教學課程：啟用 Microsoft Entra 自助式密碼重設回寫至內部部署環境的功能

發行項
2025/03/09

透過 Microsoft Entra 自助式密碼重設 (SSPR)，使用者可以使用網頁瀏覽器來更新其密碼或解除鎖定其帳戶。建議您觀看影片：如何在 Microsoft Entra ID 中啟用和設定 SSPR (英文)。在 Microsoft Entra ID 連線到內部部署 Active Directory Domain Services (AD DS) 環境的混合式環境中，這種情況可能會導致兩個目錄之間的密碼有所不同。

您可以使用密碼回寫，將 Microsoft Entra 中的密碼變更同步回內部部署 AD DS 環境。 Microsoft Entra Connect 有提供安全機制，供您將這些密碼變更從 Microsoft Entra ID 傳送回現有的內部部署目錄。

重要

本教學課程會向管理員說明如何啟用自助式密碼重設，以便應用到內部部署環境。如果您是已註冊自助式密碼重設的使用者，而且需要重新登入您的帳戶，請移至 https://aka.ms/sspr。

如果您的 IT 小組尚未啟用重設您密碼的功能，請與您的技術服務人員聯繫以取得其他協助。

在本教學課程中，您會了解如何：

設定要進行密碼回寫所需的權限
在 Microsoft Entra Connect 中啟用密碼回寫選項
在 Microsoft Entra SSPR 中啟用密碼回寫

必要條件

若要完成本教學課程，您需要下列資源和權限：

至少具有已啟用 Microsoft Entra ID P1 或試用授權的可用 Microsoft Entra 租戶。
- 如有需要，請建立免費帳戶。
- 如需詳細資訊，請參閱 Microsoft Entra SSPR 的授權需求。
具有混合式身分識別管理員的帳戶。
已將 Microsoft Entra ID 設定為可進行自助密碼重設。
- 如有需要，請完成上一個教學課程以啟用 Microsoft Entra SSPR。
已使用目前版本的 Microsoft Entra Connect 設定好現有內部部署 AD DS 環境。
- 如有需要，請使用快速或自訂設定來設定 Microsoft Entra Connect。
- 若要使用密碼回寫，網域控制站可以執行任何受支援版本的 Windows Server。

設定 Microsoft Entra Connect 的帳戶權限

Microsoft Entra Connect 可讓您同步內部部署 AD DS 環境與 Microsoft Entra ID 之間的使用者、群組和認證。您通常會在加入到內部部署 AD DS 網域的 Windows Server 2016 或更新版本電腦上安裝 Microsoft Entra Connect。

若要正確使用 SSPR 回寫，Microsoft Entra Connect 中所指定的帳戶必須設定適當的權限和選項。如果您不確定目前正在使用哪一個帳戶，請開啟 Microsoft Entra Connect，然後選取 [檢視目前的設定] 選項。您需要新增權限的帳戶會列在 [同步處理的目錄] 底下。您必須在帳戶上設定下列權限和選項：

重設密碼
變更密碼
寫入權限 在lockoutTime
寫入權限 的pwdLastSet
在該樹系中每個網域的根物件上為「未到期密碼」設置「延伸權限」（如果尚未設定）。

如果未指派這些權限，回寫雖看似已正確設定，但使用者會在從雲端管理其內部部署密碼時遇到錯誤。在 Active Directory 中設定「未過期密碼」權限時，必須將其套用至 此物件及所有子系物件、只有這個物件或所有子系物件，否則無法顯示「未過期密碼」權限。

提示

如果某些使用者帳戶的密碼未反向寫入內部部署目錄，請確保內部部署 AD DS 環境中的該帳戶的繼承功能未被停用。密碼的寫入權限必須套用至子系物件，功能才能正常運作。

若要設定適當權限以進行密碼回寫，請完成下列步驟：

在內部部署的 AD DS 環境中，使用具有適當網域系統管理員權限的帳戶，開啟Active Directory 使用者與電腦。
從 [檢視] 功能表中，確定已開啟 [進階功能]。
在左面板中，以滑鼠右鍵選取代表網域根目錄的物件，然後選取 [屬性]>[安全性]>[進階]。
從 [權限] 索引標籤中，選取 [新增]。
在 [主體] 中，選取要套用權限的帳戶 (即 Microsoft Entra Connect 所使用的帳戶)。
在 [套用至] 下拉式清單中，選取 [下階使用者物件]。
在 [權限] 底下，選取下列選項的方塊：
- 重設密碼
在 [屬性] 底下，選取下列選項的方塊。捲動列表來尋找有可能已預設設置的這些選項：

寫入「lockoutTime」
寫入 pwdLastSet

準備就緒時，選取 [套用 / 確定] 以套用變更。
從 [權限] 索引標籤中，選取 [新增]。
在「Principal」中，選取要套用權限的帳戶（Microsoft Entra Connect 所使用的帳戶）。
在 [套用到] 下拉式清單中，選取 [此物件及所有子系物件]
在 [權限] 底下，選取下列選項的方塊：
- 未過期密碼
準備好時，選取 [套用]/[確定] 以套用變更並結束任何開啟的對話方塊。

當您更新權限時，這些權限可能需要一小時或更長時間才能複製到您目錄中的所有物件。

內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。若要讓密碼回寫最有效地運作，[密碼最短存留期] 的群組原則必須設定為 0。此設定可在 > 內的 [電腦設定 > 原則 > Windows 設定 > 安全性設定帳戶原則]gpmc.msc 下方找到。

如果您更新群組原則，請等候更新原則進行複寫，或使用 gpupdate /force 命令。

注意

如果您需要允許使用者一天多次變更或重設密碼，則 [密碼最短使用期限] 必須設定為 0。成功評估內部部署密碼原則之後，密碼回寫將會正常運作。

在 Microsoft Entra Connect 中啟用密碼回寫

Microsoft Entra Connect 中的其中一個設定選項會用於密碼回寫。啟用此選項時，密碼變更事件會導致 Microsoft Entra Connect 將已更新的認證同步回內部部署 AD DS 環境。

若要啟用 SSPR 回寫，請先在 Microsoft Entra Connect 中啟用回寫選項。從 Microsoft Entra Connect 伺服器完成下列步驟：

登入您的 Microsoft Entra Connect 伺服器，然後啟動 Microsoft Entra Connect 設定精靈。
在 [歡迎] 頁面上，選取 [設定]。
在 [其他工作] 頁面上，選取 [自訂同步處理選項]，然後選取 [下一步]。
在 [連線到 Microsoft Entra ID] 頁面上，輸入 Azure 租用戶的混合式管理員認證，然後選取 [下一步]。
在 [連線目錄] 和 [網域/OU] 篩選頁面上，選取 [下一步]。
在 [選用功能] 頁面上，選取 [密碼回寫] 旁邊的方塊，然後選取 [下一步]。
在 [目錄擴充] 頁面上，選取 [下一步]。
在 [準備好設定] 頁面上，選取 [設定]，然後等待程序完成。
看到設定完成時，選取 [結束]。

注意

因為此功能旗標未在使用中，所以不支援從的 OnPremDirectorySynchronization 服務功能更新。

啟用 SSPR 的密碼回寫

由於 Microsoft Entra Connect 已啟用密碼回寫，現在請設定 Microsoft Entra SSPR 以進行回寫。 SSPR 可以設為透過 Microsoft Entra Connect 同步代理程式和 Microsoft Entra Connect 佈建代理程式 (雲端同步) 進行回寫。當您啟用 SSPR 以使用密碼回寫時，變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。

若要在 SSPR 中啟用密碼回寫，請完成下列步驟：

以全域管理員的身分登入 Microsoft Entra 管理中心。
瀏覽至 [保護]>[密碼重設]，然後選擇 [內部部署整合]。
勾選 [將密碼寫回至內部部署目錄] 選項。
(選擇性) 如果偵測到 Microsoft Entra Connect 佈建代理程式，您可以另外核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 選項。
將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]。
在準備就緒時，選取 [儲存]。

