Руководство. Включение обратной записи самостоятельного сброса пароля Microsoft Entra в локальную среду

При самостоятельном сбросе пароля Microsoft Entra (SSPR) пользователи могут обновлять пароль или разблокировать свою учетную запись с помощью веб-браузера. Мы рекомендуем это видео о включении и настройке SSPR в идентификаторе Microsoft Entra. В гибридной среде, в которой идентификатор Microsoft Entra подключен к среде локальная служба Active Directory доменных служб (AD DS), этот сценарий может вызвать разные пароли между двумя каталогами.

Обратная запись паролей может использоваться для синхронизации изменений паролей в Microsoft Entra обратно в локальную среду AD DS. Microsoft Entra Connect предоставляет безопасный механизм для отправки этих изменений паролей обратно в существующий локальный каталог из идентификатора Microsoft Entra.

В этом руководстве описано, как:

Необходимые условия

Для работы с этим руководством вам потребуются следующие ресурсы и привилегии:

• Рабочий клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P1 или пробной лицензией.
  • При необходимости создайте его бесплатно.
  • Дополнительные сведения см. в разделе "Требования к лицензированию" для Microsoft Entra SSPR.
• Учетная запись с гибридным администратором удостоверений.
• Идентификатор Microsoft Entra, настроенный для самостоятельного сброса пароля.
  • При необходимости выполните инструкции из предыдущего руководства, чтобы включить Microsoft Entra SSPR.
• Существующая локальная среда AD DS, настроенная с текущей версией Microsoft Entra Connect.
  • При необходимости настройте Microsoft Entra Connect с помощью параметров Express или Custom .
  • Чтобы использовать обратную запись паролей, контроллеры домена могут запускать любую поддерживаемую версию Windows Server.

Настройка разрешений учетной записи для Microsoft Entra Connect

Microsoft Entra Connect позволяет синхронизировать пользователей, группы и учетные данные между локальной средой AD DS и идентификатором Microsoft Entra. Обычно вы устанавливаете Microsoft Entra Connect на компьютере Windows Server 2016 или более поздней версии, присоединенном к локальному домену AD DS.

Чтобы правильно работать с обратной записью SSPR, учетная запись, указанная в Microsoft Entra Connect, должна иметь соответствующие разрешения и параметры. Если вы не уверены, какая учетная запись сейчас используется, откройте Microsoft Entra Connect и выберите параметр "Просмотреть текущую конфигурацию ". Учетная запись, для которую необходимо добавить разрешения, указана в разделе "Синхронизированные каталоги". В учетной записи должны быть заданы следующие разрешения и параметры:

• Сброс пароля
• Изменение пароля
• Разрешения на запись в lockoutTime
• Разрешения на запись в pwdLastSet
• Расширенные права для параметра "Unexpire Password" в корневом объекте каждого домена в этом лесу, если он еще не задан.

Если эти разрешения не назначены, обратная запись может быть настроена правильно, но пользователи сталкиваются с ошибками при управлении локальными паролями из облака. Если в Active Directory заданы разрешения unexpire Password, его необходимо применить к этому объекту и всем объектам-потомкам, только этому объекту или всем объектам-потомкам или не отображаться разрешение "Unexpire Password".

Чтобы настроить соответствующие разрешения для обратной записи паролей, выполните следующие действия.

1. В локальной среде AD DS откройте Пользователи и компьютеры Active Directory с учетной записью с соответствующими разрешениями администратора домена.
2. В меню "Вид" убедитесь, что включены дополнительные функции.
3. На левой панели щелкните правой кнопкой мыши объект, представляющий корневой каталог домена, и выберите пункт "Дополнительно "Безопасность>свойств".>
4. На вкладке "Разрешения" нажмите кнопку "Добавить".
5. Для субъекта выберите учетную запись, к которым должны применяться разрешения (учетная запись, используемая Microsoft Entra Connect).
6. В раскрывающемся списке "Область применения" выберите объекты "Пользователь-потомок".
7. В разделе "Разрешения" выберите поле для следующего параметра:
   • Сброс пароля
8. В разделе "Свойства" выберите поля для следующих параметров. Прокрутите список, чтобы найти эти параметры, которые уже могут быть заданы по умолчанию:

• Запись lockoutTime

• Запись pwdLastSet

  

1. Когда все готово, нажмите кнопку "Применить/ ОК ", чтобы применить изменения.
2. На вкладке "Разрешения" нажмите кнопку "Добавить".
3. Для субъекта выберите учетную запись, к которым должны применяться разрешения (учетная запись, используемая Microsoft Entra Connect).
4. В раскрывающемся списке "Область применения" выберите этот объект и все объекты-потомки
5. В разделе "Разрешения" выберите поле для следующего параметра:
   • Отмена пароля
6. Когда все готово, нажмите кнопку "Применить/ ОК ", чтобы применить изменения и выйти из всех открытых диалоговых окон.

