備註
不支持使用 Cloud Sync 的自助密碼重設寫回功能於由 21Vianet 運營的 Microsoft Azure。 管理員可以改為部署 SSPR 回寫,並搭配 Microsoft Entra Connect sync。
Microsoft Entra 雲端同步可以即時同步 Microsoft Entra 的密碼變更,實現不同本地不連線 Active Directory Domain Services(AD DS)網域之間使用者的同步。 Microsoft Entra 雲端同步可在網域層級與 Microsoft Entra Connect並行執行,以簡化密碼回寫,適用於其他情境,例如因公司分割或合併而處於斷線網域的使用者。 您可以設定不同網域中的各個服務,根據使用者需求,鎖定不同組的使用者。 Microsoft Entra Cloud Sync 使用輕量級的 Microsoft Entra 雲端配置代理程式,簡化自助密碼重設(SSPR)的設定,並提供一種安全的方式將雲端的密碼變更回傳至本地目錄。
必要條件
- 一個至少啟用 Microsoft Entra ID P1 或試用授權的 Microsoft Entra 租戶。 如有需要,請建立免費帳戶。
- 混合式身分識別系統管理員帳戶
- Microsoft Entra ID 已設定為自助式密碼重設。 如有需要,請完成此教學以啟用 Microsoft Entra SSPR。
- 一個本地配置的 AD DS 環境,配置為 Microsoft Entra Cloud Sync 版本 1.1.977.0 或更新版本。 了解如何識別代理程式目前的版本。
部署步驟
設定 Microsoft Entra Cloud 同步服務帳戶權限
系統預設會設定雲端同步的權限。 如果需要重設許可權,請參閱 疑難解答 ,以取得密碼回寫所需的特定許可權的詳細數據,以及如何使用 PowerShell 來設定這些許可權。
在 SSPR 中啟用密碼回寫
你可以直接在 Microsoft Entra 管理中心啟用 Microsoft Entra Connect 雲端同步配置,或透過 PowerShell 啟用。
在 Microsoft Entra 管理中心啟用密碼寫回
在 Microsoft Entra Connect 雲端啟用密碼回寫後,現在驗證並設定 Microsoft Entra 自助密碼重設(SSPR)以進行密碼寫回。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。
若要確認並在 SSPR 中啟用密碼回寫,請完成下列步驟:
請至少以混合身份身份管理員登入Microsoft Entra管理中心。
流覽至 Entra ID>密碼重設,然後選擇 內部部署整合。
核取 [ 啟用同步使用者的密碼回寫] 選項。
(可選)如果偵測到 Microsoft Entra Connect 佈建代理程式,你可以額外選擇使用 Microsoft Entra Connect 雲端同步的 寫回密碼選項。
將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]。
當準備好時,請選擇 儲存。
PowerShell
使用 PowerShell 時,你可以在有配置代理的伺服器上使用 Set-AADCloudSyncPasswordWritebackConfiguration 指令碼來啟用 Microsoft Entra Connect 雲端同步。
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
清理資源
如果您不想再使用您在本教學課程中設定的 SSPR 回寫功能,請完成下列步驟:
- 請至少以混合身份身份管理員登入Microsoft Entra管理中心。
- 流覽至 Entra ID>密碼重設,然後選擇 內部部署整合。
- 取消勾選 [啟用同步使用者的密碼寫回] 選項。
- 取消勾選使用 Microsoft Entra Connect 雲端同步回寫密碼的選項。
- 取消勾選 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 選項。
- 當準備好時,請選擇 儲存。
如果您不想再使用 Microsoft Entra Connect 雲端同步功能來進行 SSPR 寫回功能,但想繼續使用 Microsoft Entra Connect 同步代理程式來進行回寫,請完成下列步驟:
- 請至少以混合身份身份管理員登入Microsoft Entra管理中心。
- 流覽至 Entra ID>密碼重設,然後選擇 內部部署整合。
- 取消勾選將密碼寫回到 Microsoft Entra Connect 雲端同步的選項。
- 當準備好時,請選擇 儲存。
你也可以用 PowerShell 關閉 Microsoft Entra Connect 雲端同步以實現 SSPR 寫回功能,從你的 Microsoft Entra Connect 雲端同步伺服器上,使用 Hybrid Identity Administrator 憑證執行 Set-AADCloudSyncPasswordWritebackConfiguration,Microsoft Entra Connect 雲端同步時關閉密碼寫回功能。
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
支援的作業
在下列適用於終端使用者和管理員的情況下,系統會寫回密碼。
| 帳戶 | 支援的作業 |
