教程：为本地环境启用 Microsoft Entra 的自助密码重置写回功能

使用Microsoft Entra自助密码重置（SSPR），用户可以使用 Web 浏览器更新其密码或解锁其帐户。 在Microsoft Entra ID连接到本地Active Directory 域服务（AD DS）环境的混合环境中，此方案可能会导致两个目录之间的密码不同。

密码写回可用于将Microsoft Entra中的密码更改同步回本地 AD DS 环境。 Microsoft Entra Connect 提供了一种安全机制，用于从 Microsoft Entra ID 将这些密码更改发送回现有本地目录。

本教程介绍如何执行下列操作：

先决条件

需有以下资源和特权才能完成本教程：

• 至少启用了 Microsoft Entra ID P1 或试用许可证的工作 Microsoft Entra 租户。
  • 如果需要，可创建一个。
  • 有关详细信息，请参阅 Microsoft Entra SSPR 的Licensing 要求。
• 具有混合身份管理员身份的帐户。
• Microsoft Entra ID 已配置为自助密码重置。
  • 如果需要，完成上一教程以启用 Microsoft Entra SSPR。
• 使用当前版本的 Microsoft Entra Connect 配置的现有本地 AD DS 环境。
  • 如果需要，请使用 Express 或 Custom 设置配置 Microsoft Entra Connect。
  • 若要使用密码写回，域控制器可以运行任何受支持的Windows Server版本。

为 Microsoft Entra Connect 配置帐户权限

Microsoft Entra Connect 允许在本地 AD DS 环境和Microsoft Entra ID之间同步用户、组和凭据。 通常，在已加入本地 AD DS 域的 Windows Server 2016 或更高版本计算机上安装 Microsoft Entra Connect。

为正确配置 SSPR 写回功能，Microsoft Entra Connect 中指定的帐户必须具备合适的权限和设置。 如果不确定当前正在使用哪个帐户，请打开 Microsoft Entra Connect 并选择 View 当前配置选项。 需要向其添加权限的帐户列在“已同步的目录”下。 必须为该帐户设置以下权限和选项：

• 重置密码
• 更改密码
• 写入权限 对 lockoutTime
• 写入权限 pwdLastSet
• 对该林中每个域的根对象的“使密码不过期”的扩展权限（如果尚未设置）。

如果不分配这些权限，写回功能可能看似已正确配置，但用户在从云管理其本地密码时会遇到错误。 在Active Directory中设置“未过期密码”权限时， 它必须应用于 This 对象和所有子代对象、仅此对象或所有后代对象或无法显示“未过期的密码”权限。

若要设置密码写回服务正常运行所需的相应权限，请完成以下步骤：

1. 在本地 AD DS 环境中，使用具有相应域管理员权限的帐户打开 Active Directory 用户和计算机。
2. 在“视图”菜单中，确保“高级功能”已启用。
3. 在左侧面板中，右键单击表示域根的对象，并选择“属性”“安全性”>“高级”。
4. 在“权限”选项卡中，选择“添加”。
5. 对于 Principal，请选择要应用权限的帐户（即 Microsoft Entra Connect 使用的帐户）。
6. 在“应用到”下拉列表中，选择“后代用户对象”。
7. 在“权限”下，选中以下选项所对应的框：
   • 重置密码
8. 在“属性”下，选中以下选项对应的框。 滚动列表才能看到这些选项，默认情况下可能已设置这些选项：

• 将 lockoutTime 写入

• 写入 pwdLastSet

  

1. 准备就绪时，选择“应用”/“确定”以应用更改。
2. 在“权限”选项卡中，选择“添加”。
3. 对于 Principal，请选择要应用权限的帐户（用于 Microsoft Entra Connect 的帐户）。
4. 在“适用于”下拉列表中，选择“此对象和所有后代对象”。
5. 在“权限”下，选中以下选项所对应的框：
   • 取消密码过期
6. 准备就绪时，选择“应用”/“确定”以应用更改，并退出所有打开的对话框。

更新权限时，将这些权限复制到目录中的所有对象可能需要一小时或更长时间才能完成。

本地 AD DS 环境中的密码策略可能会导致无法正确处理密码重置。 要使密码写回达到最佳效率，组策略中的“最短密码期限”必须设置为 0。 可以在计算机配置>策略>Windows 设置>安全设置>帐户策略gpmc.msc中找到此设置。

如果更新组策略，请等待更新的策略复制完成，或使用 gpupdate /force 命令。

在 Microsoft Entra Connect 中启用密码写回

Microsoft Entra Connect 中的配置选项之一是用于密码写回。 启用此选项后，密码更改事件会导致Microsoft Entra Connect 将更新的凭据同步回本地 AD DS 环境。

若要启用 SSPR 写回，请先在 Microsoft Entra Connect 中启用写回选项。 在 Microsoft Entra Connect 服务器中，完成以下步骤：

1. 登录到 Microsoft Entra Connect 服务器并启动 Microsoft Entra Connect 配置向导。
2. 在“欢迎”页上，选择“配置”。
3. 在“其他任务”页上，依次选择“自定义同步选项”和“下一步”。
4. 在 Connect 到 Microsoft Entra ID 页上，输入Azure租户的混合管理员凭据，然后选择 Next。
5. 在“连接目录”和“域/组织单位”筛选页上，选择“下一步”。
6. 在“可选功能”页上，选中“密码写回”旁边的框，并选择“下一步”。
7. 在“目录扩展”页面，选择“下一步” 。
8. 在“已准备好进行配置”页上，选择“配置”，并等待进程完成。
9. 在配置完成后，选择“退出”。

为 SSPR 启用密码写回

在 Microsoft Entra Connect 中启用密码写回后，现在配置Microsoft Entra SSPR 进行写回。 可以将 SSPR 配置为通过 Microsoft Entra Connect 同步代理和 Microsoft Entra Connect 预配代理（云同步）进行写回。 启用 SSPR 来使用密码写回时，更改或重置其密码的用户的已更新密码也会同步回到本地 AD DS 环境。

若要在 SSPR 中启用密码写回，请完成以下步骤：

1. 至少以Hybrid Identity Administrator的身份登录到Microsoft Entra 管理中心。
2. 浏览到 Entra ID>密码重置，然后选择 本地集成。
3. 勾选“将密码写回到本地目录”选项。
4. （可选）如果检测到 Microsoft Entra Connect 预配代理，还可以勾选 Microsoft Entra Connect 云同步选项进行密码回写。
5. 勾选“允许用户在不重置密码的情况下解锁帐户”选项并将其设置为“是”。
6. 准备就绪后，选择“保存”。

清理资源

如果你不再想要使用本教程中配置的 SSPR 写回功能，请完成以下步骤：

1. 以至少混合身份管理员身份登录到Microsoft Entra 管理中心。
2. 浏览到 Entra ID>密码重置，然后选择 本地集成。
3. 取消选中“将密码写回到本地目录”选项。
4. 取消勾选 通过 Microsoft Entra Connect 云同步写回密码 的选项。
5. 取消选中“允许用户在不重置密码的情况下解锁帐户”选项。
6. 准备就绪后，选择“保存”。

如果不再想要将 Microsoft Entra Connect 云同步用于 SSPR 写回功能，但想要继续使用 Microsoft Entra Connect Sync 代理进行写回，请完成以下步骤：

1. 以至少是Hybrid Identity Administrator的身份登录到Microsoft Entra 管理中心。
2. 浏览到 Entra ID>密码重置，然后选择 本地集成。
3. 取消选中 使用 Microsoft Entra Connect 云同步回写密码 的选项。
4. 准备就绪后，选择“保存”。

如果不再想要使用任何密码功能，请完成 Microsoft Entra Connect 服务器中的以下步骤：

1. 登录到 Microsoft Entra Connect 服务器并启动 Microsoft Entra Connect 配置向导。
2. 在“欢迎”页上，选择“配置”。
3. 在“其他任务”页上，依次选择“自定义同步选项”和“下一步”。
4. 在 连接到 Microsoft Entra ID 页面上，输入混合管理员凭据，然后选择 下一步。
5. 在“连接目录”和“域/组织单位”筛选页上，选择“下一步”。
6. 在“可选功能”页上，取消选中“密码写回”旁边的框，然后选择“下一步”。
7. 在“已准备好进行配置”页上，选择“配置”，并等待进程完成。
8. 在配置完成后，选择“退出”。

后续步骤

在本教程中，你已配置 Microsoft Entra SSPR 写回至本地 AD DS 环境。 你已了解如何执行以下操作：