教學課程:啟用 Microsoft Entra 自助式密碼重設回寫至內部部署環境的功能
透過 Microsoft Entra 自助式密碼重設 (SSPR),使用者可以使用網頁瀏覽器來更新其密碼或解除鎖定其帳戶。 建議您觀看影片:如何在 Microsoft Entra ID 中啟用和設定 SSPR (英文)。 在 Microsoft Entra ID 連線到內部部署 Active Directory Domain Services (AD DS) 環境的混合式環境中,這種情況可能會導致兩個目錄之間的密碼有所不同。
您可以使用密碼回寫,將 Microsoft Entra 中的密碼變更同步回內部部署 AD DS 環境。 Microsoft Entra Connect 有提供安全機制,供您將這些密碼變更從 Microsoft Entra ID 傳送回現有的內部部署目錄。
重要
本教學課程會向管理員說明如何啟用自助式密碼重設並取回內部部署環境。 如果您是已註冊自助式密碼重設的使用者,而且需要取回您的帳戶,請移至 https://aka.ms/sspr。
如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。
在本教學課程中,您會了解如何:
- 設定要進行密碼回寫所需的權限
- 在 Microsoft Entra Connect 中啟用密碼回寫選項
- 在 Microsoft Entra SSPR 中啟用密碼回寫
必要條件
若要完成本教學課程,您需要下列資源和權限:
- 具有至少已啟用 Microsoft Entra ID P1 或試用版授權的運作中 Microsoft Entra 租用戶。
- 如有需要,請建立免費帳戶。
- 如需詳細資訊,請參閱 Microsoft Entra SSPR 的授權需求。
- 具有混合式身分識別管理員的帳戶。
- 已設定好用於進行自助式密碼重設的 Microsoft Entra ID。
- 如有需要,請完成上一個教學課程以啟用 Microsoft Entra SSPR。
- 已使用目前版本的 Microsoft Entra Connect 設定好現有內部部署 AD DS 環境。
設定 Microsoft Entra Connect 的帳戶權限
Microsoft Entra Connect 可讓您同步內部部署 AD DS 環境與 Microsoft Entra ID 之間的使用者、群組和認證。 您通常會在加入到內部部署 AD DS 網域的 Windows Server 2016 或更新版本電腦上安裝 Microsoft Entra Connect。
若要正確使用 SSPR 回寫,Microsoft Entra Connect 中所指定的帳戶必須設定適當的權限和選項。 如果您不確定目前正在使用哪一個帳戶,請開啟 Microsoft Entra Connect,然後選取 [檢視目前的設定] 選項。 您需要新增權限的帳戶會列在 [同步處理的目錄] 底下。 您必須在帳戶上設定下列權限和選項:
- 重設密碼
- 變更密碼
lockoutTime
的寫入權限pwdLastSet
的寫入權限- 在該樹系中「每個網域」的根物件上,「未到期密碼」的延伸權限 (如果尚未設定)。
如果未指派這些權限,回寫雖看似已正確設定,但使用者會在從雲端管理其內部部署密碼時遇到錯誤。 在 Active Directory 中設定「未過期密碼」權限時,必須將其套用至 [此物件及所有子系物件]、[只有這個物件] 或 [所有子系物件],否則無法顯示「未過期密碼」權限。
提示
如果某些使用者帳戶的密碼不會寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶未停用繼承。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。
若要設定適當權限以進行密碼回寫,請完成下列步驟:
- 在內部部署 AD DS 環境中,使用有適當網域系統管理員權限的帳戶,開啟 [Active Directory 使用者和電腦]。
- 從 [檢視] 功能表中,確定已開啟 [進階功能]。
- 在左面板中,以滑鼠右鍵選取代表網域根目錄的物件,然後選取 [屬性]>[安全性]>[進階]。
- 從 [權限] 索引標籤中,選取 [新增]。
- 在 [主體] 中,選取要套用權限的帳戶 (Microsoft Entra Connect 所使用的帳戶)。
- 在 [套用至] 下拉式清單中,選取 [下階使用者物件]。
- 在 [權限] 底下,選取下列選項的方塊:
- 重設密碼
- 在 [屬性] 底下,選取下列選項的方塊。 捲動清單來尋找這些可能已依預設完成設定的選項:
- 準備就緒時,選取 [套用 / 確定] 以套用變更。
- 從 [權限] 索引標籤中,選取 [新增]。
- 在 [主體] 中,選取要套用權限的帳戶 (Microsoft Entra Connect 所使用的帳戶)。
- 在 [套用到] 下拉式清單中,選取 [此物件及所有子系物件]
- 在 [權限] 底下,選取下列選項的方塊:
- 未過期密碼
- 準備好時,選取 [套用]/[確定] 以套用變更並結束任何開啟的對話方塊。
當您更新權限時,最多可能需要一小時或更久,這些權限才會複寫至您目錄中的所有物件。
內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 若要讓密碼回寫最有效地運作,[密碼最短存留期] 的群組原則必須設定為 0。 此設定可在 gpmc.msc
內的 [電腦設定 > 原則 > Windows 設定 > 安全性設定 > 帳戶原則] 下方找到。
如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force
命令。
注意
