Panoramica del writeback delle passwordPassword writeback overview

Con il writeback delle password è possibile configurare Azure Active Directory (Azure AD) in modo che scriva le password nuovamente in Active Directory locale.With password writeback, you can configure Azure Active Directory (Azure AD) to write passwords back to your on-premises Active Directory. Il writeback delle password evita di dover configurare e gestire una complessa soluzione di reimpostazione password self-service (SSPR) locale e offre agli utenti un modo pratico e basato sul cloud per reimpostare le password locali ovunque essi si trovino.Password writeback removes the need to set up and manage a complicated on-premises self-service password reset (SSPR) solution, and it provides a convenient cloud-based way for your users to reset their on-premises passwords wherever they are. Il writeback delle password è un componente di Azure Active Directory Connect che può essere abilitato e usato dagli attuali sottoscrittori di Edizioni di Azure Active Directory Premium.Password writeback is a component of Azure Active Directory Connect that can be enabled and used by current subscribers of Premium Azure Active Directory editions.

Il writeback delle password offre le funzionalità seguenti:Password writeback provides the following features:

  • Offre un feedback senza nessun ritardo: il writeback delle password è un'operazione sincrona.Provides zero-delay feedback: Password writeback is a synchronous operation. Gli utenti vengono informati immediatamente se la password non soddisfa i criteri o non può essere reimpostata o modificata per qualsiasi motivo.Your users are notified immediately if their password did not meet the policy or could not be reset or changed for any reason.
  • Supporta la reimpostazione password per gli utenti che usano Active Directory Federation Services (AD FS) o altre tecnologia federate: con il writeback delle password gli account utente federati potranno gestire le proprie password AD locali dal cloud, purché siano sincronizzati nel tenant di Active Directory.Supports password resets for users that use Active Directory Federation Services (AD FS) or other federation technologies: With password writeback, as long as the federated user accounts are synchronized into your Azure AD tenant, they are able to manage their on-premises Active Directory passwords from the cloud.
  • Supporta la reimpostazione password per gli utenti che usano la sincronizzazione degli hash delle password: quando il servizio di reimpostazione password rileva che un account utente sincronizzato è abilitato per la sincronizzazione degli hash delle password, la password locale e la password cloud dell'account vengono reimpostate simultaneamente.Supports password resets for users that use password hash sync: When the password reset service detects that a synchronized user account is enabled for password hash sync, we reset both this account’s on-premises and cloud password simultaneously.
  • Supporta la modifica delle password dal pannello di accesso e da Office 365: quando gli utenti federati o sincronizzati con password modificano le password scadute o non scadute, queste verranno scritte anche nell'ambiente Active Directory locale.Supports password changes from the access panel and Office 365: When federated or password synchronized users come to change their expired or non-expired passwords, we write those passwords back to your local Active Directory environment.
  • Supporta il writeback delle password quando un amministratore le reimposta dal portale di Azure: quando un amministratore reimposta la password di un utente nel portale di Azure, se tale utente è federato o sincronizzato con password, la password selezionata dall'amministratore verrà impostata anche nell'ambiente Active Directory locale.Supports passwords writeback when an admin resets them from the Azure portal: Whenever an admin resets a user’s password in the Azure portal, if that user is federated or password synchronized, we’ll set the password the admin selects in local Active Directory as well. Questa funzionalità non è attualmente supportata nel portale di amministrazione di Office.This functionality is currently not supported in the Office admin portal.
  • Applica i criteri delle password Active Directory locali: quando un utente reimposta la propria password, si verifica che soddisfi i criteri Active Directory locali prima di eseguirne il commit nella directory.Enforces your on-premises Active Directory password policies: When a user resets their password, we make sure that it meets your on-premises Active Directory policy before we commit it to that directory. Questo esame include il controllo di cronologia, complessità, validità, filtri delle password e altre restrizioni per le password definite in Active Directory locale.This review includes checking the history, complexity, age, password filters, and any other password restrictions that you have defined in local Active Directory.
  • Non richiede regole del firewall in entrata: il writeback delle password usa un bus di servizio di Azure come canale di comunicazione sottostante.Doesn’t require any inbound firewall rules: Password writeback uses an Azure Service Bus relay as an underlying communication channel. Non è necessario aprire porte in ingresso nel firewall per poter usare questa funzionalità.You don't have to open any inbound ports on your firewall for this feature to work.
  • Non è supportata per gli account utente esistenti all'interno di gruppi protetti in Active Directory locale: per altre informazioni sui gruppi protetti, vedere Account protetti e gruppi in Active Directory.Is not supported for user accounts that exist within protected groups in on-premises Active Directory: For more information about protected groups, see Protected accounts and groups in Active Directory.

Funzionamento del writeback delle passwordHow password writeback works

Quando un utente federato e con sincronizzazione di hash della password reimposta o modifica la propria password nel cloud, si verifica quanto segue:When a federated or password hash synchronized user comes to reset or change their password in the cloud, the following occurs:

  1. Viene verificato il tipo di password usato dall'utente.We check to see what type of password the user has. Se risulta che la password è gestita in locale:If we see that the password is managed on-premises:
    • Si verifica che il servizio di writeback sia attivo e in esecuzione.We check if the writeback service is up and running. Se è in esecuzione, viene consentito all'utente di continuare.If it's up and running, we let the user proceed.
    • Se il servizio di writeback non è attivo, l'utente viene informato che la password non può essere reimpostata in quel momento.If the writeback service is not up, we tell the user that their password can't be reset right now.
  2. L'utente supera quindi i controlli di autenticazione appropriati e raggiunge la pagina Reimposta password.Next, the user passes the appropriate authentication gates and reaches the Reset password page.
  3. L'utente seleziona una nuova password e la conferma.The user selects a new password and confirms it.
  4. Quando l'utente seleziona Invia, la password non crittografata viene crittografata con una chiave simmetrica creata durante il processo di installazione della funzionalità di writeback.When the user selects Submit, we encrypt the plaintext password with a symmetric key that was created during the writeback setup process.
  5. Dopo essere stata crittografata, la password viene inclusa in un payload inviato tramite un canale HTTPS al servizio Inoltro del bus di servizio specifico del tenant, che viene configurato automaticamente durante il processo di installazione della funzionalità di writeback.After encrypting the password, we include it in a payload that gets sent over an HTTPS channel to your tenant-specific service bus relay (that we also set up for you during the writeback setup process). L'inoltro è protetto da una password generata casualmente, nota solo all'installazione locale.This relay is protected by a randomly generated password that only your on-premises installation knows.
  6. Dopo che il messaggio ha raggiunto il bus di servizio, l'endpoint di reimpostazione della password si attiva automaticamente e rileva la richiesta di reimpostazione in sospeso.After the message reaches the service bus, the password-reset endpoint automatically wakes up and sees that it has a reset request pending.
  7. Il servizio cerca quindi l'utente usando l'attributo di ancoraggio cloud.The service then looks for the user by using the cloud anchor attribute. Affinché questa ricerca abbia esito positivo:For this lookup to succeed:

    • L'oggetto utente deve esistere nello spazio connettore Active Directory.The user object must exist in the Active Directory connector space.
    • L'oggetto utente deve essere collegato all'oggetto metaverse (MV) corrispondente.The user object must be linked to the corresponding metaverse (MV) object.
    • L'oggetto utente deve essere collegato all'oggetto Azure Active Directory Connector corrispondente.The user object must be linked to the corresponding Azure Active Directory connector object.
    • Il collegamento dall'oggetto connettore di Active Directory all'oggetto MV deve avere la regola di sincronizzazione Microsoft.InfromADUserAccountEnabled.xxx sul collegamento.The link from the Active Directory connector object to the MV must have the synchronization rule Microsoft.InfromADUserAccountEnabled.xxx on the link.

      Quando la chiamata proviene dal cloud, il motore di sincronizzazione usa l'attributo cloudAnchor per cercare l'oggetto spazio connettore di Azure Active Directory.When the call comes in from the cloud, the synchronization engine uses the cloudAnchor attribute to look up the Azure Active Directory connector space object. Quindi segue il collegamento all'oggetto MV e poi segue il collegamento che riporta all'oggetto Active Directory.It then follows the link back to the MV object, and then follows the link back to the Active Directory object. Poiché possono essere presenti più oggetti Active Directory (più foreste) per lo stesso utente, il motore di sincronizzazione si basa sul collegamento Microsoft.InfromADUserAccountEnabled.xxx per scegliere quello corretto.Because there can be multiple Active Directory objects (multi-forest) for the same user, the sync engine relies on the Microsoft.InfromADUserAccountEnabled.xxx link to pick the correct one.

      Nota

      Come risultato di questa logica, affinché il writeback delle password funzioni, Azure AD Connect deve essere in grado di comunicare con l'emulatore PDC .As a result of this logic, for password writeback to work Azure AD Connect must be able to communicate with the primary domain controller (PDC) emulator. Se è necessario abilitare manualmente questa opzione, è possibile connettere Azure AD Connect all'emulatore PDC.If you need to enable this manually, you can connect Azure AD Connect to the PDC emulator. Fare doppio clic sulle proprietà del connettore di sincronizzazione di Active Directory, quindi selezionare configure directory partitions (configura partizioni di directory).Right-click the properties of the Active Directory synchronization connector, then select configure directory partitions. Cercare la sezione domain controller connection settings (impostazioni di connessione controller di dominio) e selezionare la casella only use preferred domain controllers (usa solo controller di dominio preferiti).From there, look for the domain controller connection settings section and select the box titled only use preferred domain controllers. Anche se il controller di dominio preferito non è un emulatore PDC, Azure AD Connect continua a tentare una connessione al PD per il writeback delle password.Even if the preferred domain controller is not a PDC emulator, Azure AD Connect attempts to connect to the PDC for password writeback.

  8. Dopo che l'account utente è stato trovato, viene tentata la reimpostazione della password direttamente nella foresta Active Directory appropriata.After the user account is found, we attempt to reset the password directly in the appropriate Active Directory forest.

  9. Se l'operazione di impostazione della password riesce, l'utente viene informato che la password è stata modificata.If the password set operation is successful, we tell the user their password has been changed.

    Nota

    Se la password dell'utente viene sincronizzata con Azure AD usando la sincronizzazione password, è probabile che i criteri della password locali siano più deboli rispetto ai criteri della password cloud.If the user's password is synchronized to Azure AD by using password synchronization, there is a chance that the on-premises password policy is weaker than the cloud password policy. In questo caso, vengono imposti i criteri locali qualsiasi essi siano, usando invece la sincronizzazione dell'hash delle password per sincronizzare l'hash di tale password.In this case, we still enforce whatever the on-premises policy is, and instead use password hash synchronization to synchronize the hash of that password. Questi criteri garantiscono che i criteri locali siano applicati nel cloud, indipendentemente dal fatto che si usi la sincronizzazione password o la federazione per il Single Sign-On.This policy ensures that your on-premises policy is enforced in the cloud, no matter if you use password synchronization or federation to provide single sign-on.

  10. Se l'operazione di impostazione della password non riesce, viene restituito un errore all'utente, consentendogli di riprovare.If the password set operation fails, we return an error to the user and let them try again. L'operazione potrebbe non riuscire perché:The operation might fail because:

    • Il servizio era inattivo.The service was down.
    • La password selezionata non rispettava i criteri dell'organizzazione.The password they selected did not meet the organization's policies.
    • Si potrebbe non trovare l'utente in Active Directory locale.We might not find the user in local Active Directory.

    È disponibile un messaggio specifico per molti di questi casi e all'utente viene indicato cosa può fare per risolvere il problema.We have a specific message for many of these cases and tell the user what they can do to resolve the problem.

Configurare il writeback delle passwordConfigure password writeback

È consigliabile usare la funzionalità di aggiornamento automatico di Azure AD Connect se si vuole usare il writeback delle password.We recommend that you use the auto-update feature of Azure AD Connect if you want to use password writeback.

DirSync e Azure AD Sync non sono più supportati come modo per abilitare il writeback delle password.DirSync and Azure AD Sync are no longer supported as a way to enable password writeback. Per altre informazioni utili sulla transizione, vedere Aggiornamento da DirSync e Azure AD Sync.For more information to help with your transition, see Upgrade from DirSync and Azure AD Sync.

