教學課程:啟用目的地為內部部署環境的 Azure Active Directory 自助式密碼重設回寫

透過 Azure Active Directory (Azure AD) 自助式密碼重設 (SSPR),使用者可以使用網頁瀏覽器來更新其密碼或解除鎖定其帳戶。 我們建議您觀看影片如何在 Azure AD 中啟用和設定 SSPR。 在 Azure AD 連線到內部部署 Active Directory Domain Services (AD DS) 環境的混合式環境中,這種情況可能會導致兩個目錄之間的密碼有所不同。

您可以使用密碼回寫,將 Azure AD 中的密碼變更同步回內部部署 AD DS 環境。 Azure AD Connect 有提供安全機制,供您將這些密碼變更從 Azure AD 傳送回現有的內部部署目錄。

重要

本教學課程會向管理員說明如何啟用自助式密碼重設並取回內部部署環境。 如果您是已註冊自助式密碼重設的使用者,而且需要取回您的帳戶,請移至 https://aka.ms/sspr

如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。

在本教學課程中,您會了解如何:

  • 設定要進行密碼回寫所需的權限
  • 在 Azure AD Connect 中啟用密碼回寫選項
  • 在 Azure AD SSPR 中啟用密碼回寫

必要條件

若要完成此教學課程,您需要下列資源和權限:

設定 Azure AD Connect 的帳戶權限

Azure AD Connect 可讓您同步內部部署 AD DS 環境與 Azure AD 之間的使用者、群組和認證。 您通常會在加入到內部部署 AD DS 網域的 Windows Server 2016 或更新版本電腦上安裝 Azure AD Connect。

若要正確使用 SSPR 回寫,Azure AD Connect 中所指定的帳戶必須設定適當的權限和選項。 如果您不確定目前正在使用哪一個帳戶,請開啟 Azure AD Connect,然後選取 [檢視目前的設定] 選項。 您需要新增權限的帳戶會列在 [同步處理的目錄] 底下。 您必須在帳戶上設定下列權限和選項:

  • 重設密碼
  • lockoutTime寫入權限
  • pwdLastSet寫入權限
  • 在該樹系中「每個網域」的根物件上,「未到期密碼」的延伸權限 (如果尚未設定)。

如果未指派這些權限,回寫雖看似已正確設定,但使用者會在從雲端管理其內部部署密碼時遇到錯誤。 在 Active Directory 中設定「未過期密碼」權限時,必須將其套用至 此物件及所有子系物件只有這個物件所有子系物件,否則無法顯示「未過期密碼」權限。

提示

如果某些使用者帳戶的密碼不會寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶未停用繼承。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。

若要設定適當權限以進行密碼回寫,請完成下列步驟:

  1. 在內部部署 AD DS 環境中,使用有適當網域系統管理員權限的帳戶,開啟 [Active Directory 使用者和電腦]。

  2. 從 [檢視] 功能表中,確定已開啟 [進階功能]。

  3. 在左面板中,以滑鼠右鍵選取代表網域根目錄的物件,然後選取 [屬性]>[安全性]>[進階]。

  4. 從 [權限] 索引標籤中,選取 [新增]。

  5. 在 [主體] 中,選取要套用權限的帳戶 (Azure AD Connect 所使用的帳戶)。

  6. 在 [套用至] 下拉式清單中,選取 [下階使用者物件]。

  7. 在 [權限] 底下,選取下列選項的方塊:

    • 重設密碼
  8. 在 [屬性] 底下,選取下列選項的方塊。 捲動清單來尋找這些可能已依預設完成設定的選項:

    • 寫入 lockoutTime
    • 寫入 pwdLastSet

    S在 [作用中使用者和電腦] 中,為 Azure AD Connect 所使用的帳戶設定適當權限

  9. 準備好時,選取 [ 套用/確定 ] 以套用變更。

  10. 從 [權限] 索引標籤中,選取 [新增]。

  11. 在 [主體] 中,選取要套用權限的帳戶 (Azure AD Connect 所使用的帳戶)。

  12. 在 [ 套用至 ] 下拉式清單中,選取 [此物件] 和 [所有子系物件]

  13. 在 [權限] 底下,選取下列選項的方塊:

    • 取消匯出密碼
  14. 準備好時,選取 [套用]/[確定] 以套用變更並結束任何開啟的對話方塊。

當您更新權限時,最多可能需要一小時或更久,這些權限才會複寫至您目錄中的所有物件。

內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 若要讓密碼回寫最有效地運作,[密碼最短存留期] 的群組原則必須設定為 0。 此設定可在 gpmc.msc 內的 [電腦設定 > 原則 > Windows 設定 > 安全性設定 > 帳戶原則] 下方找到。

