Tutorial: Mengaktifkan tulis balik pengaturan ulang kata sandi mandiri Microsoft Entra ke lingkungan lokal

Dengan pengaturan ulang kata sandi mandiri (SSPR) Microsoft Entra, pengguna dapat memperbarui kata sandi mereka atau membuka kunci akun mereka menggunakan browser web. Kami merekomendasikan video ini tentang Cara mengaktifkan dan mengonfigurasi SSPR di ID Microsoft Entra. Di lingkungan hibrid tempat ID Microsoft Entra tersambung ke lingkungan Active Directory lokal Domain Services (AD DS), skenario ini dapat menyebabkan kata sandi berbeda antara kedua direktori.

Tulis balik kata sandi dapat digunakan untuk menyinkronkan perubahan kata sandi di Microsoft Entra kembali ke lingkungan AD DS lokal Anda. Microsoft Entra Koneksi menyediakan mekanisme aman untuk mengirim perubahan kata sandi ini kembali ke direktori lokal yang ada dari ID Microsoft Entra.

Penting

Tutorial ini menunjukkan administrator cara mengaktifkan pengaturan ulang kata sandi mandiri kembali ke lingkungan lokal. Jika Anda adalah pengguna akhir yang sudah terdaftar untuk reset kata sandi mandiri dan perlu kembali ke akun Anda, buka https://aka.ms/sspr.

Jika tim IT Anda belum mengaktifkan kemampuan untuk mereset kata sandi Anda sendiri, hubungi pusat bantuan Anda untuk mendapatkan bantuan tambahan.

Dalam tutorial ini, Anda akan mempelajari cara:

• Mengonfigurasi izin yang diperlukan untuk tulis balik ulang kata sandi
• Aktifkan opsi tulis balik kata sandi di Microsoft Entra Koneksi
• Mengaktifkan tulis balik kata sandi di Microsoft Entra SSPR

Prasyarat

Untuk menyelesaikan tutorial ini, Anda memerlukan sumber daya dan hak istimewa berikut:

• Penyewa Microsoft Entra yang berfungsi dengan setidaknya Microsoft Entra ID P1 atau lisensi uji coba diaktifkan.
  • Jika perlu, buat secara gratis.
  • Untuk informasi selengkapnya, lihat Persyaratan lisensi untuk Microsoft Entra SSPR.
• Akun dengan Administrator Identitas Hibrid.
• ID Microsoft Entra dikonfigurasi untuk pengaturan ulang kata sandi mandiri.
  • Jika diperlukan, selesaikan tutorial untuk mengaktifkan Microsoft Entra SSPR sebelumnya.
• Lingkungan AD DS lokal yang sudah ada yang dikonfigurasi dengan versi Microsoft Entra Koneksi saat ini.
  • Jika diperlukan, konfigurasikan Microsoft Entra Koneksi menggunakan pengaturan Ekspres atau Kustom.
  • Untuk menggunakan write-back kata sandi, pengendali domain dapat menjalankan versi Server Windows apa pun yang didukung.

Mengonfigurasi izin akun untuk Microsoft Entra Koneksi

Microsoft Entra Koneksi memungkinkan Anda menyinkronkan pengguna, grup, dan kredensial antara lingkungan AD DS lokal dan ID Microsoft Entra. Anda biasanya menginstal Microsoft Entra Koneksi di komputer Windows Server 2016 atau yang lebih baru yang bergabung ke domain AD DS lokal.

Untuk bekerja dengan penulisan balik SSPR dengan benar, akun yang ditentukan dalam Microsoft Entra Koneksi harus memiliki izin dan opsi yang sesuai yang ditetapkan. Jika Anda tidak yakin akun mana yang saat ini digunakan, buka Microsoft Entra Koneksi dan pilih opsi Tampilkan konfigurasi saat ini. Akun yang perlu Anda tambahkan izinnya tercantum di bawah Direktori yang Disinkronkan. Izin dan opsi berikut ini harus ditetapkan pada akun:

• Atur ulang kata sandi
• Ubah kata sandi
• Izin tulis pada lockoutTime
• Izin tulis pada pwdLastSet
• Hak perluasan untuk "Kata Sandi Tidak Kedaluwarsa" pada objek akar dari setiap domain di forest tersebut, jika belum ditetapkan.

Jika Anda tidak menetapkan izin ini, tulis balik mungkin tampak dikonfigurasi dengan benar, tetapi pengguna mengalami kesalahan saat mengelola kata sandi lokal mereka dari cloud. Saat mengatur izin "Unexpire Password" di Active Directory Domain Services, izin ini harus diterapkan ke Objek ini dan semua objek keturunan, Objek ini saja, atau Semua objek keturunan, atau izin "Unexpire Password" tidak dapat ditampilkan.

