Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł synchronizacji w chmurze w środowisku lokalnym
Synchronizacja z chmurą microsoft Entra Connect może synchronizować zmiany haseł firmy Microsoft w czasie rzeczywistym między użytkownikami w rozłączonych domenach lokalna usługa Active Directory usług domenowych (AD DS). Synchronizacja z chmurą microsoft Entra Connect może być uruchamiana równolegle z programem Microsoft Entra Connect na poziomie domeny, aby uprościć zapisywanie zwrotne haseł w przypadku dodatkowych scenariuszy, takich jak użytkownicy, którzy znajdują się w domenach odłączonych z powodu podziału firmy lub scalania. Każdą usługę w różnych domenach można skonfigurować tak, aby kierować do różnych zestawów użytkowników w zależności od ich potrzeb. Synchronizacja z chmurą microsoft Entra Connect używa uproszczonego agenta aprowizacji w chmurze firmy Microsoft w celu uproszczenia konfiguracji samoobsługowego resetowania hasła (SSPR) i zapewnia bezpieczny sposób wysyłania zmian haseł w chmurze z powrotem do katalogu lokalnego.
Wymagania wstępne
- Dzierżawa firmy Microsoft Entra z włączonym co najmniej licencją microsoft Entra ID P1 lub wersji próbnej. W razie potrzeby utwórz je bezpłatnie.
- Konto administratora tożsamości hybrydowej
- Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła. W razie potrzeby ukończ ten samouczek, aby włączyć samoobsługowe resetowanie hasła firmy Microsoft.
- Lokalne środowisko usług AD DS skonfigurowane przy użyciu synchronizacji z chmurą microsoft Entra Connect w wersji 1.1.977.0 lub nowszej. Dowiedz się, jak zidentyfikować bieżącą wersję agenta. W razie potrzeby skonfiguruj synchronizację z chmurą programu Microsoft Entra Connect przy użyciu tego samouczka.
Kroki wdrażania
- Konfigurowanie uprawnień konta usługi synchronizacji z chmurą w programie Microsoft Entra Connect
- Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra Connect Cloud Sync
- Włączanie zapisywania zwrotnego haseł dla samoobsługowego resetowania hasła
Konfigurowanie uprawnień konta usługi synchronizacji z chmurą w programie Microsoft Entra Connect
Uprawnienia do synchronizacji w chmurze są domyślnie konfigurowane. Jeśli trzeba zresetować uprawnienia, zobacz Rozwiązywanie problemów , aby uzyskać więcej informacji na temat określonych uprawnień wymaganych do zapisywania zwrotnego haseł i sposobu ich ustawiania przy użyciu programu PowerShell.
Włączanie zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła
Możesz włączyć aprowizację synchronizacji z chmurą programu Microsoft Entra Connect bezpośrednio w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu PowerShell.
Włączanie zapisywania zwrotnego haseł w centrum administracyjnym firmy Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Po włączeniu zapisywania zwrotnego haseł w funkcji synchronizacji z chmurą microsoft Entra Connect sprawdź i skonfiguruj funkcję samoobsługowego resetowania haseł (SSPR) firmy Microsoft na potrzeby zapisywania zwrotnego haseł. Po włączeniu samoobsługowego resetowania hasła do korzystania z zapisywania zwrotnego haseł użytkownicy, którzy zmieniają lub resetują swoje hasło, również zaktualizowali hasło zsynchronizowane z powrotem do lokalnego środowiska usług AD DS.
Aby zweryfikować i włączyć funkcję zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników.
(opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisywania haseł zwrotnych za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
PowerShell
Za pomocą programu PowerShell można włączyć synchronizację chmury programu Microsoft Entra Connect przy użyciu polecenia cmdlet Set-AADCloudSyncPasswordWritebackConfiguration na serwerach z agentami aprowizacji.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Czyszczenie zasobów
Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, które zostały skonfigurowane w ramach tego samouczka, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
- Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
- Usuń zaznaczenie opcji Włącz zapisywanie haseł dla zsynchronizowanych użytkowników.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
- Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Jeśli nie chcesz już używać funkcji zapisywania zwrotnego funkcji zapisywania zwrotnego funkcji zapisywania zwrotnego protokołu SSPR firmy Microsoft Entra Connect, ale chcesz nadal używać agenta microsoft Entra Connect Sync na potrzeby zapisywania zwrotnego, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
- Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
- Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą synchronizacji z chmurą programu Microsoft Entra Connect.
- Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.
