Практическое руководство. Настройка компонента обратной записи паролейHow-to: Configure password writeback

В инструкциях ниже предполагается, что вы уже настроили Azure AD Connect в своей среде с помощью параметров Экспресс или Пользовательский.The following steps assume you have already configured Azure AD Connect in your environment by using the Express or Custom settings.

  1. Чтобы настроить и включить компонент обратной записи паролей, войдите на сервер Azure AD Connect и запустите мастер настройки Azure AD Connect.To configure and enable password writeback, sign in to your Azure AD Connect server and start the Azure AD Connect configuration wizard.
  2. На странице Приветствие нажмите кнопку Настроить.On the Welcome page, select Configure.
  3. Выберите Настроить параметры синхронизации на странице Дополнительные задачи и нажмите кнопку Далее.On the Additional tasks page, select Customize synchronization options, and then select Next.
  4. На странице Подключение к Azure AD введите учетные данные глобального администратора и нажмите кнопку Далее.On the Connect to Azure AD page, enter a global administrator credential, and then select Next.
  5. На страницах фильтров Подключить каталоги и Домен или подразделение нажмите кнопку Далее.On the Connect directories and Domain/OU filtering pages, select Next.
  6. На странице Дополнительные компоненты установите флажок рядом с параметром Обратная запись паролей и нажмите кнопку Далее.On the Optional features page, select the box next to Password writeback and select Next. Включение обратной записи паролей в Azure AD ConnectEnable password writeback in Azure AD Connect
  7. На странице Готово к настройке щелкните Настроить и дождитесь завершения процесса.On the Ready to configure page, select Configure and wait for the process to finish.
  8. После завершения настройки нажмите кнопку Выход.When you see the configuration finish, select Exit.

Действия по устранению неполадок, связанных с компонентом обратной записи паролей, описаны в разделе Устранение неполадок с обратной записью паролей соответствующей статьи.For common troubleshooting tasks related to password writeback, see the section Troubleshoot password writeback in our troubleshooting article.

Предупреждение

Компонент обратной записи паролей перестанет работать для клиентов, которые используют Azure AD Connect версии 1.0.8641.0 и выше, когда поддержка службы контроля доступа Azure (ACS) будет прекращена, 7 ноября 2018 года.Password writeback will stop working for customers who are using Azure AD Connect versions 1.0.8641.0 and older when the Azure Access Control service (ACS) is retired on November 7th, 2018. Версии Azure AD Connect 1.0.8641.0 и выше больше не будут допускать использование функции обратной записи паролей, так как они зависят от ACS.Azure AD Connect versions 1.0.8641.0 and older will no longer allow password writeback at that time because they depend on ACS for that functionality.

Чтобы избежать перебоев в работе службы, обновите предыдущую версию Azure AD Connect до более новой. Для этого ознакомьтесь со статьей Azure AD Connect: обновление до последней версии.To avoid a disruption in service, upgrade from a previous version of Azure AD Connect to a newer version, see the article Azure AD Connect: Upgrade from a previous version to the latest

Требования к лицензированию для обратной записи паролейLicensing requirements for password writeback

Самостоятельный сброс пароля, изменение и разблокировка при помощи локальной обратной записи — это возможности Azure AD уровня "Премиум" .Self-Service Password Reset/Change/Unlock with on-premises writeback is a premium feature of Azure AD. Дополнительные сведения о лицензировании см. на веб-сайте с ценами на Azure Active Directory.For more information about licensing, see the Azure Active Directory pricing site.

Чтобы использовать компонент обратной записи паролей, клиенту должна быть назначена одна из приведенных ниже лицензий:To use password writeback, you must have one of the following licenses assigned on your tenant:

  • Azure AD Premium P1Azure AD Premium P1
  • Azure AD Premium P2Azure AD Premium P2
  • Enterprise Mobility + Security E3 или A3;Enterprise Mobility + Security E3 or A3
  • Enterprise Mobility + Security E5 или A5;Enterprise Mobility + Security E5 or A5
  • Microsoft 365 E3 или A3;Microsoft 365 E3 or A3
  • Microsoft 365 E5 или A5;Microsoft 365 E5 or A5
  • Microsoft 365 F1Microsoft 365 F1
  • Microsoft 365 бизнесMicrosoft 365 Business

Предупреждение

Автономные планы лицензирования Office 365 не поддерживают функции самостоятельного сброса пароля, изменения пароля или разблокировки при помощи локальной обратной записи. Для работы этих функций требуется один из указанных выше планов.Standalone Office 365 licensing plans don't support "Self-Service Password Reset/Change/Unlock with on-premises writeback" and require that you have one of the preceding plans for this functionality to work.

Разрешения Active DirectoryActive Directory permissions

Для учетной записи, указанной в служебной программе Azure AD Connect, должны быть заданы следующие элементы, чтобы можно было использовать SSPR:The account specified in the Azure AD Connect utility must have the following items set if you want to be in scope for SSPR:

  • Сброс пароляReset password
  • Изменить парольChange password
  • разрешения на запись для lockoutTime;Write permissions on lockoutTime
  • разрешения на запись для pwdLastSet;Write permissions on pwdLastSet
  • расширенные права для любого из перечисленных ниже объектов:Extended rights on either:
    • корневой объект каждого домена в этом лесу;The root object of each domain in that forest
    • подразделения пользователя, которые должны находиться в области действия SSPR.The user organizational units (OUs) you want to be in scope for SSPR

Если вы не уверены, к какой учетной записи относятся описанные выше учетные данные, откройте пользовательский интерфейс настройки Azure Active Directory Connect и щелкните Просмотр текущей конфигурации.If you're not sure what account the described account refers to, open the Azure Active Directory Connect configuration UI and select the View current configuration option. Учетная запись, для которой необходимо добавить разрешение, указана в разделе Синхронизированные каталоги.The account that you need to add permission to is listed under Synchronized Directories.

Установка этих разрешений позволит учетной записи службы MA для каждого леса управлять паролями от имени учетных записей пользователей в этом лесу.If you set these permissions, the MA service account for each forest can manage passwords on behalf of the user accounts within that forest.

Важно!

Если не назначить эти разрешения, то даже при внешне правильной настройке обратной записи пользователи столкнутся с ошибками при попытке управления своими локальными паролями из облака.If you neglect to assign these permissions, then, even though writeback appears to be configured correctly, users will encounter errors when they attempt to manage their on-premises passwords from the cloud.

Примечание

Репликация этих разрешений по всем объектам вашего каталога может занять час или больше.It might take up to an hour or more for these permissions to replicate to all the objects in your directory.

Чтобы задать соответствующие разрешения для компонента обратной записи паролей, сделайте следующее.To set up the appropriate permissions for password writeback to occur, complete the following steps:

  1. Откройте оснастку "Пользователи и компьютеры Active Directory" с учетной записью с правами администратора соответствующего домена.Open Active Directory Users and Computers with an account that has the appropriate domain administration permissions.
  2. В меню Вид включите параметр Расширенные возможности.From the View menu, make sure Advanced features is turned on.
  3. На панели слева щелкните правой кнопкой мыши объект, который представляет корень домена, и выберите Свойства > Безопасность > Дополнительно.In the left panel, right-click the object that represents the root of the domain and select Properties > Security > Advanced.
  4. На вкладке Разрешения нажмите кнопку Добавить.From the Permissions tab, select Add.
  5. Выберите учетную запись, к которой необходимо применить разрешения (из настроек Azure AD Connect).Pick the account that permissions are being applied to (from the Azure AD Connect setup).
  6. Из раскрывающегося списка Применяется к выберите Descendent User objects (Дочерние объекты-пользователи).In the Applies to drop-down list, select Descendant User objects.
  7. В разделе Разрешения установите флажки для разрешений приведенных ниже.Under Permissions, select the boxes for the following options:
    • Изменить парольChange password
    • Сброс пароляReset password
  8. В разделе Свойства выберите поля для следующих параметров:Under Properties, select the boxes for the following options:
    • Write lockoutTime (Запись времени блокировки);Write lockoutTime
    • Write pwdLastSet (Запись времени последней установки пароля).Write pwdLastSet
  9. Щелкните Применить и "ОК", чтобы применить изменения, а затем закройте все открытые диалоговые окна.Select Apply/OK to apply the changes and exit any open dialog boxes.

Дальнейшие действияNext steps

Что такое компонент обратной записи паролей?What is password writeback?