Tip

Jika kata sandi untuk beberapa akun pengguna tidak ditulis balik ke direktori lokal, pastikan bahwa pewarisan tidak dinonaktifkan untuk akun di lingkungan AD DS lokal. Izin tulis untuk kata sandi harus diterapkan pada objek turunan agar fitur tersebut agar berfungsi dengan benar.

Untuk menyiapkan izin yang sesuai agar terjadi tulis balik kata sandi, selesaikan langkah-langkah berikut:

1. Di lingkungan AD DS lokal Anda, buka Pengguna Direktori Aktif dan Komputer dengan akun yang memiliki izin administrator domain yang sesuai.

2. Dari menu Tampilan, pastikan Fitur tingkat lanjut diaktifkan.

3. Di panel kiri, pilih objek yang mewakili akar domain dengan tepat dan pilih Properti>Keamanan>Tingkat Lanjut.

4. Dari tab Izin, pilih Tambahkan.

5. Untuk Utama, pilih akun tempat izin harus diterapkan (akun yang digunakan oleh Microsoft Entra Koneksi).

6. Di daftar drop-down Berlaku ke, pilih Objek Pengguna Turunan.

7. Di bawah Izin, pilih kotak untuk opsi berikut ini:

   • Atur ulang kata sandi

8. Di bawah Properti, pilih kotak untuk opsi berikut ini. Gulir pada daftar untuk menemukan opsi ini, yang mungkin sudah diatur secara default:

   • Tulis lockoutTime
   • Tulis pwdLastSet

   

9. Jika sudah siap, pilih Terapkan/OK untuk menerapkan perubahan.

10. Dari tab Izin, pilih Tambahkan.

11. Untuk Utama, pilih akun tempat izin harus diterapkan (akun yang digunakan oleh Microsoft Entra Koneksi).

12. Di daftar drop-down Berlaku untuk, pilih Objek ini dan semua objek turunan

13. Di bawah Izin, pilih kotak untuk opsi berikut ini:

    • Kata Sandi Tidak Kedaluwarsa

14. Jika sudah siap, pilih Terapkan/OK untuk menerapkan perubahan dan keluar dari kotak dialog yang terbuka.

Ketika Anda memperbarui izin, mungkin perlu waktu hingga satu jam atau lebih agar izin ini direplikasi ke semua objek di direktori Anda.

Kebijakan kata sandi di lingkungan AD DS di tempat dapat mencegah reset kata sandi diproses dengan benar. Agar tulis balik kata sandi berfungsi paling efisien, kebijakan grup untuk Usia kata sandi minimum harus diatur ke 0. Pengaturan ini dapat ditemukan di Konfigurasi Komputer > Kebijakan > Pengaturan Windows > Pengaturan Keamanan > Kebijakan Akun dalam gpmc.msc.

Jika Anda memperbarui kebijakan grup, tunggu kebijakan yang diperbarui untuk mereplikasi, atau gunakan perintah gpupdate /force.

Catatan

Jika Anda perlu mengizinkan pengguna untuk mengubah atau mengatur ulang kata sandi lebih dari satu kali per hari, Usia kata sandi minimum harus diatur ke 0. Tulis balik kata sandi akan berfungsi setelah kebijakan kata sandi lokal berhasil dievaluasi.

Mengaktifkan tulis balik kata sandi di Microsoft Entra Koneksi

Salah satu opsi konfigurasi di Microsoft Entra Koneksi adalah untuk tulis balik kata sandi. Ketika opsi ini diaktifkan, peristiwa perubahan kata sandi menyebabkan Microsoft Entra Koneksi menyinkronkan kredensial yang diperbarui kembali ke lingkungan AD DS lokal.

Untuk mengaktifkan tulis balik SSPR, pertama-tama aktifkan opsi tulis balik di Microsoft Entra Koneksi. Dari server Microsoft Entra Koneksi Anda, selesaikan langkah-langkah berikut:

1. Masuk ke server Microsoft Entra Koneksi Anda dan mulai wizard konfigurasi Microsoft Entra Koneksi.
2. Pada halaman Selamat Datang, pilih Konfigurasikan.
3. Pada halaman Tugas tambahan, pilih Sesuaikan opsi sinkronisasi, lalu pilih Berikutnya.
4. Pada halaman Koneksi ke ID Microsoft Entra, masukkan kredensial Administrator Global untuk penyewa Azure Anda, lalu pilih Berikutnya.
5. Pada halaman pemfilteran Sambungkan direktori dan Domain/unit organisasi, pilih Berikutnya.
6. Pada halaman Fitur opsional, pilih kotak di samping Tulis balik kata sandi dan pilih Berikutnya.
7. Dalam halaman Ekstensi Direktori, pilih Berikutnya.
8. Pada halaman Siap dikonfigurasi, pilih Konfigurasikan dan tunggu hingga proses selesai.
9. Saat Anda melihat konfigurasi selesai, pilih Keluar.

