Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning med självbetjäning för molnsynkronisering till en lokal miljö
Microsoft Entra Connect-molnsynkronisering kan synkronisera Microsoft Entra-lösenordsändringar i realtid mellan användare i frånkopplade domäner lokal Active Directory Domain Services (AD DS). Microsoft Entra Connect-molnsynkronisering kan köras sida vid sida med Microsoft Entra Connect på domännivå för att förenkla tillbakaskrivning av lösenord för ytterligare scenarier, till exempel användare som befinner sig i frånkopplade domäner på grund av en företagsdelning eller sammanslagning. Du kan konfigurera varje tjänst i olika domäner för att rikta in sig på olika uppsättningar användare beroende på deras behov. Microsoft Entra Connect-molnsynkronisering använder den enkla Microsoft Entra-molnetableringsagenten för att förenkla konfigurationen för tillbakaskrivning av lösenordsåterställning via självbetjäning (SSPR) och ge ett säkert sätt att skicka tillbaka lösenordsändringar i molnet till en lokal katalog.
Förutsättningar
- En Microsoft Entra-klientorganisation med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad. Skapa en kostnadsfritt om det behövs.
- Ett hybrididentitetsadministratörskonto
- Microsoft Entra-ID konfigurerat för självbetjäning av lösenordsåterställning. Om det behövs slutför du den här självstudien för att aktivera Microsoft Entra SSPR.
- En lokal AD DS-miljö som konfigurerats med Microsoft Entra Connect cloud sync version 1.1.977.0 eller senare. Lär dig hur du identifierar agentens aktuella version. Om det behövs konfigurerar du Microsoft Entra Connect-molnsynkronisering med hjälp av den här självstudien.
Distributionssteg
- Konfigurera kontobehörigheter för Microsoft Entra Connect-molnsynkroniseringstjänst
- Aktivera tillbakaskrivning av lösenord i Microsoft Entra Connect-molnsynkronisering
- Aktivera tillbakaskrivning av lösenord för SSPR
Konfigurera kontobehörigheter för Microsoft Entra Connect-molnsynkroniseringstjänst
Behörigheter för molnsynkronisering konfigureras som standard. Om behörigheter behöver återställas kan du läsa Felsökning för mer information om de specifika behörigheter som krävs för tillbakaskrivning av lösenord och hur du anger dem med hjälp av PowerShell.
Aktivera tillbakaskrivning av lösenord i SSPR
Du kan aktivera etablering av Microsoft Entra Connect-molnsynkronisering direkt i administrationscentret för Microsoft Entra eller via PowerShell.
Aktivera tillbakaskrivning av lösenord i administrationscentret för Microsoft Entra
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Med tillbakaskrivning av lösenord aktiverat i Microsoft Entra Connect-molnsynkronisering kontrollerar du nu och konfigurerar Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) för tillbakaskrivning av lösenord. När du aktiverar SSPR för att använda tillbakaskrivning av lösenord har användare som ändrar eller återställer sitt lösenord även det uppdaterade lösenordet synkroniserat tillbaka till den lokala AD DS-miljön.
Utför följande steg för att verifiera och aktivera tillbakaskrivning av lösenord i SSPR:
Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
Kontrollera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
(valfritt) Om Microsoft Entra Connect-etableringsagenter identifieras kan du dessutom kontrollera alternativet för att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
När du är klar väljer du Spara.
PowerShell
Med PowerShell kan du aktivera Microsoft Entra Connect-molnsynkronisering med hjälp av cmdleten Set-AADCloudSyncPasswordWritebackConfiguration på servrarna med etableringsagenterna.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Rensa resurser
Om du inte längre vill använda funktionen för tillbakaskrivning av SSPR som du har konfigurerat som en del av den här självstudien utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
- Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
- Avmarkera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
- Avmarkera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
- Avmarkera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord.
- När du är klar väljer du Spara.
Om du inte längre vill använda microsoft Entra Connect-molnsynkronisering för SSPR-tillbakaskrivningsfunktioner men vill fortsätta använda Microsoft Entra Connect Sync-agenten för tillbakaskrivningar utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
- Bläddra till Lösenordsåterställning för skydd>och välj sedan Lokal integrering.
- Avmarkera alternativet för Att skriva tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
- När du är klar väljer du Spara.
