Kurz: Povolení zpětného zápisu samoobslužného resetování hesla Microsoft Entra do místního prostředí
S samoobslužným resetováním hesla Microsoft Entra (SSPR) můžou uživatelé aktualizovat heslo nebo odemknout svůj účet pomocí webového prohlížeče. Toto video doporučujeme, jak povolit a nakonfigurovat samoobslužné resetování hesla v Microsoft Entra ID. V hybridním prostředí, kde je ID Microsoft Entra připojené k prostředí místní Active Directory Domain Services (AD DS), může tento scénář způsobit, že se hesla mezi těmito dvěma adresáři liší.
Zpětný zápis hesla se dá použít k synchronizaci změn hesel v Microsoft Entra zpět do místního prostředí SLUŽBY AD DS. Microsoft Entra Connect poskytuje zabezpečený mechanismus pro odesílání těchto změn hesel zpět do existujícího místního adresáře z ID Microsoft Entra.
Důležitý
V tomto kurzu se dozvíte, jak povolit samoobslužné resetování hesla zpět do místního prostředí. Pokud jste koncový uživatel už zaregistrovaný pro samoobslužné resetování hesla a potřebujete se vrátit ke svému účtu, přejděte na https://aka.ms/ssprstránku .
Pokud váš IT tým nepovolil resetování vlastního hesla, požádejte o další pomoc helpdesk.
V tomto kurzu se naučíte:
- Konfigurace požadovaných oprávnění pro zpětný zápis hesla
- Povolení možnosti zpětného zápisu hesla ve službě Microsoft Entra Connect
- Povolení zpětného zápisu hesla v Microsoft Entra SSPR
Požadavky
K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:
- Funkční tenant Microsoft Entra s alespoň povolenou zkušební licencí Microsoft Entra ID P1 nebo zkušební licencí.
- V případě potřeby si ho vytvořte zdarma.
- Další informace najdete v tématu Licenční požadavky pro Microsoft Entra SSPR.
- Účet s správcem hybridní identity.
- Id Microsoft Entra nakonfigurované pro samoobslužné resetování hesla
- V případě potřeby dokončete předchozí kurz a povolte Microsoft Entra SSPR.
- Stávající místní prostředí SLUŽBY AD DS nakonfigurované s aktuální verzí služby Microsoft Entra Connect.
- V případě potřeby nakonfigurujte Microsoft Entra Connect pomocí expresního nebo vlastního nastavení.
- Pokud chcete použít zpětný zápis hesla, řadiče domény můžou používat libovolnou podporovanou verzi Windows Serveru.
Konfigurace oprávnění účtu pro Microsoft Entra Connect
Microsoft Entra Connect umožňuje synchronizovat uživatele, skupiny a přihlašovací údaje mezi místním prostředím SLUŽBY AD DS a ID Microsoft Entra. Microsoft Entra Connect obvykle nainstalujete na počítač s Windows Serverem 2016 nebo novějším připojeným k místní doméně SLUŽBY AD DS.
Aby bylo možné správně pracovat se zpětným zápisem SSPR, musí mít účet zadaný v nástroji Microsoft Entra Connect nastavená příslušná oprávnění a možnosti. Pokud si nejste jistí, který účet se právě používá, otevřete Microsoft Entra Connect a vyberte možnost Zobrazit aktuální konfiguraci . Účet, ke kterému potřebujete přidat oprávnění, je uvedený v části Synchronizované adresáře. Pro účet musí být nastavená následující oprávnění a možnosti:
- Resetování hesla
- Změnit heslo
- Oprávnění k zápisu na
lockoutTime
- Oprávnění k zápisu na
pwdLastSet
- Rozšířená práva pro "Unexpire Password" u kořenového objektu každé domény v této doménové struktuře, pokud ještě není nastavena.