如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force 命令。

注意

如果您需要允許使用者一天多次變更或重設密碼,則 [密碼最短使用期限] 必須設定為 0。 成功評估內部部署密碼原則之後,密碼回寫將會正常運作。

在 Azure AD Connect 中啟用密碼回寫

Azure AD Connect 中的其中一個設定選項會用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Azure AD Connect 將已更新的認證同步回內部部署 AD DS 環境。

若要啟用 SSPR 回寫,請先在 Azure AD Connect 中啟用回寫選項。 從 Azure AD Connect 伺服器完成下列步驟:

  1. 登入 Azure AD Connect 伺服器,然後啟動 Azure AD Connect 設定精靈。

  2. 在 [歡迎] 頁面上,選取 [設定]。

  3. 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。

  4. 在 [連線到 Azure AD] 頁面上,輸入 Azure 租用戶的全域管理員認證,然後選取 [下一步]。

  5. 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。

  6. 在 [選用功能] 頁面上,選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。

    設定要用於密碼回寫的 Azure AD Connect

  7. 在 [目錄擴充] 頁面上,選取 [下一步]。

  8. 在 [準備好設定] 頁面上,選取 [設定],然後等待程序完成。

  9. 看到設定完成時,選取 [結束]。

啟用 SSPR 的密碼回寫

由於 Azure AD Connect 已啟用密碼回寫,現在請設定要用於回寫的 Azure AD SSPR。 SSPR 可以設為透過 Azure AD Connect 同步代理程式和 Azure AD Connect 佈建代理程式 (雲端同步) 進行回寫。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。

若要在 SSPR 中啟用密碼回寫,請完成下列步驟:

  1. 使用「混合式身分識別管理員」帳戶登入 Azure 入口網站

  2. 搜尋並選取 [Azure Active Directory]、選取 [密碼重設],然後選擇 [內部部署整合]。

  3. 核取 [將密碼寫回至內部部署目錄] 選項。

  4. (選擇性) 如果偵測到 Azure AD Connect 佈建代理程式,您可以另外核取 [使用 Azure AD Connect 雲端同步寫回密碼] 選項。

  5. 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]。

    設定要用於密碼回寫的 Azure AD Connect

  6. 在準備就緒時,選取 [儲存]。

清除資源

如果您不想再使用您在本教學課程中所設定的 SSPR 回寫功能,請完成下列步驟:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 [Azure Active Directory]、選取 [密碼重設],然後選擇 [內部部署整合]。
  3. 取消核取 [將密碼寫回至內部部署目錄] 選項。
  4. 取消核取 [使用 Azure AD Connect 雲端同步寫回密碼] 選項。
  5. 取消核取 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 選項。
  6. 在準備就緒時,選取 [儲存]。

如果您不再想針對 SSPR 回寫功能使用 Azure AD Connect 雲端同步,但想要繼續使用 Azure AD Connect 同步代理程式進行回寫,請完成下列步驟:

  1. 登入 Azure 入口網站
  2. 搜尋並選取 [Azure Active Directory]、選取 [密碼重設],然後選擇 [內部部署整合]。
  3. 取消核取 [使用 Azure AD Connect 雲端同步寫回密碼] 選項。
  4. 在準備就緒時,選取 [儲存]。

如果您不想再使用任何密碼功能,請從 Azure AD Connect 伺服器完成下列步驟:

  1. 登入 Azure AD Connect 伺服器,然後啟動 Azure AD Connect 設定精靈。
  2. 在 [歡迎] 頁面上,選取 [設定]。
  3. 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。
  4. 在 [連線到 Azure AD] 頁面上,輸入 Azure 租用戶的全域管理員認證,然後選取 [下一步]。
  5. 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。
  6. 在 [選用功能] 頁面上,取消選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。
  7. 在 [準備好設定] 頁面上,選取 [設定],然後等待程序完成。
  8. 看到設定完成時,選取 [結束]。

重要

第一次啟用密碼回寫時可能會觸發密碼變更事件 656 和 657,即使密碼變更尚未發生也是一樣。 這是因為在執行密碼雜湊同步週期之後,會重新同步所有密碼雜湊。

後續步驟

在本教學課程中,您已啟用目的地為內部部署 AD DS 環境的 Azure AD SSPR 回寫。 您已了解如何︰

  • 設定要進行密碼回寫所需的權限
  • 在 Azure AD Connect 中啟用密碼回寫選項
  • 在 Azure AD SSPR 中啟用密碼回寫