Руководство. Включение обратной записи самостоятельного сброса пароля облачной синхронизации в локальную среду
Облачная синхронизация Microsoft Entra Connect может синхронизировать изменения паролей Microsoft Entra в режиме реального времени между пользователями в отключен локальная служба Active Directory ных доменах доменов доменных служб (AD DS). Облачная синхронизация Microsoft Entra Connect может выполняться параллельно с Microsoft Entra Connect на уровне домена, чтобы упростить обратную запись паролей для дополнительных сценариев, таких как пользователи, которые находятся в отключенных доменах из-за разделения или слияния компании. Вы можете настроить каждую службу в разных доменах для целевых наборов пользователей в зависимости от их потребностей. Облачная синхронизация Microsoft Entra Connect использует упрощенный агент подготовки облака Microsoft Entra, чтобы упростить настройку для самостоятельного сброса пароля (SSPR) и обеспечить безопасный способ отправки изменений паролей в облаке обратно в локальный каталог.
Необходимые условия
- Клиент Microsoft Entra с включенной лицензией Microsoft Entra ID P1 или пробной лицензией. При необходимости создайте его бесплатно.
- Учетная запись администратора гибридного удостоверения
- Идентификатор Microsoft Entra, настроенный для самостоятельного сброса пароля. При необходимости выполните инструкции по этому руководству, чтобы включить Microsoft Entra SSPR.
- Локальная среда AD DS, настроенная с помощью облачной синхронизации Microsoft Entra Connect версии 1.1.977.0 или более поздней. Узнайте, как определить текущую версию агента. При необходимости настройте облачную синхронизацию Microsoft Entra Connect с помощью этого руководства.
Действия по развертыванию
- Настройка разрешений учетной записи службы облачной синхронизации Microsoft Entra Connect
- Включение обратной записи паролей в облачной синхронизации Microsoft Entra Connect
- Включение обратной записи паролей для SSPR
Настройка разрешений учетной записи службы облачной синхронизации Microsoft Entra Connect
Разрешения для облачной синхронизации настраиваются по умолчанию. Если необходимо сбросить разрешения, см. дополнительные сведения об определенных разрешениях, необходимых для обратной записи паролей, и их настройке с помощью PowerShell.
Включение обратной записи паролей в SSPR
Вы можете включить подготовку облачной синхронизации Microsoft Entra Connect непосредственно в Центре администрирования Microsoft Entra или PowerShell.
Включение обратной записи паролей в Центре администрирования Microsoft Entra
Кончик
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Если включена обратная запись паролей в облачной синхронизации Microsoft Entra Connect, теперь проверьте и настройте самостоятельный сброс пароля Microsoft Entra (SSPR) для обратной записи паролей. Если вы включите SSPR для использования обратной записи паролей, пользователи, которые изменяют или сбрасывают свой пароль, также имеют обновленный пароль, синхронизированный с локальной средой AD DS.
Чтобы проверить и включить обратную запись паролей в SSPR, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
Проверьте параметр включения обратной записи паролей для синхронизированных пользователей.
(необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно проверить параметр обратной записи паролей с помощью облачной синхронизации Microsoft Entra Connect.
Установите флажок разрешить пользователям разблокировать учетные записи без сброса пароля на "Да".
Когда все готово, нажмите кнопку "Сохранить".
PowerShell
С помощью PowerShell вы можете включить облачную синхронизацию Microsoft Entra Connect с помощью командлета Set-AADCloudSyncPasswordWritebackConfiguration на серверах с агентами подготовки.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Очистка ресурсов
Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную в рамках этого руководства, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
- Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
- Снимите флажок включить обратную запись паролей для синхронизированных пользователей.
- Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
- Снимите флажок разрешить пользователям разблокировать учетные записи без сброса пароля.
- Когда все готово, нажмите кнопку "Сохранить".
Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
- Перейдите к сбросу пароля защиты>, а затем выберите локальную интеграцию.
- Снимите флажок для паролей обратной записи с помощью облачной синхронизации Microsoft Entra Connect.
- Когда все готово, нажмите кнопку "Сохранить".
