Tutorial: Habilitar o write-back de redefinição de senha de autoatendimento de sincronização na nuvem para um ambiente local
A sincronização na nuvem do Microsoft Entra Connect pode sincronizar as alterações de senha do Microsoft Entra em tempo real entre usuários em domínios dos Serviços de Domínio Ative Directory (AD DS) locais desconectados. A sincronização na nuvem do Microsoft Entra Connect pode ser executada lado a lado com o Microsoft Entra Connect no nível do domínio para simplificar o write-back de senha para cenários adicionais, como usuários que estão em domínios desconectados devido a uma divisão ou fusão de empresa. Você pode configurar cada serviço em domínios diferentes para atingir diferentes conjuntos de usuários, dependendo de suas necessidades. A sincronização na nuvem do Microsoft Entra Connect usa o agente de provisionamento de nuvem leve do Microsoft Entra para simplificar a configuração do write-back de redefinição de senha de autoatendimento (SSPR) e fornecer uma maneira segura de enviar alterações de senha na nuvem de volta para um diretório local.
Pré-requisitos
- Um locatário do Microsoft Entra com pelo menos uma ID P1 do Microsoft Entra ou uma licença de avaliação habilitada. Se necessário, crie um gratuitamente.
- Uma conta com:
- Função de Administrador Global
- ID do Microsoft Entra configurado para redefinição de senha de autoatendimento. Se necessário, conclua este tutorial para habilitar o Microsoft Entra SSPR.
- Um ambiente AD DS local configurado com a sincronização na nuvem do Microsoft Entra Connect versão 1.1.977.0 ou posterior. Saiba como identificar a versão atual do agente. Se necessário, configure a sincronização na nuvem do Microsoft Entra Connect usando este tutorial.
Passos de implementação
- Configurar permissões de conta de serviço de sincronização na nuvem do Microsoft Entra Connect
- Habilitar write-back de senha na sincronização na nuvem do Microsoft Entra Connect
- Habilitar write-back de senha para SSPR
Configurar permissões de conta de serviço de sincronização na nuvem do Microsoft Entra Connect
As permissões para sincronização na nuvem são configuradas por padrão. Se as permissões precisarem ser redefinidas, consulte Solução de problemas para obter mais detalhes sobre as permissões específicas necessárias para write-back de senha e como defini-las usando o PowerShell.
Habilitar write-back de senha no SSPR
Você pode habilitar o provisionamento de sincronização na nuvem do Microsoft Entra Connect diretamente no centro de administração do Microsoft Entra ou por meio do PowerShell.
Habilitar write-back de senha no centro de administração do Microsoft Entra
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Com o write-back de senha habilitado na sincronização na nuvem do Microsoft Entra Connect, verifique agora e configure a redefinição de senha de autoatendimento (SSPR) do Microsoft Entra para write-back de senha. Quando você habilita o SSPR para usar o write-back de senha, os usuários que alteram ou redefinem sua senha também têm essa senha atualizada sincronizada de volta ao ambiente local do AD DS.
Para verificar e habilitar o write-back de senha no SSPR, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Redefinição de senha de proteção>e escolha Integração local.
Marque a opção Ativar gravação de senha para usuários sincronizados.
(facultativo) Se os agentes de provisionamento do Microsoft Entra Connect forem detetados, você também poderá marcar a opção Gravar senhas de volta com a sincronização na nuvem do Microsoft Entra Connect.
Marque a opção Permitir que os usuários desbloqueiem contas sem redefinir a senha para Sim.
Quando estiver pronto, selecione Salvar.
PowerShell
Com o PowerShell, você pode habilitar a sincronização na nuvem do Microsoft Entra Connect usando o cmdlet Set-AADCloudSyncPasswordWritebackConfiguration nos servidores com os agentes de provisionamento. Você precisará de credenciais de administrador global:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Clean up resources (Limpar recursos)
Se você não quiser mais usar a funcionalidade de write-back SSPR que configurou como parte deste tutorial, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Redefinição de senha de proteção>e escolha Integração local.
- Desmarque a opção Ativar gravação de senha para usuários sincronizados.
- Desmarque a opção Gravar senhas com a sincronização na nuvem do Microsoft Entra Connect.
- Desmarque a opção Permitir que os usuários desbloqueiem contas sem redefinir sua senha.
- Quando estiver pronto, selecione Salvar.
Se você não quiser mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back SSPR, mas quiser continuar usando o agente Microsoft Entra Connect Sync para writebacks, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Redefinição de senha de proteção>e escolha Integração local.
- Desmarque a opção Gravar senhas com a sincronização na nuvem do Microsoft Entra Connect.
- Quando estiver pronto, selecione Salvar.
Você também pode usar o PowerShell para desabilitar a sincronização de nuvem do Microsoft Entra Connect para a funcionalidade de write-back SSPR, a partir do seu servidor de sincronização de nuvem do Microsoft Entra Connect, executar Set-AADCloudSyncPasswordWritebackConfiguration usando credenciais de Administrador de Identidade Híbrida para desabilitar o write-back de senha com a sincronização de nuvem do Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operações suportadas
As senhas são gravadas novamente nas seguintes situações para usuários finais e administradores.
| Conta | Operações suportadas |
|---|---|
| Utilizadores finais | Qualquer operação de alteração voluntária de senha de autoatendimento do usuário final. Qualquer operação de autoatendimento do usuário final força a alteração de senha, por exemplo, expiração de senha. Qualquer redefinição de senha de autoatendimento do usuário final originada da redefinição de senha. |
| Administradores | Qualquer operação de alteração voluntária de senha de autoatendimento do administrador. Qualquer operação de autoatendimento do administrador força a alteração da senha, por exemplo, a expiração da senha. Qualquer redefinição de senha de autoatendimento do administrador originada da redefinição de senha. Qualquer redefinição de senha de usuário final iniciada pelo administrador a partir do centro de administração do Microsoft Entra. Qualquer redefinição de senha de usuário final iniciada pelo administrador a partir da API do Microsoft Graph. |
Operações sem suporte
As senhas não são gravadas novamente nas seguintes situações.
| Conta | Operações sem suporte |
|---|---|
| Utilizadores finais | Qualquer usuário final redefina sua própria senha usando cmdlets do PowerShell ou a API do Microsoft Graph. |
| Administradores | Qualquer redefinição de senha de usuário final iniciada pelo administrador usando cmdlets do PowerShell. Qualquer reposição de palavra-passe de utilizador final iniciada pelo administrador no centro do administração do Microsoft 365. Qualquer administrador não pode usar a ferramenta de redefinição de senha para redefinir sua própria senha ou qualquer outro administrador no Microsoft Entra ID para write-back de senha. |
Cenários de validação
Tente as operações a seguir para validar cenários usando write-back de senha. Todos os cenários de validação exigem que a sincronização na nuvem esteja instalada e que o usuário esteja no escopo para write-back de senha.
| Scenario | Detalhes |
|---|---|
| Repor a palavra-passe a partir da página de início de sessão | Fazer com que dois usuários de domínios e florestas desconectados executem SSPR. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem implantados lado a lado e ter um usuário no escopo da configuração de sincronização na nuvem e outro no escopo do Microsoft Entra Connect e fazer com que esses usuários redefina sua senha. |
| Forçar alteração de senha expirada | Fazer com que dois usuários de domínios e florestas desconectados alterem senhas expiradas. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem implantados lado a lado e ter um usuário no escopo da configuração de sincronização na nuvem e outro no escopo do Microsoft Entra Connect. |
| Alteração regular da palavra-passe | Peça a dois usuários de domínios e florestas desconectados que realizem alterações de senha de rotina. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado e ter um usuário no escopo da configuração de sincronização na nuvem e outro no escopo do Microsoft Entra Connect. |
| Admin redefinir senha de usuário | Peça a dois usuários que desconectaram domínios e florestas para redefinir sua senha do centro de administração do Microsoft Entra ou do portal de trabalho da Frontline. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado e ter um usuário no escopo da configuração de sincronização na nuvem e outro no escopo do Microsoft Entra Connect |
| Desbloqueio de conta self-service | Fazer com que dois usuários de domínios e florestas desconectados desbloqueiem contas no portal SSPR redefinindo a senha. Você também pode ter o Microsoft Entra Connect e a sincronização na nuvem lado a lado e ter um usuário no escopo da configuração de sincronização na nuvem e outro no escopo do Microsoft Entra Connect. |
Resolução de problemas
A Conta de Serviço Gerenciado do grupo de sincronização de nuvem do Microsoft Entra Connect deve ter as seguintes permissões definidas para gravar as senhas por padrão:
- Repor palavra-passe
- Permissões de gravação em lockoutTime
- Permissões de gravação em pwdLastSet
- Direitos estendidos para "Unexpire Password" no objeto raiz de cada domínio nessa floresta, se ainda não estiver definido.
Se essas permissões não estiverem definidas, você poderá definir a permissão PasswordWriteBack na conta de serviço usando o cmdlet Set-AADCloudSyncPermissions e as credenciais de administrador corporativo local:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Depois de atualizar as permissões, pode levar até uma hora ou mais para que essas permissões sejam replicadas para todos os objetos no diretório.
Se as senhas de algumas contas de usuário não forem gravadas de volta no diretório local, verifique se a herança não está desabilitada para a conta no ambiente AD DS local. As permissões de gravação para senhas devem ser aplicadas a objetos descendentes para que o recurso funcione corretamente.
As políticas de senha no ambiente AD DS local podem impedir que as redefinições de senha sejam processadas corretamente. Se você estiver testando esse recurso e quiser redefinir a senha para usuários mais de uma vez por dia, a política de grupo para Idade mínima da senha deve ser definida como 0. Essa configuração pode ser encontrada em Políticas > de Configuração do Computador, Configurações do Windows, Configurações > de Segurança, Políticas > de Conta, > Política de > Senha no gpmc.msc.
Se você atualizar a política de grupo, aguarde até que a política atualizada seja replicada ou use o comando gpupdate /force.
Para que as palavras-passe sejam alteradas imediatamente, a idade mínima da palavra-passe tem de ser definida como 0. No entanto, se os usuários aderirem às políticas locais e a Idade mínima da senha for definida como um valor maior que zero, o write-back de senha não funcionará depois que as políticas locais forem avaliadas.
Para obter mais informações sobre como validar ou configurar as permissões apropriadas, consulte Configurar permissões de conta para o Microsoft Entra Connect.
Próximos passos
- Para obter mais informações sobre sincronização na nuvem e uma comparação entre o Microsoft Entra Connect e a sincronização na nuvem, consulte O que é a sincronização na nuvem do Microsoft Entra Connect?
- Para obter um tutorial sobre como configurar o write-back de senha usando o Microsoft Entra Connect, consulte Tutorial: Habilitar o write-back de redefinição de senha de autoatendimento do Microsoft Entra para um ambiente local.