Esercitazione: Abilitare il writeback per la reimpostazione della password self-service di Microsoft Entra in un ambiente locale

Con Microsoft Entra reimpostazione self-service della password (SSPR), gli utenti possono reimpostare la password o sbloccare il proprio account tramite un browser Web. Ti consigliamo questo video su Come abilitare e configurare SSPR in Entra ID. In un ambiente ibrido in cui Microsoft Entra ID è connesso a un ambiente di Active Directory Domain Services (AD DS) locale, le password possono essere diverse tra le due directory.

È possibile usare il writeback delle password per sincronizzare le modifiche apportate alle password in Microsoft Entra nell'ambiente AD DS locale. Microsoft Entra Connect fornisce un meccanismo sicuro per inviare di nuovo le modifiche delle password a una directory locale esistente da Microsoft Entra ID.

In questa esercitazione apprenderai a:

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

• Un tenant di Microsoft Entra funzionante con almeno una licenza P1 o di prova di Microsoft Entra ID abilitata.
  • Se necessario, crearne uno gratuitamente.
  • Per ulteriori informazioni, vedere Requisiti di licenza per la reimpostazione della password self-service (SSPR) per Microsoft Entra.
• Un account con Amministratore delle Identità Ibride.
• Microsoft Entra ID configurato per la reimpostazione della password automatica.
  • Se necessario, completare il tutorial precedente per abilitare la reimpostazione della password self-service di Microsoft Entra.
• Un ambiente Active Directory Domain Services locale esistente configurato con una versione corrente di Microsoft Entra Connect.
  • Se necessario, configurare Microsoft Entra Connect usando la modalità Rapida o Personalizzata.
  • Per usare il writeback delle password, i controller di dominio possono eseguire qualsiasi versione supportata di Windows Server.

Configurare le autorizzazioni dell'account per Microsoft Entra Connect

Microsoft Entra Connect consente di sincronizzare utenti, gruppi e credenziali tra un ambiente Active Directory Domain Services locale e Microsoft Entra ID. In genere, si installa Microsoft Entra Connect in un computer Windows Server 2016 o versioni successive che fa parte del dominio Active Directory Domain Services locale.

Per usare correttamente il writeback della reimpostazione della password self-service, per l'account specificato in Microsoft Entra Connect è necessario impostare le autorizzazioni e le opzioni appropriate. Se non si è certi dell'account attualmente in uso, aprire Microsoft Entra Connect e selezionare l'opzione Visualizza la configurazione corrente. L'account a cui è necessario aggiungere le autorizzazioni è elencato in Directory sincronizzate. Per l'account è necessario impostare le autorizzazioni e le opzioni seguenti:

• Reimpostazione della password
• Cambia password
• Autorizzazioni di scrittura su lockoutTime
• Autorizzazioni di scrittura su pwdLastSet
• Diritti estesi per Unexpire Password sull'oggetto radice di ogni dominio di tale foresta, se non sono già impostati.

Se non si assegnano queste autorizzazioni, il writeback potrebbe sembrare configurato correttamente, ma gli utenti riscontrano errori quando gestiscono le password locali dal cloud. Quando si impostano le autorizzazioni Unexpire Password in Active Directory, è necessario applicarla all'oggetto Questo oggetto e a tutti gli oggetti discendentiQuesto oggetto solo o Tutti gli oggetti discendenti; in caso contrario, l'autorizzazione Unexpire Password non viene visualizzata.

Per impostare le autorizzazioni appropriate per l'esecuzione del writeback delle password, eseguire la procedura seguente:

1. Nell'ambiente di Active Directory Domain Services locale aprire Utenti e computer di Active Directory con un account con le autorizzazioni di amministratore di dominio appropriate.
2. Nel menu Visualizza verificare che l'opzione Funzionalità avanzate sia attivata.
3. Nel pannello sinistro fare clic con il pulsante destro del mouse sull'oggetto che rappresenta la radice del dominio e selezionare Proprietà>Sicurezza>avanzata.
4. Nella scheda Autorizzazioni selezionare Aggiungi.
5. Per Principal, selezionare l'account a cui devono essere applicate le autorizzazioni (l'account usato da Microsoft Entra Connect).
6. Nell'elenco a discesa Applica a, selezionare Oggetti utente discendenti.
7. In Autorizzazioni selezionare la casella Reimposta password.
8. In Proprietà selezionare le caselle per le opzioni seguenti. Scorrere l'elenco per trovare queste opzioni, che potrebbero essere già impostate per impostazione predefinita:

• Scrivi lockoutTime

• Scrivi pwdLastSet

  

1. Quando si è pronti, selezionare Applica/OK per applicare le modifiche.
2. Nella scheda Autorizzazioni selezionare Aggiungi.
3. Per Principal, selezionare l'account a cui applicare le autorizzazioni, ovvero l'account usato da Microsoft Entra Connect.
4. Nell'elenco a discesa Applica a, selezionare Questo oggetto e tutti i discendenti
5. In Autorizzazioni selezionare la casella per l'opzione seguente:
   • Password senza scadenza
6. Quando si è pronti, selezionare Applica/OK per applicare le modifiche e chiudere le finestre di dialogo aperte.

