訓練
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
透過 Microsoft Entra 自助式密碼重設 (SSPR),使用者可以使用網頁瀏覽器來更新其密碼或解除鎖定其帳戶。 建議您觀看影片:如何在 Microsoft Entra ID 中啟用和設定 SSPR (英文)。 在 Microsoft Entra ID 連線到內部部署 Active Directory Domain Services (AD DS) 環境的混合式環境中,這種情況可能會導致兩個目錄之間的密碼有所不同。
您可以使用密碼回寫,將 Microsoft Entra 中的密碼變更同步回內部部署 AD DS 環境。 Microsoft Entra Connect 有提供安全機制,供您將這些密碼變更從 Microsoft Entra ID 傳送回現有的內部部署目錄。
重要
本教學課程會向管理員說明如何啟用自助式密碼重設並取回內部部署環境。 如果您是已註冊自助式密碼重設的使用者,而且需要取回您的帳戶,請移至 https://aka.ms/sspr。
如果您的 IT 小組尚未啟用重設您密碼的功能,請與您的技術服務人員聯繫以取得其他協助。
在本教學課程中,您會了解如何:
若要完成本教學課程,您需要下列資源和權限:
Microsoft Entra Connect 可讓您同步內部部署 AD DS 環境與 Microsoft Entra ID 之間的使用者、群組和認證。 您通常會在加入到內部部署 AD DS 網域的 Windows Server 2016 或更新版本電腦上安裝 Microsoft Entra Connect。
若要正確使用 SSPR 回寫,Microsoft Entra Connect 中所指定的帳戶必須設定適當的權限和選項。 如果您不確定目前正在使用哪一個帳戶,請開啟 Microsoft Entra Connect,然後選取 [檢視目前的設定] 選項。 您需要新增權限的帳戶會列在 [同步處理的目錄] 底下。 您必須在帳戶上設定下列權限和選項:
lockoutTime
pwdLastSet
如果未指派這些權限,回寫雖看似已正確設定,但使用者會在從雲端管理其內部部署密碼時遇到錯誤。 在 Active Directory 中設定「未過期密碼」權限時,必須將其套用至 此物件及所有子系物件、只有這個物件或所有子系物件,否則無法顯示「未過期密碼」權限。
提示
如果某些使用者帳戶的密碼不會寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶未停用繼承。 密碼的寫入權限必須套用至子系物件,功能才能正常運作。
若要設定適當權限以進行密碼回寫,請完成下列步驟:
當您更新權限時,最多可能需要一小時或更久,這些權限才會複寫至您目錄中的所有物件。
內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確進行處理。 若要讓密碼回寫最有效地運作,[密碼最短存留期] 的群組原則必須設定為 0。 此設定可在 > 內的 [電腦設定 > 原則 > Windows 設定 > 安全性設定 帳戶原則]gpmc.msc
下方找到。
如果您更新群組原則,請等候更新原則進行複寫,或使用 gpupdate /force
命令。
注意
如果您需要允許使用者一天多次變更或重設密碼,則 [密碼最短使用期限] 必須設定為 0。 成功評估內部部署密碼原則之後,密碼回寫將會正常運作。
Microsoft Entra Connect 中的其中一個設定選項會用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Microsoft Entra Connect 將已更新的認證同步回內部部署 AD DS 環境。
若要啟用 SSPR 回寫,請先在 Microsoft Entra Connect 中啟用回寫選項。 從 Microsoft Entra Connect 伺服器完成下列步驟:
由於 Microsoft Entra Connect 已啟用密碼回寫,現在請設定要用於回寫的 Microsoft Entra SSPR。 SSPR 可以設為透過 Microsoft Entra Connect 同步代理程式和 Microsoft Entra Connect 佈建代理程式 (雲端同步) 進行回寫。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也會將已更新的密碼同步回內部部署 AD DS 環境。
若要在 SSPR 中啟用密碼回寫,請完成下列步驟:
如果您不想再使用您在本教學課程中所設定的 SSPR 回寫功能,請完成下列步驟:
如果您不再想針對 SSPR 回寫功能使用 Microsoft Entra Connect 雲端同步,但想要繼續使用 Microsoft Entra Connect 同步代理程式進行回寫,請完成下列步驟:
如果您不想再使用任何密碼功能,請從 Microsoft Entra Connect 伺服器完成下列步驟:
重要
第一次啟用密碼回寫時可能會觸發密碼變更事件 656 和 657,即使密碼變更尚未發生也是一樣。 這是因為在執行密碼雜湊同步週期之後,會重新同步所有密碼雜湊。
在本教學課程中,您已啟用目的地為內部部署 AD DS 環境的 Microsoft Entra SSPR 回寫。 您已了解如何︰
訓練
認證
Microsoft Certified: Identity and Access Administrator Associate - Certifications
示範 Microsoft Entra ID 的功能,以現代化身分識別解決方案、實作混合式解決方案,以及實作身分識別治理。
文件
啟用 Microsoft Entra Connect 雲端同步密碼回寫 - Microsoft Entra ID
在本教學課程中,您將瞭解如何使用 Microsoft Entra Connect 雲端同步,啟用 Microsoft Entra 自助式密碼重設回寫,以將變更同步回內部部署 Active Directory Domain Services 環境。
內部部署密碼回寫與自助式密碼重設 - Microsoft Entra ID
了解如何將 Microsoft Entra ID 中的密碼變更或重設事件回寫至內部部署目錄環境
授權自助式密碼重設 - Microsoft Entra ID
了解 Microsoft Entra 自助密碼重設授權需求的差異