Samouczek: włączanie Azure Active Directory samoobsługowego resetowania hasła w środowisku lokalnym

Dzięki Azure Active Directory samoobsługowego resetowania haseł (SSPR, self-service password reset) usługi Azure AD użytkownicy mogą zaktualizować swoje hasło lub odblokować swoje konto przy użyciu przeglądarki internetowej. Zalecamy to wideo na temat włączania i konfigurowania funkcji SSPR w usłudze Azure AD. W środowisku hybrydowym, w którym usługa Azure AD jest połączona ze środowiskiem usług lokalna usługa Active Directory Domain Services (AD DS), ten scenariusz może spowodować, że hasła będą się różnić między dwoma katalogami.

Za pomocą zapisu zwrotnego haseł można synchronizować zmiany haseł w usłudze Azure AD z lokalnym AD DS lokalnym. Azure AD Connect mechanizm wysyłania tych zmian haseł z powrotem do istniejącego katalogu lokalnego z usługi Azure AD.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła z powrotem do środowiska lokalnego. Jeśli jesteś już zarejestrowanym użytkownikiem końcowym na potrzeby samoobsługowego resetowania hasła i musisz wrócić do swojego konta, przejdź na adres https://aka.ms/sspr .

Jeśli Twój zespół IT nie włączył możliwości resetowania własnego hasła, należy skontaktować się z działem pomocy technicznej, aby uzyskać dodatkową pomoc.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:

  • Konfigurowanie wymaganych uprawnień do zapisu zwrotnego haseł
  • Włącz opcję zapisu zwrotnego haseł w Azure AD Connect
  • Włączanie funkcji zapisu zwrotnego haseł w funkcji resetowania hasła w usłudze Azure AD

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

Konfigurowanie uprawnień konta dla Azure AD Connect

Azure AD Connect umożliwia synchronizowanie użytkowników, grup i poświadczeń między lokalnym środowiskiem AD DS a usługą Azure AD. Zazwyczaj instaluje się Azure AD Connect na komputerze z systemem Windows Server 2012 lub nowszym, który jest przyłączony do domeny AD DS lokalnej.

Aby prawidłowo pracować z zapisem zwrotnyM SSPR, konto określone w Azure AD Connect musi mieć ustawione odpowiednie uprawnienia i opcje. Jeśli nie masz pewności, które konto jest obecnie w użyciu, otwórz Azure AD Connect i wybierz opcję Wyświetl bieżącą konfigurację. Konto, do których należy dodać uprawnienia, znajduje się w obszarze Zsynchronizowane katalogi. Na koncie należy ustawić następujące uprawnienia i opcje:

  • Resetowanie hasła
  • Uprawnienia do zapisu nalockoutTime
  • Uprawnienia do zapisu napwdLastSet
  • Rozszerzone prawa dla "Cokń hasło" w obiekcie głównym każdej domeny w tym lesie, jeśli nie został jeszcze ustawiony.

Jeśli te uprawnienia nie zostaną przypisane, może się wydawać, że zapis zwrotny został poprawnie skonfigurowany, ale użytkownicy napotykają błędy podczas zarządzania hasłami lokalnymi z chmury. Uprawnienia muszą być stosowane do tego obiektu i wszystkich obiektów potomnych dla "Hasło co do właściwości", aby się pojawić.

Porada

Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem w katalogu lokalnym, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku lokalnym AD DS lokalnym. Aby funkcja działała prawidłowo, uprawnienia do zapisu dla haseł muszą być stosowane do obiektów potomnych.

Aby skonfigurować odpowiednie uprawnienia do zapisu zwrotnego haseł, wykonaj następujące kroki:

  1. W lokalnym środowisku AD DS otwórz Użytkownicy i komputery usługi Active Directory przy użyciu konta z odpowiednimi uprawnieniami administratora domeny.

  2. Upewnij się, że w menu Widok są włączone funkcje zaawansowane.

  3. W panelu po lewej stronie wybierz prawym przyciskiem na prawo obiekt reprezentujący katalog główny domeny, a następnie wybierz pozycję Właściwości > Zaawansowane > zabezpieczenia.

  4. Na karcie Uprawnienia wybierz pozycję Dodaj.

  5. W przypadku jednostki wybierz konto, do których mają być stosowane uprawnienia (konto używane przez Azure AD Connect).

  6. Z listy rozwijanej Dotyczy wybierz pozycję Obiekty potomne użytkownika.

  7. W obszarze Uprawnienia zaznacz pole wyboru dla następującej opcji:

    • Resetowanie hasła
  8. W obszarze Właściwości zaznacz pola następujących opcji. Przewiń listę, aby znaleźć te opcje, które mogą być już domyślnie ustawione:

    • Write lockoutTime (Czas blokady zapisu)
    • Napisz pwdLastSet

    Ustaw odpowiednie uprawnienia w aktywnych użytkownikach i komputerach dla konta, które jest używane przez Azure AD Connect

  9. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK, aby zastosować zmiany i zamknąć wszystkie otwarte okna dialogowe.

Po zaktualizowaniu uprawnień replikacja tych uprawnień do wszystkich obiektów w katalogu może potrwać godzinę lub dłużej.

Zasady haseł w lokalnym środowisku AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Aby zapis zwrotny haseł działał najbardziej wydajnie, dla ustawienia Minimalny wiek hasła należy ustawić wartość 0. To ustawienie można znaleźć w obszarze Konfiguracja komputera > zasady > ustawienia systemu Windows > ustawienia zabezpieczeń > w programie gpmc.msc .

W przypadku zaktualizowania zasad grupy zaczekaj na replikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .

Uwaga

Aby hasła zostały natychmiast zmienione, należy ustawić wartość 0 dla zapisu zwrotnego haseł. Jeśli jednak użytkownicy są zgodni z zasadami lokalnymi, a minimalny wiek hasła jest ustawiony na wartość większą niż zero, zapis zwrotny haseł nadal działa po ocenie zasad lokalnych.

Włączanie funkcji zapisu zwrotnego haseł w Azure AD Connect

Jedną z opcji konfiguracji w Azure AD Connect jest opcja zapisu zwrotnego haseł. Gdy ta opcja jest włączona, zdarzenia zmiany hasła Azure AD Connect zsynchronizować zaktualizowane poświadczenia z powrotem z lokalnym AD DS lokalnym.

Aby włączyć funkcję zapisu zwrotnego funkcji SSPR, najpierw włącz opcję zapisu zwrotnego w Azure AD Connect. Na serwerze Azure AD Connect wykonaj następujące czynności:

  1. Zaloguj się na serwerze Azure AD Connect i uruchom kreatora Azure AD Connect konfiguracji.

  2. Na stronie powitalnej wybierz pozycję Konfiguruj.

  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.

  4. Na stronie Łączenie z usługą Azure AD wprowadź poświadczenia administratora globalnego dla dzierżawy platformy Azure, a następnie wybierz pozycję Dalej.

  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.

  6. Na stronie Funkcje opcjonalne zaznacz pole obok pozycji Zapisywanie zwrotne haseł i wybierz pozycję Dalej.

    Konfigurowanie Azure AD Connect zapisu zwrotnego haseł

  7. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.

  8. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Włączanie funkcji zapisu zwrotnego haseł dla funkcji SSPR

Po włączeniu funkcji zapisu zwrotnego haseł Azure AD Connect teraz skonfigurować funkcję resetowania hasła usługi Azure AD do zapisu zwrotnego. Po włączeniu funkcji SSPR do korzystania z funkcji zapisu zwrotnego haseł użytkownicy, którzy zmienią lub zresetują swoje hasło, również zsynchronizują zaktualizowane hasło z lokalnym środowiskiem AD DS lokalnym.

Aby włączyć funkcję zapisu zwrotnego haseł w funkcji resetowania hasła, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta administratora globalnego.

  2. Wyszukaj i wybierz pozycję Azure Active Directory, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.

  3. Ustaw opcję Zapisuj ponownie hasła do katalogu lokalnego? na wartość Tak.

  4. Ustaw opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła? na wartość Tak.

    Włączanie samoobsługowego resetowania haseł w usłudze Azure AD dla funkcji zapisu zwrotnego haseł

  5. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisu zwrotnego funkcji SSPR skonfigurowanej w ramach tego samouczka, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wyszukaj i wybierz pozycję Azure Active Directory, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Ustaw opcję Zapisuj ponownie hasła do katalogu lokalnego? na wartość Nie.
  4. Ustaw opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła? na wartość Nie.

Jeśli nie chcesz już używać żadnych funkcji haseł, wykonaj następujące kroki z Azure AD Connect serwera:

  1. Zaloguj się na serwerze Azure AD Connect i uruchom kreatora Azure AD Connect konfiguracji.
  2. Na stronie powitalnej wybierz pozycję Konfiguruj.
  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
  4. Na stronie Łączenie z usługą Azure AD wprowadź poświadczenia administratora globalnego dla dzierżawy platformy Azure, a następnie wybierz pozycję Dalej.
  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.
  6. Na stronie Funkcje opcjonalne usuń zaznaczenie pola obok pola Password writeback (Zapis zwrotny haseł) i wybierz pozycję Next (Dalej).
  7. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
  8. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Następne kroki

W tym samouczku włączono funkcję zapisu zwrotnego funkcji SSPR usługi Azure AD w środowisku AD DS lokalnym. W tym samouczku omówiono:

  • Konfigurowanie wymaganych uprawnień do zapisu zwrotnego haseł
  • Włącz opcję zapisu zwrotnego haseł w Azure AD Connect
  • Włączanie funkcji zapisu zwrotnego haseł w funkcji resetowania hasła w usłudze Azure AD