如果您需要允許使用者一天多次變更或重設密碼,則 [密碼最短使用期限] 必須設定為 0。 成功評估內部部署密碼原則之後,密碼回寫將會正常運作。
在 Microsoft Entra Connect 中啟用密碼回寫
Microsoft Entra Connect 中的其中一個設定選項會用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Microsoft Entra Connect 將已更新的認證同步回內部部署 AD DS 環境。
若要啟用 SSPR 回寫,請先在 Microsoft Entra Connect 中啟用回寫選項。 從 Microsoft Entra Connect 伺服器完成下列步驟:
- 登入您的 Microsoft Entra Connect 伺服器,然後啟動 Microsoft Entra Connect 設定精靈。
- 在 [歡迎] 頁面上,選取 [設定]。
- 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。
- 在 [連線到 Microsoft Entra ID] 頁面上,輸入 Azure 租用戶的混合式管理員認證,然後選取 [下一步]。
- 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。
- 在 [選用功能] 頁面上,選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。
- 在 [目錄擴充] 頁面上,選取 [下一步]。
- 在 [準備好設定] 頁面上,選取 [設定],然後等待程序完成。
- 看到設定完成時,選取 [結束]。
注意
不支援從 OnPremDirectorySynchronization 服務功能更新 PasswordWritebackEnabled
,因為此功能旗標未在使用中。
啟用 SSPR 的密碼回寫
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
由於 Microsoft Entra Connect 已啟用密碼回寫,現在請設定要用於回寫的 Microsoft Entra SSPR。 SSPR 可以設為透過 Microsoft Entra Connect 同步代理程式和 Microsoft Entra Connect 佈建代理程式 (雲端同步) 進行回寫。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。
若要在 SSPR 中啟用密碼回寫,請完成下列步驟:
- 以全域管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]。
- 核取 [將密碼寫回至內部部署目錄] 選項。
- (選擇性) 如果偵測到 Microsoft Entra Connect 佈建代理程式,您可以另外核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 選項。
- 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]。
- 在準備就緒時,選取 [儲存]。
清除資源
如果您不想再使用您在本教學課程中所設定的 SSPR 回寫功能,請完成下列步驟:
- 以全域管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]。
- 取消核取 [將密碼寫回至內部部署目錄] 選項。
- 取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
- 取消核取 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 選項。
- 在準備就緒時,選取 [儲存]。
如果您不再想針對 SSPR 回寫功能使用 Microsoft Entra Connect 雲端同步,但想要繼續使用 Microsoft Entra Connect 同步代理程式進行回寫,請完成下列步驟:
- 以全域管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[密碼重設],然後選擇 [內部部署整合]。
- 取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
- 在準備就緒時,選取 [儲存]。
如果您不想再使用任何密碼功能,請從 Microsoft Entra Connect 伺服器完成下列步驟:
- 登入您的 Microsoft Entra Connect 伺服器,然後啟動 Microsoft Entra Connect 設定精靈。
- 在 [歡迎] 頁面上,選取 [設定]。
- 在 [其他工作] 頁面上,選取 [自訂同步處理選項],然後選取 [下一步]。
- 在 [連線到 Microsoft Entra ID] 頁面上,輸入混合式管理員認證,然後選取 [下一步]。
- 在 [連線目錄] 和 [網域/OU] 篩選頁面上,選取 [下一步]。
- 在 [選用功能] 頁面上,取消選取 [密碼回寫] 旁邊的方塊,然後選取 [下一步]。
- 在 [準備好設定] 頁面上,選取 [設定],然後等待程序完成。
- 看到設定完成時,選取 [結束]。
重要
第一次啟用密碼回寫時可能會觸發密碼變更事件 656 和 657,即使密碼變更尚未發生也是一樣。 這是因為在執行密碼雜湊同步週期之後,會重新同步所有密碼雜湊。
下一步
在本教學課程中,您已啟用目的地為內部部署 AD DS 環境的 Microsoft Entra SSPR 回寫。 您已了解如何:
- 設定要進行密碼回寫所需的權限
- 在 Microsoft Entra Connect 中啟用密碼回寫選項
- 在 Microsoft Entra SSPR 中啟用密碼回寫