Tutorial: habilitar o write-back de redefinição de senha por autoatendimento do Microsoft Entra para um ambiente local
Com a redefinição de senha por autoatendimento (SSPR) do Microsoft Entra, os usuários podem atualizar as respectivas senhas ou desbloquear as respectivas contas usando um navegador da Web. Recomendamos esse vídeo sobre Como habilitar e configurar o SSPR na ID do Microsoft Entra. Em um ambiente híbrido em que o Microsoft Entra ID está conectado a um ambiente local do Active Directory Domain Services (AD DS), esse cenário pode fazer que as senhas sejam diferentes entre os dois diretórios.
O write-back de senha pode ser usado para sincronizar alterações de senha no Microsoft Entra de volta para seu ambiente local do AD DS. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente do Microsoft Entra ID.
Importante
Este tutorial mostra como um administrador pode habilitar a redefinição de senha por autoatendimento novamente para um ambiente local. Caso seja um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à conta, vá para https://aka.ms/sspr.
Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.
Neste tutorial, você aprenderá a:
- Configurar as permissões necessárias para write-back de senha
- Habilitar a opção de write-back de senha no Microsoft Entra Connect
- Habilitar o write-back de senha na SSPR do Microsoft Entra
Pré-requisitos
Para concluir este tutorial, os seguintes recursos e privilégios serão necessários:
- Um locatário funcional do Microsoft Entra com pelo menos uma licença do Microsoft Entra ID P1 ou licença de avaliação habilitada.
- Se necessário, crie um gratuitamente.
- Para obter mais informações, confira Requisitos de licenciamento para o SSPR do Microsoft Entra.
- Uma conta com o Administrador de Identidade Híbrida.
- O Microsoft Entra ID configurado para redefinição de senha por autoatendimento.
- Um ambiente local do AD DS existente configurado com uma versão atual do Microsoft Entra Connect.
- Se necessário, configure o Microsoft Entra Connect usando as configurações Expressas ou Personalizadas.
- Para usar o write-back de senha, os controladores de domínio podem executar qualquer versão com suporte do Windows Server.
Configurar permissões de conta para o Microsoft Entra Connect
O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente local do AD DS e o Microsoft Entra ID. Normalmente, o Microsoft Entra Connect é instalado em um computador com Windows Server 2016 ou posterior que está ingressado no domínio local do AD DS.
Para trabalhar corretamente com o write-back do SSPR, a conta especificada no Microsoft Entra Connect deve ter as permissões e as opções apropriadas definidas. Se não estiver certo de qual conta está em uso no momento, abra o Microsoft Entra Connect e selecione a opção Exibir a configuração atual. A conta à qual as permissões precisam ser adicionadas está listada em Diretórios Sincronizados. As seguintes permissões e opções precisam estar definidas na conta:
- Redefinir senha
- Alterar senha
- Permissões de gravação em
lockoutTime
- Permissões de gravação em
pwdLastSet
- Direitos estendidos para "Não permitir expiração da senha" no objeto raiz de cada domínio nessa floresta, caso ainda não estejam definidos.
Se essas permissões não forem atribuídas, o write-back poderá parecer estar configurado corretamente, mas os usuários notarão erros ao tentar gerenciar as respectivas senhas locais na nuvem. Ao definir as permissões de "Não permitir expiração da senha" no Active Directory Domain Services, ela deve ser aplicada a Este objeto e a todos os objetos descendentes, Somente este objeto ou Todos os objetos descendentes, ou a permissão "Não permitir expiração da senha" não pode ser exibida.
Dica
Se as senhas de algumas contas de usuário não são gravadas de volta no diretório local, verifique se a herança não está desabilitada para essas contas no ambiente local do AD DS. As permissões de gravação para senhas devem ser aplicadas aos objetos descendentes para que o recurso funcione corretamente.
Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as etapas a seguir:
- No ambiente local do AD DS, abra Usuários e Computadores do Active Directory com uma conta que tenha as permissões apropriadas de administrador de domínio.
- No menu Exibir, verifique se os Recursos avançados estão ativados.
- No painel esquerdo, clique com o botão direito do mouse no objeto que representa a raiz do domínio e escolha Propriedades>Segurança>Avançado.
- Na guia Permissões, selecione Adicionar.
- Para Entidade de segurança, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).
- Na lista suspensa Aplica-se a, selecione os objetos de Usuário Descendente.
- Em Permissões, selecione a caixa para a seguinte opção:
- Redefinir senha
- Em Permissões, marque as caixas das opções a seguir. Role a lista para encontrar essas opções, que podem já estar definidas por padrão:
- Quando estiver pronto, selecione Aplicar / OK para aplicar as alterações.
- Na guia Permissões, selecione Adicionar.
- Para Entidade de segurança, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).
- Em Aplicar à lista suspensa, selecione Este objeto e todos os descendentes
- Em Permissões, selecione a caixa para a seguinte opção:
- Não permitir expiração de senha
- Quando concluído, selecione Aplicar / OK para aplicar as alterações e sair das caixas de diálogo abertas.
Ao atualizar as permissões, poderá levar até uma hora ou mais para que essas permissões sejam replicadas em todos os objetos no diretório.
As políticas de senha no ambiente local do AD DS podem impedir que as redefinições de senha sejam processadas corretamente. Para que o write-back de senha funcione com o máximo de eficiência, a política de grupo para Tempo de vida mínimo da senha precisa ser definida como 0. Essa configuração pode ser encontrada em Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta em gpmc.msc
.
Ao atualizar a política de grupo, aguarde a política atualizada ser replicada ou use o comando gpupdate /force
.
Observação
Se for necessário permitir que os usuários alterem ou redefinam as senhas mais de uma vez por dia, o Tempo de vida mínimo da senha deverá ser definido como 0. O write-back de senha funcionará depois que as políticas de senha locais forem avaliadas com êxito.
Habilitar o write-back de senha no Microsoft Entra Connect
Uma das opções de configuração no Microsoft Entra Connect é para o write-back de senha. Quando essa opção é habilitada, os eventos de alteração de senha fazem o Microsoft Entra Connect sincronizar as credenciais atualizadas de volta para o ambiente local do AD DS.
Para habilitar o write-back de SSPR, primeiro habilite a opção de write-back no Microsoft Entra Connect. Em seu servidor do Microsoft Entra Connect, conclua as seguintes etapas:
- Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect.
- Na página de Boas-vindas, selecione Configurar.
- Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Próximo.
- Na página Conectar-se ao Microsoft Entra ID, insira uma credencial de Administrador Híbrido para o locatário do Azure e selecione, em seguida, Próximo.
- Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
- Na página Recursos opcionais, selecione a caixa ao lado de Write-back de senha e selecione Próximo.
- Na página Extensões de diretório, selecione Avançar.
- Na página Pronto para configurar, clique em Configurar e aguarde a conclusão do processo.
- Ao visualizar a configuração terminar, selecione Sair.
Observação
Não há suporte para a atualização de PasswordWritebackEnabled
dos recursos do serviço OnPremDirectorySynchronization, pois esse sinalizador de recurso não está em uso.
Habilitar o write-back de senha para o SSPR
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Com o write-back de senha habilitado no Microsoft Entra Connect, agora configure o SSPR do Microsoft Entra para write-back. O SSPR pode ser configurado para write-back por meio de agentes de sincronização do Microsoft Entra Connect e agentes de provisionamento do Microsoft Entra Connect (sincronização de nuvem). Ao habilitar o SSPR para usar o write-back de senha, a senha atualizada dos usuários que alteram ou redefinem as respectivas senhas é sincronizada novamente para o ambiente local do AD DS.
Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:
- Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.
- Navegue até Proteção>Redefinição de senha e selecione Integração local.
- Marque a opção Fazer write-back de senhas em seu diretório local.
- (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, também será possível marcar a opção Fazer write-back de senhas com a sincronização na nuvem do Microsoft Entra Connect.
- Marque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha como Sim.
- Quando estiver pronto, selecione Salvar.
Limpar os recursos
Caso não deseje mais usar a funcionalidade de write-back do SSPR configurada como parte deste tutorial, conclua as seguintes etapas:
- Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.
- Navegue até Proteção>Redefinição de senha e selecione Integração local.
- Desmarque a opção de Fazer write-back de senhas em seu diretório local.
- Desmarque a opção de Fazer write-back de senhas com a sincronização de nuvem do Microsoft Entra Connect.
- Desmarque a opção de Permitir aos usuários desbloquear contas sem redefinir a senha.
- Quando estiver pronto, selecione Salvar.
Caso não queira mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR, mas queira continuar usando o agente de sincronização do Microsoft Entra Connect para write-backs, conclua as seguintes etapas:
- Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.
- Navegue até Proteção>Redefinição de senha e selecione Integração local.
- Desmarque a opção de Fazer write-back de senhas com a sincronização de nuvem do Microsoft Entra Connect.
- Quando estiver pronto, selecione Salvar.
Caso não queira mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor do Microsoft Entra Connect:
- Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect.
- Na página de Boas-vindas, selecione Configurar.
- Na página Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Próximo.
- Na página Conectar-se ao Microsoft Entra ID, insira uma credencial de Administrador Híbrido e, em seguida, escolha Próximo.
- Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
- Na página Recursos opcionais, desmarque a caixa ao lado de Write-back de senha e selecione Próximo.
- Na página Pronto para configurar, clique em Configurar e aguarde a conclusão do processo.
- Ao visualizar a configuração terminar, selecione Sair.
Importante
A habilitação do write-back de senha pela primeira vez pode disparar os eventos de alteração de senha 656 e 657, mesmo que uma alteração de senha não tenha ocorrido. Isso porque todos os hashes de senha são sincronizados novamente depois que um ciclo de sincronização de hash de senha é executado.
Próximas etapas
Neste tutorial, o write-back de SSPR do Microsoft Entra para um ambiente local do AD DS foi habilitado. Você aprendeu a:
- Configurar as permissões necessárias para write-back de senha
- Habilitar a opção de write-back de senha no Microsoft Entra Connect
- Habilitar o write-back de senha na SSPR do Microsoft Entra