Tutorial: Habilitar o write-back de redefinição de senha de autoatendimento do Microsoft Entra para um ambiente local

Com o sistema de redefinição de palavra-passe self-service Microsoft Entra (SSPR), os utilizadores podem atualizar as suas palavras-passe ou desbloquear as suas contas através de um navegador web. Recomendamos este vídeo sobre Como ativar e configurar o SSPR em Entra ID. Num ambiente híbrido onde o Microsoft Entra ID está ligado a um ambiente local de Active Directory Domain Services (AD DS), as palavras-passe podem ser diferentes entre os dois diretórios.

Pode utilizar a reescrita de palavra-passe para sincronizar as alterações de palavra-passe no Microsoft Entra para o seu ambiente local do AD DS. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente a partir da ID do Microsoft Entra.

Importante

Este tutorial mostra aos administradores como ativar a redefinição de palavra-passe de autosserviço num ambiente no local. Se você for um usuário final já registrado para redefinição de senha de autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se a sua equipa de TI não tiver ativado a capacidade de repor a sua própria palavra-passe, contacte o seu serviço de assistência para obter assistência adicional.

Neste tutorial, irá aprender a:

  • Configurar as permissões necessárias para write-back de senha
  • Habilite a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o reescrita de palavra-passe no Microsoft Entra SSPR

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

Configurar permissões de conta para o Microsoft Entra Connect

O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente AD DS local e a ID do Microsoft Entra. Normalmente, você instala o Microsoft Entra Connect em um computador com Windows Server 2016 ou posterior que ingressou no domínio do AD DS local.

Para trabalhar corretamente com SSPR writeback, a conta especificada no Microsoft Entra Connect deve ter as permissões e opções adequadas definidas. Se você não tiver certeza de qual conta está em uso no momento, abra o Microsoft Entra Connect e selecione a opção Exibir configuração atual . A conta à qual precisa de adicionar permissões está listada em Diretórios Sincronizados. As seguintes permissões e opções devem ser definidas na conta:

  • Repor palavra-passe
  • Alterar palavra-passe
  • Permissões de escrita em lockoutTime
  • Permissões de escrita em pwdLastSet
  • Direitos estendidos para Unexpire Password no objeto raiz de cada domínio nessa floresta, se não estiver já definido.

Se não atribuir estas permissões, a reescrita poderá parecer corretamente configurada, mas os utilizadores deparam-se com erros quando gerem as suas palavras-passe no local a partir da cloud. Ao definir permissões Unexpire Password em Active Directory, deve aplicá-las a Este objeto e todos os objetos descendentes, This object only ou Todos os objetos descendentes; caso contrário, a permissão Unexpire Password não é apresentada.

Gorjeta

Se as senhas de algumas contas de usuário não forem gravadas de volta no diretório local, verifique se a herança não está desabilitada para a conta no ambiente AD DS local. As permissões de gravação para senhas devem ser aplicadas a objetos descendentes para que o recurso funcione corretamente.

Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as seguintes etapas:

  1. No seu ambiente AD DS local, abra Utilizadores e Computadores do Active Directory com uma conta que tenha as permissões de administrador de domínio apropriadas.
  2. No menu Exibir , verifique se os recursos avançados estão ativados.
  3. No painel esquerdo, clique com o botão direito no objeto que representa a raiz do domínio e selecione Propriedades>Segurança>Avançada.
  4. Na guia Permissões , selecione Adicionar.
  5. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta Microsoft Entra Connect utiliza).
  6. Na lista suspensa Aplica-se a , selecione Objetos de usuário descendente.
  7. Em Permissões, selecione a caixa para Redefinir palavra-passe.
  8. Em Propriedades, selecione as caixas para as seguintes opções. Percorra a lista para encontrar estas opções, que podem já estar definidas por defeito:

  • Escrever lockoutTime

  • Escrever pwdLastSet

    Defina as permissões apropriadas em Utilizadores Ativos e Computadores para a conta que o Microsoft Entra Connect utiliza.

  1. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações.
  2. Na guia Permissões , selecione Adicionar.
  3. Para Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta Microsoft Entra Connect utiliza).
  4. Na lista suspensa Aplica-se a , selecione Este objeto e todos os objetos descendentes
  5. Em Permissões, marque a caixa para a seguinte opção:
    • Senha sem expiração
  6. Quando estiver pronto, selecione Aplicar / OK para aplicar as alterações e sair de todas as caixas de diálogo abertas.

Quando você atualiza permissões, pode levar até uma hora ou mais para que essas permissões sejam replicadas para todos os objetos no diretório.

As políticas de senha no ambiente AD DS local podem impedir que as redefinições de senha sejam processadas corretamente. Para que a reescrita de palavra-passe funcione da forma mais eficiente, a política de grupo para idade mínima da palavra-passe deve estar definida como 0. Pode encontrar esta definição em Configuração do Computador > Políticas > Windows Definições > Definições de Segurança > Políticas de Conta dentro de gpmc.msc.