Du kan också använda PowerShell för att inaktivera microsoft Entra Connect-molnsynkronisering för SSPR-tillbakaskrivningsfunktioner, från din Microsoft Entra Connect-molnsynkroniseringsserver, kör Set-AADCloudSyncPasswordWritebackConfiguration med autentiseringsuppgifter för Hybrid Identity Administrator för att inaktivera tillbakaskrivning av lösenord med Microsoft Entra Connect-molnsynkronisering.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Åtgärder som stöds
Lösenord skrivs tillbaka i följande situationer för slutanvändare och administratörer.
| Konto | Åtgärder som stöds |
|---|---|
| Slutanvändare | Valfri lösenordsåtgärd för frivillig ändring av självbetjäning för slutanvändare. Slutanvändarnas självbetjäning tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Alla lösenordsåterställning via självbetjäning för slutanvändare som kommer från lösenordsåterställning. |
| Administratörer | Valfri frivillig ändringslösenordsåtgärd för administratörs självbetjäning. Alla självbetjäningsadministratörer tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Alla administratörsåterställning av lösenord via självbetjäning som kommer från lösenordsåterställning. Alla administratörsinitierade lösenordsåterställning av slutanvändare från administrationscentret för Microsoft Entra. Alla administratörsinitierade lösenordsåterställning från Microsoft Graph-API:et. |
Åtgärder som inte stöds
Lösenord skrivs inte tillbaka i följande situationer.
| Konto | Åtgärder som inte stöds |
|---|---|
| Slutanvändare | Slutanvändare som återställer sitt eget lösenord med hjälp av PowerShell-cmdletar eller Microsoft Graph-API:et. |
| Administratörer | Alla administratörsinitierade lösenordsåterställning av slutanvändare med hjälp av PowerShell-cmdletar. Alla administratörsinitierade lösenordsåterställning från Administrationscenter för Microsoft 365. En administratör kan inte använda verktyget för lösenordsåterställning för att återställa sitt eget lösenord eller någon annan administratör i Microsoft Entra-ID för tillbakaskrivning av lösenord. |
Valideringsscenarier
Prova följande åtgärder för att verifiera scenarier med tillbakaskrivning av lösenord. Alla valideringsscenarier kräver att molnsynkronisering installeras och att användaren är i omfånget för tillbakaskrivning av lösenord.
| Scenario | Detaljer |
|---|---|
| Återställa lösenord från inloggningssidan | Låt två användare från frånkopplade domäner och skogar utföra SSPR. Du kan också ha Microsoft Entra Connect och molnsynkronisering distribuerade sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect och låta dessa användare återställa sitt lösenord. |
| Framtvinga lösenordsändring som upphört att gälla | Låt två användare från frånkopplade domäner och skogar ändra utgångna lösenord. Du kan också distribuera Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect. |
| Vanlig lösenordsändring | Låt två användare från frånkopplade domäner och skogar utföra rutinmässiga lösenordsändringar. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect. |
| Användarlösenord för administratörsåterställning | Låt två användare frånkopplade domäner och skogar återställa sitt lösenord från administrationscentret för Microsoft Entra eller Frontline-arbetsportalen. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect |
| Upplåsning av självbetjäningskonto | Låt två användare från frånkopplade domäner och skogar låsa upp konton i SSPR-portalen och återställa lösenordet. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect. |
Felsökning
Microsoft Entra Connect-molnsynkroniseringsgruppen Hanterat tjänstkonto bör ha följande behörigheter inställda på att skriva tillbaka lösenorden som standard:
- Återställa lösenord
- Skrivbehörigheter för lockoutTime
- Skrivbehörigheter för pwdLastSet
- Utökade rättigheter för "Unexpire Password" för rotobjektet för varje domän i skogen, om det inte redan har angetts.
Om dessa behörigheter inte har angetts kan du ange behörigheten PasswordWriteBack för tjänstkontot med hjälp av cmdleten Set-AADCloudSyncPermissions och autentiseringsuppgifterna för den lokala företagsadministratören:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)När du har uppdaterat behörigheterna kan det ta upp till en timme eller mer för dessa behörigheter att replikeras till alla objekt i katalogen.
Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i den lokala AD DS-miljön. Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.
Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. Om du testar den här funktionen och vill återställa lösenord för användare mer än en gång per dag måste grupprincipen för Lägsta lösenordsålder anges till 0. Den här inställningen finns under Datorkonfigurationsprinciper > > Windows-inställningar > Säkerhetsinställningar > Kontoprinciper > Lösenordsprincip i gpmc.msc.
Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder kommandot gpupdate /force.
För att lösenord ska kunna ändras omedelbart måste lägsta ålder för lösenord anges till 0. Men om användarna följer de lokala principerna och lägsta lösenordsålder är inställt på ett värde som är större än noll, fungerar inte tillbakaskrivning av lösenord när de lokala principerna har utvärderats.
Mer information om hur du verifierar eller konfigurerar lämpliga behörigheter finns i Konfigurera kontobehörigheter för Microsoft Entra Connect.
Nästa steg
- Mer information om molnsynkronisering och en jämförelse mellan Microsoft Entra Connect och molnsynkronisering finns i Vad är Microsoft Entra Connect-molnsynkronisering?
- En självstudiekurs om hur du konfigurerar tillbakaskrivning av lösenord med hjälp av Microsoft Entra Connect finns i Självstudie: Aktivera tillbakaskrivning av lösenordsåterställning via Microsoft Entra självbetjäning till en lokal miljö.