Zelfstudie: Selfservice voor wachtwoordherstel terugschrijven in cloudsynchronisatie inschakelen naar een on-premises omgeving
Microsoft Entra Verbinding maken cloudsynchronisatie kan microsoft Entra-wachtwoordwijzigingen in realtime synchroniseren tussen gebruikers in on-premises Active Directory-domein Services-domeinen (AD DS). Microsoft Entra Verbinding maken cloudsynchronisatie kan naast Microsoft Entra-Verbinding maken op domeinniveau worden uitgevoerd om wachtwoord terugschrijven te vereenvoudigen voor aanvullende scenario's, zoals gebruikers die niet-verbonden domeinen hebben vanwege een splitsing of samenvoeging van een bedrijf. U kunt elke service in verschillende domeinen configureren voor verschillende sets gebruikers, afhankelijk van hun behoeften. Microsoft Entra Verbinding maken cloudsynchronisatie maakt gebruik van de lichtgewicht Microsoft Entra-cloudinrichtingsagent om de installatie voor selfservice voor wachtwoordherstel (SSPR) te vereenvoudigen en een veilige manier te bieden om wachtwoordwijzigingen in de cloud terug te sturen naar een on-premises map.
Vereisten
- Een Microsoft Entra-tenant waarvoor ten minste een Microsoft Entra ID P1 of proeflicentie is ingeschakeld. Maak er gratis een indien nodig.
- Een account met:
- De rol globale beheerder
- Microsoft Entra-id geconfigureerd voor selfservice voor wachtwoordherstel. Voltooi indien nodig deze zelfstudie om Microsoft Entra SSPR in te schakelen.
- Een on-premises AD DS-omgeving die is geconfigureerd met Microsoft Entra Verbinding maken cloudsynchronisatie versie 1.1.977.0 of hoger. Meer informatie over het identificeren van de huidige versie van de agent. Configureer zo nodig Microsoft Entra Verbinding maken cloudsynchronisatie met behulp van deze zelfstudie.
Installatiestappen
- Machtigingen voor Microsoft Entra Verbinding maken cloudsynchronisatieserviceaccounts configureren
- Wachtwoord terugschrijven inschakelen in Microsoft Entra Verbinding maken cloudsynchronisatie
- Wachtwoord terugschrijven inschakelen voor SSPR
Machtigingen voor Microsoft Entra Verbinding maken cloudsynchronisatieserviceaccounts configureren
Machtigingen voor cloudsynchronisatie zijn standaard geconfigureerd. Als machtigingen opnieuw moeten worden ingesteld, raadpleegt u Probleemoplossing voor meer informatie over de specifieke machtigingen die zijn vereist voor wachtwoord terugschrijven en hoe u deze instelt met behulp van PowerShell.
Wachtwoord terugschrijven inschakelen in SSPR
U kunt microsoft Entra Verbinding maken cloudsynchronisatie rechtstreeks inschakelen in het Microsoft Entra-beheercentrum of via PowerShell.
Wachtwoord terugschrijven inschakelen in het Microsoft Entra-beheercentrum
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Als wachtwoord terugschrijven is ingeschakeld in Microsoft Entra Verbinding maken cloudsynchronisatie, controleert en configureert u Microsoft Entra selfservice voor wachtwoordherstel (SSPR) voor wachtwoord terugschrijven. Wanneer u SSPR inschakelt voor wachtwoord terugschrijven, worden bijgewerkte wachtwoorden van gebruikers die hun wachtwoord hebben gewijzigd of opnieuw ingesteld ook gesynchroniseerd met de on-premises AD DS-omgeving.
Voer de volgende stappen uit om wachtwoord terugschrijven in SSPR in te schakelen en te verifiëren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
Schakel de optie wachtwoord terugschrijven in voor gesynchroniseerde gebruikers.
(optioneel) Als Microsoft Entra Verbinding maken inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Verbinding maken cloudsynchronisatie.
Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
Selecteer Opslaan wanneer u klaar bent.
PowerShell
Met PowerShell kunt u Microsoft Entra Verbinding maken cloudsynchronisatie inschakelen met behulp van de set-AADCloudSyncPasswordWritebackConfiguration-cmdlet op de servers met de inrichtingsagents. U hebt globale beheerdersreferenties nodig:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Resources opschonen
Als u niet langer gebruik wilt maken van de SSPR-terugschrijffunctionaliteit die u als onderdeel van deze zelfstudie hebt geconfigureerd, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
- Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
- Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers uit.
- Schakel de optie voor wachtwoorden terugschrijven uit met Microsoft Entra Verbinding maken cloudsynchronisatie.
- Schakel de optie Toestaan dat gebruikers accounts ontgrendelen zonder hun wachtwoord opnieuw in te stellen.
- Selecteer Opslaan wanneer u klaar bent.
Als u de Microsoft Entra-Verbinding maken cloudsynchronisatie voor SSPR-writeback-functionaliteit niet meer wilt gebruiken, maar microsoft Entra Verbinding maken Sync-agent wilt blijven gebruiken voor write-backs, voert u de volgende stappen uit:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
- Blader naar wachtwoordherstelbeveiliging> en kies vervolgens On-premises integratie.
- Schakel de optie voor wachtwoorden terugschrijven uit met Microsoft Entra Verbinding maken cloudsynchronisatie.
- Selecteer Opslaan wanneer u klaar bent.
U kunt Ook PowerShell gebruiken om Microsoft Entra Verbinding maken cloudsynchronisatie uit te schakelen voor SSPR-writebackfunctionaliteit, vanaf uw Microsoft Entra Verbinding maken cloudsynchronisatieserver, uitgevoerd Set-AADCloudSyncPasswordWritebackConfiguration met behulp van hybride identiteitsreferenties Beheer istratorreferenties om wachtwoord terugschrijven met Microsoft Entra Verbinding maken cloudsynchronisatie uit te schakelen.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Ondersteunde bewerkingen
Wachtwoorden worden teruggeschreven in de volgende situaties voor eindgebruikers en beheerders.
| Account | Ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Elke self-service voor vrijwillige wachtwoordwijziging door eindgebruikers. Elke self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden. Elke selfservice voor wachtwoordherstel door eindgebruikers die afkomstig is van het opnieuw instellen van wachtwoorden. |
| Beheerders | Elke beheerder self-service voor vrijwillige wachtwoordwijziging door eindgebruikers. Elke beheerder self-service voor het wijzigen van wachtwoordbewerkingen door eindgebruikers, bijvoorbeeld het verlopen van wachtwoorden. Alle selfservice voor wachtwoordherstel van beheerders die afkomstig zijn van het opnieuw instellen van wachtwoorden. Door een beheerder geïnitieerde wachtwoordherstel van eindgebruikers vanuit het Microsoft Entra-beheercentrum. Door de beheerder geïnitieerde opdracht om wachtwoord van eindgebruiker opnieuw in te stellen voor Microsoft Graph API. |
Niet-ondersteunde bewerkingen
Wachtwoorden worden in de volgende situaties niet teruggeschreven.
| Account | Niet-ondersteunde bewerkingen |
|---|---|
| Eindgebruikers | Eindgebruikers die hun eigen wachtwoord opnieuw instellen via PowerShell-cmdlets of de Microsoft Graph API. |
| Beheerders | Door een beheerder geïnitieerde wachtwoordherstel door een eindgebruiker met behulp van PowerShell-cmdlets. Door de beheerder geïnitieerde opdracht om wachtwoord van eindgebruiker opnieuw in te stellen voor Microsoft 365-beheercentrum. Beheerders kunnen geen hulpprogramma voor wachtwoordherstel gebruiken om hun eigen wachtwoord opnieuw in te stellen of een andere Beheer istrator in Microsoft Entra ID voor wachtwoord terugschrijven. |
Validatiescenario's
Voer de volgende bewerkingen uit om scenario's te valideren met behulp van wachtwoord terugschrijven. Voor alle validatiescenario's is cloudsynchronisatie geïnstalleerd en heeft de gebruiker het bereik voor wachtwoord terugschrijven.
| Scenario | Details |
|---|---|
| Wachtwoord opnieuw instellen vanaf de aanmeldingspagina | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests SSPR uitvoeren. U kunt ook Microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar laten implementeren en één gebruiker in het bereik van cloudsynchronisatieconfiguratie en een andere gebruiker in het bereik van Microsoft Entra Verbinding maken en deze gebruikers hun wachtwoord opnieuw laten instellen. |
| Verlopen wachtwoordwijziging forceren | Laat twee gebruikers niet-verbonden domeinen en forests verlopen wachtwoorden wijzigen. U kunt ook Microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar laten implementeren en één gebruiker hebben in het bereik van cloudsynchronisatieconfiguratie en een andere in het bereik van Microsoft Entra Verbinding maken. |
| Normale wachtwoordwijziging | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests SSPR uitvoeren. U kunt ook Microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar hebben en één gebruiker in het bereik van de configuratie van cloudsynchronisatie en een andere gebruiker in het bereik van Microsoft Entra Verbinding maken. |
| Beheerderswachtwoord opnieuw instellen | Laat twee gebruikers hun wachtwoord opnieuw instellen via het Microsoft Entra-beheercentrum of de Frontline-werkportal. U kunt microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar hebben en één gebruiker in het bereik van de configuratie van cloudsynchronisatie en een andere gebruiker in het bereik van Microsoft Entra Verbinding maken |
| Self-serviceaccount ontgrendelen | Zorg ervoor dat twee gebruikers niet-verbonden domeinen en forests accounts ontgrendelen in de SSPR-portal om het wachtwoord opnieuw in te voeren. U kunt ook Microsoft Entra Verbinding maken en cloudsynchronisatie naast elkaar hebben en één gebruiker in het bereik van de configuratie van cloudsynchronisatie en een andere gebruiker in het bereik van Microsoft Entra Verbinding maken. |
Problemen oplossen
Voor het Beheerde serviceaccount van de Microsoft Entra-Verbinding maken cloudsynchronisatiegroep moeten de volgende machtigingen zijn ingesteld om de wachtwoorden standaard terug te schrijven:
- Wachtwoord opnieuw instellen
- Schrijfmachtigingen voor lockoutTime
- Schrijfmachtigingen voor pwdLastSet
- Uitgebreide rechten voor Verlopen wachtwoord terugzetten op het hoofdobject van elk domein in dat forest, indien dit nog niet is ingesteld.
Als deze machtigingen niet zijn ingesteld, kunt u de machtiging PasswordWriteBack voor het serviceaccount instellen met behulp van de Set-AADCloudSyncPermissions cmdlet en on-premises ondernemingsbeheerder-aanmeldingsgegevens:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Na het bijwerken van de machtigingen, kan het tot een uur of langer duren voordat deze machtigingen worden gerepliceerd naar alle objecten in uw directory.
Als wachtwoorden voor sommige gebruikersaccounts niet worden teruggeschreven naar de on-premises map, moet u ervoor zorgen dat overname niet is uitgeschakeld voor het account in de on-premises AD DS-omgeving. Schrijfrechten voor wachtwoorden moeten worden toegepast op onderliggende objecten om deze functie correct te laten werken.
Het wachtwoordbeleid in de on-premises AD DS-omgeving kan verhinderen dat het opnieuw instellen van het wachtwoord opnieuw op de juiste manier wordt verwerkt. Als u deze functie test en wachtwoorden voor gebruikers meer dan één keer per dag opnieuw wilt instellen, moet het groepsbeleid voor minimale wachtwoordduur zijn ingesteld op 0. Deze instelling vindt u onder Computerconfiguratiebeleid >> Windows Instellingen > Security Instellingen > Account Policies > Password Policy in gpmc.msc.
Wanneer u het groepsbeleid bijwerkt, wacht u totdat het bijgewerkte beleid is gerepliceerd of gebruikt u de opdracht gpupdate /force.
De minimaal leeftijd van het wachtwoord moet zijn ingesteld op 0 om ervoor te zorgen dat wachtwoorden onmiddellijk worden gewijzigd. Als gebruikers echter voldoen aan het on-premises beleid en de Minimale wachtwoordduur is ingesteld op een waarde die groter is dan nul, wordt het terugschrijven van wachtwoorden niet uitgevoerd nadat het on-premises beleid is geëvalueerd.
Zie Accountmachtigingen configureren voor Microsoft Entra Verbinding maken voor meer informatie over het valideren of instellen van de juiste machtigingen.
Volgende stappen
- Zie Wat is Microsoft Entra Verbinding maken cloudsynchronisatie voor meer informatie over cloudsynchronisatie en een vergelijking tussen Microsoft Entra Verbinding maken en cloudsynchronisatie?
- Voor een zelfstudie over het instellen van wachtwoord terugschrijven met behulp van Microsoft Entra Verbinding maken raadpleegt u zelfstudie: Selfservice voor het terugschrijven van wachtwoorden inschakelen naar een on-premises omgeving.