Esercitazione: Abilitare il writeback per la reimpostazione della password self-service della sincronizzazione cloud in un ambiente locale
La sincronizzazione cloud di Microsoft Entra Connect può sincronizzare le modifiche delle password di Microsoft Entra in tempo reale tra gli utenti in domini Active Directory Domain Services (AD DS) disconnessi. La sincronizzazione cloud di Microsoft Entra Connect può essere eseguita in modo affiancato con Microsoft Entra Connect a livello di dominio per semplificare il writeback delle password per altri scenari, ad esempio per gli utenti che si trovano in domini disconnessi a causa di una divisione o unione aziendale. È possibile configurare ogni servizio in domini diversi per impostare diversi set di utenti in base alle proprie esigenze. La sincronizzazione cloud di Microsoft Entra Connect usa l'agente di provisioning cloud Microsoft Entra leggero per semplificare la configurazione per il writeback delle password self-service e fornire un modo sicuro per inviare le modifiche delle password nel cloud a una directory locale.
Prerequisiti
- Un tenant di Microsoft Entra con almeno una licenza P1 o di prova di Microsoft Entra ID. Se necessario, crearne uno gratuitamente.
- Un account di amministratore delle identità ibride
- Microsoft Entra ID configurato per la reimpostazione della password self-service. Se necessario, completare questa esercitazione per abilitare la reimpostazione della password self-service di Microsoft Entra.
- Un ambiente di Active Directory Domain Services locale configurato con Sincronizzazione cloud di Microsoft Entra Connect versione 1.1.977.0 o successiva. Informazioni su come identificare la versione corrente dell'agente. Se necessario, configurare la sincronizzazione cloud di Microsoft Entra Connect usando questa esercitazione.
Passaggi per la distribuzione
- Configurare le autorizzazioni dell'account del servizio di sincronizzazione cloud di Microsoft Entra Connect
- Abilitare il writeback delle password nella sincronizzazione cloud di Microsoft Entra Connect
- Abilitare il writeback delle password per la reimpostazione della password self-service
Configurare le autorizzazioni dell'account del servizio di sincronizzazione cloud di Microsoft Entra Connect
Le autorizzazioni per la sincronizzazione cloud sono configurate per impostazione predefinita. Se è necessario reimpostare le autorizzazioni, vedere Risoluzione dei problemi per altri dettagli sulle autorizzazioni specifiche necessarie per il writeback delle password e su come impostarle tramite PowerShell.
Abilitare il writeback delle password nella reimpostazione della password self-service
È possibile abilitare il provisioning della sincronizzazione cloud di Microsoft Entra Connect direttamente nell'Interfaccia di amministrazione di Microsoft Entra o tramite PowerShell.
Abilitare il writeback delle password nell'Interfaccia di amministrazione di Microsoft Entra
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Con il writeback delle password abilitato nella sincronizzazione cloud di Microsoft Entra Connect, verificare e configurare la reimpostazione della password self-service di Microsoft Entra per il writeback delle password. Quando si abilita la reimpostazione della password self-service per l'uso del writeback delle password, quando gli utenti modificano o reimpostano la password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services locale.
Per verificare e abilitare il writeback delle password in reimpostazione della password self-service, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
Selezionare l'opzione Abilitare il writeback delle password per gli utenti sincronizzati.
(facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, è anche possibile selezionare l'opzione Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
Impostare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password? su Sì.
Al termine, selezionare Salva.
PowerShell
Con PowerShell è possibile abilitare la sincronizzazione cloud di Microsoft Entra Connect usando il cmdlet Set-AADCloudSyncPasswordWritebackConfiguration nei server con gli agenti di provisioning. Saranno necessarie le credenziali di amministratore globale:
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Pulire le risorse
Se si decide di non volere più usare le funzionalità di writeback delle password di reimpostazione della password self-service configurata durante questa esercitazione, seguire questa procedura:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
- Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
- Deselezionare l'opzione Abilitare il writeback delle password per gli utenti sincronizzati.
- Deselezionare l'opzione per Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
- Deselezionare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password.
- Al termine, selezionare Salva.
Se non si vuole più usare la funzionalità di writeback per la sincronizzazione cloud di Microsoft Entra Connect per la reimpostazione della password self-service ma si vuole continuare a usare l'agente di Microsoft Entra Connect Sync per i writeback, seguire questa procedura:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
- Passare a Protezione>Reimpostazione della password, quindi scegliere Integrazione locale.
- Deselezionare l'opzione per Writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
- Al termine, selezionare Salva.
È anche possibile usare PowerShell per disabilitare la sincronizzazione cloud di Microsoft Entra Connect per la funzionalità di writeback della reimpostazione della password self-service. Dal server di sincronizzazione cloud Microsoft Entra Connect eseguire Set-AADCloudSyncPasswordWritebackConfiguration usando le credenziali di amministratore delle identità ibride per disabilitare il writeback delle password con la sincronizzazione cloud di Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Operazioni supportate
Le password vengono riscritte nelle situazioni seguenti per gli utenti finali e gli amministratori.
| Conto | Operazioni supportate |
|---|---|
| Utenti finali | Qualsiasi operazione self-service volontaria di modifica della password dell'utente finale. Qualsiasi operazione self-service forzata di modifica della password dell'utente finale, ad esempio in seguito a scadenza della password. Qualsiasi reimpostazione password self-service dell'utente finale originata dalla reimpostazione della password. |
| Amministratori | Qualsiasi operazione self-service volontaria di modifica della password dell'amministratore. Qualsiasi operazione self-service forzata di modifica della password dell'amministratore, ad esempio in seguito a scadenza della password. Qualsiasi reimpostazione password self-service dell'amministratore originata dalla reimpostazione della password. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft Entra. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'API Microsoft Graph. |
Operazioni non supportate
Il writeback delle password non viene eseguito nelle situazioni seguenti.