Pokud tato oprávnění nepřiřadíte, může se zdát, že zpětný zápis je správně nakonfigurovaný, ale uživatelé při správě místních hesel z cloudu narazí na chyby. Když ve službě Active Directory nastavíte oprávnění Unexpire Password, musí být použita pro tento objekt a všechny potomky, pouze tento objekt nebo všechny potomky nebo nelze zobrazit oprávnění Unexpire Password.
Spropitné
Pokud se hesla pro některé uživatelské účty nezapisují zpět do místního adresáře, ujistěte se, že dědičnost není pro účet v místním prostředí SLUŽBY AD DS zakázaná. Oprávnění k zápisu hesel musí být použita pro potomky objektů, aby funkce fungovala správně.
Pokud chcete nastavit odpovídající oprávnění pro zpětný zápis hesla, proveďte následující kroky:
- V místním prostředí služby AD DS otevřete Uživatelé a počítače služby Active Directory s účtem, který má příslušná oprávnění správce domény.
- V nabídce Zobrazení se ujistěte, že jsou zapnuté pokročilé funkce.
- V levém panelu vyberte objekt, který představuje kořen domény, a vyberte Vlastnosti>Zabezpečení>upřesnit.
- Na kartě Oprávnění vyberte Přidat.
- V případě objektu zabezpečení vyberte účet, na který se mají použít oprávnění (účet používaný službou Microsoft Entra Connect).
- V rozevíracím seznamu Platí pro vyberte objekty potomků uživatele.
- V části Oprávnění zaškrtněte políčko pro následující možnost:
- Resetování hesla
- V části Vlastnosti vyberte pole pro následující možnosti. Projděte si seznam a vyhledejte tyto možnosti, které už můžou být ve výchozím nastavení nastavené:
- Až budete připraveni, vyberte Použít nebo OK , aby se změny použily.
- Na kartě Oprávnění vyberte Přidat.
- V případě objektu zabezpečení vyberte účet, na který se mají použít oprávnění (účet používaný službou Microsoft Entra Connect).
- V rozevíracím seznamu Platí pro vyberte Tento objekt a všechny potomky.
- V části Oprávnění zaškrtněte políčko pro následující možnost:
- Zrušit vypršení hesla
- Až budete připraveni, vyberte Použít /OK , aby se změny použily, a ukončete všechna otevřená dialogová okna.
Když aktualizujete oprávnění, může trvat až hodinu, než se tato oprávnění replikují do všech objektů v adresáři.
Zásady hesel v místním prostředí služby AD DS můžou bránit správnému zpracování resetování hesel. Aby zpětný zápis hesla fungoval nejefektivněji, musí být zásady skupiny pro minimální stáří hesla nastaveny na 0. Toto nastavení najdete v části Zásady konfigurace > počítače v části Zásady > zabezpečení nastavení > > zabezpečení účtu v rámci gpmc.msc
.
Pokud aktualizujete zásady skupiny, počkejte, až se aktualizovaná zásada replikuje, nebo použijte gpupdate /force
příkaz.
Poznámka
Pokud potřebujete uživatelům povolit změnu nebo resetování hesel více než jednou denně, musí být minimální stáří hesla nastaveno na 0. Zpětný zápis hesla bude fungovat po úspěšném vyhodnocení místních zásad hesel.
Povolení zpětného zápisu hesla ve službě Microsoft Entra Connect
Jednou z možností konfigurace v nástroji Microsoft Entra Connect je zpětný zápis hesla. Pokud je tato možnost povolená, události změny hesla způsobí, že Microsoft Entra Connect synchronizuje aktualizované přihlašovací údaje zpět do místního prostředí SLUŽBY AD DS.
Pokud chcete povolit zpětný zápis SSPR, nejprve povolte možnost zpětného zápisu v Microsoft Entra Connect. Na serveru Microsoft Entra Connect proveďte následující kroky:
- Přihlaste se k serveru Microsoft Entra Connect a spusťte průvodce konfigurací Microsoft Entra Connect .
- Na úvodní stránce vyberte Konfigurovat.
- Na stránce Další úkoly vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.
- Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte přihlašovací údaje hybridního správce pro vašeho tenanta Azure a pak vyberte Další.
- Na stránkách filtrování adresářů Connect a Domain/OU (Doména/organizační jednotky) vyberte Next (Další).
- Na stránce Volitelné funkce vyberte pole vedle zpětného zápisu hesla a vyberte Další.
- Na stránce Rozšíření adresáře vyberte Další.
- Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
- Až se konfigurace dokončí, vyberte Ukončit.
Poznámka
Aktualizace PasswordWritebackEnabled
z funkcí služby OnPremDirectorySynchronization není podporována, protože tento příznak funkce se nepoužívá.
Povolení zpětného zápisu hesla pro SSPR
Spropitné
Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.
S povoleným zpětným zápisem hesla v Microsoft Entra Connect teď nakonfigurujte Microsoft Entra SSPR pro zpětný zápis. SSPR je možné nakonfigurovat tak, aby zpětný zápis prostřednictvím agentů Microsoft Entra Connect Sync a agentů zřizování Microsoft Entra Connect (cloudová synchronizace). Když povolíte SSPR používat zpětný zápis hesla, uživatelé, kteří změní nebo resetují svoje heslo, mají aktualizované heslo synchronizované zpět do místního prostředí SLUŽBY AD DS.
Pokud chcete povolit zpětný zápis hesla v SSPR, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zaškrtněte políčko Pro zápis hesel do místního adresáře .
- (volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Connect, můžete také zkontrolovat možnost Zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
- Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
- Až budete připraveni, vyberte Uložit.
Vyčištění prostředků
Pokud už nechcete používat funkci zpětného zápisu SSPR, kterou jste nakonfigurovali v rámci tohoto kurzu, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Pro zápis hesel do místního adresáře.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
- Zrušte zaškrtnutí políčka Povolit uživatelům odemknout účty bez resetování hesla.
- Až budete připraveni, vyberte Uložit.
Pokud už nechcete používat cloudovou synchronizaci Microsoft Entra Connect pro funkce zpětného zápisu SSPR, ale chcete pokračovat v používání agenta Microsoft Entra Connect Sync pro zpětný zápis, proveďte následující kroky:
- Přihlaste se do Centra pro správu Microsoft Entra jako globální správce.
- Přejděte k resetování hesla ochrany>a zvolte místní integraci.
- Zrušte zaškrtnutí políčka Pro zápis hesel pomocí cloudové synchronizace Microsoft Entra Connect.
- Až budete připraveni, vyberte Uložit.
Pokud už nechcete používat žádné funkce hesel, proveďte následující kroky ze serveru Microsoft Entra Connect:
- Přihlaste se k serveru Microsoft Entra Connect a spusťte průvodce konfigurací Microsoft Entra Connect .
- Na úvodní stránce vyberte Konfigurovat.
- Na stránce Další úkoly vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.
- Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje hybridního správce a pak vyberte Další.
- Na stránkách filtrování adresářů Connect a Domain/OU (Doména/organizační jednotky) vyberte Next (Další).
- Na stránce Volitelné funkce zrušte zaškrtnutí políčka vedle zpětného zápisu hesla a vyberte Další.
- Na stránce Připraveno ke konfiguraci vyberte Konfigurovat a počkejte na dokončení procesu.
- Až se konfigurace dokončí, vyberte Ukončit.
Důležitý
Povolení zpětného zápisu hesla může poprvé aktivovat události změny hesla 656 a 657, i když nedošlo ke změně hesla. Důvodem je to, že se všechny hodnoty hash hesel znovu synchronizují po spuštění cyklu synchronizace hodnot hash hesel.
Další kroky
V tomto kurzu jste povolili zpětný zápis Microsoft Entra SSPR do místního prostředí SLUŽBY AD DS. Naučili jste se:
- Konfigurace požadovaných oprávnění pro zpětný zápis hesla
- Povolení možnosti zpětného zápisu hesla ve službě Microsoft Entra Connect
- Povolení zpětného zápisu hesla v Microsoft Entra SSPR