Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł firmy Microsoft w środowisku lokalnym

  • Artykuł

Dzięki funkcji samoobsługowego resetowania hasła firmy Microsoft (SSPR) użytkownicy mogą aktualizować swoje hasło lub odblokować swoje konto przy użyciu przeglądarki internetowej. Zalecamy to wideo dotyczące włączania i konfigurowania samoobsługowego resetowania hasła w identyfikatorze Entra firmy Microsoft. W środowisku hybrydowym, w którym identyfikator Entra firmy Microsoft jest połączony ze środowiskiem usług lokalna usługa Active Directory Domain Services (AD DS), ten scenariusz może powodować różnice haseł między dwoma katalogami.

Zapisywanie zwrotne haseł może służyć do synchronizowania zmian haseł w firmie Microsoft Entra z powrotem do lokalnego środowiska usług AD DS. Microsoft Entra Połączenie zapewnia bezpieczny mechanizm wysyłania tych zmian haseł z powrotem do istniejącego katalogu lokalnego z identyfikatora Entra firmy Microsoft.

Ważne

W tym samouczku pokazano administratorowi, jak włączyć samoobsługowe resetowanie hasła z powrotem do środowiska lokalnego. Jeśli jesteś użytkownikiem końcowym, który został już zarejestrowany na potrzeby samoobsługowego resetowania hasła i musisz wrócić do konta, przejdź do strony https://aka.ms/sspr.

Jeśli twój zespół IT nie włączył możliwości resetowania własnego hasła, skontaktuj się z pomocą techniczną, aby uzyskać dodatkową pomoc.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
  • Włącz opcję zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie
  • Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra SSPR

Wymagania wstępne

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:

  • Działająca dzierżawa firmy Microsoft Entra z włączoną licencją microsoft Entra ID P1 lub wersji próbnej.
  • Konto z Administracja istratorem tożsamości hybrydowej.
  • Microsoft Entra ID skonfigurowany na potrzeby samoobsługowego resetowania hasła.
  • Istniejące lokalne środowisko usług AD DS skonfigurowane z bieżącą wersją usługi Microsoft Entra Połączenie.
    • W razie potrzeby skonfiguruj Połączenie microsoft Entra przy użyciu ustawień ekspresowych lub niestandardowych.
    • Aby użyć zapisywania zwrotnego haseł, kontrolery domeny mogą uruchamiać dowolną obsługiwaną wersję systemu Windows Server.

Konfigurowanie uprawnień konta dla usługi Microsoft Entra Połączenie

Firma Microsoft Entra Połączenie umożliwia synchronizowanie użytkowników, grup i poświadczeń między lokalnym środowiskiem usług AD DS i identyfikatorem Entra firmy Microsoft. Zazwyczaj na komputerze z systemem Windows Server 2016 lub nowszym dołączonym do lokalnej domeny usług AD DS zwykle instaluje się program Microsoft Entra Połączenie.

Aby poprawnie pracować z zapisywaniem zwrotnym samoobsługowego resetowania hasła, konto określone w usłudze Microsoft Entra Połączenie musi mieć odpowiednie uprawnienia i opcje ustawione. Jeśli nie masz pewności, które konto jest obecnie używane, otwórz aplikację Microsoft Entra Połączenie i wybierz opcję Wyświetl bieżącą konfigurację. Konto, do którego chcesz dodać uprawnienia, znajduje się na liście w obszarze Synchronizowane katalogi. Na koncie należy ustawić następujące uprawnienia i opcje:

  • Resetowanie hasła
  • Zmień hasło
  • Uprawnienia do zapisu w usłudze lockoutTime
  • Uprawnienia do zapisu w usłudze pwdLastSet
  • Rozszerzone prawa dla hasła "Unexpire Password" w obiekcie głównym każdej domeny w tym lesie, jeśli jeszcze nie zostały ustawione.

Jeśli te uprawnienia nie zostaną przypisane, zapisywanie zwrotne może wydawać się być skonfigurowane poprawnie, ale użytkownicy napotykają błędy podczas zarządzania hasłami lokalnymi z chmury. W przypadku ustawiania uprawnień "Niewyświetnij hasło" w usłudze Active Directory należy zastosować je do tego obiektu i wszystkich obiektów potomnych, tylko ten obiekt lub Wszystkie obiekty potomne albo nie można wyświetlić uprawnienia "Nieexpire Password".

Napiwek

Jeśli hasła dla niektórych kont użytkowników nie są zapisywane z powrotem do katalogu lokalnego, upewnij się, że dziedziczenie nie jest wyłączone dla konta w środowisku lokalnym usług AD DS. Uprawnienia do zapisu haseł muszą być stosowane do obiektów potomnych, aby funkcja działała poprawnie.

Aby skonfigurować odpowiednie uprawnienia do zapisywania zwrotnego haseł, wykonaj następujące kroki:

  1. W lokalnym środowisku usług AD DS otwórz Użytkownicy i komputery usługi Active Directory przy użyciu konta z odpowiednimi uprawnieniami administratora domeny.

  2. Z menu Widok upewnij się, że funkcje zaawansowane są włączone.

  3. W panelu po lewej stronie wybierz prawym przyciskiem pozycję obiekt reprezentujący katalog główny domeny, a następnie wybierz pozycję Właściwości>Zaawansowane zabezpieczenia.>

  4. Na karcie Uprawnienia wybierz pozycję Dodaj.

  5. W polu Principal (Podmiot zabezpieczeń) wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez firmę Microsoft Entra Połączenie).

  6. Na liście rozwijanej Dotyczy wybierz pozycję Obiekty użytkownika podrzędnego.

  7. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:

    • Resetowanie hasła

  8. W obszarze Właściwości zaznacz pola dla następujących opcji. Przewiń listę, aby znaleźć te opcje, które mogą być już ustawione domyślnie:

    • Zapis lockoutTime
    • Pisanie elementu pwdLastSet

    Set the appropriate permissions in Active Users and Computers for the account that is used by Microsoft Entra Connect

  9. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany.

  10. Na karcie Uprawnienia wybierz pozycję Dodaj.

  11. W polu Principal (Podmiot zabezpieczeń) wybierz konto, do którego mają być stosowane uprawnienia (konto używane przez firmę Microsoft Entra Połączenie).

  12. Na liście rozwijanej Dotyczy wybierz pozycję Ten obiekt i wszystkie obiekty podrzędne

  13. W obszarze Uprawnienia wybierz pole wyboru dla następującej opcji:

    • Niewyświetne hasło

  14. Gdy wszystko będzie gotowe, wybierz pozycję Zastosuj/OK , aby zastosować zmiany i zakończyć wszystkie otwarte okna dialogowe.

Podczas aktualizowania uprawnień może upłynąć do godziny lub więcej, aby te uprawnienia były replikowane do wszystkich obiektów w katalogu.

Zasady haseł w lokalnym środowisku usług AD DS mogą uniemożliwić prawidłowe przetwarzanie resetowania haseł. Aby zapisywanie zwrotne haseł działało najwydajniej, należy ustawić zasady grupy minimalnego wieku hasła na 0. To ustawienie można znaleźć w obszarze Zasady konfiguracji > komputera Zasady > zabezpieczeń systemu Windows Ustawienia > Ustawienia > zasad konta w programie gpmc.msc.

Jeśli zaktualizujesz zasady grupy, zaczekaj na zreplikowanie zaktualizowanych zasad lub użyj gpupdate /force polecenia .

Uwaga

Jeśli chcesz zezwolić użytkownikom na zmienianie lub resetowanie haseł więcej niż raz dziennie, minimalny wiek hasła musi mieć wartość 0. Zapisywanie zwrotne haseł będzie działać po pomyślnym ocenie lokalnych zasad haseł.

Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie

Jedną z opcji konfiguracji w usłudze Microsoft Entra Połączenie jest zapisywanie zwrotne haseł. Po włączeniu tej opcji zdarzenia zmiany hasła powodują, że firma Microsoft Entra Połączenie zsynchronizować zaktualizowane poświadczenia z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego samoobsługowego resetowania hasła, najpierw włącz opcję zapisywania zwrotnego w usłudze Microsoft Entra Połączenie. Na serwerze Microsoft Entra Połączenie wykonaj następujące kroki:

  1. Zaloguj się do serwera Microsoft Entra Połączenie i uruchom kreatora konfiguracji microsoft Entra Połączenie.
  2. Na stronie powitalnej wybierz pozycję Konfiguruj.
  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
  4. Na stronie Połączenie do identyfikatora entra firmy Microsoft wprowadź poświadczenie globalnego Administracja istratora dla dzierżawy platformy Azure, a następnie wybierz przycisk Dalej.
  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.
  6. Na stronie Funkcje opcjonalne zaznacz pole obok pozycji Zapisywanie zwrotne haseł i wybierz pozycję Dalej.
  7. Na stronie Rozszerzenia katalogu wybierz pozycję Dalej.
  8. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
  9. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Włączanie zapisywania zwrotnego haseł dla samoobsługowego resetowania hasła

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Po włączeniu zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie teraz skonfiguruj funkcję zapisywania zwrotnego za pomocą funkcji samoobsługowego resetowania haseł firmy Microsoft. Samoobsługowe resetowanie hasła można skonfigurować do zapisywania zwrotnego za pośrednictwem agentów usługi Microsoft Entra Połączenie Sync i agentów aprowizacji firmy Microsoft Entra Połączenie (synchronizacja w chmurze). Po włączeniu samoobsługowego resetowania hasła do korzystania z zapisywania zwrotnego haseł użytkownicy, którzy zmieniają lub resetują swoje hasło, również zaktualizowali hasło zsynchronizowane z powrotem do lokalnego środowiska usług AD DS.

Aby włączyć funkcję zapisywania zwrotnego haseł w samoobsługowym resetowaniu hasła, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.
  2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
  3. Sprawdź opcję Zapisuj zwrotne hasła do katalogu lokalnego .
  4. (opcjonalnie) Jeśli wykryto agentów aprowizacji usługi Microsoft Entra Połączenie, możesz dodatkowo sprawdzić opcję Zapisywanie haseł zwrotnych za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Czyszczenie zasobów

Jeśli nie chcesz już używać funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, które zostały skonfigurowane w ramach tego samouczka, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.
  2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
  3. Usuń zaznaczenie opcji Zapisuj hasła zwrotne do katalogu lokalnego.
  4. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
  5. Usuń zaznaczenie opcji Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać usługi Microsoft Entra Połączenie synchronizacji w chmurze na potrzeby funkcji zapisywania zwrotnego samoobsługowego resetowania hasła, ale chcesz kontynuować korzystanie z agenta microsoft Entra Połączenie Sync na potrzeby zapisywania zwrotnego, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalny Administracja istrator.
  2. Przejdź do pozycji Resetowanie hasła ochrony>, a następnie wybierz pozycję Integracja lokalna.
  3. Usuń zaznaczenie opcji Zapisywania zwrotnych haseł za pomocą usługi Microsoft Entra Połączenie synchronizacji w chmurze.
  4. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Jeśli nie chcesz już używać żadnych funkcji haseł, wykonaj następujące kroki z serwera Microsoft Entra Połączenie:

  1. Zaloguj się do serwera Microsoft Entra Połączenie i uruchom kreatora konfiguracji microsoft Entra Połączenie.
  2. Na stronie powitalnej wybierz pozycję Konfiguruj.
  3. Na stronie Zadania dodatkowe wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
  4. Na stronie Połączenie do identyfikatora entra firmy Microsoft wprowadź poświadczenia administratora globalnego dla dzierżawy platformy Azure, a następnie wybierz przycisk Dalej.
  5. Na stronach filtrowania Łączenie katalogów i Domena/jednostka OU wybierz pozycję Dalej.
  6. Na stronie Funkcje opcjonalne usuń zaznaczenie pola obok pozycji Zapisywanie zwrotne haseł i wybierz przycisk Dalej.
  7. Na stronie Wszystko gotowe do skonfigurowania wybierz pozycję Konfiguruj i poczekaj na zakończenie procesu.
  8. Po ukończeniu konfiguracji wybierz pozycję Zakończ.

Ważne

Włączenie zapisywania zwrotnego haseł po raz pierwszy może spowodować wyzwolenie zdarzeń zmiany hasła 656 i 657, nawet jeśli zmiana hasła nie wystąpiła. Dzieje się tak, ponieważ wszystkie skróty haseł są ponownie synchronizowane po uruchomieniu cyklu synchronizacji skrótów haseł.

Następne kroki

W tym samouczku włączono funkcję zapisywania zwrotnego samoobsługowego resetowania haseł firmy Microsoft w lokalnym środowisku usług AD DS. W tym samouczku omówiono:

  • Konfigurowanie wymaganych uprawnień do zapisywania zwrotnego haseł
  • Włącz opcję zapisywania zwrotnego haseł w usłudze Microsoft Entra Połączenie
  • Włączanie zapisywania zwrotnego haseł w usłudze Microsoft Entra SSPR

Ocena ryzyka podczas logowania