教程:启用到本地环境的 Microsoft Entra 自助式密码重置写回

借助 Microsoft Entra 自助式密码重置 (SSPR),用户可以使用 Web 浏览器更新其密码或解锁其帐户。 在 Microsoft Entra ID 连接到本地 Active Directory 域服务 (AD DS) 环境的混合环境中,此方案可能会导致两个目录的密码不同。

可以使用密码写回将 Microsoft Entra 中的密码更改同步回本地 AD DS 环境。 Microsoft Entra Connect 提供一种安全机制用于将这些密码更改从 Microsoft Entra ID 发回到现有本地目录。

重要

本教程向管理员展示如何启用自助式密码重置并重置回本地环境。 如果你是已注册自助式密码重置的最终用户并且需要返回到你的帐户,请转到 https://passwordreset.activedirectory.windowsazure.cn

如果你的 IT 团队尚未启用重置自己密码的功能,请联系支持人员以获得更多帮助。

本教程介绍如何执行下列操作:

  • 为密码写回配置所需的权限
  • 在 Microsoft Entra Connect 中启用密码写回
  • 在 Microsoft Entra SSPR 中启用密码写回

先决条件

需有以下资源和特权才能完成本教程:

配置 Microsoft Entra Connect 的帐户权限

Microsoft Entra Connect 可用于在本地 AD DS 环境与 Microsoft Entra ID 之间同步用户、组和凭据。 通常会在已加入本地 AD DS 域的 Windows Server 2016 或更高版本的计算机上安装 Microsoft Entra Connect。

若要正常使用 SSPR 写回,必须为 Microsoft Entra Connect 中指定的帐户设置适当的权限和选项。 如果不确定当前使用的是哪个帐户,请打开 Microsoft Entra Connect 并选择“查看当前配置”选项。 需要向其添加权限的帐户列在“已同步的目录”下。 必须为该帐户设置以下权限和选项:

  • 重置密码
  • 更改密码
  • lockoutTime写入权限
  • pwdLastSet写入权限
  • 对该林中每个域的根对象的“使密码不过期”的扩展权限(如果尚未设置)。

如果不分配这些权限,写回功能可能看似已正确配置,但用户在从云管理其本地密码时会遇到错误。 在 Active Directory 中设置“使密码不过期”权限时,必须设置应用为“此对象和所有后代对象”、“仅此对象”或“所有后代对象”,否则“使密码不过期”权限无法显示。

提示

如果某些用户帐户的密码未写回到本地目录,请确保未在本地 AD DS 环境中对帐户禁用继承。 必须将密码的写入权限应用于后代对象,才能使该功能正常工作。

若要设置密码写回服务正常运行所需的相应权限,请完成以下步骤:

  1. 在本地 AD DS 环境中,使用拥有相应域管理员权限的帐户打开“Active Directory 用户和计算机”。
  2. 在“视图”菜单中,确保“高级功能”已启用。
  3. 在左侧面板中,右键单击表示域根的对象,并选择“属性”>“安全性”>“高级”。
  4. 在“权限”选项卡中,选择“添加”。
  5. 对于“主体”,请选择权限应该应用到的帐户(Microsoft Entra Connect 使用的帐户)。
  6. 在“应用到”下拉列表中,选择“后代用户对象”。
  7. 在“权限”下,选中以下选项所对应的框:
    • 重置密码
  8. 在“属性”下,选中以下选项对应的框。 滚动列表才能看到这些选项,默认情况下可能已设置这些选项:
  • 写入 lockoutTime

  • 写入 pwdLastSet

    在“活动的用户和计算机”中为 Microsoft Entra Connect 使用的帐户设置适当的权限

  1. 准备就绪时,选择“应用”/“确定”以应用更改。
  2. 在“权限”选项卡中,选择“添加”。
  3. 对于“主体”,请选择权限应该应用到的帐户(Microsoft Entra Connect 使用的帐户)。
  4. 在“适用于”下拉列表中,选择“此对象和所有后代对象”。
  5. 在“权限”下,选中以下选项所对应的框:
    • 使密码不过期
  6. 准备就绪时,选择“应用”/“确定”以应用更改,并退出所有打开的对话框。

更新权限时,将这些权限复制到目录中的所有对象可能需要一小时或更长时间才能完成。

本地 AD DS 环境中的密码策略可能会导致无法正确处理密码重置。 要使密码写回最有效地工作,必须将“最短密码期限”的组策略设置为 0。 可在 gpmc.msc 中的“计算机配置”>“策略”>“Windows 设置”>“安全设置”>“帐户策略”下找到此设置。

如果更新组策略,请等待更新的策略复制完成,或使用 gpupdate /force 命令。

注意

如果需要允许用户每天多次更改或重置密码,则必须将“最短密码期限”设置为 0。 成功评估本地密码策略后,密码写回将适用。

在 Microsoft Entra Connect 中启用密码写回

Microsoft Entra Connect 中有一个配置选项用于密码写回。 启用此选项后,密码更改事件会导致 Microsoft Entra Connect 将更新的凭据同步回本地 AD DS 环境。

若要启用 SSPR 写回,请先在 Microsoft Entra Connect 中启用写回选项。 在 Microsoft Entra Connect 服务器中完成以下步骤:

  1. 登录到 Microsoft Entra Connect 服务器并启动“Microsoft Entra Connect”配置向导。
  2. 在“欢迎”页上,选择“配置”。
  3. 在“其他任务”页上,依次选择“自定义同步选项”和“下一步”。
  4. 在“连接到 Microsoft Entra ID”页上,输入 Azure 租户的混合管理员凭据,然后选择“下一步”。
  5. 在“连接目录”和“域/组织单位”筛选页上,选择“下一步”。
  6. 在“可选功能”页上,选中“密码写回”旁边的框,并选择“下一步”。
  7. 在“目录扩展”页面,选择“下一步” 。
  8. 在“已准备好进行配置”页上,选择“配置”,并等待进程完成。
  9. 在配置完成后,选择“退出”。

注意

不支持通过 OnPremDirectorySynchronization 服务功能更新 PasswordWritebackEnabled,因为此功能标志未在使用中。

为 SSPR 启用密码写回

提示

本文中的步骤可能因开始使用的门户而略有不同。

在 Microsoft Entra Connect 中启用密码写回后,现在配置 Microsoft Entra SSPR 以进行写回。 可以将 SSPR 配置为通过 Microsoft Entra Connect 同步代理进行写回。 启用 SSPR 来使用密码写回时,更改或重置其密码的用户的已更新密码也会同步回到本地 AD DS 环境。

若要在 SSPR 中启用密码写回,请完成以下步骤:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。
  3. 勾选“将密码写回到本地目录”选项。
  4. 勾选“允许用户在不重置密码的情况下解锁帐户”选项并将其设置为“是”。
  5. 准备就绪后,选择“保存”。

清理资源

如果你不再想要使用本教程中配置的 SSPR 写回功能,请完成以下步骤:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。
  3. 取消选中“将密码写回到本地目录”选项。
  4. 取消选中“允许用户在不重置密码的情况下解锁帐户”选项。
  5. 准备就绪后,选择“保存”。

如果要继续使用 Microsoft Entra Connect Sync 代理进行回写,请完成以下步骤:

  1. 全局管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“密码重置”,然后选择“本地集成”。
  3. 取消选中“使用 Microsoft Entra Connect 云同步写回密码”选项。
  4. 准备就绪后,选择“保存”。

如果你不再想要使用任何密码功能,请在 Microsoft Entra Connect 服务器中完成以下步骤:

  1. 登录到 Microsoft Entra Connect 服务器并启动“Microsoft Entra Connect”配置向导。
  2. 在“欢迎”页上,选择“配置”。
  3. 在“其他任务”页上,依次选择“自定义同步选项”和“下一步”。
  4. 在“连接到 Microsoft Entra ID”页上,输入混合管理员凭据,然后选择“下一步”。
  5. 在“连接目录”和“域/组织单位”筛选页上,选择“下一步”。
  6. 在“可选功能”页上,取消选中“密码写回”旁边的框,然后选择“下一步”。
  7. 在“已准备好进行配置”页上,选择“配置”,并等待进程完成。
  8. 在配置完成后,选择“退出”。

重要

如果首次启用密码写回功能,可能会触发密码更改事件 656 和 657,即使没有更改密码也是如此。 这是因为,在密码哈希同步周期运行后,所有密码哈希都将重新同步。

后续步骤

在本教程中,你已启用到本地 AD DS 环境的 Microsoft Entra SSPR 写回。 你已了解如何执行以下操作:

  • 为密码写回配置所需的权限
  • 在 Microsoft Entra Connect 中启用密码写回
  • 在 Microsoft Entra SSPR 中启用密码写回