La procedura seguente presuppone che Azure AD Connect sia già stato configurato nell'ambiente tramite le impostazioni Rapida o Personalizzata.The following steps assume you have already configured Azure AD Connect in your environment by using the Express or Custom settings.

  1. Per configurare e abilitare il writeback delle password accedere al server Azure AD Connect e avviare la configurazione guidata di Azure AD Connect.To configure and enable password writeback, sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.
  2. Nella pagina di benvenuto selezionare Configura.On the Welcome page, select Configure.
  3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.On the Additional tasks page, select Customize synchronization options, and then select Next.
  4. Nella pagina Connessione ad Azure AD immettere le credenziali di amministratore globale e selezionare Avanti.On the Connect to Azure AD page, enter a global administrator credential, and then select Next.
  5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.On the Connect directories and Domain/OU filtering pages, select Next.
  6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.On the Optional features page, select the box next to Password writeback and select Next. Abilitare il writeback delle password in Azure AD ConnectEnable password writeback in Azure AD Connect
  7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.On the Ready to configure page, select Configure and wait for the process to finish.
  8. Quando la configurazione termina, selezionare Esci.When you see the configuration finish, select Exit.

Per le attività di risoluzione dei problemi comuni correlate al writeback delle password, vedere la sezione Risolvere i problemi relativi al writeback delle password nell'articolo sulla risoluzione dei problemi.For common troubleshooting tasks related to password writeback, see the section Troubleshoot password writeback in our troubleshooting article.

Autorizzazioni di Active DirectoryActive Directory permissions

L'account specificato nell'utilità di Azure AD Connect deve avere i seguenti elementi impostati se si vuole essere nell'ambito per SSPR:The account specified in the Azure AD Connect utility must have the following items set if you want to be in scope for SSPR:

  • Reimpostazione della passwordReset password
  • Cambia passwordChange password
  • Autorizzazioni di scrittura su lockoutTimeWrite permissions on lockoutTime
  • Autorizzazioni di scrittura su pwdLastSetWrite permissions on pwdLastSet
  • Diritti estesi su uno fra:Extended rights on either:
    • L'oggetto radice di ogni dominio in tale forestaThe root object of each domain in that forest
    • Le unità organizzative (OU) utente che si vuole siano nell'ambito per SSPRThe user organizational units (OUs) you want to be in scope for SSPR

Se non si è certi di quale sia l'account a cui l'account descritto fa riferimento, aprire l'interfaccia utente della configurazione di Azure Active Directory Connect e selezionare l'opzione Visualizza configurazione corrente.If you're not sure what account the described account refers to, open the Azure Active Directory Connect configuration UI and select the View current configuration option. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate.The account that you need to add permission to is listed under Synchronized Directories.

Se si impostano queste autorizzazioni, l'account del servizio MA per ogni foresta può gestire le password per conto di account utente all'interno di tale foresta.If you set these permissions, the MA service account for each forest can manage passwords on behalf of the user accounts within that forest.

Importante

Se non si assegnano tali autorizzazioni, anche se il writeback è configurato correttamente, gli utenti visualizzeranno errori durante il tentativo di gestione delle password locali dal cloud.If you neglect to assign these permissions, then, even though writeback appears to be configured correctly, users will encounter errors when they attempt to manage their on-premises passwords from the cloud.

Nota

La replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o anche più tempo.It might take up to an hour or more for these permissions to replicate to all the objects in your directory.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:To set up the appropriate permissions for password writeback to occur, complete the following steps:

  1. Aprire Utenti e computer di Active Directory con un account con le autorizzazioni appropriate per l'amministrazione del dominio.Open Active Directory Users and Computers with an account that has the appropriate domain administration permissions.
  2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.From the View menu, make sure Advanced features is turned on.
  3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e selezionare Proprietà > Sicurezza > Avanzate.In the left panel, right-click the object that represents the root of the domain and select Properties > Security > Advanced.
  4. Nella scheda Autorizzazioni selezionare Aggiungi.From the Permissions tab, select Add.
  5. Selezionare l'account a cui applicare le autorizzazioni, dalla configurazione di Azure AD Connect.Pick the account that permissions are being applied to (from the Azure AD Connect setup).
  6. Nell'elenco a discesa Applica a selezionare gli oggetti Descendent User (Utente discendente).In the Applies to drop-down list, select Descendent user objects.
  7. Sotto Autorizzazioni selezionare le caselle per le opzioni seguenti:Under Permissions, select the boxes for the following:
    • Reimpostazione della passwordReset password
    • Cambia passwordChange password
    • Scrittura di lockoutTimeWrite lockoutTime
    • Scrittura di pwdLastSetWrite pwdLastSet
  8. Selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.Select Apply/OK to apply the changes and exit any open dialog boxes.

Requisiti di licenza per il writeback delle passwordLicensing requirements for password writeback

Per informazioni sulle licenze, vedere Licenze richieste per il writeback delle password o i siti seguenti:For information about licensing, see Licenses required for password writeback or the following sites:

Modalità di autenticazione locale supportate per il writeback delle passwordOn-premises authentication modes that are supported for password writeback

Il writeback delle password supporta i tipi di password utente seguenti:Password writeback support for the following user password types:

  • Utenti solo cloud: il writeback delle password non si applica in questa situazione, perché non c'è una password locale.Cloud-only users: Password writeback does not apply in this situation, because there is no on-premises password.
  • Utenti con sincronizzazione delle password: il writeback delle password è supportato.Password-synchronized users: Password writeback is supported.
  • Utenti federati: il writeback delle password è supportato.Federated users: Password writeback is supported.
  • Utenti con autenticazione pass-through: il writeback delle password è supportato.Pass-through Authentication users: Password writeback is supported.

Attività di utenti e amministratori supportate per il writeback delle passwordUser and admin operations that are supported for password writeback

Il writeback delle password viene eseguito in tutte le situazioni seguenti:Passwords are written back in all the following situations:

  • Attività degli utenti finali supportateSupported end-user operations
    • Qualsiasi operazione self-service volontaria di modifica della password dell'utente finaleAny end-user self-service voluntary change password operation
    • Qualsiasi operazione self-service forzata di modifica della password dell'utente finale, ad esempio in seguito a scadenza della passwordAny end-user self-service force change password operation, for example, password expiration
    • Qualsiasi reimpostazione password self-service dell'utente finale originata dal portale di reimpostazione passwordAny end-user self-service password reset that originates from the password reset portal
  • Operazioni degli amministratori supportateSupported administrator operations
    • Qualsiasi operazione self-service volontaria di modifica della password dell'amministratoreAny administrator self-service voluntary change password operation
    • Qualsiasi operazione self-service forzata di modifica della password dell'amministratore, ad esempio in seguito a scadenza della passwordAny administrator self-service force change password operation, for example, password expiration
    • Qualsiasi reimpostazione password self-service dell'amministratore originata dal portale di reimpostazione passwordAny administrator self-service password reset that originates from the password reset portal
    • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dal portale di Azure classicoAny administrator-initiated end-user password reset from the Azure classic portal
    • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dal portale di AzureAny administrator-initiated end-user password reset from the Azure portal

Attività di utenti e amministratori non supportate per il writeback delle passwordUser and admin operations that are not supported for password writeback

Il writeback delle password non viene eseguito nelle situazioni seguenti:Passwords are not written back in any of the following situations:

  • Attività degli utenti finali non supportateUnsupported end-user operations
    • Qualsiasi reimpostazione, da parte dell'utente finale, della propria password tramite PowerShell versione 1, versione 2 o l'API Graph di Azure ADAny end user resetting their own password by using PowerShell version 1, version 2, or the Azure AD Graph API
  • Operazioni degli amministratori non supportateUnsupported administrator operations
    • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dal portale di gestione di OfficeAny administrator-initiated end-user password reset from the Office management portal
    • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore da PowerShell versione 1, versione 2 o dall'API Graph di Azure ADAny administrator-initiated end-user password reset from PowerShell version 1, version 2, or the Azure AD Graph API

Microsoft sta lavorando per rimuovere queste limitazioni, ma non è ancora disponibile una sequenza temporale specifica.We are working to remove these limitations, but we don't have a specific timeline we can share yet.

Modello di sicurezza del writeback delle passwordPassword writeback security model

Il writeback delle password è un servizio altamente sicuro.Password writeback is a highly secure service. Per garantire che le informazioni siano protette, viene abilitato un modello di protezione a quattro livelli descritto così:To ensure your information is protected, we enable a four-tiered security model that's described as follows:

  • Inoltro del bus di servizio specifico del tenantTenant-specific service-bus relay
    • Quando si configura il servizio, viene configurato automaticamente l'inoltro del bus di servizio specifico del tenant, protetto da una password complessa generata in modo casuale, a cui Microsoft non può mai accedere.When you set up the service, we set up a tenant-specific service bus relay that's protected by a randomly generated strong password that Microsoft never has access to.
  • Chiave di crittografia bloccata e crittograficamente complessa per le passwordLocked down, cryptographically strong, password encryption key
    • Dopo la creazione dell'inoltro del bus di servizio, viene creata una chiave asimmetrica complessa, utilizzata per la crittografia della password durante la trasmissione.After the service bus relay is created, we create a strong symmetric key that we use to encrypt the password as it comes over the wire. Questa chiave si trova solo nell'archivio segreto dell'azienda nel cloud, bloccato in modo sicuro e controllato, come qualsiasi altra password nella directory.This key only lives in your company's secret store in the cloud, which is heavily locked down and audited, just like any other password in the directory.
  • Transport Layer Security (TLS) standard di settoreIndustry standard Transport Layer Security (TLS)
    1. Quando si verifica nel cloud un'operazione di reimpostazione o modifica della password, la password non crittografata viene crittografata automaticamente con la chiave pubblica dell'utente.When a password reset or change operation occurs in the cloud, we take the plaintext password and encrypt it with your public key.
    2. Viene inclusa in un messaggio HTTPS inviato tramite un canale crittografato mediante certificati SSL Microsoft al proprio inoltro del bus di servizio.We place that into an HTTPS message that is sent over an encrypted channel by using Microsoft SSL certs to your service bus relay.
    3. Quando il messaggio arriva nel bus di servizio, l'agente locale viene attivato e autenticato al bus di servizio tramite la password complessa generata in precedenza.After the message arrives in the service bus, your on-premises agent wakes up and authenticates to the service bus by using the strong password that was previously generated.
    4. L'agente locale preleva il messaggio crittografato e lo decrittografa con la chiave privata generata.The on-premises agent picks up the encrypted message and decrypts it by using the private key we generated.
    5. L'agente locale tenta di impostare la password tramite l'API SetPassword di AD DS.The on-premises agent attempts to set the password through the AD DS SetPassword API. Questo passaggio consente di applicare i criteri password locali di Active Directory, come complessità, validità, cronologia, filtri e così via, nel cloud.This step is what allows us to enforce your Active Directory on-premises password policy (such as the complexity, age, history, and filters) in the cloud.
  • Criteri di scadenza del messaggioMessage expiration policies
    • Se il messaggio si trova nel bus di servizio perché il servizio locale è inattivo, raggiungerà il timeout e verrà rimosso dopo alcuni minuti.If the message sits in service bus because your on-premises service is down, it times out and is removed after several minutes. Il timeout e la rimozione del messaggio migliorano ulteriormente la sicurezza.The time-out and removal of the message increases security even further.

Informazioni dettagliate sulla crittografia del writeback delle passwordPassword writeback encryption details

Dopo che un utente ha inviato una reimpostazione password, la richiesta di reimpostazione passa attraverso diverse operazioni di crittografia prima di arrivare nell'ambiente locale.After a user submits a password reset, the reset request goes through several encryption steps before it arrives in your on-premises environment. Queste operazioni di crittografia garantiscono la massima affidabilità del servizio e sicurezza.These encryption steps ensure maximum service reliability and security. Sono descritte come segue:They are described as follows:

  • Passaggio 1 - Crittografia della password con una chiave RSA a 2048 bit: dopo che un utente ha inviato una password per il writeback in locale, la password inviata viene crittografata con una chiave RSA a 2048 bit.Step 1: Password encryption with 2048-bit RSA Key: After a user submits a password to be written back to on-premises, the submitted password itself is encrypted with a 2048-bit RSA key.
  • Passaggio 2 - Crittografia a livello di pacchetto con AES-GCM: l'intero pacchetto, ovvero la password più i metadati necessari, viene crittografato con AES-GCM.Step 2: Package-level encryption with AES-GCM: The entire package, the password plus the required metadata, is encrypted by using AES-GCM. Questa crittografia impedisce a chiunque abbia accesso diretto al canale del bus di servizio sottostante di visualizzare o manomettere il contenuto.This encryption prevents anyone with direct access to the underlying ServiceBus channel from viewing or tampering with the contents.
  • Passaggio 3 - Tutte le comunicazioni avvengono tramite TLS/SSL: tutte le comunicazioni con ServiceBus avvengono in un canale SSL/TLS.Step 3: All communication occurs over TLS/SSL: All the communication with ServiceBus happens in an SSL/TLS channel. Questa crittografia protegge i contenuti da terze parti non autorizzate.This encryption secures the contents from unauthorized third parties.
  • Rollover della chiave automatico ogni sei mesi: ogni sei mesi o ogni volta che il writeback delle password viene disabilitato e poi riabilitato in Azure AD Connect.Automatic key rollover every six months: Every six months, or every time password writeback is disabled and then re-enabled on Azure AD Connect. Il rollover di tutte le chiavi viene eseguito automaticamente per garantire la massima sicurezza e protezione del servizio.We automatically roll over all keys to ensure maximum service security and safety.

Utilizzo della larghezza di banda per il writeback delle passwordPassword writeback bandwidth usage

Il writeback delle password è un servizio a larghezza di banda ridotta, che invia le richieste all'agente locale solo nelle circostanze seguenti:Password writeback is a low-bandwidth service that only sends requests back to the on-premises agent under the following circumstances:

  • Vengono inviati due messaggi quando la funzionalità viene abilitata o disabilitata tramite Azure AD Connect.Two messages are sent when the feature is enabled or disabled through Azure AD Connect.
  • Viene inviato un messaggio viene ogni 5 minuti come heartbeat del servizio per la durata dell'esecuzione del servizio.One message is sent once every five minutes as a service heartbeat for as long as the service is running.
  • Vengono inviati due messaggi ogni volta che viene inviata una nuova password:Two messages are sent each time a new password is submitted:
    • Il primo messaggio è un richiesta di eseguire l'operazione.The first message is a request to perform the operation.
    • Il secondo messaggio contiene il risultato dell'operazione e viene inviato nelle circostanze seguenti:The second message contains the result of the operation, and is sent in the following circumstances:
      • Ogni volta che viene inviata una nuova password durante la reimpostazione self-service della password utente.Each time a new password is submitted during a user self-service password reset.
      • Ogni volta che viene inviata una nuova password durante un'operazione di modifica della password utente.Each time a new password is submitted during a user password change operation.
      • Ogni volta che viene inviata una nuova password durante una reimpostazione della password utente avviata dall'amministratore, solo dal portale di amministrazione di Azure.Each time a new password is submitted during an admin-initiated user password reset (only from the Azure admin portals).

Considerazioni sulle dimensioni dei messaggi e sulla larghezza di bandaMessage size and bandwidth considerations

La dimensione di ogni messaggio illustrato in precedenza è in genere inferiore a 1 KB.The size of each of the message described previously is typically under 1 KB. Anche in caso di carichi estremi, il servizio di writeback delle password stesso usa qualche kilobit di larghezza di banda al secondo.Even under extreme loads, the password writeback service itself is consuming a few kilobits per second of bandwidth. Poiché ogni messaggio viene inviato in tempo reale, solo quando necessario per un'operazione di aggiornamento della password, e poiché le dimensioni dei messaggi sono così ridotte, l'utilizzo della larghezza di banda da parte della funzionalità di writeback è troppo basso per avere un impatto significativo.Because each message is sent in real time, only when required by a password update operation, and because the message size is so small, the bandwidth usage of the writeback capability is too small to have a measurable impact.

Passaggi successiviNext steps