Этот браузер больше не поддерживается.
Выполните обновление до Microsoft Edge, чтобы воспользоваться новейшими функциями, обновлениями для системы безопасности и технической поддержкой.
Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Облачная синхронизация Microsoft Entra Connect может синхронизировать изменения паролей Microsoft Entra в режиме реального времени между пользователями в отключенных локальных доменах служб Active Directory Domain Services (AD DS). Облачная синхронизация Microsoft Entra Connect может выполняться параллельно с Microsoft Entra Connect на уровне домена, чтобы упростить обратную запись паролей для дополнительных сценариев, таких как пользователи, которые находятся в отключенных доменах из-за разделения или слияния компании. Можно настроить каждую службу в разных доменах для разных групп пользователей в зависимости от их потребностей. Облачная синхронизация Microsoft Entra Connect использует упрощенный агент подготовки облака Microsoft Entra, чтобы упростить настройку для самостоятельного сброса пароля (SSPR) и обеспечить безопасный способ отправки изменений паролей в облаке обратно в локальный каталог.
Разрешения для облачной синхронизации настраиваются по умолчанию. Если разрешения необходимо сбросить, см. раздел Устранение неполадок, где описаны конкретные разрешения, требуемые для обратной записи паролей, и способы их настройки с помощью PowerShell.
Вы можете включить подготовку облачной синхронизации Microsoft Entra Connect непосредственно в Центре администрирования Microsoft Entra или PowerShell.
Если включена обратная запись паролей в облачной синхронизации Microsoft Entra Connect, теперь проверьте и настройте самостоятельный сброс пароля Microsoft Entra (SSPR) для обратной записи паролей. При включении SSPR для использования обратной записи паролей, у пользователей, которые меняют или сбрасывают свои пароли, обновленные пароли также синхронизируются обратно с локальной средой AD DS.
Чтобы проверить и включить обратную запись паролей в SSPR, выполните следующие шаги:
Войдите в административный центр Microsoft Entra как минимум в качестве администратора гибридных удостоверений.
Перейдите к идентификатору Entra>сброс пароля, а затем выберите интеграция на локальном уровне.
Проверьте параметр включения обратной записи паролей для синхронизированных пользователей.
(необязательно) Если обнаружены агенты подготовки Microsoft Entra Connect, можно дополнительно выбрать параметр обратной записи паролей с помощью облачной синхронизации Microsoft Entra Connect.
Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
Когда все будет готово, щелкните Сохранить.
С помощью PowerShell вы можете включить облачную синхронизацию Microsoft Entra Connect, используя командлет Set-AADCloudSyncPasswordWritebackConfiguration на серверах с агентами развертывания.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Если вы больше не хотите использовать функцию обратной записи SSPR, настроенную в рамках этого руководства, выполните следующие действия.
Если вы больше не хотите использовать облачную синхронизацию Microsoft Entra Connect для функции обратной записи SSPR, но хотите продолжить использование агента синхронизации Microsoft Entra Connect для обратной записи выполните следующие действия.
Вы также можете использовать PowerShell, чтобы отключить облачную синхронизацию Microsoft Entra Connect для функции обратной записи пароля через SSPR. На сервере облачной синхронизации Microsoft Entra Connect запустите Set-AADCloudSyncPasswordWritebackConfiguration с использованием учетных данных администратора гибридной идентификации, чтобы отключить обратную запись пароля через облачную синхронизацию Microsoft Entra Connect.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Обратная запись паролей выполняется для пользователей и администраторов в следующих ситуациях.
| Учетная запись | Поддерживаемые операции |
|---|---|
| Конечные пользователи | все самостоятельные добровольные операции изменения пароля конечного пользователя; все самостоятельные принудительные операции изменения пароля пользователя (например, из-за окончания срока действия пароля); Любой самосервисный сброс пароля конечным пользователем, который происходит из сброса пароля. |
| Администраторы | любая самостоятельная добровольная операция изменения пароля администратора. Любая операция администратора по принудительному изменению пароля в режиме самообслуживания, например, при истечении срока действия пароля. Любой самостоятельный сброс пароля администратора, который инициирован сбросом пароля. Любой сброс пароля, инициированный администратором, в Центре администрирования Microsoft Entra. все операции сброса пароля конечного пользователя, инициируемые администратором через API Microsoft Graph. |
Обратная запись паролей не выполняется в следующих ситуациях.
| Учетная запись | Неподдерживаемые операции |
|---|---|
| Конечные пользователи | Любой конечный пользователь, сбрасывающий свой собственный пароль с помощью командлетов PowerShell или API Microsoft Graph. |
| Администраторы | Любой сброс пароля пользователя, инициированный администратором с помощью командлетов PowerShell. Все операции сброса пароля пользователя, инициируемые администратором из Центра администрирования Microsoft 365. Ни один администратор не может использовать средство сброса пароля для сброса своего пароля или пароля любого другого администратора в Microsoft Entra ID при включенной функции обратной записи паролей. |
Попробуйте выполнить следующие операции, чтобы проверить сценарии с использованием обратной записи паролей. Для всех сценариев проверки требуется, чтобы облачная синхронизация была установленa и пользователь входил в область обратной записи паролей.
| Сценарий | Подробности |
|---|---|
| Сброс пароля с страницы входа | Два пользователя из изолированных доменов и лесов выполняют процесс SSPR. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно, назначив одного пользователя для конфигурации облачной синхронизации, а другого — для Microsoft Entra Connect, чтобы они самостоятельно сбросили свои пароли. |
| Принудительное изменение просроченного пароля | Два пользователя из отключенных доменов и лесов меняют просроченные пароли. Вы также можете развернуть Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другого в области Microsoft Entra Connect. |
| Обычная смена пароля | Два пользователя из отключенных доменов и лесов выполняют регулярную смену пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect. |
| Сброс пароля пользователя администратором | У двух пользователей из отключенных доменов и лесов сбросьте пароль через Центр администрирования Microsoft Entra или портал для первичных сотрудников. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect |
| Самостоятельная разблокировка учетной записи | Пусть два пользователя из разъединенных доменов и лесов разблокируют учетные записи на портале SSPR путем сброса пароля. Вы также можете использовать Microsoft Entra Connect и облачную синхронизацию параллельно и иметь одного пользователя в области конфигурации облачной синхронизации и другой в области Microsoft Entra Connect. |
У управляемой учетной записи службы облачной синхронизации Microsoft Entra Connect должны быть следующие разрешения для обратной записи паролей по умолчанию:
Если эти разрешения не заданы, можно задать разрешение PasswordWriteBack для учетной записи службы с помощью командлета Set-AADCloudSyncPermissions и учетных данных локального администратора предприятия:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)
После обновления разрешений может потребоваться до часа или больше, чтобы эти разрешения распространились на все объекты в вашем каталоге.
Если пароли для некоторых учетных записей пользователей не записываются обратно в локальный каталог, убедитесь, что наследование не отключено для учетной записи в локальной среде AD DS. Чтобы функция работала правильно, разрешения на запись паролей должны быть применены к дочерним объектам.
Политики паролей в локальной среде AD DS могут препятствовать корректной обработке смены паролей. Если вы тестируете эту функцию и хотите сбросить пароль для пользователей более одного раза в день, групповая политика для минимального возраста пароля должна иметь значение 0. Этот параметр можно найти в разделе "Конфигурация компьютера > Политики" > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика паролей в gpmc.msc.
При обновлении групповой политики дождитесь завершения репликации обновленной политики или используйте команду gpupdate /force.
Чтобы пароли изменялись немедленно, нужно установить для параметра Минимальный срок действия пароля значение 0. Однако если пользователи соответствуют локальным политикам, а минимальный возраст пароля имеет значение больше нуля, обратная запись паролей не будет работать после оценки локальных политик.
Дополнительные сведения о проверке или настройке соответствующих разрешений см. в разделе "Настройка разрешений учетной записи для Microsoft Entra Connect".
Обучение
Модуль
Узнайте, как позволить пользователям восстановить свои пароли с помощью функции самостоятельного сброса пароля в Microsoft Entra.
Сертификация
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Продемонстрировать функции идентификатора Microsoft Entra для модернизации решений удостоверений, реализации гибридных решений и реализации управления удостоверениями.
События
Присоединение к вызову ИИ Навыков
8 апр., 15 - 28 мая, 07
Отточите свои навыки ИИ и введите подметки, чтобы выиграть бесплатный экзамен сертификации
Зарегистрируйтесь!