Mengaktifkan tulis balik kata sandi untuk SSPR

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Dengan tulis balik kata sandi diaktifkan di Microsoft Entra Koneksi, sekarang konfigurasikan Microsoft Entra SSPR untuk tulis balik. SSPR dapat dikonfigurasi untuk menulis balik melalui agen Microsoft Entra Koneksi Sync dan microsoft Entra Koneksi agen provisi (sinkronisasi cloud). Ketika Anda mengaktifkan SSPR untuk menggunakan tulis balik kata sandi, pengguna yang mengubah atau mengatur ulang kata sandi mereka juga menyinkronkan kembali kata sandi yang diperbarui ke lingkungan AD DS lokal.

Untuk mengaktifkan tulis balik kata sandi di SSPR, selesaikan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
2. Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
3. Memeriksa opsi untuk Menulis ulang kata sandi ke direktori lokal.
4. (opsional) Jika microsoft Entra Koneksi agen provisi terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
5. Memeriksa opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.
6. Jika sudah siap, pilih Simpan.

Membersihkan sumber daya

Jika Anda tidak ingin lagi menggunakan fungsi tulis balik SSPR yang telah Anda konfigurasi sebagai bagian dari tutorial ini, selesaikan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
2. Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
3. Hapus centang opsi untuk Menulis ulang kata sandi ke direktori lokal.
4. Hapus centang opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
5. Hapus centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka.
6. Jika sudah siap, pilih Simpan.

Jika Anda tidak lagi ingin menggunakan sinkronisasi cloud Microsoft Entra Koneksi untuk fungsionalitas tulis balik SSPR tetapi ingin terus menggunakan agen Microsoft Entra Koneksi Sync untuk tulis balik selesaikan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Global.
2. Telusuri pengaturan ulang Kata Sandi Perlindungan>, lalu pilih Integrasi lokal.
3. Hapus centang opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Koneksi sinkronisasi cloud.
4. Jika sudah siap, pilih Simpan.

Jika Anda tidak lagi ingin menggunakan fungsionalitas kata sandi apa pun, selesaikan langkah-langkah berikut dari server Microsoft Entra Koneksi Anda:

1. Masuk ke server Microsoft Entra Koneksi Anda dan mulai wizard konfigurasi Microsoft Entra Koneksi.
2. Pada halaman Selamat Datang, pilih Konfigurasikan.
3. Pada halaman Tugas tambahan, pilih Sesuaikan opsi sinkronisasi, lalu pilih Berikutnya.
4. Pada halaman Koneksi ke ID Microsoft Entra, masukkan kredensial administrator global untuk penyewa Azure Anda, lalu pilih Berikutnya.
5. Pada halaman pemfilteran Sambungkan direktori dan Domain/unit organisasi, pilih Berikutnya.
6. Pada halaman Fitur opsional, hapus centang pada kotak di samping Tulis balik kata sandi dan pilih Berikutnya.
7. Pada halaman Siap dikonfigurasi, pilih Konfigurasikan dan tunggu hingga proses selesai.
8. Saat Anda melihat konfigurasi selesai, pilih Keluar.

Penting

Mengaktifkan write-back kata sandi untuk pertama kalinya dapat memicu kejadian perubahan kata sandi 656 dan 657, bahkan jika perubahan kata sandi belum terjadi. Ini karena semua hash kata sandi disinkronkan kembali setelah siklus sinkronisasi hash kata sandi berjalan.

Langkah berikutnya

Dalam tutorial ini, Anda mengaktifkan tulis balik Microsoft Entra SSPR ke lingkungan AD DS lokal. Anda mempelajari cara untuk:

• Mengonfigurasi izin yang diperlukan untuk tulis balik ulang kata sandi
• Aktifkan opsi tulis balik kata sandi di Microsoft Entra Koneksi
• Mengaktifkan tulis balik kata sandi di Microsoft Entra SSPR

Mengevaluasi risiko saat masuk