分享方式:


教學課程:啟用雲端同步自助式密碼重設回寫至內部部署環境的功能

Microsoft Entra Connect 雲端同步可在已中斷連線的內部部署 Active Directory Domain Services (AD DS) 網域的使用者之間,即時同步 Microsoft Entra 密碼變更。 Microsoft Entra Connect 雲端同步可以與網域層級的 Microsoft Entra Connect 並存執行,簡化其他案例的密碼回寫,例如因公司分割或合併而處於中斷連線網域的使用者。 您可以設定不同網域中的各個服務,根據使用者需求,鎖定不同組的使用者。 Microsoft Entra Connect 雲端同步使用輕量 Microsoft Entra 雲端佈建代理程式,簡化設定自助式密碼重設 (SSPR) 回寫,並提供安全方式,將雲端中的密碼變更傳送回內部部署目錄。

必要條件

部署步驟

  1. 設定 Microsoft Entra Connect 雲端同步服務帳戶權限
  2. 在 Microsoft Entra Connect 雲端同步中啟用密碼回寫
  3. 啟用 SSPR 的密碼回寫

設定 Microsoft Entra Connect 雲端同步服務帳戶權限

系統預設會設定雲端同步的權限。 如果須重設權限,請參閱疑難排解,了解密碼回寫所需之特定權限的詳細資訊,以及如何使用 PowerShell 設定權限。

在 SSPR 中啟用密碼回寫

您可以直接在 Microsoft Entra 系統管理中心或透過 PowerShell 啟用 Microsoft Entra Connect 雲端同步佈建。

在 Microsoft Entra 系統管理中心啟用密碼回寫

提示

根據您從中開始的入口網站,本文中的步驟可能會略有不同。

在 Microsoft Entra Connect 雲端同步中啟用密碼回寫後,現在請確認,並為密碼回寫設定 Microsoft Entra 自助式密碼重設 (SSPR)。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。

若要確認並在 SSPR 中啟用密碼回寫,請完成下列步驟:

  1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]

  3. 核取 [啟用同步使用者的密碼寫回] 的選項。

  4. (選擇性) 如果偵測到 Microsoft Entra Connect 佈建代理程式,您可以另外核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 選項。

  5. 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]

    針對密碼回寫啟用 Microsoft Entra 自助式密碼重設

  6. 在準備就緒時,選取 [儲存]

PowerShell

透過 PowerShell,您可以在具備佈建代理程式的伺服器上使用 Set-AADCloudSyncPasswordWritebackConfiguration Cmdlet 來啟用 Microsoft Entra Connect 雲端同步。 您需有全域管理員認證:

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

清除資源

如果您不想再使用您在本教學課程中所設定的 SSPR 回寫功能,請完成下列步驟:

  1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]
  3. 取消核取 [啟用同步使用者的密碼寫回] 選項。
  4. 取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
  5. 取消核取 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 選項。
  6. 在準備就緒時,選取 [儲存]

如果您不再想針對 SSPR 回寫功能使用 Microsoft Entra Connect 雲端同步,但想要繼續使用 Microsoft Entra Connect 同步代理程式進行回寫,請完成下列步驟:

  1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]
  3. 取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
  4. 在準備就緒時,選取 [儲存]

您也可以使用 PowerShell 停用 SSPR 回寫功能的 Microsoft Entra Connect 雲端同步,從 Microsoft Entra Connect 雲端同步伺服器,使用混合式身分識別系統管理員認證執行 Set-AADCloudSyncPasswordWritebackConfiguration,以停用 Microsoft Entra Connect 雲端同步的密碼回寫。

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

支援的作業

在下列適用於終端使用者和管理員的情況下,系統會寫回密碼。

客戶​​ 支援的作業
終端使用者 任何終端使用者自助式自願變更密碼作業。
任何終端使用者自助式強制變更密碼作業 (例如密碼到期)。
任何源自密碼重設的終端使用者自助式密碼重設。
系統管理員 任何系統管理員自助式自願變更密碼作業。
任何系統管理員自助式強制變更密碼作業 (例如密碼到期)。
任何源自密碼重設的系統管理員自助式密碼重設。
系統管理員從 Microsoft Entra 系統管理中心起始的任何終端使用者密碼重設。
任何管理員從 Microsoft Graph API 起始的任何終端使用者密碼重設。

