Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Anmärkning
Självbetjäning för lösenordsåterställning med molnsynkronisering stöds inte i Microsoft Azure som drivs av 21Vianet. I stället kan administratörer distribuera SSPR-tillbakaskrivning med Microsoft Entra Connect-synkronisering.
Microsoft Entra Cloud Sync kan synkronisera Microsoft Entra lösenordsändringar i realtid mellan användare i frånkopplade lokala Active Directory Domain Services-domäner (AD DS). Microsoft Entra Cloud Sync kan köras sida vid sida med Microsoft Entra Connect på domännivå för att förenkla tillbakaskrivning av lösenord för ytterligare scenarier, till exempel användare som befinner sig i frånkopplade domäner på grund av en företagsuppdelning eller sammanslagning. Du kan konfigurera varje tjänst i olika domäner för att rikta in sig på olika uppsättningar användare beroende på deras behov. Microsoft Entra Cloud Sync använder den enkla Microsoft Entra molnetableringsagenten för att förenkla konfigurationen för tillbakaskrivning av lösenordsåterställning via självbetjäning (SSPR) och ge ett säkert sätt att skicka tillbaka lösenordsändringar i molnet till en lokal katalog.
Förutsättningar
- En Microsoft Entra klientorganisation med minst en Microsoft Entra ID P1- eller utvärderingslicens aktiverad. Skapa en kostnadsfritt om det behövs.
- Ett hybrididentitetsadministratörskonto
- Microsoft Entra ID konfigurerad för självbetjäning av lösenordsåterställning. Om det behövs kan du slutföra den här handledningen för att aktivera Microsoft Entra SSPR.
- En lokal AD DS-miljö som konfigurerats med Microsoft Entra Cloud sync version 1.1.977.0 eller senare. Lär dig hur du identifierar agentens aktuella version.
Instruktioner för distribution
- Konfigurera Microsoft Entra kontobehörigheter för cloud sync-tjänsten
- Aktivera lösenordsåterställning i Microsoft Entra Connect-molnsynkronisering
- Aktivera tillbakaskrivning av lösenord för SSPR
Konfigurera kontobehörigheter för Microsoft Entra cloud sync-tjänst
Behörigheter för molnsynkronisering konfigureras som standard. Om behörigheter behöver återställas kan du läsa Felsökning för mer information om de specifika behörigheter som krävs för tillbakaskrivning av lösenord och hur du anger dem med hjälp av PowerShell.
Aktivera tillbakaskrivning av lösenord i SSPR
Du kan aktivera Microsoft Entra Anslut molnsynkroniseringsetablering direkt i Microsoft Entra administrationscenter eller via PowerShell.
Aktivera tillbakaskrivning av lösenord i administrationscentret för Microsoft Entra
Med lösenordsskrivning aktiverad i Microsoft Entra Connect molnsynkronisering kan du nu verifiera och konfigurera Microsoft Entra självbetjäning av lösenordsåterställning (SSPR) för lösenordsskrivning. När du aktiverar SSPR för att använda tillbakaskrivning av lösenord har användare som ändrar eller återställer sitt lösenord även det uppdaterade lösenordet synkroniserat tillbaka till den lokala AD DS-miljön.
Utför följande steg för att verifiera och aktivera tillbakaskrivning av lösenord i SSPR:
Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.
Bläddra tillLösenordsåterställning för > och välj sedan Lokal integrering.
Kontrollera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
(valfritt) Om Microsoft Entra Connect-etableringsagenter identifieras kan du dessutom kontrollera alternativet för Skriv tillbaka lösenord med Microsoft Entra Connect-molnsynkronisering.
Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
När du är klar väljer du Spara.
PowerShell
Med PowerShell kan du aktivera Microsoft Entra Connect-molnsynkronisering med hjälp av cmdleten Set-AADCloudSyncPasswordWritebackConfiguration på servrarna med etableringsagenterna.
Import-Module 'C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll'
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)
Rensa resurser
Om du inte längre vill använda tillbakaskrivningsfunktionen för SSPR som du konfigurerade som en del av den här självstudien utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.
- Bläddra tillLösenordsåterställning för > och välj sedan Lokal integrering.
- Avmarkera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare.
- Avmarkera alternativet för synka tillbaka lösenord med Microsoft Entra Connect molnsynkronisering.
- Avmarkera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord.
- När du är klar väljer du Spara.
Om du inte längre vill använda Microsoft Entra Anslut molnsynkronisering för SSPR-tillbakaskrivningsfunktioner men vill fortsätta att använda Microsoft Entra Connect Sync-agenten för tillbakaskrivningar utför du följande steg:
- Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.
- Bläddra tillLösenordsåterställning för > och välj sedan Lokal integrering.
- Avmarkera alternativet för Skriv tillbaka lösenord med Microsoft Entra Anslut molnsynk.
- När du är klar väljer du Spara.
Du kan också använda PowerShell för att inaktivera Microsoft Entra Connect-molnsynkronisering för SSPR-tillbakaskrivningsfunktioner, från din Microsoft Entra Anslut molnsynkroniseringsserver, kör Set-AADCloudSyncPasswordWritebackConfiguration med autentiseringsuppgifter för hybrididentitetsadministratör för att inaktivera tillbakaskrivning av lösenord med Microsoft Entra Anslut molnsynkronisering.