Quando si aggiornano le autorizzazioni, la replica delle autorizzazioni in tutti gli oggetti nella directory potrebbe richiedere fino a un'ora o più.

I criteri delle password nell'ambiente Active Directory Domain Services locale possono impedire la corretta elaborazione delle reimpostazioni delle password. Affinché il writeback delle password funzioni in modo più efficiente, i criteri di gruppo per Validità minima password devono essere impostati su 0. È possibile trovare questa impostazione in Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account all'interno di gpmc.msc.

Se si aggiorna il criterio di gruppo, attendere che il criterio aggiornato sia replicato oppure usare il comando gpupdate /force.

Abilitare il writeback delle password in Microsoft Entra Connect

Una delle opzioni di configurazione in Microsoft Entra Connect riguarda il writeback delle password. Quando questa opzione è abilitata, gli eventi di modifica delle password fanno sì che Microsoft Entra Connect sincronizzi di nuovo le credenziali aggiornate nell'ambiente Active Directory Domain Services locale.

Per abilitare il writeback della reimpostazione della password self-service, è necessario prima attivare l'opzione di writeback in Microsoft Entra Connect. Dal server Microsoft Entra Connect completare questa procedura:

1. Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
2. Nella pagina di benvenuto selezionare Configura.
3. Nella pagina Attività aggiuntive selezionare Personalizza opzioni di sincronizzazione, quindi selezionare Avanti.
4. Nella pagina Connetti a Microsoft Entra ID immettere una credenziale di amministratore ibrido per il tenant Azure, quindi selezionare Next.
5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
6. Nella pagina Funzionalità facoltative selezionare la casella accanto a Writeback password e selezionare Avanti.
7. Nella pagina Estensioni della directory selezionare Avanti.
8. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
9. Quando la configurazione termina, selezionare Esci.

Abilitare il writeback delle password per la reimpostazione della password self-service

Con il writeback delle password abilitato in Microsoft Entra Connect, è ora possibile configurare la reimpostazione self-service della password di Microsoft Entra con writeback. È possibile configurare SSPR per eseguire il writeback tramite gli agenti di sincronizzazione di Microsoft Entra Connect e gli agenti di provisioning di Microsoft Entra Connect (sincronizzazione cloud). Quando si abilita SSPR (reimpostazione della password self-service) per l'uso della scrittura inversa delle password, quando gli utenti modificano o reimpostano la loro password, la password aggiornata verrà nuovamente sincronizzata con l'ambiente Active Directory Domain Services (AD DS) locale.

Per abilitare il ripristino delle password nella reimpostazione self-service delle password, seguire questa procedura:

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .
2. Passare a Entra ID>Reimpostazione password, quindi scegliere Integrazione in loco.
3. Selezionare l'opzione per riscrivere le password nella directory locale.
4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, puoi anche selezionare l'opzione scrittura delle password con la sincronizzazione cloud di Microsoft Entra Connect.
5. Impostare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su Sì.
6. Al termine, selezionare Salva.

Pulire le risorse

Se non si desidera più utilizzare la funzionalità di writeback SSPR che è stata configurata come parte di questa esercitazione, seguire i passaggi seguenti:

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .
2. Passare a Entra ID>Reimpostazione password, quindi scegliere Integrazione in loco.
3. Deselezionare l'opzione Scrivere indietro le password nella directory locale in sede.
4. Deselezionare l'opzione per Riscrittura delle password con la sincronizzazione del cloud di Microsoft Entra Connect.
5. Deselezionare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password.
6. Al termine, selezionare Salva.

Se non si vuole più utilizzare la sincronizzazione cloud di Microsoft Entra Connect per il writeback della funzionalità di reimpostazione della password self-service (SSPR), ma si desidera continuare a utilizzare l'agente di Microsoft Entra Connect Sync per i writeback, seguire questa procedura:

1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .
2. Passare a Entra ID>Reimpostazione password, quindi scegliere Integrazione in loco.
3. Deselezionare l'opzione per Riscrittura delle password con la sincronizzazione del cloud di Microsoft Entra Connect.
4. Al termine, selezionare Salva.

Se non si intende più usare alcuna funzionalità per le password, dal server di Microsoft Entra Connect completare questa procedura:

1. Accedere al server Microsoft Entra Connect e avviare la configurazione guidata di Microsoft Entra Connect.
2. Nella pagina di benvenuto selezionare Configura.
3. Nella pagina Attività aggiuntive selezionare Personalizza opzioni di sincronizzazione, quindi selezionare Avanti.
4. Nella pagina Connetti a Microsoft Entra ID immettere una credenziale di amministratore ibrido e quindi selezionare Avanti.
5. Nelle pagine di filtro Connessione delle directory e Dominio/unità organizzativa selezionare Avanti.
6. Nella pagina Funzionalità facoltative deselezionare la casella accanto a Writeback password e selezionare Avanti.
7. Nella pagina Pronto per la configurazione fare clic su Configura e attendere il completamento del processo.
8. Quando la configurazione termina, selezionare Esci.

Passaggi successivi

In questa esercitazione, è stato abilitato il ripristino della reimpostazione della password self-service di Microsoft Entra in un ambiente locale di Active Directory Domain Services (AD DS). Hai imparato a: