教學課程:啟用 Microsoft Entra 自助式密碼重設回寫至內部部署環境

  • 發行項

透過 Microsoft Entra 自助式密碼重設 (SSPR),使用者可以使用網頁瀏覽器更新密碼或解除鎖定其帳戶。 建議您在 Microsoft Entra ID 中啟用和設定 SSPR 的這段影片。 在 Microsoft Entra ID 連線到 內部部署的 Active Directory Domain Services (AD DS) 環境的混合式環境中,此案例可能會導致兩個目錄之間的密碼不同。

密碼回寫可用來將 Microsoft Entra 中的密碼變更同步處理回內部部署 AD DS 環境。 Microsoft Entra 連線 提供安全的機制,從 Microsoft Entra ID 將這些密碼變更傳回現有的內部部署目錄。

重要

本教學課程說明系統管理員如何啟用自助式密碼重設回到內部部署環境。 如果您是已註冊自助式密碼重設的使用者,且需要返回您的帳戶,請移至 https://aka.ms/sspr

如果您的 IT 小組尚未啟用重設您自己的密碼的能力,請連絡技術服務人員以取得其他協助。

在本教學課程中,您會了解如何:

  • 設定密碼回寫的必要許可權
  • 在 Microsoft Entra 連線 中啟用密碼回寫選項
  • 在 Microsoft Entra SSPR 中啟用密碼回寫

必要條件

若要完成本教學課程,您需要下列資源和權限:

  • 至少已啟用 Microsoft Entra ID P1 或試用版授權的工作 Microsoft Entra 租使用者。
  • 具有混合式身分識別的帳戶 管理員 istrator
  • 針對自助式密碼重設設定的 Microsoft Entra 識別碼。
  • 以目前版本的 Microsoft Entra 連線 設定的現有內部部署 AD DS 環境。
    • 如有需要,請使用 ExpressCustom 設定來設定 Microsoft Entra 連線。
    • 若要使用密碼回寫,域控制器可以執行任何支援的 Windows Server 版本。

設定 Microsoft Entra 連線 的帳戶許可權

Microsoft Entra 連線 可讓您同步處理內部部署 AD DS 環境和 Microsoft Entra 識別符之間的使用者、群組和認證。 您通常會在已加入內部部署 AD DS 網域的 Windows Server 2016 或更新版本電腦上安裝 Microsoft Entra 連線。

若要正確使用 SSPR 回寫,Microsoft Entra 連線 中指定的帳戶必須設定適當的許可權和選項。 如果您不確定目前使用哪個帳戶,請開啟 Microsoft Entra 連線,然後選取 [檢視目前的組態] 選項。 您需要新增權限的帳戶列在 [同步處理目錄] 底下。 必須在帳戶上設定下列權限和選項:

  • 重設密碼
  • 變更密碼
  • 寫入許可權lockoutTime
  • 寫入許可權pwdLastSet
  • 如果尚未設定,該樹系中每個網域根物件上「未執行密碼」的延伸許可權

如果您未指派這些許可權,回寫可能會顯示正確設定,但使用者從雲端管理其內部部署密碼時遇到錯誤。 在 Active Directory 中設定「未執行密碼」許可權時,它必須套用至此物件和所有子代物件、僅限此物件或所有子代物件,或無法顯示「未執行密碼」許可權。

提示

如果某些使用者帳戶的密碼未寫回內部部署目錄,請確定內部部署 AD DS 環境中的帳戶不會停用繼承。 密碼的寫入許可權必須套用至子代物件,此功能才能正常運作。

若要設定要進行密碼回寫的適當許可權,請完成下列步驟:

  1. 在您的內部部署 AD DS 環境中,使用具有適當網域系統管理員許可權的帳戶開啟 Active Directory 使用者和電腦

  2. 從 [ 檢視] 功能表中,確定 已開啟 [進階功能 ]。

  3. 在左面板中,以滑鼠右鍵按兩下代表網域根目錄的物件,然後選取 [屬性>安全性>進階]。

  4. 從 [許可權] 索引標籤中,選取 [新增]。

  5. 針對 [主體],選取應套用許可權的帳戶(Microsoft Entra 所使用的帳戶 連線)。

  6. 在 [ 套用至 ] 下拉式清單中,選取 [子系用戶物件]。

  7. 在 [許可權]下,選取下列選項的方塊:

    • 重設密碼

  8. 在 [屬性]下,選取下列選項的方塊。 捲動清單以尋找這些選項,這些選項預設可能已設定:

    • 寫入lockoutTime
    • 寫入 pwdLastSet

    Set the appropriate permissions in Active Users and Computers for the account that is used by Microsoft Entra Connect

  9. 準備好時,選取 [ 套用/ 確定 ] 以套用變更。

  10. 從 [許可權] 索引標籤中,選取 [新增]。

  11. 針對 [主體],選取應套用許可權的帳戶(Microsoft Entra 連線 所使用的帳戶)。

  12. 在 [ 套用至 ] 下拉式清單中,選取 [此物件] 和所有子代物件

  13. 在 [許可權]下,選取下列選項的方塊:

    • 未執行密碼

  14. 準備好時,選取 [ 套用/ 確定 ] 以套用變更並結束任何開啟的對話框。

當您更新許可權時,可能需要一小時或更多時間,這些許可權才能復寫到目錄中的所有物件。

內部部署 AD DS 環境中的密碼原則可能會導致密碼重設無法正確處理。 若要讓密碼回寫最有效率地運作,最低密碼存留期的組策略必須設定為 0。 您可以在 計算機設定>原則 > Windows 設定 安全性 設定 >> 帳戶原則中找到gpmc.msc此設定。

如果您更新組策略,請等候更新的原則複寫,或使用 gpupdate /force 命令。

注意

如果您需要允許使用者每天變更或重設密碼一次以上, 則必須將密碼存留期 下限設定為 0。 成功評估內部部署密碼原則之後,密碼回寫將會正常運作。

在 Microsoft Entra 連線 中啟用密碼回寫

Microsoft Entra 連線 中的其中一個組態選項是用於密碼回寫。 啟用此選項時,密碼變更事件會導致 Microsoft Entra 連線 將更新的認證同步處理回內部部署 AD DS 環境。

若要啟用 SSPR 回寫,請先在 Microsoft Entra 連線 中啟用回寫選項。 從您的 Microsoft Entra 連線 伺服器,完成下列步驟:

  1. 登入您的 Microsoft Entra 連線 伺服器,然後啟動 Microsoft Entra 連線 組態精靈。
  2. 在 [ 歡迎使用 ] 頁面上,選取 [ 設定]。
  3. 在 [ 其他工作] 頁面上,選取 [ 自定義同步處理選項],然後選取 [ 下一步]。
  4. 在 [連線 至 Microsoft Entra ID] 頁面上,輸入 Azure 租使用者的全域 管理員 istrator 認證,然後選取 [下一步]。
  5. [連線 目錄網域/OU 篩選頁面上,選取 [下一步]。
  6. 在 [選擇性功能] 頁面上,選取 [密碼回寫] 旁的方塊,然後選取 [下一步]。
  7. 在 [ 目錄延伸模組 ] 頁面上,選取 [ 下一步]。
  8. 在 [ 準備設定] 頁面上,選取 [ 設定 ] 並等候程式完成。
  9. 當您看到組態完成時,請選取 [ 結束]。

啟用 SSPR 的密碼回寫

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

在 Microsoft Entra 連線 中啟用密碼回寫後,現在設定 Microsoft Entra SSPR 進行回寫。 SSPR 可以設定為透過 Microsoft Entra 連線 Sync 代理程式和 Microsoft Entra 連線 布建代理程式 (雲端同步) 進行回寫。 當您啟用 SSPR 以使用密碼回寫時,變更或重設其密碼的使用者也已將密碼同步處理回內部部署 AD DS 環境。

若要在 SSPR 中啟用密碼回寫,請完成下列步驟:

  1. 以 Global 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>密碼重設],然後選擇 [內部部署整合]。
  3. 核取 [將密碼寫回內部部署目錄 ] 的選項。
  4. (選擇性)如果偵測到 Microsoft Entra 連線 布建代理程式,您可以另外檢查 [使用 Microsoft Entra 回寫密碼] 連線 雲端同步的選項
  5. 核取 [允許使用者解除鎖定帳戶而不將密碼重設為 [是] 選項。
  6. 準備好時,請選取 [ 儲存]。

清除資源

如果您不想再使用您已設定為本教學課程一部分的 SSPR 回寫功能,請完成下列步驟:

  1. 以 Global 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>密碼重設],然後選擇 [內部部署整合]。
  3. 取消核取 [將密碼寫回內部部署目錄] 的選項。
  4. 取消核取 [使用 Microsoft Entra 回寫密碼] 選項,連線 雲端同步處理。
  5. 取消核取 [允許使用者解除鎖定帳戶但不重設其密碼] 選項
  6. 準備好時,請選取 [ 儲存]。

如果您不想再使用適用於 SSPR 回寫功能的 Microsoft Entra 連線 雲端同步處理,但想要繼續使用 Microsoft Entra 連線 Sync 代理程式進行回寫,請完成下列步驟:

  1. 以 Global 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>密碼重設],然後選擇 [內部部署整合]。
  3. 取消核取 [使用 Microsoft Entra 回寫密碼] 選項,連線 雲端同步處理。
  4. 準備好時,請選取 [ 儲存]。

如果您不想再使用任何密碼功能,請從 Microsoft Entra 連線 伺服器完成下列步驟:

  1. 登入您的 Microsoft Entra 連線 伺服器,然後啟動 Microsoft Entra 連線 設定精靈。
  2. 在 [ 歡迎使用 ] 頁面上,選取 [ 設定]。
  3. 在 [ 其他工作] 頁面上,選取 [ 自定義同步處理選項],然後選取 [ 下一步]。
  4. [連線 至 Microsoft Entra 標識符] 頁面上,輸入 Azure 租使用者的全域系統管理員認證,然後選取 [下一步]。
  5. [連線 目錄網域/OU 篩選頁面上,選取 [下一步]。
  6. 在 [選擇性功能] 頁面上,取消選取 [密碼回寫] 旁的方塊,然後選取 [下一步]。
  7. 在 [ 準備設定] 頁面上,選取 [ 設定 ] 並等候程式完成。
  8. 當您看到組態完成時,請選取 [ 結束]。

重要

第一次啟用密碼回寫可能會觸發密碼變更事件 656 和 657,即使未發生密碼變更也一樣。 這是因為在密碼哈希同步處理週期執行之後,所有密碼哈希都會重新同步處理。

下一步

在本教學課程中,您已啟用 Microsoft Entra SSPR 回寫至內部部署 AD DS 環境。 您已了解如何︰

  • 設定密碼回寫的必要許可權
  • 在 Microsoft Entra 連線 中啟用密碼回寫選項
  • 在 Microsoft Entra SSPR 中啟用密碼回寫

評估登入時的風險