Tutorial: Habilitar o write-back de redefinição de senha self-service do Microsoft Entra para um ambiente local

Com Microsoft Entra SSPR (redefinição de senha de autoatendimento), os usuários podem atualizar suas senhas ou desbloquear suas contas usando um navegador da Web. Recomendamos este vídeo em Como habilitar e configurar o SSPR em Entra ID. Em um ambiente híbrido em que Microsoft Entra ID está conectado a um ambiente do AD DS (Active Directory Domain Services local), as senhas podem ser diferentes entre os dois diretórios.

Você pode usar o write-back de senha para sincronizar alterações de senha no Microsoft Entra de volta ao seu ambiente do AD DS local. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente do Microsoft Entra ID.

Importante

Este tutorial mostra aos administradores como habilitar a redefinição de senha de autoatendimento de volta para um ambiente local. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Neste tutorial, você aprenderá como:

  • Configurar as permissões necessárias para a reversão de senha
  • Habilitar a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o write-back de senha no Microsoft Entra SSPR

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Configurar permissões de conta para o Microsoft Entra Connect

O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente local do AD DS e o Microsoft Entra ID. Normalmente, você instala o Microsoft Entra Connect em um computador com Windows Server 2016 ou posterior que está ingressado no domínio local do AD DS.

Para trabalhar corretamente com o write-back do SSPR, a conta especificada no Microsoft Entra Connect deve ter as permissões e as opções apropriadas definidas. Se você não tiver certeza de qual conta está sendo usada no momento, abra o Microsoft Entra Connect e selecione a opção Exibir configuração atual . A conta à qual você precisa adicionar permissões está listada em Diretórios Sincronizados. As seguintes permissões e opções precisam estar definidas na conta:

  • Redefinir a senha
  • Alterar senha
  • Permissões de gravação em lockoutTime
  • Permissões de gravação em pwdLastSet
  • Direitos estendidos para Não permitir expiração da senha no objeto raiz de cada domínio nessa floresta, caso ainda não estejam definidos.

Se você não atribuir essas permissões, o write-back poderá parecer estar configurado corretamente, mas os usuários encontrarão erros ao gerenciar suas senhas locais da nuvem. Ao definir as permissões Unexpire Password no Active Directory, você deve aplicá-la a Este objeto e todos os objetos descendentes, Somente este objeto ou Todos os objetos descendentes; caso contrário, a permissão Unexpire Password não será exibida.

Dica

Se as senhas de algumas contas de usuário não são gravadas de volta no diretório local, verifique se a herança não está desabilitada para essas contas no ambiente local do AD DS. As permissões de gravação para senhas devem ser aplicadas aos objetos descendentes para que o recurso funcione corretamente.

Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as etapas a seguir:

  1. Em seu ambiente do AD DS local, abra Usuários e Computadores do Active Directory com uma conta que tenha as permissões de administrador de domínio apropriadas.
  2. No menu Exibir , verifique se os recursos avançados estão ativados.
  3. No painel esquerdo, clique com o botão direito do mouse no objeto que representa a raiz do domínio e selecione Properties>Security>Advanced.
  4. Na guia Permissões , selecione Adicionar.
  5. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta que Microsoft Entra Connect usa).
  6. Na lista suspensa Aplica-se a, selecione Objetos de Usuário Descendente.
  7. Em Permissões, selecione a caixa para Redefinir senha.
  8. Em Propriedades, selecione as caixas para as opções a seguir. Role a lista para encontrar essas opções, que podem já estar definidas por padrão:

  • Escrever o tempo de bloqueio

  • Gravar pwdLastSet

    Defina as permissões apropriadas em Usuários e Computadores do Active Directory para a conta usada pelo Microsoft Entra Connect.

  1. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações.
  2. Na guia Permissões , selecione Adicionar.
  3. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta que Microsoft Entra Connect usa).
  4. Na lista suspensa Aplica-se a, selecione Este objeto e todos os descendentes
  5. Em Permissões, selecione a caixa para a seguinte opção:
    • Não permitir expiração de senha
  6. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações e sair de todas as caixas de diálogo abertas.

Quando você atualizar as permissões, poderá levar até uma hora ou mais para que essas permissões sejam replicadas em todos os objetos no diretório.

As políticas de senha no ambiente local do AD DS podem impedir que as redefinições de senha sejam processadas corretamente. Para que o write-back de senha funcione com mais eficiência, a política de grupo para a idade mínima da senha deve ser definida como 0. Você pode encontrar essa configuração em Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies em gpmc.msc.

Se você atualizar a política de grupo, aguarde até que a política atualizada replique ou use o gpupdate /force comando.

Observação

Se você precisar permitir que os usuários alterem ou redefinam senhas mais de uma vez por dia, você deve definir a idade mínima da senha como 0. O write-back de senha funcionará depois que as políticas de senha locais forem avaliadas com êxito.

Habilitar a reversão de senha no Microsoft Entra Connect

Uma das opções de configuração no Microsoft Entra Connect é para o write-back de senha. Quando essa opção é habilitada, os eventos de alteração de senha fazem o Microsoft Entra Connect sincronizar as credenciais atualizadas de volta para o ambiente local do AD DS.

Para habilitar a escrita de retorno do SSPR, primeiro ative a opção de escrita de retorno no Microsoft Entra Connect. Em seu servidor do Microsoft Entra Connect, conclua as seguintes etapas:

  1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página Tarefas Adicionais , selecione Personalizar opções de sincronização e selecioneAvançar.
  4. Na página Conectar para Microsoft Entra ID, insira uma credencial de Administrador Híbrido para seu locatário Azure e selecione Next.
  5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
  6. Na página Recursos opcionais, selecione a caixa ao lado de reescrita de senha e selecione Avançar.
  7. Na página extensões do Diretório , selecione Avançar.
  8. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  9. Quando você vir a configuração ser concluída, selecione Sair.

Observação

Não há suporte para a atualização PasswordWritebackEnabled dos recursos do serviço OnPremDirectorySynchronization, pois esse sinalizador de recurso não está em uso.

Habilitar a devolução de senha para o SSPR

Com o write-back de senha habilitado no Microsoft Entra Connect, você agora pode configurar o Microsoft Entra SSPR para write-back. Você pode configurar o SSPR para gravação de volta por meio dos agentes do Microsoft Entra Connect Sync e dos agentes de provisionamento do Microsoft Entra Connect (sincronização na nuvem). Quando você habilita o SSPR para usar o write-back de senha, a senha atualizada dos usuários que alteram ou redefinem as respectivas senhas é sincronizada novamente para o ambiente local do AD DS.

Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Selecione a opção Gravar senhas de volta no diretório local.
  4. (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá verificar a opção de write-back de senhas com a sincronização de nuvem do Microsoft Entra Connect.
  5. Defina a opção para permitir que os usuários desbloqueiem contas sem redefinir sua senha para Sim.
  6. Quando estiver pronto, selecione Salvar.

Limpar os recursos

Caso não deseje mais usar a funcionalidade de write-back do SSPR configurada como parte deste tutorial, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Desmarque a opção de Fazer write-back de senhas em seu diretório local.
  4. Desmarque a opção de gravar senhas de volta com a sincronização de nuvem do Microsoft Entra Connect.
  5. Desmarque a opção para permitir que os usuários desbloqueiem contas sem redefinir a senha.
  6. Quando estiver pronto, selecione Salvar.

Caso não queira mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR, mas queira continuar usando o agente de sincronização do Microsoft Entra Connect para write-backs, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Desmarque a opção de gravar senhas de volta com a sincronização de nuvem do Microsoft Entra Connect.
  4. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor do Microsoft Entra Connect:

  1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página Tarefas Adicionais , selecione Personalizar opções de sincronização e selecioneAvançar.
  4. Na página Conectar para Microsoft Entra ID, insira uma credencial de Administrador Híbrido e selecione Next.
  5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
  6. Na página Recursos opcionais, desmarque a caixa ao lado de reversão de senha e selecione Avançar.
  7. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  8. Quando você vir a configuração ser concluída, selecione Sair.

Importante

Habilitar o write-back de senha pela primeira vez pode disparar eventos de alteração de senha 656 e 657, mesmo que uma alteração de senha não tenha ocorrido. Isso ocorre porque todos os hashes de senha são ressincronizados após a execução de um ciclo de sincronização de hash de senha.

Próximas etapas

Neste tutorial, você habilitou o write-back do Microsoft Entra SSPR para um ambiente do AD DS local. Você aprendeu a:

  • Configurar as permissões necessárias para a reversão de senha
  • Habilitar a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o write-back de senha no Microsoft Entra SSPR

Avaliar o risco ao entrar

  • Last updated on