Możesz również użyć programu PowerShell, aby wyłączyć synchronizację z chmurą programu Microsoft Entra Connect na potrzeby funkcji zapisywania zwrotnego samoobsługowego resetowania hasła z poziomu serwera synchronizacji chmury Microsoft Entra Connect, uruchamiać Set-AADCloudSyncPasswordWritebackConfiguration przy użyciu poświadczeń administratora tożsamości hybrydowej, aby wyłączyć funkcję zapisywania zwrotnego haseł za pomocą synchronizacji z chmurą microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Obsługiwane operacje
Hasła są zapisywane w następujących sytuacjach dla użytkowników końcowych i administratorów.
| Klient | Obsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez użytkownika końcowego. Każda samoobsługa użytkownika końcowego wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła przez użytkownika końcowego pochodzące z resetowania hasła. |
| Administratorzy | Każda samoobsługowa operacja samoobsługowego zmieniania hasła przez administratora. Każda samoobsługa administratora wymusza operację zmiany hasła, na przykład wygaśnięcie hasła. Każde samoobsługowe resetowanie hasła administratora pochodzące z funkcji resetowania hasła. Każde resetowanie hasła użytkownika końcowego zainicjowane przez administratora z centrum administracyjnego firmy Microsoft Entra. Każde zainicjowane przez administratora resetowanie hasła użytkownika końcowego z interfejsu API programu Microsoft Graph. |
Nieobsługiwane operacje
Hasła nie są zapisywane w następujących sytuacjach.
| Klient | Nieobsługiwane operacje |
|---|---|
| Użytkownicy końcowi | Każdy użytkownik końcowy resetuje własne hasło przy użyciu poleceń cmdlet programu PowerShell lub interfejsu API programu Microsoft Graph. |
| Administratorzy | Każde resetowanie hasła przez administratora zainicjowane przez administratora przy użyciu poleceń cmdlet programu PowerShell. Dowolne zainicjowane przez administratora resetowanie hasła użytkownika końcowego z poziomu Centrum administracyjnego platformy Microsoft 365. Żaden administrator nie może użyć narzędzia do resetowania hasła do resetowania własnego hasła lub żadnego innego administratora w usłudze Microsoft Entra ID na potrzeby zapisywania zwrotnego haseł. |
Scenariusze walidacyjne
Spróbuj wykonać następujące operacje, aby zweryfikować scenariusze przy użyciu zapisywania zwrotnego haseł. Wszystkie scenariusze weryfikacji wymagają zainstalowania synchronizacji w chmurze, a użytkownik jest w zakresie zapisywania zwrotnego haseł.
| Scenariusz | Szczegóły |
|---|---|
| Resetowanie hasła ze strony logowania | Mają dwóch użytkowników z odłączonych domen i lasów wykonuje samoobsługowe resetowanie hasła. Możesz również mieć wdrożony program Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect i zresetować swoje hasło przez tych użytkowników. |
| Wymuś zmianę wygasłego hasła | Mają dwóch użytkowników z odłączonych domen, a lasy zmieniają wygasłe hasła. Możesz również mieć wdrożony program Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
| Regularna zmiana hasła | Mają dwóch użytkowników z odłączonych domen i lasów przeprowadza rutynowe zmiany hasła. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
| Resetowanie hasła użytkownika przez administratora | Mają dwóch użytkowników odłączonych domen i lasów zresetować swoje hasło z centrum administracyjnego firmy Microsoft Entra lub portalu procesu roboczego frontline. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze i innego w zakresie programu Microsoft Entra Connect |
| Odblokowywanie konta samoobsługowego | Mają dwóch użytkowników z odłączonych domen i lasów odblokowywać konta w portalu samoobsługowego resetowania hasła. Możesz również mieć usługę Microsoft Entra Connect i synchronizację z chmurą obok siebie i mieć jednego użytkownika w zakresie konfiguracji synchronizacji w chmurze, a drugi w zakresie programu Microsoft Entra Connect. |
Rozwiązywanie problemów
Konto usługi zarządzanej przez grupę synchronizacji w chmurze programu Microsoft Entra Connect powinno mieć następujące uprawnienia do zapisywania zwrotnego haseł domyślnie:
- Resetowanie hasła
- Uprawnienia do zapisu w lockoutTime
- Uprawnienia do zapisu w programie pwdLastSet
- Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.
Jeśli te uprawnienia nie są ustawione, możesz ustawić uprawnienie PasswordWriteBack na koncie usługi przy użyciu polecenia cmdlet Set-AADCloudSyncPermissions i lokalnych poświadczeń administratora przedsiębiorstwa:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Po zaktualizowaniu uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.
Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w lokalnym środowisku usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.
Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Jeśli testujesz tę funkcję i chcesz zresetować hasło dla użytkowników więcej niż raz dziennie, zasady grupy dla minimalnego wieku hasła muszą być ustawione na 0. To ustawienie można znaleźć w obszarze Zasady > konfiguracji > komputera Ustawienia > systemu Windows Ustawienia zabezpieczeń > Zasady haseł zasad > konta w gpmc.msc.
Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj polecenia gpupdate /force.
Aby hasła można było natychmiast zmienić, minimalny wiek hasła musi mieć wartość 0. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż zero, zapisywanie zwrotne haseł nie będzie działać po ocenie zasad lokalnych.
Aby uzyskać więcej informacji na temat sprawdzania poprawności lub konfigurowania odpowiednich uprawnień, zobacz Konfigurowanie uprawnień konta dla programu Microsoft Entra Connect.
Następne kroki
- Aby uzyskać więcej informacji na temat synchronizacji chmury i porównania między programem Microsoft Entra Connect i synchronizacją z chmurą, zobacz Co to jest synchronizacja z chmurą programu Microsoft Entra Connect?
- Aby zapoznać się z samouczkiem dotyczącym konfigurowania zapisywania zwrotnego haseł przy użyciu programu Microsoft Entra Connect, zobacz Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł firmy Microsoft w środowisku lokalnym.