Procedura: Configurare il writeback delle passwordHow-to: Configure password writeback

La procedura seguente presuppone che Azure AD Connect sia già stato configurato nell'ambiente tramite le impostazioni Rapida o Personalizzata.The following steps assume you have already configured Azure AD Connect in your environment by using the Express or Custom settings.

  1. Per configurare e abilitare il writeback delle password accedere al server Azure AD Connect e avviare la configurazione guidata di Azure AD Connect.To configure and enable password writeback, sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.
  2. Nella pagina di benvenuto selezionare Configura.On the Welcome page, select Configure.
  3. Nella pagina Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e fare clic su Avanti.On the Additional tasks page, select Customize synchronization options, and then select Next.
  4. Nella pagina Connessione ad Azure AD immettere le credenziali di amministratore globale e selezionare Avanti.On the Connect to Azure AD page, enter a global administrator credential, and then select Next.
  5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.On the Connect directories and Domain/OU filtering pages, select Next.
  6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.On the Optional features page, select the box next to Password writeback and select Next. Abilitare il writeback delle password in Azure AD ConnectEnable password writeback in Azure AD Connect
  7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.On the Ready to configure page, select Configure and wait for the process to finish.
  8. Quando la configurazione termina, selezionare Esci.When you see the configuration finish, select Exit.

Per le attività di risoluzione dei problemi comuni correlate al writeback delle password, vedere la sezione Risolvere i problemi relativi al writeback delle password nell'articolo sulla risoluzione dei problemi.For common troubleshooting tasks related to password writeback, see the section Troubleshoot password writeback in our troubleshooting article.

Avviso

Per i clienti che usano Azure AD Connect 1.0.8641.0 e versioni precedenti, il writeback delle password non funzionerà più dopo il ritiro del Servizio di controllo di accesso di Azure in data 7 novembre 2018.Password writeback will stop working for customers who are using Azure AD Connect versions 1.0.8641.0 and older when the Azure Access Control service (ACS) is retired on November 7th, 2018. A partire da tale data, Azure AD Connect 1.0.8641.0 e versioni precedenti non consentiranno più il writeback delle password perché per questa funzionalità dipendono dal Servizio di controllo di accesso di Azure.Azure AD Connect versions 1.0.8641.0 and older will no longer allow password writeback at that time because they depend on ACS for that functionality.

Per evitare un'interruzione del servizio, eseguire l'aggiornamento da una versione precedente di Azure AD Connect a una più recente. Vedere l'articolo Azure AD Connect: Eseguire l'aggiornamento da una versione precedente alla versione più recenteTo avoid a disruption in service, upgrade from a previous version of Azure AD Connect to a newer version, see the article Azure AD Connect: Upgrade from a previous version to the latest

Requisiti di licenza per il writeback delle passwordLicensing requirements for password writeback

La reimpostazione, la modifica e lo sblocco self-service della password con writeback locale sono funzionalità Premium di Azure AD.Self-Service Password Reset/Change/Unlock with on-premises writeback is a premium feature of Azure AD. Per altre informazioni sulle licenze, vedere il sito Prezzi di Azure Active Directory.For more information about licensing, see the Azure Active Directory pricing site.

Per usare il writeback delle password, è necessario disporre una delle licenze seguenti assegnate nel tenant:To use password writeback, you must have one of the following licenses assigned on your tenant:

  • Azure AD Premium P1Azure AD Premium P1
  • Azure AD P2 PremiumAzure AD Premium P2
  • Enterprise Mobility + Security E3 o A3Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 o A5Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 o A3Microsoft 365 E3 or A3
  • Microsoft 365 E5 o A5Microsoft 365 E5 or A5
  • Microsoft 365 F1Microsoft 365 F1
  • Microsoft 365 BusinessMicrosoft 365 Business

Avviso

I piani di licenza Office 365 autonomi non supportano "Reimpostazione/modifica/sblocco con writeback in locale delle password in modalità self-service" e richiedono uno dei piani precedenti per l'uso della funzionalità.Standalone Office 365 licensing plans don't support "Self-Service Password Reset/Change/Unlock with on-premises writeback" and require that you have one of the preceding plans for this functionality to work.

Autorizzazioni di Active DirectoryActive Directory permissions

L'account specificato nell'utilità di Azure AD Connect deve avere i seguenti elementi impostati se si vuole essere nell'ambito per SSPR:The account specified in the Azure AD Connect utility must have the following items set if you want to be in scope for SSPR:

  • Reimpostazione della passwordReset password
  • Cambia passwordChange password
  • Autorizzazioni di scrittura su lockoutTimeWrite permissions on lockoutTime
  • Autorizzazioni di scrittura su pwdLastSetWrite permissions on pwdLastSet
  • Diritti estesi su uno fra:Extended rights on either:
    • L'oggetto radice di ogni dominio in tale forestaThe root object of each domain in that forest
    • Le unità organizzative (OU) utente che si vuole siano nell'ambito per SSPRThe user organizational units (OUs) you want to be in scope for SSPR

Se non si è certi di quale sia l'account a cui l'account descritto fa riferimento, aprire l'interfaccia utente della configurazione di Azure Active Directory Connect e selezionare l'opzione Visualizza configurazione corrente.If you're not sure what account the described account refers to, open the Azure Active Directory Connect configuration UI and select the View current configuration option. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate.The account that you need to add permission to is listed under Synchronized Directories.

Se si impostano queste autorizzazioni, l'account del servizio MA per ogni foresta può gestire le password per conto di account utente all'interno di tale foresta.If you set these permissions, the MA service account for each forest can manage passwords on behalf of the user accounts within that forest.

Importante

Se non si assegnano tali autorizzazioni, anche se il writeback è configurato correttamente, gli utenti visualizzeranno errori durante il tentativo di gestione delle password locali dal cloud.If you neglect to assign these permissions, then, even though writeback appears to be configured correctly, users will encounter errors when they attempt to manage their on-premises passwords from the cloud.

Nota

La replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o anche più tempo.It might take up to an hour or more for these permissions to replicate to all the objects in your directory.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:To set up the appropriate permissions for password writeback to occur, complete the following steps:

  1. Aprire Utenti e computer di Active Directory con un account con le autorizzazioni appropriate per l'amministrazione del dominio.Open Active Directory Users and Computers with an account that has the appropriate domain administration permissions.
  2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.From the View menu, make sure Advanced features is turned on.
  3. Nel riquadro sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e selezionare Proprietà > Sicurezza > Avanzate.In the left panel, right-click the object that represents the root of the domain and select Properties > Security > Advanced.
  4. Nella scheda Autorizzazioni selezionare Aggiungi.From the Permissions tab, select Add.
  5. Selezionare l'account a cui applicare le autorizzazioni, dalla configurazione di Azure AD Connect.Pick the account that permissions are being applied to (from the Azure AD Connect setup).
  6. Nell'elenco a discesa Applica a selezionare gli oggetti Utente discendente.In the Applies to drop-down list, select Descendant User objects.
  7. In Autorizzazioni selezionare le caselle per le opzioni seguenti:Under Permissions, select the boxes for the following options:
    • Cambia passwordChange password
    • Reimpostazione della passwordReset password
  8. In Proprietà selezionare le caselle per le opzioni seguenti:Under Properties, select the boxes for the following options:
    • Scrittura di lockoutTimeWrite lockoutTime
    • Scrittura di pwdLastSetWrite pwdLastSet
  9. Selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.Select Apply/OK to apply the changes and exit any open dialog boxes.

Passaggi successiviNext steps

Che cos'è il writeback delle password?What is password writeback?