清除資源

如果您不想再使用您在本教學課程中所設定的 SSPR 回寫功能，請完成下列步驟：

以全域管理員的身分登入 Microsoft Entra 管理中心。
瀏覽至 [保護]>[密碼重設]，然後選擇 [內部部署整合]。
取消勾選「將密碼寫回至內部部署目錄」選項。
取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
取消勾選 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 選項。
在準備就緒時，選取 [儲存]。

如果您不再想針對 SSPR 回寫功能使用 Microsoft Entra Connect 雲端同步，但想要繼續使用 Microsoft Entra Connect 同步代理程式進行回寫，請完成下列步驟：

以全域管理員的身分登入 Microsoft Entra 管理中心。
瀏覽至 [保護]>[密碼重設]，然後選擇 [內部部署整合]。
取消核取 [使用 Microsoft Entra Connect 雲端同步寫回密碼] 的選項。
在準備就緒時，選取 [儲存]。

如果您不想再使用任何密碼功能，請從 Microsoft Entra Connect 伺服器完成下列步驟：

登入您的 Microsoft Entra Connect 伺服器，然後啟動 Microsoft Entra Connect 設定精靈。
在 [歡迎] 頁面上，選取 [設定]。
在 [其他工作] 頁面上，選取 [自訂同步處理選項]，然後選取 [下一步]。
在 [連線到 Microsoft Entra ID] 頁面上，輸入混合式管理員認證，然後選取 [下一步]。
在 [連線目錄] 和 [網域/OU] 篩選頁面上，選取 [下一步]。
在 [選用功能] 頁面上，取消選取 [密碼回寫] 旁邊的方塊，然後選取 [下一步]。
在 [準備好設定] 頁面上，選取 [設定]，然後等待程序完成。
看到設定完成時，選取 [結束]。

重要

第一次啟用密碼回寫時可能會觸發密碼變更事件 656 和 657，即使密碼變更尚未發生也是一樣。這是因為在密碼雜湊同步週期完成後，所有密碼雜湊都會重新同步。

下一步

在本教程中，您已啟用 Microsoft Entra SSPR 的回寫功能，以連接至內部部署的 AD DS 環境。您已了解如何操作以下內容：

設定要進行密碼回寫所需的權限
在 Microsoft Entra Connect 中啟用密碼回寫選項
在 Microsoft Entra SSPR 中啟用密碼回寫

在登入時評估風險

其他資源

文件

啟用 Microsoft Entra Connect 雲端同步密碼回寫 - Microsoft Entra ID

在本教學課程中，您將瞭解如何使用 Microsoft Entra Connect 雲端同步，啟用 Microsoft Entra 自助式密碼重設回寫，以將變更同步回內部部署 Active Directory Domain Services 環境。
使用自助密碼重設的本機密碼回寫 - Microsoft Entra ID

瞭解如何將Microsoft Entra ID 中的密碼變更或重設事件寫回內部部署目錄環境
啟用 Microsoft Entra 自助式密碼重設 - Microsoft Entra ID

在本教學課程中，您將瞭解如何為使用者群組啟用 Microsoft Entra 自助式密碼重設及測試密碼重設程序。
授權自助式密碼重設 - Microsoft Entra ID

了解 Microsoft Entra 自助密碼重設授權需求的差異
適用於 Microsoft Entra 自助式密碼重設的部署考量 - Microsoft Entra ID

了解成功實作 Microsoft Entra 自助式密碼重設的部署考量和策略
自助式密碼重設深入探討 - Microsoft Entra ID

自助式密碼重設如何運作
針對自助式密碼重設進行疑難排解 - Microsoft Entra ID

了解如何為 Microsoft Entra ID 中自助式密碼重設的常見問題和解決步驟進行疑難排解

訓練

模組

允許使用者使用 Microsoft Entra 自助式密碼重設來重設其密碼 - Training

了解如何允許使用者使用 Microsoft Entra 自助式密碼重設來重設其密碼。

認證

Microsoft Certified: Identity and Access Administrator Associate - Certifications

示範 Microsoft Entra ID 的功能，以現代化身分識別解決方案、實作混合式解決方案，以及實作身分識別治理。

共用方式為