Öğretici: Şirket içi ortama bulut eşitleme self servis parola sıfırlama geri yazmayı etkinleştirme

Microsoft Entra Connect bulut eşitlemesi, bağlantısı kesilmiş şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) etki alanlarındaki kullanıcılar arasında Microsoft Entra parola değişikliklerini gerçek zamanlı olarak eşitleyebilir. Microsoft Entra Connect bulut eşitlemesi, şirket bölünmesi veya birleştirilmesi nedeniyle bağlantısı kesilmiş etki alanlarındaki kullanıcılar gibi ek senaryolarda parola geri yazmayı basitleştirmek için etki alanı düzeyinde Microsoft Entra Connect ile yan yana çalışabilir. Farklı etki alanlarındaki her hizmeti, ihtiyaçlarına bağlı olarak farklı kullanıcı kümelerini hedef alacak şekilde yapılandırabilirsiniz. Microsoft Entra Connect bulut eşitlemesi, self servis parola sıfırlama (SSPR) geri yazma kurulumunu basitleştirmek ve bulutta parola değişikliklerini şirket içi bir dizine geri göndermek için güvenli bir yol sağlamak için basit Microsoft Entra bulut sağlama aracısını kullanır.

Önkoşullar

  • En az Microsoft Entra Id P1 veya deneme lisansı etkinleştirilmiş bir Microsoft Entra kiracısı. Gerekirse ücretsiz bir tane oluşturun.
  • Karma Kimlik Yöneticisi hesabı
  • Self servis parola sıfırlama için yapılandırılmış Microsoft Entra Id. Gerekirse Microsoft Entra SSPR'yi etkinleştirmek için bu öğreticiyi tamamlayın.
  • Microsoft Entra Connect bulut eşitleme sürümü 1.1.977.0 veya üzeri ile yapılandırılmış bir şirket içi AD DS ortamı. Aracının geçerli sürümünü tanımlamayı öğrenin. Gerekirse, bu öğreticiyi kullanarak Microsoft Entra Connect bulut eşitlemesini yapılandırın.

Dağıtım adımları

  1. Microsoft Entra Connect bulut eşitleme hizmeti hesabı izinlerini yapılandırma
  2. Microsoft Entra Connect bulut eşitlemesinde parola geri yazmayı etkinleştirme
  3. SSPR için parola geri yazmayı etkinleştirme

Microsoft Entra Connect bulut eşitleme hizmeti hesabı izinlerini yapılandırma

Bulut eşitleme izinleri varsayılan olarak yapılandırılır. İzinlerin sıfırlanması gerekiyorsa, parola geri yazma için gereken belirli izinler ve Bunları PowerShell kullanarak ayarlama hakkında daha fazla bilgi için sorun giderme bölümüne bakın.

SSPR'de parola geri yazmayı etkinleştirme

Microsoft Entra Connect bulut eşitleme sağlamayı doğrudan Microsoft Entra yönetim merkezinden veya PowerShell aracılığıyla etkinleştirebilirsiniz.

Microsoft Entra yönetim merkezinde parola geri yazmayı etkinleştirme

Bahşiş

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Microsoft Entra Connect bulut eşitlemesinde parola geri yazma etkinleştirildiğinde, şimdi parola geri yazma için Microsoft Entra self servis parola sıfırlamayı (SSPR) doğrulayın ve yapılandırın. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.

SSPR'de parola geri yazmayı doğrulamak ve etkinleştirmek için aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.

  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.

  3. Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğini işaretleyin.

  4. (isteğe bağlı) Microsoft Entra Connect sağlama aracıları algılanırsa, Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğini de işaretleyebilirsiniz.

  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.

    Parola geri yazma için Microsoft Entra self servis parola sıfırlamayı etkinleştirme

  6. Hazır olduğunuzda Kaydet'i seçin.

PowerShell

PowerShell ile, sağlama aracılarıyla sunucularda Set-AADCloudSyncPasswordWritebackConfiguration cmdlet'ini kullanarak Microsoft Entra Connect bulut eşitlemesini etkinleştirebilirsiniz.

Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll' 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Kaynakları temizleme

Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Eşitlenen kullanıcılar için parola geri yazmayı etkinleştir seçeneğinin işaretini kaldırın.
  4. Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  5. Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğinin işaretini kaldırın.
  6. Hazır olduğunuzda Kaydet'i seçin.

SSPR geri yazma işlevi için Microsoft Entra Connect bulut eşitlemesini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Connect Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:

  1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
  2. Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
  3. Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
  4. Hazır olduğunuzda Kaydet'i seçin.

Microsoft Entra Connect bulut eşitlemesi ile parola geri yazmayı devre dışı bırakmak için Microsoft Entra Connect bulut eşitleme sunucunuzdan SSPR geri yazma işlevselliği için Microsoft Entra Connect bulut eşitlemesini devre dışı bırakmak için De PowerShell'i kullanabilirsiniz Set-AADCloudSyncPasswordWritebackConfiguration .

Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)

Desteklenen işlemler

Parolalar, son kullanıcılar ve yöneticiler için aşağıdaki durumlarda geri yazılır.

Hesap Desteklenen işlemler
Son kullanıcılar Tüm son kullanıcı self servis isteğe bağlı değiştirme parolası işlemleri.
Herhangi bir son kullanıcı self servis, parola süresinin dolması gibi parolayı değiştirmeye zorlar.
Parola sıfırlamadan kaynaklanan tüm son kullanıcı self servis parola sıfırlamaları.
Yöneticiler Herhangi bir yönetici self servis isteğe bağlı parola değiştirme işlemi.
Herhangi bir yönetici self servis parolayı değiştirmeye zorlar, örneğin parola süre sonu.
Parola sıfırlamadan kaynaklanan tüm yönetici self servis parola sıfırlamaları.
Microsoft Entra yönetim merkezinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Microsoft Graph API'sinden yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.

Desteklenmeyen işlemler

Aşağıdaki durumlarda parolalar geri yazılamaz.

Hesap Desteklenmeyen işlemler
Son kullanıcılar Tüm son kullanıcılar PowerShell cmdlet'lerini veya Microsoft Graph API'sini kullanarak kendi parolasını sıfırlar.
Yöneticiler PowerShell cmdlet'lerini kullanarak yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Microsoft 365 yönetim merkezi yönetici tarafından başlatılan son kullanıcı parola sıfırlaması.
Herhangi bir yönetici kendi parolasını sıfırlamak için parola sıfırlama aracını veya parola geri yazma için Microsoft Entra Id'deki başka bir Yöneticiyi kullanamaz.

Doğrulama senaryoları

Parola geri yazma kullanarak senaryoları doğrulamak için aşağıdaki işlemleri deneyin. Tüm doğrulama senaryoları için bulut eşitlemesinin yüklü olması ve kullanıcının parola geri yazma kapsamında olması gerekir.

Senaryo Şey
Oturum açma sayfasından parola sıfırlama Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının SSPR gerçekleştirmesini sağlayın. Ayrıca Microsoft Entra Connect ve cloud sync'i yan yana dağıtabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir ve bu kullanıcıların parolalarını sıfırlamasını sağlayabilirsiniz.
Süresi dolan parola değişikliğini zorla Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının süresi dolan parolaları değiştirmesini sağlayın. Ayrıca Microsoft Entra Connect'i ve bulut eşitlemesini yan yana dağıtabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcı ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir.
Normal parola değişikliği Bağlantısı kesilmiş etki alanlarından ve ormanlardan iki kullanıcının rutin parola değişikliği yapmasını sağlayın. Ayrıca Microsoft Entra Connect ve bulut eşitlemesi yan yana olabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcınız ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir.
Yönetici kullanıcı parolasını sıfırla İki kullanıcının bağlantısı kesilmiş etki alanlarını ve ormanları Microsoft Entra yönetim merkezinden veya Ön Cephe çalışan portalından parolalarını sıfırlamasını sağlayın. Ayrıca Microsoft Entra Connect ve bulut eşitlemesi yan yana olabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcınız ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir
Self servis hesabın kilidini açma SSPR portalında iki kullanıcının bağlantısı kesilmiş etki alanlarından ve ormanlardan hesapların kilidini açmasını sağlayın. Ayrıca Microsoft Entra Connect ve bulut eşitlemesi yan yana olabilir ve bulut eşitleme yapılandırması kapsamında bir kullanıcınız ve Microsoft Entra Connect kapsamında başka bir kullanıcınız olabilir.

Sorun giderme

  • Microsoft Entra Connect bulut eşitleme grubu Yönetilen Hizmet Hesabı, parolaları varsayılan olarak geri yazmak için aşağıdaki izinlere sahip olmalıdır:

    • Parolayı sıfırla
    • LockoutTime üzerinde yazma izinleri
    • pwdLastSet üzerinde yazma izinleri
    • Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "ParolaYı Özetle" için genişletilmiş haklar.

    Bu izinler ayarlanmadıysa, Set-AADCloudSyncPermissions cmdlet'ini ve şirket içi kuruluş yöneticisi kimlik bilgilerini kullanarak hizmet hesabında PasswordWriteBack iznini ayarlayabilirsiniz:

    Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ 
    Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
    

    İzinleri güncelleştirdikten sonra, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.

  • Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, devralma işleminin şirket içi AD DS ortamındaki hesap için devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.

  • Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Bu özelliği test ediyorsanız ve kullanıcılar için parolayı günde bir kereden fazla sıfırlamak istiyorsanız, En düşük parola yaşı grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, gpmc.msc içindeki Bilgisayar Yapılandırma > İlkeleri > Windows Ayarları > Güvenlik Ayarları > Hesap İlkeleri > Parola İlkesi altında bulunabilir.

  • Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya gpupdate /force komutunu kullanın.

  • Parolaların hemen değiştirilmesi için En düşük parola yaşı 0 olarak ayarlanmalıdır. Ancak, kullanıcılar şirket içi ilkelere bağlı kalırsa ve Minimum parola yaşı sıfırdan büyük bir değere ayarlanırsa, şirket içi ilkeler değerlendirildikten sonra parola geri yazma çalışmaz.

Uygun izinleri doğrulama veya ayarlama hakkında daha fazla bilgi için bkz . Microsoft Entra Connect için hesap izinlerini yapılandırma.

Sonraki adımlar