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’
Set-AADCloudSyncPasswordWritebackConfiguration -Enable $false -Credential $(Get-Credential)
Åtgärder som stöds
Lösenord skrivs tillbaka i följande situationer för slutanvändare och administratörer.
| Konto | Åtgärder som stöds |
|---|---|
| Slutanvändare | En valfri funktion för att byta lösenord vid självbetjäning för slutanvändare. Slutanvändarnas självbetjäning tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Alla lösenordsåterställning via självbetjäning för slutanvändare som kommer från lösenordsåterställning. |
| Administratörer | Administratörens självbetjäningsfunktion för frivillig lösenordsändring. Alla självbetjäningsadministratörer tvingar fram ändring av lösenordsåtgärd, till exempel förfallotid för lösenord. Självbetjänade lösenordsåterställningar för administratörer som härstammar från lösenordsåterställning. Alla administratörsinitierade lösenordsåterställning av slutanvändare från Microsoft Entra administrationscenter. Alla administratörsinitierade lösenordsåterställning från Microsoft Graph API. |
Åtgärder som inte stöds
Lösenord skrivs inte tillbaka i följande situationer.
| Konto | Åtgärder som inte stöds |
|---|---|
| Slutanvändare | Slutanvändare som återställer sitt eget lösenord med hjälp av PowerShell-cmdletar eller Microsoft Graph API. |
| Administratörer | Alla administratörsinitierade lösenordsåterställningar för slutanvändare med PowerShell-cmdletar. Alla administratörsinitierade återställningar av slutanvändares lösenord i Microsoft 365 administrationscenter. En administratör kan inte använda verktyget för lösenordsåterställning för att återställa sitt eget lösenord eller någon annan administratör i Microsoft Entra ID för tillbakaskrivning av lösenord. |
Valideringsscenarier
Prova följande åtgärder för att verifiera scenarier med tillbakaskrivning av lösenord. Alla valideringsscenarier kräver att molnsynkronisering installeras och att användaren är i omfånget för tillbakaskrivning av lösenord.
| Scenarium | Detaljer |
|---|---|
| Återställa lösenord från inloggningssidan | Låt två användare från frånkopplade domäner och skogar utföra SSPR. Du kan också ha Microsoft Entra Connect- och molnsynkronisering distribuerad sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect och låta användarna återställa sitt lösenord. |
| Framtvinga lösenordsändring som upphört att gälla | Låt två användare från frånkopplade domäner och skogar ändra utgångna lösenord. Du kan också ha Microsoft Entra Connect- och molnsynkronisering distribuerad sida vid sida och ha en användare i omfånget för molnsynkroniseringskonfiguration och en annan i omfånget för Microsoft Entra Connect. |
| Vanlig lösenordsändring | Låt två användare från frånkopplade domäner och skogar utföra rutinmässiga lösenordsändringar. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare inom området för molnsynkronisering och en annan inom området för Microsoft Entra Connect. |
| Administratör återställer användarlösenord | Låt två användare frånkopplade domäner och skogar återställa sitt lösenord från Microsoft Entra administrationscenter eller Frontline-arbetsportalen. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida, med en användare i molnsynkroniseringens omfång och en annan i Microsoft Entra Connects omfång. |
| Upplåsning av självbetjäningskonto | Låt två användare från frånkopplade domäner och skogar låsa upp konton i SSPR-portalen och återställa lösenordet. Du kan också ha Microsoft Entra Connect och molnsynkronisering sida vid sida och ha en användare under konfiguration för molnsynkronisering och en annan under omfattningen för Microsoft Entra Connect. |
Felsökning
Microsoft Entra Connects molnsynkgruppens hanterade tjänstkonto bör ha följande behörigheter inställda som standard för att skriva tillbaka lösenorden:
- Återställ lösenord
- Skrivåtkomsträttigheter för lockoutTime
- Skrivbehörigheter för pwdLastSet
- Utökade rättigheter för "Unexpire Password" för rotobjektet för varje domän i skogen, om det inte redan har angetts.
Om dessa behörigheter inte har angetts kan du ange behörigheten PasswordWriteBack för tjänstkontot med hjälp av Set-AADCloudSyncPermissions-cmdleten och autentiseringsuppgifterna för den lokala företagsadministratören:
Import-Module ‘C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll’ Set-AADCloudSyncPermissions -PermissionType PasswordWriteBack -EACredential $(Get-Credential)När du har uppdaterat behörigheterna kan det ta upp till en timme eller mer för dessa behörigheter att replikeras till alla objekt i katalogen.
Om lösenord för vissa användarkonton inte skrivs tillbaka till den lokala katalogen kontrollerar du att arv inte är inaktiverat för kontot i den lokala AD DS-miljön. Skrivbehörigheter för lösenord måste tillämpas på underordnade objekt för att funktionen ska fungera korrekt.
Lösenordsprinciper i den lokala AD DS-miljön kan förhindra att lösenordsåterställning bearbetas korrekt. Om du testar den här funktionen och vill återställa lösenord för användare mer än en gång per dag måste grupprincipen för Lägsta lösenordsålder anges till 0. Den här inställningen finns under Datorkonfiguration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy i gpmc.msc.
Om du uppdaterar grupprincipen väntar du tills den uppdaterade principen replikeras eller använder kommandot gpupdate /force.
För att lösenord ska kunna ändras omedelbart måste lägsta ålder för lösenord anges till 0. Men om användarna följer de lokala principerna och lägsta lösenordsålder är inställt på ett värde som är större än noll, fungerar inte tillbakaskrivning av lösenord när de lokala principerna har utvärderats.
Mer information om hur du verifierar eller konfigurerar lämpliga behörigheter finns i Konfigurera kontobehörigheter för Microsoft Entra Connect.
Nästa steg
- Mer information om molnsynkronisering och en jämförelse mellan Microsoft Entra Connect och molnsynkronisering finns i Vad är Microsoft Entra Connect-molnsynkronisering?
- En självstudiekurs om hur du konfigurerar tillbakaskrivning av lösenord med hjälp av Microsoft Entra Connect finns i Tutorial: Aktivera Microsoft Entra återställning av lösenord via självbetjäning till en lokal miljö.