Tutorial: habilitar o write-back de redefinição de senha self-service do Microsoft Entra para um ambiente local

Com a redefinição de senha self-service (SSPR) do Microsoft Entra, os usuários podem atualizar as respectivas senhas ou desbloquear as respectivas contas usando um navegador da Web. Recomendamos este vídeo sobre Como habilitar e configurar o SSPR no Microsoft Entra ID. Em um ambiente híbrido em que o Microsoft Entra ID está conectado a um ambiente local do Active Directory Domain Services (AD DS), esse cenário pode fazer com que as senhas sejam diferentes entre os dois diretórios.

O write-back de senha pode ser usado para sincronizar alterações de senha no Microsoft Entra de volta para seu ambiente local do AD DS. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente do Microsoft Entra ID.

Importante

Este tutorial mostra como um administrador pode habilitar a redefinição de senha por autoatendimento novamente para um ambiente local. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Neste tutorial, você aprenderá como:

• Configurar as permissões necessárias para write-back de senha
• Habilitar a opção de write-back de senha no Microsoft Entra Connect
• Habilitar o write-back de senha na SSPR do Microsoft Entra

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

• Um locatário funcional do Microsoft Entra com pelo menos uma licença do Microsoft Entra ID P1 ou licença de avaliação habilitada.
  • Se necessário, crie um gratuitamente.
  • Para obter mais informações, confira Requisitos de licenciamento para o SSPR do Microsoft Entra.
• Uma conta com o Administrador de Identidade Híbrida.
• Microsoft Entra ID configurado para redefinição de senha self-service.
  • Se necessário, conclua o tutorial anterior para habilitar o SSPR do Microsoft Entra.
• Um ambiente local do AD DS existente configurado com uma versão atual do Microsoft Entra Connect.
  • Se necessário, configure o Microsoft Entra Connect usando as configurações Expressas ou Personalizadas.
  • Para usar o write-back de senha, os controladores de domínio podem executar qualquer versão com suporte do Windows Server.

Configurar permissões de conta para o Microsoft Entra Connect

O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente local do AD DS e o Microsoft Entra ID. Normalmente, você instala o Microsoft Entra Connect em um computador com Windows Server 2016 ou posterior que está ingressado no domínio local do AD DS.

Para trabalhar corretamente com o write-back do SSPR, a conta especificada no Microsoft Entra Connect deve ter as permissões e as opções apropriadas definidas. Se você não tiver certeza de qual conta está em uso no momento, abra o Microsoft Entra Connect e selecione a opção Exibir a configuração atual. A conta à qual você precisa adicionar as permissões está listada em Diretórios Sincronizados. As seguintes permissões e opções precisam estar definidas na conta:

• Redefinir senha
• Alterar senha
• Permissões de gravação em lockoutTime
• Permissões de gravação em pwdLastSet
• Direitos estendidos para "Não permitir expiração da senha" no objeto raiz de cada domínio nessa floresta, caso ainda não estejam definidos.

Se você não atribuir essas permissões, o write-back poderá parecer estar configurado corretamente, mas os usuários receberão erros ao tentar gerenciar as respectivas senhas locais na nuvem. Ao definir as permissões de "Não permitir expiração da senha" no Active Directory Domain Services, ela deve ser aplicada a Este objeto e a todos os objetos descendentes, Somente este objeto ou Todos os objetos descendentes, ou a permissão "Não permitir expiração da senha" não pode ser exibida.

Dica

Se as senhas de algumas contas de usuário não são gravadas de volta no diretório local, verifique se a herança não está desabilitada para essas contas no ambiente local do AD DS. As permissões de gravação para senhas devem ser aplicadas aos objetos descendentes para que o recurso funcione corretamente.

Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as etapas a seguir:

1. No ambiente local do AD DS, abra Usuários e Computadores do Active Directory com uma conta que tem as permissões de administrador de domínio apropriadas.

2. No menu Exibir, verifique se os Recursos avançados estão ativados.

3. No painel esquerdo, clique com o botão direito do mouse no objeto que representa a raiz do domínio e escolha Propriedades>Segurança>Avançado.

4. Na guia Permissões, selecione Adicionar.

5. Para Entidade de segurança, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).

6. Na lista suspensa Aplica-se a, selecione os objetos de Usuário Descendente.

7. Em Permissões, selecione a caixa para a seguinte opção:

   • Redefinir senha

8. Em Permissões, marque as caixas das opções a seguir. Role a lista para encontrar essas opções, que podem já estar definidas por padrão:

   • Gravar lockoutTime
   • Gravar pwdLastSet

   

9. Quando estiver pronto, selecione Aplicar / OK para aplicar as alterações.

10. Na guia Permissões, selecione Adicionar.

11. Para Entidade de segurança, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).

12. Em Aplicar à lista suspensa, selecione Este objeto e todos os descendentes

13. Em Permissões, selecione a caixa para a seguinte opção:

    • Não permitir expiração de senha

14. Quando concluído, selecione Aplicar/OK para aplicar as alterações e sair das caixas de diálogo abertas.

Quando você atualizar as permissões, poderá levar até uma hora ou mais para que essas permissões sejam replicadas em todos os objetos no diretório.

As políticas de senha no ambiente local do AD DS podem impedir que as redefinições de senha sejam processadas corretamente. Para que o write-back de senha funcione com o máximo de eficiência, a política de grupo para Tempo de vida mínimo da senha precisa ser definida como 0. Essa configuração pode ser encontrada em Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta em gpmc.msc.

Se você atualizar a política de grupo, aguarde a política atualizada ser replicada ou use o comando gpupdate /force.

Observação

Se for necessário permitir que os usuários alterem ou redefinam as senhas mais de uma vez por dia, o Tempo de vida mínimo da senha deverá ser definido como 0. O write-back de senha funcionará depois que as políticas de senha locais forem avaliadas com êxito.

Habilitar o write-back de senha no Microsoft Entra Connect

Uma das opções de configuração no Microsoft Entra Connect é para o write-back de senha. Quando essa opção é habilitada, os eventos de alteração de senha fazem o Microsoft Entra Connect sincronizar as credenciais atualizadas de volta para o ambiente local do AD DS.

Para habilitar o write-back de SSPR, primeiro habilite a opção de write-back no Microsoft Entra Connect. Em seu servidor do Microsoft Entra Connect, conclua as seguintes etapas:

1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect.
2. Na página de Boas-vindas, selecione Configurar.
3. Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Próximo.
4. Na página Conectar-se ao Microsoft Entra ID, insira uma credencial de Administrador Global para o locatário do Azure e selecione Próximo.
5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
6. Na página Recursos opcionais, selecione a caixa ao lado de Write-back de senha e selecione Próximo.
7. Na página Extensões de diretório, selecione Avançar.
8. Na página Pronto para configurar, clique em Configurar e aguarde a conclusão do processo.
9. Quando você vir a configuração terminar, selecione Sair.

Habilitar o write-back de senha para o SSPR

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Com o write-back de senha habilitado no Microsoft Entra Connect, agora configure o SSPR do Microsoft Entra para write-back. O SSPR pode ser configurado para write-back por meio de agentes de sincronização do Microsoft Entra Connect e agentes de provisionamento do Microsoft Entra Connect (sincronização de nuvem). Quando você habilita o SSPR para usar o write-back de senha, a senha atualizada dos usuários que alteram ou redefinem as respectivas senhas é sincronizada novamente para o ambiente local do AD DS.

Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como um Administrador Global.
2. Navegue até Proteção>Redefinição de senha e selecione Integração local.
3. Marque a opção Fazer write-back de senhas em seu diretório local.
4. (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá verificar a opção de Fazer write-back de senhas com a sincronização de nuvem do Microsoft Entra Connect.
5. Marque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha como Sim.
6. Quando estiver pronto, selecione Salvar.

Limpar os recursos

Se você não deseja mais usar a funcionalidade de write-back do SSPR configurada como parte deste tutorial, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como um Administrador Global.
2. Navegue até Proteção>Redefinição de senha e selecione Integração local.
3. Desmarque a opção de Fazer write-back de senhas em seu diretório local.
4. Desmarque a opção de Fazer write-back senhas com a sincronização de nuvem do Microsoft Entra Connect.
5. Desmarque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha.
6. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR, mas quiser continuar usando o agente de sincronização do Microsoft Entra Connect para write-backs, conclua as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como um Administrador Global.
2. Navegue até Proteção>Redefinição de senha e selecione Integração local.
3. Desmarque a opção de Fazer write-back senhas com a sincronização de nuvem do Microsoft Entra Connect.
4. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor do Microsoft Entra Connect:

1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect.
2. Na página de Boas-vindas, selecione Configurar.
3. Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Próximo.
4. Na página Conectar-se ao Microsoft Entra ID, insira uma credencial de administrador global para o locatário do Azure e selecione Próximo.
5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
6. Na página Recursos opcionais, desmarque a caixa ao lado de Write-back de senha e selecione Próximo.
7. Na página Pronto para configurar, clique em Configurar e aguarde a conclusão do processo.
8. Quando você vir a configuração terminar, selecione Sair.

Importante

A habilitação do write-back de senha pela primeira vez pode disparar os eventos de alteração de senha 656 e 657, mesmo que uma alteração de senha não tenha ocorrido. Isso porque todos os hashes de senha são sincronizados novamente depois que um ciclo de sincronização de hash de senha é executado.

Próximas etapas

Neste tutorial, você habilitou o write-back de SSPR do Microsoft Entra para um ambiente local do AD DS. Você aprendeu a:

• Configurar as permissões necessárias para write-back de senha
• Habilitar a opção de write-back de senha no Microsoft Entra Connect
• Habilitar o write-back de senha na SSPR do Microsoft Entra

Avaliar o risco ao entrar