|---|---|
| 終端使用者 | 任何終端使用者自助式自願變更密碼作業。 任何最終使用者自助式強制修改密碼操作(例如,密碼到期)。 任何源自密碼重設的終端使用者自助式密碼重設。 |
| 系統管理員 | 任何系統管理員自主自願的密碼變更作業。 任何系統管理員自助式強制變更密碼作業 (例如密碼到期)。 源自密碼重設功能的任何系統管理員自助式密碼重設。 任何由管理員發起的 Microsoft Entra 管理中心的終端使用者密碼重設。 任何由管理員發起的最終使用者密碼重設,都是透過 Microsoft Graph API 進行的。 |
不支援的作業
下列情況不會寫回密碼。
| 帳戶 | 不支援的作業 |
|---|---|
| 終端使用者 | 任何終端使用者使用 PowerShell 命令列工具或 Microsoft Graph API 重設密碼。 |
| 系統管理員 | 任何管理員使用 PowerShell Cmdlet 所進行的終端使用者密碼重設。 任何由管理員發起的 Microsoft 365 管理中心進行的終端使用者密碼重設。 任何管理員都不能使用密碼重設工具來重設自己的密碼,或是重設 Microsoft Entra ID 中其他管理員的密碼,以進行密碼寫回。 |
驗證案例
請嘗試以下作業,使用密碼回寫來驗證情境。 所有驗證情境都需要安裝雲端同步,且使用者必須在密碼回寫的範圍內。
| 情境 | 詳細資料 |
|---|---|
| 從登入頁面重設密碼 | 請兩位來自已中斷連線網域和樹系的使用者執行 SSPR。 你也可以讓 Microsoft Entra Connect 和雲端同步並行部署,讓一位使用者負責雲端同步設定,另一位使用者負責 Microsoft Entra Connect 的設定,然後讓這些使用者重設密碼。 |
| 強制變更過期的密碼 | 請兩位來自已中斷連線網域和樹系的使用者變更過期的密碼。 你也可以讓 Microsoft Entra Connect 和雲端同步並行部署,讓一位使用者負責雲端同步設定,另一位使用者負責 Microsoft Entra Connect。 |
| 定期密碼變更 | 請來自未連接的網域和樹系的兩位使用者執行例行密碼更改。 你也可以讓 Microsoft Entra Connect 和雲端同步並列,讓一個使用者負責雲端同步設定,另一個使用者則屬於 Microsoft Entra Connect 的範圍。 |
| 管理員重設使用者密碼 | 讓兩位使用者斷開網域和森林,從 Microsoft Entra 管理中心或 Frontline 員工入口網站重設密碼。 你也可以讓 Microsoft Entra Connect 和雲端同步並列,讓一個使用者負責雲端同步設定,另一個使用者負責 Microsoft Entra Connect 的範圍 |
| 自助式帳戶解除鎖定 | 請指示兩位來自不同網域和樹系的使用者,在 SSPR 密碼重設入口網站中解除帳戶鎖定。 你也可以讓 Microsoft Entra Connect 和雲端同步並列,讓一個使用者負責雲端同步設定,另一個使用者則屬於 Microsoft Entra Connect 的範圍。 |
疑難排解
Microsoft Entra Connect 雲端同步群組的管理服務帳號預設應有以下寫回密碼的權限:
- 重設密碼
- lockoutTime 上的寫入權限
- pwdLastSet 上的寫入權限
- 在該樹系中每個網域的根物件上設置「密碼不過期」的延伸權限(如果尚未設置)。
如果未設定這些許可權,您可以使用 Set-AADCloudSyncPermissions Cmdlet 和內部部署企業系統管理員認證,在服務帳戶上設定 PasswordWriteBack 許可權:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)更新許可權之後,最多可能需要一小時或更多時間,這些許可權才能復寫到目錄中的所有物件。
如果某些使用者帳戶的密碼無法寫回至內部部署的目錄,請確保在內部部署的 AD DS 環境中,該帳戶的權限繼承未被停用。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。
內部部署的 AD DS 環境中的密碼原則可能導致密碼無法正確重設。 如果您要測試這項功能,而且想要每天為使用者重設密碼一次以上,則必須將 [最低密碼存留期] 的組策略設定為 0。 此設定可在 gpmc.msc 內的電腦設定 > 政策 > Windows 設定 > 安全設定 > 帳戶政策 > 密碼政策中找到。
如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force 命令。
若要讓密碼立即變更,[密碼最短使用期限] 必須設定為 0。 不過,如果使用者遵守內部部署原則,且最低密碼存留期設定為大於零的值,則評估內部部署原則之後,密碼回寫將無法運作。
欲了解更多如何驗證或設定適當權限的資訊,請參見 Configure Account permissions for Microsoft Entra Connect。
下一步
- 欲了解更多關於雲端同步的資訊,以及 Microsoft Entra Connect 與雲端同步的比較,請參見 什麼是 Microsoft Entra Connect 雲端同步?
- 有關使用 Microsoft Entra Connect 設定密碼回寫的教學,請參見 Tutorial: Enable Microsoft Entra 自助式密碼重設寫回本地環境。