| Conto | Operazioni non supportate |
|---|---|
| Utenti finali | Qualsiasi reimpostazione, da parte dell'utente finale, della propria password tramite i cmdlet PowerShell o l'API Microsoft Graph. |
| Amministratori | Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore tramite i cmdlet PowerShell. Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft 365. Qualsiasi amministratore non può usare lo strumento di reimpostazione della password per reimpostare la propria password o quella di un altro amministratore in Microsoft Entra ID per il writeback delle password. |
Scenari di convalida
Provare le operazioni seguenti per convalidare gli scenari usando il writeback delle password. Tutti gli scenari di convalida richiedono l'installazione della sincronizzazione cloud e che l'utente sia nell'ambito del writeback delle password.
| Scenario | Dettagli |
|---|---|
| Reimpostare la password dalla pagina di accesso | Chiedere a due utenti di domini e foreste disconnessi di eseguire la reimpostazione della password self-service. È anche possibile affiancare le distribuzioni di Microsoft Entra Connect e la sincronizzazione cloud e disporre di un utente nell'ambito della configurazione di sincronizzazione cloud e di un altro nell'ambito di Microsoft Entra Connect, chiedendo a entrambi di reimpostare la propria password. |
| Forzare la modifica della password scaduta | Chiedere a due utenti di domini e foreste disconnessi di modificare le password scadute. È anche possibile affiancare le distribuzioni di Microsoft Entra Connect e la sincronizzazione cloud e disporre di un utente nell'ambito della configurazione di sincronizzazione cloud e di un altro nell'ambito di Microsoft Entra Connect. |
| Modifica password normale | Chiedere a due utenti di domini e foreste disconnessi di eseguire la reimpostazione della password di routine. È anche possibile affiancare Microsoft Entra Connect e la sincronizzazione cloud e disporre di un utente nell'ambito della configurazione di sincronizzazione cloud e di un altro nell'ambito di Microsoft Entra Connect. |
| Password utente reimpostazione amministratore | Chiedere a due utenti di domini e foreste disconnessi di reimpostare la password dall'Interfaccia di amministrazione di Microsoft Entra o dal portale Operatore in prima linea. È anche possibile affiancare Microsoft Entra Connect e la sincronizzazione cloud e disporre di un utente nell'ambito della configurazione di sincronizzazione cloud e di un altro nell'ambito di Microsoft Entra Connect |
| Sblocco dell'account self-service | Chiedere a due utenti di domini e foreste disconnessi di sbloccare gli account nel portale SSPR reimpostando la password. È anche possibile affiancare Microsoft Entra Connect e la sincronizzazione cloud e disporre di un utente nell'ambito della configurazione di sincronizzazione cloud e di un altro nell'ambito di Microsoft Entra Connect. |
Risoluzione dei problemi
L'account del servizio gestito del gruppo di sincronizzazione cloud Microsoft Entra Connect deve avere le autorizzazioni seguenti impostate per il writeback delle password per impostazione predefinita:
- Immettere una nuova password
- Autorizzazioni di scrittura su lockoutTime
- Autorizzazioni di scrittura su pwdLastSet
- Diritti estesi per "Password senza scadenza" nell'oggetto radice di ogni dominio in tale foresta, se non sono già impostati.
Se queste autorizzazioni non sono impostate, è possibile impostare l'autorizzazione PasswordWriteBack per l'account del servizio usando il cmdlet Set-AADCloudSyncPermissions e le credenziali di amministratore dell'organizzazione locale:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.
Se il writeback delle password non viene eseguito nella directory locale per alcuni account utente, assicurarsi che l'ereditarietà non sia disabilitata per l'account nell'ambiente di Active Directory Domain Services locale. Per la corretta esecuzione della funzionalità, è necessario che le autorizzazioni di scrittura per le password vengano applicate agli oggetti discendenti.
I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Se si sta testando questa funzionalità e si vogliono reimpostare le password per gli utenti più di una volta al giorno, i criteri di gruppo per il periodo di validità minimo delle password devono essere impostati su 0. Questa impostazione è disponibile in Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criteri password all'interno di gpmc.msc.
Se si aggiornano i criteri di gruppo, attendere la replica del criterio aggiornato oppure usare il comando gpupdate /force.
Affinché le password vengano modificate immediatamente, l'età minima della password deve essere impostata su 0. Tuttavia, se gli utenti rispettano i criteri locali e la validità minima della password è impostata su un valore maggiore di zero, il writeback delle password non funzionerà dopo la valutazione dei criteri locali.
Per altre informazioni su come convalidare o configurare le autorizzazioni appropriate, vedere Configurare le autorizzazioni dell'account per Microsoft Entra Connect.
Passaggi successivi
- Per altre informazioni sulla sincronizzazione cloud e un confronto tra Microsoft Entra Connect e la sincronizzazione cloud, vedere Che cos'è la sincronizzazione cloud di Microsoft Entra Connect?
- Per un'esercitazione sulla configurazione del writeback delle password tramite Microsoft Entra Connect, vedere Esercitazione: Abilitare il writeback della reimpostazione della password self-service di Microsoft Entra in un ambiente locale.