教學課程:啟用雲端同步自助式密碼重設回寫至內部部署環境
Microsoft Entra 連線雲端同步可以即時同步處理已中斷連線內部部署的 Active Directory網域服務 (AD DS) 網域的使用者之間的 Microsoft Entra 密碼變更。 Microsoft Entra 連線雲端同步可以與網域層級的 Microsoft Entra 連線 並存 執行,以簡化其他案例的密碼回寫,例如因公司分割或合併而中斷連線網域的使用者。 您可以根據不同網域的需求,將每個服務設定為以不同的使用者集合為目標。 Microsoft Entra 連線雲端同步會使用輕量型 Microsoft Entra 雲端布建代理程式來簡化自助式密碼重設 (SSPR) 回寫的設定,並提供安全的方式將雲端中的密碼變更傳送回內部部署目錄。
必要條件
- 至少已啟用 Microsoft Entra ID P1 或試用版授權的 Microsoft Entra 租使用者。 如有需要, 請免費 建立一個。
- 具有:
- 針對自助式密碼重設設定的 Microsoft Entra 識別碼。 如有需要,請完成本教學課程以啟用 Microsoft Entra SSPR。
- 使用 Microsoft Entra 設定的內部部署 AD DS 環境,連線雲端同步 1.1.977.0 版或更新版本 。 了解如何識別代理程式目前的版本。 如有需要,請使用 本教學 課程設定 Microsoft Entra 連線雲端同步處理。
部署步驟
設定 Microsoft Entra 連線雲端同步服務帳戶許可權
預設會設定雲端同步的許可權。 如果需要重設許可權,請參閱 疑難排解 ,以取得密碼回寫所需的特定許可權的詳細資料,以及如何使用 PowerShell 來設定這些許可權。
在 SSPR 中啟用密碼回寫
您可以直接在 Microsoft Entra 系統管理中心或透過 PowerShell 啟用 Microsoft Entra 連線雲端同步布建。
在 Microsoft Entra 系統管理中心啟用密碼回寫
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
在 Microsoft Entra 連線雲端同步中啟用密碼回寫後,現在請確認並設定 Microsoft Entra 自助式密碼重設 (SSPR) 以進行密碼回寫。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也已將密碼同步處理回內部部署 AD DS 環境。
若要確認並啟用 SSPR 中的密碼回寫,請完成下列步驟:
以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
流覽至 [ 保護 > 密碼重設 ],然後選擇 [ 內部部署整合]。
核取 [啟用同步使用者 的密碼回寫] 選項。
(選擇性)如果偵測到 Microsoft Entra 連線布建代理程式,您可以另外檢查 [使用 Microsoft Entra 連線雲端同步 處理回寫密碼] 選項 。
核取 [允許使用者解除鎖定帳戶而不將密碼 重設為 [是 ] 選項。
準備好時,請選取 [ 儲存 ]。
PowerShell
透過 PowerShell,您可以使用具有布建代理程式之伺服器上的 Set-AADCloudSyncPasswordWritebackConfiguration Cmdlet,啟用 Microsoft Entra 連線雲端同步處理。 您將需要全域管理員認證:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
清除資源
如果您不想再使用您已設定為本教學課程一部分的 SSPR 回寫功能,請完成下列步驟:
- 以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 保護 > 密碼重設 ],然後選擇 [ 內部部署整合]。
- 取消核取 [啟用同步使用者 的密碼回寫] 選項 。
- 取消核取 [使用 Microsoft Entra 回寫密碼] 選項 ,連線雲端同步 處理。
- 取消核取 [允許使用者解除鎖定帳戶但不重設其密碼 ] 選項 。
- 準備好時,請選取 [ 儲存 ]。
如果您不想再使用適用于 SSPR 回寫功能的 Microsoft Entra 連線雲端同步處理,但想要繼續使用 Microsoft Entra 連線 Sync 代理程式進行回寫,請完成下列步驟:
- 以至少驗證 原則管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
- 流覽至 [ 保護 > 密碼重設 ],然後選擇 [ 內部部署整合]。
- 取消核取 [使用 Microsoft Entra 回寫密碼] 選項 ,連線雲端同步 處理。
- 準備好時,請選取 [ 儲存 ]。
您也可以使用 PowerShell 停用 SSPR 回寫功能的 Microsoft Entra 連線雲端同步功能,從 Microsoft Entra 連線雲端同步伺服器執行,使用混合式身分識別管理員istrator 認證執行 Set-AADCloudSyncPasswordWritebackConfiguration ,以停用使用 Microsoft Entra 連線雲端同步的密碼回寫。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
支援的作業
針對使用者和系統管理員,密碼會寫回下列情況。
| 客戶 | 支援的作業 |
|---|---|
| 終端使用者 | 任何終端使用者自助式自願變更密碼作業。 任何終端使用者自助式強制變更密碼作業,例如密碼到期。 任何源自密碼重設的終端使用者自助式密碼重設。 |
| 系統管理員 | 任何系統管理員自助式自願變更密碼作業。 任何系統管理員自助式強制變更密碼作業,例如密碼到期。 任何源自密碼重設的系統管理員自助式密碼重設。 從 Microsoft Entra 系統管理中心重設任何系統管理員起始的使用者密碼重設。 從 Microsoft Graph API 重設任何系統管理員起始的使用者密碼重設。 |
不支援的作業
在下列情況下,密碼不會寫回。
| 客戶 | 不支援的作業 |
|---|---|
| 終端使用者 | 任何終端使用者都使用 PowerShell Cmdlet 或 Microsoft Graph API 重設自己的密碼。 |
| 系統管理員 | 使用 PowerShell Cmdlet 重設任何系統管理員起始的使用者密碼重設。 系統管理員從 Microsoft 365 系統管理中心起始的任何終端使用者密碼重設。 任何系統管理員都無法使用密碼重設工具來重設自己的密碼,或是 Microsoft Entra ID 中任何其他管理員istrator 進行密碼回寫。 |
驗證案例
請嘗試下列作業,以使用密碼回寫來驗證案例。 所有驗證案例都需要安裝雲端同步處理,且使用者位於密碼回寫的範圍內。
| 案例 | 詳細資料 |
|---|---|
| 從登入頁面重設密碼 | 讓兩個使用者從中斷連線的網域和樹系執行 SSPR。 您也可以讓 Microsoft Entra 連線和雲端同步並排部署,並在雲端同步設定的範圍內有一個使用者,另一個使用者位於 Microsoft Entra 連線的範圍內,並讓這些使用者重設其密碼。 |
| 強制過期的密碼變更 | 讓兩位使用者從中斷連線的網域和樹系變更過期的密碼。 您也可以讓 Microsoft Entra 連線和雲端同步並排部署,並在雲端同步設定的範圍內有一位使用者,另一個使用者位於 Microsoft Entra 連線的範圍內。 |
| 一般密碼變更 | 讓兩位使用者從中斷連線的網域和樹系執行例行密碼變更。 您也可以讓 Microsoft Entra 連線 和雲端同步並存,並在雲端同步設定的範圍內有一位使用者,並在 Microsoft Entra 連線 的範圍內有另一個使用者。 |
| 管理員重設使用者密碼 | 讓兩個使用者中斷連線的網域和樹系從 Microsoft Entra 系統管理中心或 Frontline 背景工作入口網站重設其密碼。 您也可以讓 Microsoft Entra 連線和雲端同步並存,並在雲端同步設定的範圍內有一個使用者,另一個使用者位於 Microsoft Entra 連線 |
| 自助式帳戶解除鎖定 | 讓兩位使用者從中斷連線的網域和樹系解除鎖定 SSPR 入口網站中的帳戶重設密碼。 您也可以讓 Microsoft Entra 連線 和雲端同步並存,並在雲端同步設定的範圍內有一位使用者,並在 Microsoft Entra 連線 的範圍內有另一個使用者。 |
疑難排解
Microsoft Entra 連線雲端同步群組受控服務帳戶應具有下列許可權,預設會設定回寫密碼:
- 重設密碼
- lockoutTime 的寫入權限
- pwdLastSet 的寫入權限
- 如果尚未設定,該樹系中每個網域的根物件上「未執行密碼」的延伸許可權。
如果未設定這些許可權,您可以使用 Set-AADCloudSyncPermissions Cmdlet 和內部部署企業系統管理員認證,在服務帳戶上設定 PasswordWriteBack 許可權:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)更新許可權之後,可能需要一小時或更多時間,這些許可權才能複寫到目錄中的所有物件。
如果某些使用者帳戶的密碼未寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶不會停用繼承。 密碼的寫入權限必須套用至子代物件,此功能才能正常運作。
內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確處理。 如果您要測試這項功能,而且想要每天為使用者重設密碼一次以上,則必須將 [最低密碼存留期] 的群組原則設定為 0。 您可以在 gpmc.msc 內的電腦設定 > 原則 > Windows 設定 > 安全性設定 > 帳戶原則 > 密碼原則下找到此設定。
如果您更新群組原則,請等候更新的原則複寫,或使用 gpupdate /force 命令。
若要立即變更密碼,密碼存留期下限必須設定為 0。 不過,如果使用者遵守內部部署原則,且最低密碼存留期設定為大於零的值,在評估內部部署原則之後,密碼回寫將無法運作。
如需如何驗證或設定適當許可權的詳細資訊,請參閱 設定 Microsoft Entra 連線 的帳戶許可權。
下一步
- 如需雲端同步和 Microsoft Entra 連線與雲端同步之間比較的詳細資訊,請參閱 什麼是 Microsoft Entra 連線雲端同步?
- 如需使用 Microsoft Entra 連線設定密碼回寫的教學課程,請參閱 教學課程:啟用 Microsoft Entra 自助式密碼重設回寫至內部部署環境 。