不支援的作業

下列情況不會寫回密碼。

客戶​​ 不支援的作業
終端使用者 任何終端使用者使用 PowerShell Cmdlet 或 Microsoft Graph API 重設自己的密碼。
系統管理員 任何管理員使用 PowerShell Cmdlet 起始的終端使用者密碼重設。
系統管理員從 Microsoft 365 系統管理中心起始的任何終端使用者密碼重設。
任何系統管理員都無法使用密碼重設工具重設自己的密碼,或 Microsoft Entra ID 中的任何其他管理員進行密碼回寫。

驗證案例

請嘗試下列作業,使用密碼回寫來驗證情節。 所有驗證情節都必須安裝雲端同步,且使用者在密碼回寫的範圍內。

案例 詳細資料
從登入頁面重設密碼 請兩位來自已中斷連線網域和樹系的使用者執行 SSPR。 您也可以並存部署 Microsoft Entra Connect 和雲端同步,並請一位使用者在雲端同步設定的範圍內,另一位在 Microsoft Entra Connect 的範圍內,並請這兩位使用者重設其密碼。
強制變更過期的密碼 請兩位來自已中斷連線網域和樹系的使用者變更過期的密碼。 您也可以並存部署 Microsoft Entra Connect 和雲端同步,並請一位使用者在雲端同步設定的範圍內,另一位在 Microsoft Entra Connect 的範圍內。
定期密碼變更 請兩位來自已中斷連線網域和樹系的使用者執行定期密碼變更。 您也可以並存擁有 Microsoft Entra Connect 和雲端同步,並請一位使用者在雲端同步設定的範圍內,另一位在 Microsoft Entra Connect 的範圍內。
管理員重設使用者密碼 請兩位與網域和樹系中斷連線的使用者,從 Microsoft Entra 系統管理中心或前線背景工作角色入口網站重設其密碼。 您也可以並存擁有 Microsoft Entra Connect 和雲端同步,並請一位使用者在雲端同步設定的範圍內,另一位在 Microsoft Entra Connect 的範圍內
自助式帳戶解除鎖定 請兩位來自已中斷連線網域和樹系的使用者,在重設密碼的 SSPR 入口網站中解除鎖定帳戶。 您也可以並存擁有 Microsoft Entra Connect 和雲端同步,並請一位使用者在雲端同步設定的範圍內,另一位在 Microsoft Entra Connect 的範圍內。

疑難排解

  • Microsoft Entra Connect 雲端同步群組受管理的服務帳戶,預設應已設定以下權限以寫回密碼:

    • 重設密碼
    • lockoutTime 上的寫入權限
    • pwdLastSet 上的寫入權限
    • 在該樹系中「每個網域」的根物件上,「未到期密碼」的延伸權限 (如果尚未設定)。

    如果未設定這些權限,您可以使用 Set-AADCloudSyncPermissions Cmdlet 和內部部署企業管理員認證,在服務帳戶上設定 PasswordWriteBack 權限:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
    Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
    

    更新權限後,最多可能需要一小時或更久,這些權限才會複寫至您目錄中的所有物件。

  • 如果某些使用者帳戶的密碼不會寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶未停用繼承。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。

  • 內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 如果您在測試此功能,且想每天為使用者重設多次密碼,則 [密碼最短使用期限] 的群組原則必須設定為 0。 此設定可在 gpmc.msc 內的 [電腦設定] > [原則] > [Windows 設定] > [安全性設定] > [帳戶原則] > [密碼原則] 下找到。

  • 如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force 命令。

  • 若要讓密碼立即變更,[密碼最短使用期限] 必須設定為 0。 不過如果使用者遵循內部部署原則,且 [密碼最短存留期] 設定為大於零的值,則在評估內部部署原則後,密碼回寫將無法運作。

如需如何驗證或設定適當權限的詳細資訊,請參閱設定 Microsoft Entra Connect 的帳戶權限

下一步