Вы также можете использовать PowerShell, чтобы отключить облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR с сервера облачной синхронизации Microsoft Entra Connect, запустить Set-AADCloudSyncPasswordWritebackConfiguration с помощью учетных данных администратора гибридных удостоверений, чтобы отключить обратную запись паролей с помощью облачной синхронизации Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Поддерживаемые операции
Пароли записываются обратно в следующих ситуациях для конечных пользователей и администраторов.
| Счет | Поддерживаемые операции |
|---|---|
| Конечные пользователи | Любая операция самостоятельного изменения пароля для конечного пользователя. Любая операция самостоятельного изменения пароля для конечных пользователей, например срок действия пароля. Любой самостоятельный сброс пароля конечных пользователей, исходящий из сброса пароля. |
| Администраторы | Любая операция самостоятельного изменения пароля администратора. Любой администратор самостоятельно изменяет операцию изменения пароля, например срок действия пароля. Любой самостоятельный сброс пароля администратора, исходящий из сброса пароля. Любой сброс пароля, инициированного администратором, из Центра администрирования Microsoft Entra. Любой, инициированный администратором сброс пароля пользователя из API Microsoft Graph. |
Неподдерживаемые операции
Пароли не записываются обратно в следующих ситуациях.
| Счет | Неподдерживаемые операции |
|---|---|
| Конечные пользователи | Любой пользователь сбрасывает свой пароль с помощью командлетов PowerShell или API Microsoft Graph. |
| Администраторы | Сброс пароля, инициированного администратором, с помощью командлетов PowerShell. Любой сброс пароля, инициированного администратором, из Центр администрирования Microsoft 365. Любой администратор не может использовать средство сброса пароля для сброса собственного пароля или любого другого администратора в идентификаторе Microsoft Entra для обратной записи паролей. |
Сценарии проверки
Попробуйте выполнить следующие операции, чтобы проверить сценарии с помощью обратной записи паролей. Для всех сценариев проверки требуется облачная синхронизация, и пользователь находится в области обратной записи паролей.
| Сценарий | Подробности |
|---|---|
| Сброс пароля с страницы входа | У двух пользователей из отключенных доменов и лесов выполняется SSPR. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации, а другой в области Microsoft Entra Connect и сбросить пароль. |
| Принудительное изменение пароля с истекшим сроком действия | У двух пользователей из отключенных доменов и лесов изменены пароли с истекшим сроком действия. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другого в области Microsoft Entra Connect. |
| Регулярное изменение пароля | У двух пользователей из отключенных доменов и лесов выполняется обычное изменение пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect. |
| Сброс пароля пользователя администратором | У двух пользователей отключенные домены и леса сбрасывают пароль с помощью Центра администрирования Microsoft Entra или портала рабочей роли Frontline. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect |
| Самостоятельная разблокировка учетной записи | У двух пользователей из отключенных доменов и лесов разблокировки учетных записей на портале SSPR сброс пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect. |
Устранение неполадок
У управляемой учетной записи службы облачной синхронизации Microsoft Entra Connect должны быть следующие разрешения для обратной записи паролей по умолчанию:
- Сброс пароля
- Разрешения на запись в lockoutTime
- Разрешения на запись в pwdLastSet
- Расширенные права для параметра "Unexpire Password" в корневом объекте каждого домена в этом лесу, если он еще не задан.
Если эти разрешения не заданы, можно задать разрешение PasswordWriteBack для учетной записи службы с помощью командлета Set-AADCloudSyncPermissions и учетных данных локального администратора предприятия:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)После обновления разрешений может потребоваться до часа или более для репликации всех объектов в каталоге.
Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Разрешения на запись паролей должны применяться к объектам-потомкам, чтобы функция работала правильно.
Политики паролей в локальной среде AD DS могут препятствовать правильной обработке сброса паролей. Если вы тестируете эту функцию и хотите сбросить пароль для пользователей более одного раза в день, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в разделе "Политики конфигурации > компьютера" Политики > > параметров безопасности параметров > учетной записи политики > паролей в gpmc.msc.
Если вы обновляете групповую политику, дождитесь репликации обновленной политики или используйте команду gpupdate /force.
Для немедленного изменения паролей минимальный возраст пароля должен иметь значение 0. Однако если пользователи соответствуют локальным политикам, а минимальный возраст пароля имеет значение больше нуля, обратная запись паролей не будет работать после оценки локальных политик.
Дополнительные сведения о проверке или настройке соответствующих разрешений см. в разделе "Настройка разрешений учетной записи для Microsoft Entra Connect".
Дальнейшие действия
- Дополнительные сведения об облачной синхронизации и сравнении между Microsoft Entra Connect и облачной синхронизацией см. в статье "Что такое облачная синхронизация Microsoft Entra Connect?
- Руководство по настройке обратной записи паролей с помощью Microsoft Entra Connect см . в руководстве по включению обратной записи самостоятельного сброса пароля Microsoft Entra в локальную среду.