При обновлении разрешений может потребоваться до часа или более для репликации всех объектов в каталоге.

Политики паролей в локальной среде AD DS могут препятствовать правильной обработке сброса паролей. Чтобы обратная запись паролей работала наиболее эффективно, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в разделе "Политики конфигурации > компьютера" в политиках > > параметров безопасности параметров учетной > записи.gpmc.msc

Если вы обновляете групповую политику, дождитесь репликации обновленной политики или используйте gpupdate /force команду.

Включение обратной записи паролей в Microsoft Entra Connect

Одним из вариантов конфигурации в Microsoft Entra Connect является обратная запись паролей. Если этот параметр включен, события изменения пароля вызывают Microsoft Entra Connect синхронизацию обновленных учетных данных обратно в локальную среду AD DS.

Чтобы включить обратную запись SSPR, сначала включите параметр обратной записи в Microsoft Entra Connect. На сервере Microsoft Entra Connect выполните следующие действия.

1. Войдите на сервер Microsoft Entra Connect и запустите мастер настройки Microsoft Entra Connect .
2. На странице приветствия нажмите кнопку "Настроить".
3. На странице "Дополнительные задачи" выберите "Настроить параметры синхронизации" и нажмите кнопку "Далее".
4. На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные гибридного администратора для клиента Azure и нажмите кнопку "Далее".
5. На страницах фильтрации доменов и подразделений connect нажмите кнопку "Далее".
6. На странице "Необязательные функции" выберите поле рядом с обратной записью паролей и нажмите кнопку "Далее".
7. На странице расширений каталога нажмите кнопку "Далее".
8. На странице "Готово к настройке" выберите "Настроить" и подождите завершения процесса.
9. После завершения настройки нажмите кнопку "Выйти".

Включение обратной записи паролей для SSPR

После включения обратной записи паролей в Microsoft Entra Connect теперь настройте Microsoft Entra SSPR для обратной записи. SSPR можно настроить для обратной записи с помощью агентов синхронизации Microsoft Entra Connect и агентов подготовки Microsoft Entra Connect (облачная синхронизация). Если вы включите SSPR для использования обратной записи паролей, пользователи, которые изменяют или сбрасывают свой пароль, также имеют обновленный пароль, синхронизированный с локальной средой AD DS.

Чтобы включить обратную запись паролей в SSPR, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Проверьте параметр обратной записи паролей в локальный каталог .
4. (необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно проверить параметр обратной записи паролей с помощью облачной синхронизации Microsoft Entra Connect.
5. Установите флажок разрешить пользователям разблокировать учетные записи без сброса пароля на "Да".
6. Когда все готово, нажмите кнопку "Сохранить".

Очистка ресурсов

Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную в рамках этого руководства, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Снимите флажок для обратной записи паролей в локальный каталог.
4. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
5. Снимите флажок разрешить пользователям разблокировать учетные записи без сброса пароля.
6. Когда все готово, нажмите кнопку "Сохранить".

Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального администратора.
2. Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
3. Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
4. Когда все готово, нажмите кнопку "Сохранить".

Если вы больше не хотите использовать какие-либо функции паролей, выполните следующие действия с сервера Microsoft Entra Connect:

1. Войдите на сервер Microsoft Entra Connect и запустите мастер настройки Microsoft Entra Connect .
2. На странице приветствия нажмите кнопку "Настроить".
3. На странице "Дополнительные задачи" выберите "Настроить параметры синхронизации" и нажмите кнопку "Далее".
4. На странице "Подключение к идентификатору Microsoft Entra" введите учетные данные гибридного администратора и нажмите кнопку "Далее".
5. На страницах фильтрации доменов и подразделений connect нажмите кнопку "Далее".
6. На странице "Необязательные функции" отключите поле рядом с обратной записью паролей и нажмите кнопку "Далее".
7. На странице "Готово к настройке" выберите "Настроить" и подождите завершения процесса.
8. После завершения настройки нажмите кнопку "Выйти".

Дальнейшие действия

В этом руководстве вы включили обратную запись Microsoft Entra SSPR в локальную среду AD DS. Вы узнали, как: