Öğretici: Microsoft Entra self servis parola sıfırlama geri yazmayı şirket içi ortama etkinleştirme
Microsoft Entra self servis parola sıfırlama (SSPR) ile kullanıcılar parolalarını güncelleştirebilir veya bir web tarayıcısı kullanarak hesabının kilidini açabilir. Microsoft Entra Id'de SSPR'yi etkinleştirme ve yapılandırma konusunda bu video önerilir. Microsoft Entra Id'nin bir şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamına bağlı olduğu karma bir ortamda, bu senaryo parolaların iki dizin arasında farklı olmasına neden olabilir.
Parola geri yazma, Microsoft Entra'daki parola değişikliklerini şirket içi AD DS ortamınıza eşitlemek için kullanılabilir. Microsoft Entra Connect, bu parola değişikliklerini Microsoft Entra Id'den mevcut bir şirket içi dizine geri göndermek için güvenli bir mekanizma sağlar.
Önemli
Bu öğreticide, bir yöneticinin şirket içi ortama self servis parola sıfırlamayı etkinleştirmesi gösterilmektedir. Self servis parola sıfırlama için zaten kayıtlı bir son kullanıcıysanız ve hesabınıza yeniden girmeniz gerekiyorsa adresine gidin https://aka.ms/sspr.
BT ekibiniz kendi parolanızı sıfırlama özelliğini etkinleştirmediyse ek yardım için yardım masanıza ulaşın.
Bu öğreticide şunların nasıl yapılacağını öğreneceksiniz:
- Parola geri yazma için gerekli izinleri yapılandırma
- Microsoft Entra Connect'te parola geri yazma seçeneğini etkinleştirme
- Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme
Önkoşullar
Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ve ayrıcalıklara ihtiyacınız vardır:
- En az Microsoft Entra Id P1 veya deneme lisansı etkinleştirilmiş çalışan bir Microsoft Entra kiracısı.
- Gerekirse ücretsiz bir tane oluşturun.
- Daha fazla bilgi için bkz . Microsoft Entra SSPR için lisans gereksinimleri.
- Karma Kimlik Yöneticisi'ne sahip bir hesap.
- Self servis parola sıfırlama için yapılandırılmış Microsoft Entra Id.
- Gerekirse, Microsoft Entra SSPR'yi etkinleştirmek için önceki öğreticiyi tamamlayın.
- Microsoft Entra Connect'in geçerli bir sürümüyle yapılandırılmış mevcut bir şirket içi AD DS ortamı.
Microsoft Entra Connect için hesap izinlerini yapılandırma
Microsoft Entra Connect, şirket içi AD DS ortamı ile Microsoft Entra Kimliği arasında kullanıcıları, grupları ve kimlik bilgilerini eşitlemenize olanak tanır. Microsoft Entra Connect'i genellikle şirket içi AD DS etki alanına katılmış bir Windows Server 2016 veya sonraki bir bilgisayara yüklersiniz.
SSPR geri yazma ile doğru şekilde çalışmak için, Microsoft Entra Connect'te belirtilen hesabın uygun izinlere ve seçeneklere sahip olması gerekir. Şu anda hangi hesabın kullanımda olduğundan emin değilseniz Microsoft Entra Connect'i açın ve Geçerli yapılandırmayı görüntüle seçeneğini belirleyin. İzin eklemeniz gereken hesap Eşitlenmiş Dizinler altında listelenir. Hesapta aşağıdaki izinler ve seçenekler ayarlanmalıdır:
- Parolayı sıfırla
- Parolayı değiştir
- üzerinde yazma izinleri
lockoutTime
- üzerinde yazma izinleri
pwdLastSet
- Henüz ayarlanmamışsa, bu ormandaki her etki alanının kök nesnesinde "ParolaYı Özetle" için genişletilmiş haklar.
Bu izinleri atamazsanız, geri yazma doğru yapılandırılmış gibi görünebilir, ancak kullanıcılar şirket içi parolalarını buluttan yönetirken hatalarla karşılaşır. Active Directory'de "ParolaYı Özetle" izinleri ayarlanırken, Bu nesneye ve tüm alt nesnelere, Yalnızca Bu nesneye veya Tüm alt nesnelere uygulanmalıdır ya da "ParolaYı Özetle" izni görüntülenemez.
Bahşiş
Bazı kullanıcı hesaplarının parolaları şirket içi dizine geri yazılmıyorsa, şirket içi AD DS ortamındaki hesap için devralma seçeneğinin devre dışı bırakılmadığından emin olun. Özelliğin düzgün çalışması için alt nesnelere parola yazma izinleri uygulanmalıdır.
Parola geri yazmanın gerçekleşmesi için uygun izinleri ayarlamak için aşağıdaki adımları tamamlayın:
- Şirket içi AD DS ortamınızda, uygun etki alanı yöneticisi izinlerine sahip bir hesapla Active Directory Kullanıcıları ve Bilgisayarları açın.
- Görünüm menüsünde Gelişmiş özelliklerin açık olduğundan emin olun.
- Sol panelde, etki alanının kökünü temsil eden nesneyi sağ seçin ve Özellikler Güvenlik>Gelişmiş'i> seçin.
- İzinler sekmesinde Ekle'yi seçin.
- Sorumlu için, izinlerin uygulanması gereken hesabı (Microsoft Entra Connect tarafından kullanılan hesap) seçin.
- Aşağıdakilere uygulanır açılan listesinde Descendant User nesneleri'ni seçin.
- İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:
- Parolayı sıfırla
- Özellikler'in altında aşağıdaki seçenekler için kutuları seçin. Varsayılan olarak ayarlanmış olabilecek bu seçenekleri bulmak için listeyi kaydırın:
- Hazır olduğunuzda, değişiklikleri uygulamak için Uygula /Tamam'ı seçin.
- İzinler sekmesinde Ekle'yi seçin.
- Sorumlu için, izinlerin uygulanması gereken hesabı (Microsoft Entra Connect tarafından kullanılan hesap) seçin.
- Aşağıdakilere uygulanır açılan listesinde Bu nesne ve tüm alt nesneler'i seçin
- İzinler'in altında aşağıdaki seçeneğin kutusunu seçin:
- Özetlenmemiş Parola
- Hazır olduğunuzda, değişiklikleri uygulamak ve açık iletişim kutularında çıkmak için Uygula /Tamam'ı seçin.
İzinleri güncelleştirdiğinizde, bu izinlerin dizininizdeki tüm nesnelere çoğaltılması bir saat veya daha fazla sürebilir.
Şirket içi AD DS ortamındaki parola ilkeleri, parola sıfırlama işlemlerinin doğru şekilde işlenmesini engelleyebilir. Parola geri yazmanın en verimli şekilde çalışması için En düşük parola yaşı grup ilkesi 0 olarak ayarlanmalıdır. Bu ayar, içinde Bilgisayar Yapılandırma > İlkeleri > Windows Ayarları > Güvenlik Ayarları > Hesap İlkeleri altında gpmc.msc
bulunabilir.
Grup ilkesini güncelleştirirseniz, güncelleştirilmiş ilkenin çoğaltılması için bekleyin veya komutunu kullanın gpupdate /force
.
Not
Kullanıcıların parolaları günde birden fazla kez değiştirmesine veya sıfırlamasına izin vermeniz gerekiyorsa, En düşük parola yaşı 0 olarak ayarlanmalıdır. Şirket içi parola ilkeleri başarıyla değerlendirildikten sonra parola geri yazma çalışır.
Microsoft Entra Connect'te parola geri yazmayı etkinleştirme
Microsoft Entra Connect'teki yapılandırma seçeneklerinden biri parola geri yazma içindir. Bu seçenek etkinleştirildiğinde, parola değişikliği olayları Microsoft Entra Connect'in güncelleştirilmiş kimlik bilgilerini şirket içi AD DS ortamına eşitlemesine neden olur.
SSPR geri yazma özelliğini etkinleştirmek için önce Microsoft Entra Connect'te geri yazma seçeneğini etkinleştirin. Microsoft Entra Connect sunucunuzdan aşağıdaki adımları tamamlayın:
- Microsoft Entra Connect sunucunuzda oturum açın ve Microsoft Entra Connect yapılandırma sihirbazını başlatın.
- Hoş Geldiniz sayfasında Yapılandır'ı seçin.
- Ek görevler sayfasında Eşitleme seçeneklerini özelleştir'i ve ardından İleri'yi seçin.
- Microsoft Entra Id'ye Bağlan sayfasında Azure kiracınız için bir Karma Yönetici kimlik bilgisi girin ve İleri'yi seçin.
- Dizinleri ve Etki alanı/OU filtreleme sayfalarını bağla'da İleri'yi seçin.
- İsteğe bağlı özellikler sayfasında Parola geri yazma'nın yanındaki kutuyu seçin ve İleri'yi seçin.
- Dizin uzantıları sayfasında İleri'yi seçin.
- Yapılandırmaya hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
- Yapılandırmanın bitişini gördüğünüzde Çıkış'ı seçin.
