次提交新密碼時，都會傳送兩則訊息：
  • 第一則訊息是執行作業的要求。
  • 第二則訊息包含作業的結果，並在下列情況下傳送：
    • 每次在使用者自助式密碼重設期間提交新密碼時。
    • 每次在使用者密碼變更作業期間提交新密碼時。
    • 每次在系統管理員起始的使用者密碼重設期間提交新密碼（僅限從 Azure 管理入口網站提交）。

訊息大小和頻寬考慮

先前所述的每個訊息大小通常低於 1 KB。 即使在極端負載下，密碼回寫服務本身也會耗用每秒幾千位的頻寬。 由於每個訊息都會即時傳送，因此只有在密碼更新作業需要時，而且由於訊息大小太小，回寫功能的頻寬使用量太小，因此不會影響可測量的影響。

支援的回寫作業

密碼會在下列所有情況下回寫：

• 支援的終端使用者作業

  • 任何終端使用者自助式自願變更密碼作業。
  • 任何終端使用者自助式強制變更密碼作業，例如密碼到期。
  • 源自 密碼重設入口網站 的任何終端使用者自助式密碼重設。

• 支援的系統管理員作業

  • 任何系統管理員自助式自願變更密碼作業。
  • 任何系統管理員自助式強制變更密碼作業，例如密碼到期。
  • 任何源自 密碼重設入口網站的 系統管理員自助式密碼重設。
  • 從 Microsoft Entra 系統管理中心重設任何系統管理員起始的使用者密碼重設。
  • 從 Microsoft Graph API 重設任何系統管理員起始的使用者密碼重設。

不支援的回寫作業

在下列任何情況下，密碼不會回寫：

• 不支援的使用者作業
  • 任何由終端使用者使用 PowerShell 第 1 版、第 2 版或 Microsoft Graph API 來進行的自有密碼重設。
• 不支援的系統管理員作業
  • 從 PowerShell 第 1 版或第 2 版重設任何系統管理員起始的使用者密碼重設。
  • 從 Microsoft 365 系統管理中心 起始的任何系統管理員起始使用者密碼重設。
  • 任何系統管理員都無法使用密碼重設工具來重設自己的密碼以進行密碼回寫。

警告

在內部部署 AD DS 系統管理工具中使用 [使用者必須在下次登入時變更密碼] 核取方塊，例如 Active Directory 消費者和電腦 或 Active Directory 管理員istrative Center，可支援 Microsoft Entra 連線的預覽功能。 如需詳細資訊，請參閱 使用 Microsoft Entra 連線 Sync 實作密碼雜湊同步 處理。

注意

如果使用者在 Active Directory 中設定了 [密碼永不過期] 選項，系統就不會在 Active Directory 中設定強制密碼變更旗標，因此即使使用者在系統管理員起始的使用者密碼重設期間，也不會提示使用者在下次登入期間變更密碼的選項。

下一步

若要開始使用 SSPR 回寫，請完成下列教學課程：

教學課程：啟用自助式密碼重設 （SSPR） 回寫