Se atualizar a política de grupo, espere que a política atualizada se replique ou use o gpupdate /force comando.

Nota

Se precisar de permitir que os utilizadores alterem ou redefinam palavras-passe mais do que uma vez por dia, deve definir a idade mínima da palavra-passepara 0. A escrita de volta da senha funcionará após as políticas de senha no local serem avaliadas com êxito.

Habilitar regravação da palavra-passe no Microsoft Entra Connect

Uma das opções de configuração no Microsoft Entra Connect é para write-back de senha. Quando essa opção está habilitada, os eventos de alteração de senha fazem com que o Microsoft Entra Connect sincronize as credenciais atualizadas de volta para o ambiente AD DS local.

Para habilitar a escrita de volta do SSPR, primeiro ative a opção de escrita de volta no Microsoft Entra Connect. No servidor Microsoft Entra Connect, conclua as seguintes etapas:

  1. Entre no servidor Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página de tarefas adicionais , selecione Personalizar opções de sincronização e depois selecione Próximo.
  4. Na página Ligar ao Microsoft Entra ID, introduza uma credencial de Administrador Híbrido para o seu inquilino Azure e depois selecione Next.
  5. Nas páginas Conectar diretórios de filtragem e Domínio/OU, selecione Avançar.
  6. Na página Recursos opcionais, selecione a caixa ao lado de Reescrita de senha e selecione Avançar.
  7. Na página Extensões de diretório , selecione Avançar.
  8. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  9. Quando vir a conclusão da configuração, selecione Sair.

Nota

Não é suportado atualizar PasswordWritebackEnabled a partir das funcionalidades do serviço OnPremDirectorySynchronization porque este sinalizador de funcionalidade não está a ser utilizado.

Habilitar escrita de volta de palavra-passe para SSPR

Com a reescrita de palavra-passe ativada no Microsoft Entra Connect, pode agora configurar o Microsoft Entra SSPR para reescrita. Pode configurar o SSPR para reescrever na origem utilizando os agentes do Microsoft Entra Connect Sync e os agentes de aprovisionamento do Microsoft Entra Connect (sincronização na cloud). Quando você habilita o SSPR para usar o write-back de senha, os usuários que alteram ou redefinem sua senha também têm essa senha atualizada sincronizada de volta ao ambiente local do AD DS.

Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue atéRedefinição de senha do > e escolha Integração local.
  3. Verifique a opção Escrever palavras-passe no seu diretório local.
  4. (facultativo) Se os agentes de provisionamento do Microsoft Entra Connect forem detetados, você também poderá marcar a opção Gravar senhas de volta com a sincronização na nuvem do Microsoft Entra Connect.
  5. Defina a opção Permitir que os utilizadores desbloqueiem contas sem terem de redefinir a palavra-passe para Sim.
  6. Quando estiver pronto, selecione Salvar.

Limpar recursos

Se você não quiser mais usar a funcionalidade de write-back SSPR que configurou como parte deste tutorial, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue atéRedefinição de senha do > e escolha Integração local.
  3. Desmarque a opção Escrever de volta as senhas no diretório no local.
  4. Desmarque a opção Sincronizar de volta as senhas com a sincronização na nuvem do Microsoft Entra Connect.
  5. Desmarque a opção Permitir que os usuários desbloqueiem contas sem redefinir sua senha.
  6. Quando estiver pronto, selecione Salvar.

Se já não quiser usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de escrita de retorno do SSPR, mas desejar continuar a usar o agente Microsoft Entra Connect Sync para restaurações, conclua os seguintes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue atéRedefinição de senha do > e escolha Integração local.
  3. Desmarque a opção Sincronizar de volta as senhas com a sincronização na nuvem do Microsoft Entra Connect.
  4. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor Microsoft Entra Connect:

  1. Entre no servidor Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página de tarefas adicionais , selecione Personalizar opções de sincronização e depois selecione Próximo.
  4. Na página Connect to Microsoft Entra ID, introduza uma credencial de Administrador Híbrido e selecione Next.
  5. Nas páginas Conectar diretórios de filtragem e Domínio/OU, selecione Avançar.
  6. Na página Recursos opcionais, desmarque a caixa ao lado de Retrogravação de senha e selecione Avançar.
  7. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  8. Quando vir a conclusão da configuração, selecione Sair.

Importante

A ativação da reescrita de palavra-passe pela primeira vez pode acionar os eventos de alteração de palavra-passe 656 e 657, mesmo que não tenha ocorrido qualquer alteração da palavra-passe. Isto acontece porque todos os hashes de palavra-passe são ressincronizados após a execução de um ciclo de sincronização de hash de palavra-passe.

Próximos passos

Neste tutorial, você habilitou o write-back do Microsoft Entra SSPR para um ambiente AD DS local. Aprendeu a:

  • Configurar as permissões necessárias para write-back de senha
  • Habilite a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o reescrita de palavra-passe no Microsoft Entra SSPR

Avaliar o risco ao iniciar sessão

  • Last updated on