Not
Bu özellik bayrağı kullanımda olmadığından, OnPremDirectorySynchronization hizmet özelliklerinden güncelleştirme PasswordWritebackEnabled
desteklenmez.
SSPR için parola geri yazmayı etkinleştirme
Bahşiş
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Microsoft Entra Connect'te parola geri yazma etkinleştirildiğinde, microsoft Entra SSPR'yi geri yazma için yapılandırın. SSPR, Microsoft Entra Connect Sync aracıları ve Microsoft Entra Connect sağlama aracıları (bulut eşitleme) aracılığıyla geri yazma için yapılandırılabilir. Parola geri yazma özelliğini kullanmak için SSPR'yi etkinleştirdiğinizde, parolalarını değiştiren veya sıfırlayan kullanıcılar bu güncelleştirilmiş parolayı şirket içi AD DS ortamına da eşitler.
SSPR'de parola geri yazmayı etkinleştirmek için aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
- Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
- Şirket içi dizininize parolaları geri yazma seçeneğini işaretleyin.
- (isteğe bağlı) Microsoft Entra Connect sağlama aracıları algılanırsa, Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğini de işaretleyebilirsiniz.
- Kullanıcıların parolalarını sıfırlamadan hesapların kilidini Açmasına izin ver seçeneğini Evet olarak işaretleyin.
- Hazır olduğunuzda Kaydet'i seçin.
Kaynakları temizleme
Bu öğreticinin bir parçası olarak yapılandırdığınız SSPR geri yazma işlevini artık kullanmak istemiyorsanız aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
- Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
- Şirket içi dizininize parolaları geri yazma seçeneğinin işaretini kaldırın.
- Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
- Kullanıcıların parolalarını sıfırlamadan hesapların kilidini açmasına izin ver seçeneğinin işaretini kaldırın.
- Hazır olduğunuzda Kaydet'i seçin.
SSPR geri yazma işlevi için Microsoft Entra Connect bulut eşitlemesini artık kullanmak istemiyorsanız ancak geri yazma işlemleri için Microsoft Entra Connect Sync aracısını kullanmaya devam etmek istiyorsanız aşağıdaki adımları tamamlayın:
- Microsoft Entra yönetim merkezinde Genel Yönetici olarak oturum açın.
- Koruma>Parolası sıfırlama'ya gidin ve şirket içi tümleştirme'yi seçin.
- Microsoft Entra Connect bulut eşitlemesi ile parolaları geri yazma seçeneğinin işaretini kaldırın.
- Hazır olduğunuzda Kaydet'i seçin.
Artık herhangi bir parola işlevi kullanmak istemiyorsanız, Microsoft Entra Connect sunucunuzdan aşağıdaki adımları tamamlayın:
- Microsoft Entra Connect sunucunuzda oturum açın ve Microsoft Entra Connect yapılandırma sihirbazını başlatın.
- Hoş Geldiniz sayfasında Yapılandır'ı seçin.
- Ek görevler sayfasında Eşitleme seçeneklerini özelleştir'i ve ardından İleri'yi seçin.
- Microsoft Entra Id'ye Bağlan sayfasında bir Karma Yönetici kimlik bilgisi girin ve İleri'yi seçin.
- Dizinleri ve Etki alanı/OU filtreleme sayfalarını bağla'da İleri'yi seçin.
- İsteğe bağlı özellikler sayfasında, Parola geri yazma'nın yanındaki kutunun seçimini kaldırın ve İleri'yi seçin.
- Yapılandırmaya hazır sayfasında Yapılandır'ı seçin ve işlemin tamamlanmasını bekleyin.
- Yapılandırmanın bitişini gördüğünüzde Çıkış'ı seçin.
Önemli
Parola geri yazma özelliğinin ilk kez etkinleştirilmesi, parola değişikliği gerçekleşmemiş olsa bile 656 ve 657 parola değişikliği olaylarını tetikleyebilir. Bunun nedeni, parola karması eşitleme döngüsü çalıştırıldıktan sonra tüm parola karmalarının yeniden eşitlenmesidir.
Sonraki adımlar
Bu öğreticide, Microsoft Entra SSPR geri yazma özelliğini şirket içi AD DS ortamına etkinleştirmişsinizdir. Nasıl yapılacağını öğrendinsiniz:
- Parola geri yazma için gerekli izinleri yapılandırma
- Microsoft Entra Connect'te parola geri yazma seçeneğini etkinleştirme
- Microsoft Entra SSPR'de parola geri yazmayı etkinleştirme