Руководство. Включение обратной записи самостоятельного сброса пароля Microsoft Entra в локальную среду

При самостоятельном сбросе пароля Microsoft Entra (SSPR) пользователи могут обновлять пароль или разблокировать свою учетную запись с помощью веб-браузера. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. В гибридной среде, в которой идентификатор Microsoft Entra подключен к среде локальная служба Active Directory доменных служб (AD DS), этот сценарий может вызвать разные пароли между двумя каталогами.

Обратная запись паролей может использоваться для синхронизации изменений паролей в Microsoft Entra обратно в локальную среду AD DS. Microsoft Entra Подключение предоставляет безопасный механизм для отправки этих изменений паролей обратно в существующий локальный каталог из идентификатора Microsoft Entra.

Внимание

В этом руководстве рассказывается, как администратор может включить самостоятельный сброс пароля в локальной среде. Если вы обычный пользователь, для вас разрешен самостоятельный сброс пароля и вы хотите восстановить доступ к учетной записи, перейдите на страницу https://aka.ms/sspr.

Если ваша группа ИТ пока не включила возможность самостоятельно сбрасывать пароль, обратитесь за помощью в службу поддержки.

В этом руководстве описано следующее:

• настройка требуемых разрешений для обратной записи паролей;
• Включение параметра обратной записи паролей в Microsoft Entra Подключение
• Включение обратной записи паролей в Microsoft Entra SSPR

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы и разрешения:

• Рабочий клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P1 или пробной лицензией.
  • Создайте ее бесплатно, если нужно.
  • Дополнительные сведения см. в разделе "Требования к лицензированию" для Microsoft Entra SSPR.
• Учетная запись с Администратором гибридных удостоверений.
• Идентификатор Microsoft Entra, настроенный для самостоятельного сброса пароля.
  • При необходимости завершите работу с предыдущим учебником, чтобы включить SSPR в Microsoft Entra.
• Существующая локальная среда AD DS, настроенная с текущей версией Microsoft Entra Подключение.
  • При необходимости настройте Microsoft Entra Подключение с помощью параметров Express или Custom.
  • Для использования компонента обратной записи паролей на контроллерах домена может быть запущена любая поддерживаемая версия Windows Server.

Настройка разрешений учетной записи для Microsoft Entra Подключение

Microsoft Entra Подключение позволяет синхронизировать пользователей, группы и учетные данные между локальной средой AD DS и идентификатором Microsoft Entra. Обычно вы устанавливаете microsoft Entra Подключение на компьютере Windows Server 2016 или более поздней версии, присоединенном к локальному домену AD DS.

Чтобы правильно работать с обратной записью SSPR, учетная запись, указанная в microsoft Entra Подключение, должна иметь соответствующие разрешения и параметры. Если вы не уверены, какая учетная запись сейчас используется, откройте Microsoft Entra Подключение и выберите параметр "Просмотреть текущую конфигурацию". Учетная запись, для которой необходимо добавить разрешение, указана в разделе Синхронизированные каталоги. Для учетной записи необходимо задать следующие разрешения и параметры:

• Сброс пароля
• Изменить пароль
• разрешения на запись для lockoutTime;
• разрешения на запись для pwdLastSet;
• расширенные права для пароля без истекшего срока действия в корневом объекте каждого домена в таком лесу (если они еще не заданы).

Если эти разрешения не будут назначены, даже при кажущейся правильной настройке обратной записи паролей пользователи столкнутся с ошибками при попытке управления своими локальными паролями из облака. Устанавливаемые разрешения "Отмена истечения срока пароля" в Active Directory должны распространятся на Этот объект и все дочерние объекты, Только этот объект или Все дочерние объекты. В противном случае разрешение "Отмена истечения срока пароля" не будет отображаться.

Совет

Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.

Чтобы задать соответствующие разрешения для компонента обратной записи паролей, сделайте следующее.

1. В локальной среде AD DS откройте оснастку Пользователи и компьютеры Active Directory с учетной записью с правами администратора соответствующего домена.

2. В меню Представление включите параметр Расширенные возможности.

3. На панели слева щелкните правой кнопкой мыши объект, который представляет корень домена, и выберите Свойства>Безопасность>Дополнительно.

4. На вкладке Разрешения нажмите кнопку Добавить.

5. Для субъекта выберите учетную запись, к которую должны применяться разрешения (учетная запись, используемая microsoft Entra Подключение).

6. Из раскрывающегося списка Применяется к выберите Descendent User objects (Дочерние объекты-пользователи).

7. В разделе Разрешения установите флажок для следующего варианта:

   • Сброс пароля

8. В разделе Свойства установите флажки для следующих параметров. Прокрутите список, чтобы найти эти параметры; они уже могут быть установлены по умолчанию:

   • Write lockoutTime (Запись времени блокировки);
   • Write pwdLastSet (Запись времени последней установки пароля).

   

9. Когда все готово, нажмите кнопку "Применить/ ОК ", чтобы применить изменения.

10. На вкладке Разрешения нажмите кнопку Добавить.

11. Для субъекта выберите учетную запись, к которую должны применяться разрешения (учетная запись, используемая microsoft Entra Подключение).

12. В раскрывающемся списке "Область применения" выберите этот объект и все объекты-потомки

13. В разделе Разрешения установите флажок для следующего варианта:

    • Отмена пароля

14. Когда все будет готово, щелкните Применить и "ОК", чтобы применить изменения, а затем закройте все открытые диалоговые окна.

При обновлении разрешений их репликация на всех объектах каталога может занять час или больше.

Политики паролей в локальной среде AD DS могут препятствовать правильной обработке сброса паролей. Чтобы компонент обратной записи паролей работал как можно эффективнее, значение групповой политики для минимального срока действия пароля должно быть равно 0. Этот параметр можно найти в разделе Конфигурация компьютера > Политики > Параметры Windows > Параметры безопасности > Политики учетных записей в gpmc.msc.

При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.

Примечание.

Если необходимо разрешить пользователям изменять или сбрасывать пароли несколько раз в день, параметру Минимальный срок действия пароля должно быть задано значение 0. Обратная запись паролей начнет работать после успешной оценки локальных политик паролей.

Включение обратной записи паролей в Microsoft Entra Подключение

Одним из вариантов конфигурации в Microsoft Entra Подключение является обратная запись паролей. Если этот параметр включен, события изменения пароля вызывают Подключение Microsoft Entra для синхронизации обновленных учетных данных обратно в локальную среду AD DS.

Чтобы включить обратную запись SSPR, сначала включите параметр обратной записи в Microsoft Entra Подключение. На сервере Microsoft Entra Подключение выполните следующие действия:

1. Войдите на сервер Microsoft Entra Подключение и запустите мастер настройки Microsoft Entra Подключение.
2. На странице Приветствие нажмите кнопку Настроить.
3. Выберите Настроить параметры синхронизации на странице Дополнительные задачи и нажмите кнопку Далее.
4. На странице Подключение идентификатора Microsoft Entra введите учетные данные глобального Администратор istrator для клиента Azure и нажмите кнопку "Далее".
5. На страницах фильтров Подключить каталоги и Домен или подразделение нажмите кнопку Далее.
6. На странице Дополнительные компоненты установите флажок рядом с параметром Обратная запись паролей и нажмите кнопку Далее.
7. На странице Расширения каталогов щелкните Далее.
8. На странице Готово к настройке щелкните Настроить и дождитесь завершения процесса.
9. После завершения настройки нажмите кнопку Выход.

Включение обратной записи паролей для SSPR

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

После включения обратной записи паролей в Microsoft Entra Подключение теперь настройте Microsoft Entra SSPR для обратной записи. SSPR можно настроить для обратной записи через агенты синхронизации Microsoft Entra Подключение и агенты подготовки Microsoft Entra Подключение (облачная синхронизация). При включении SSPR для использования обратной записи паролей пользователи, которые меняют или сбрасывают свой пароль, синхронизируют этот пароль с локальной средой AD DS.

Чтобы включить обратную запись паролей в SSPR, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Установите флажок Обратная запись паролей в локальный каталог.
4. (необязательно) Если обнаружены агенты подготовки Microsoft Entra Подключение, можно также проверка параметр обратной записи паролей с помощью microsoft Entra Подключение облачной синхронизации.
5. Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
6. Когда все будет готово, щелкните Сохранить.

Очистка ресурсов

Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную с помощью этого руководства, сделайте следующее:

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Снимите флажок Включить обратную запись паролей в локальный каталог.
4. Un проверка параметр обратной записи паролей с помощью Microsoft Entra Подключение облачной синхронизации.
5. Снимите флажок Разрешить пользователям разблокировать учетные записи без сброса пароля.
6. Когда все будет готово, щелкните Сохранить.

Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Подключение для функций обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Подключение для обратной записи выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Un проверка параметр обратной записи паролей с помощью Microsoft Entra Подключение облачной синхронизации.
4. Когда все будет готово, щелкните Сохранить.

Если вы больше не хотите использовать какие-либо функции паролей, выполните следующие действия с сервера Microsoft Entra Подключение:

1. Войдите на сервер Microsoft Entra Подключение и запустите мастер настройки Microsoft Entra Подключение.
2. На странице Приветствие нажмите кнопку Настроить.
3. Выберите Настроить параметры синхронизации на странице Дополнительные задачи и нажмите кнопку Далее.
4. На странице Подключение идентификатора Microsoft Entra введите учетные данные глобального администратора для клиента Azure и нажмите кнопку "Далее".
5. На страницах фильтров Подключить каталоги и Домен или подразделение нажмите кнопку Далее.
6. На странице Дополнительные компоненты снимите флажок рядом с параметром Обратная запись паролей и нажмите кнопку Далее.
7. На странице Готово к настройке щелкните Настроить и дождитесь завершения процесса.
8. После завершения настройки нажмите кнопку Выход.

Внимание

Включение компонента обратной записи паролей в первый раз может инициировать события смены пароля 656 и 657, даже если пароль не изменялся. Это происходит потому, что все хэши паролей повторно синхронизируются после выполнения цикла синхронизации хэшированных паролей.

Следующие шаги

В этом руководстве вы включили обратную запись Microsoft Entra SSPR в локальную среду AD DS. Вы научились выполнять следующие задачи:

• настройка требуемых разрешений для обратной записи паролей;
• Включение параметра обратной записи паролей в Microsoft Entra Подключение
• Включение обратной записи паролей в Microsoft Entra SSPR

Tutorial: Use risk events to trigger Multi-Factor Authentication and password changes (Руководство. Использование событий риска для запуска Многофакторной идентификации и изменений пароля)