Microsoft Entra 自助服务密码重置(SSPR)允许用户在云中重置其密码,但大多数公司也为用户提供了本地 Active Directory 域服务(AD DS)环境。 密码写回允许使用 Microsoft Entra Connect 实时将云中的密码更改写回到本地目录。 当用户在云中使用 SSPR 更改或重置其密码时,更新的密码也会写回到本地 AD DS 环境。
重要
此概念性文章向管理员介绍了自助密码重置写回的工作原理。 如果你是已注册自助密码重置的最终用户,并且需要返回到你的帐户,请转到 https://passwordreset.activedirectory.windowsazure.cn。
如果 IT 团队未启用重置自己的密码的功能,请联系支持人员以获取其他帮助。
在使用以下混合标识模型的环境中支持密码写回:
注释
启用安全组的分阶段推出时,不支持具有对本地域写回能力的自助密码重置(SSPR)。
密码写回提供以下功能:
- 强制实施本地 Active Directory 域服务(AD DS)密码策略:当用户重置其密码时,会对其进行检查,以确保它在将密码提交到该目录之前满足本地 AD DS 策略。 此评审包括检查历史记录、复杂性、年龄、密码筛选器以及 AD DS 中定义的任何其他密码限制。
- 零延迟反馈:密码写回是同步作。 如果用户的密码不符合策略,或者因任何原因无法重置或更改,用户将立即收到通知。
- 支持访问面板和 Microsoft 365 中的密码更改:当联合用户或密码哈希同步用户更改其过期或未过期的密码时,这些密码将写回到 AD DS。
- 当管理员从 Microsoft Entra 管理中心重置密码时支持密码写回:当管理员重置 Microsoft Entra 管理中心中的用户密码时,如果该用户已联合或密码哈希同步,密码将写回到本地。 Office 管理门户中当前不支持此功能。
- 不需要任何入站防火墙规则:密码写回使用 Azure 服务总线中继作为基础通信通道。 所有通信都是通过端口 443 进行出站通信的。
- 通过Microsoft Entra Connect支持并行域级部署,以满足不同用户的需求,包括处于断开连接域的用户。
注释
处理密码写回请求的本地服务帐户无法更改属于受保护组的用户的密码。 管理员可以在云中更改其密码,但他们无法使用密码写回来重置其本地用户忘记的密码。 有关受保护组的详细信息,请参阅 AD DS 中的受保护帐户和组。
若要开始使用 SSPR 写回,请完成以下教程:
密码写回的工作原理
为配置了联合身份验证或密码哈希同步的用户帐户(或者在Microsoft Entra Connect 部署的情况下)尝试重置或更改云中的密码时,将执行以下操作:
执行检查以查看用户拥有的密码类型。 如果密码在本地管理:
- 执行检查以查看写回服务是否已启动并运行。 如果是,用户可以继续进行。
- 如果写回服务关闭,则会通知用户其密码现在无法重置。
接下来,用户通过相应的身份验证入口并到达 “重置密码 ”页。
用户选择新密码并确认。
当用户选择 “提交”时,纯文本密码使用写回设置过程中创建的公钥进行加密。
加密密码包含在有效负载中,该有效负载通过 HTTPS 通道发送到特定于租户的服务总线中继(在写回设置过程中为你设置)。 此中继由一个随机生成的密码保护,只有您的本地安装系统知道该密码。
消息到达服务总线后,密码重置端点会自动唤醒,并检测到有挂起的重置请求。
然后,该服务使用云定位点属性查找用户。 要使此查找成功,必须满足以下条件:
- 用户对象必须存在于 AD DS 连接器空间中。
- 用户对象必须链接到相应的 Metaverse (MV) 对象。
- 用户对象必须链接到相应的Microsoft Entra 连接器对象。
- 从 AD DS 连接器对象到 MV 的链接必须具有链接上的同步规则
Microsoft.InfromADUserAccountEnabled.xxx
。
当调用来自云时,同步引擎使用 cloudAnchor 属性来查找 Microsoft Entra 连接器空间对象。 然后,它跟踪链接返回到 MV 对象,再跟踪链接返回到 AD DS 对象。 由于同一用户可能有多个 AD DS 对象(multi-forest),因此同步引擎依赖于
Microsoft.InfromADUserAccountEnabled.xxx
链接来选取正确的对象。找到用户帐户后,将尝试直接在相应的 AD DS 林中重置密码。
如果密码集作成功,则用户被告知其密码已更改。
注释
如果用户的密码哈希通过使用密码哈希同步同步到 Microsoft Entra ID,则本地密码策略可能比云密码策略弱。 在这种情况下,将强制实施本地策略。 此策略确保无论您使用密码哈希同步或联合身份验证以提供单一登录,您的本地策略均可在云中得到强制执行。
如果密码集作失败,错误会提示用户重试。 作可能由于以下原因而失败:
- 服务已关闭。
- 他们选择的密码不符合组织的策略。
- 无法在本地 AD DS 环境中找到用户。
错误消息向用户提供指导,以便他们可以尝试解决,而无需管理员干预。
密码写回安全性
密码写回是一项高度安全的服务。 为了确保信息受到保护,已启用四层安全模型,如下所示:
-
特定于租户的服务总线转发器
- 设置服务时,会设置租户特定的服务总线中继,该中继受随机生成的强密码保护,Microsoft永远不会访问。
-
受到严格保护、密码学上强的、用于密码加密的密钥
- 创建服务总线中继后,将创建一个强对称密钥,用于在密码通过网络时加密密码。 此密钥仅存在于云中的公司机密存储中,该存储被严重锁定和审核,就像目录中的任何其他密码一样。
-
行业标准传输层安全性 (TLS)
- 当云中发生密码重置或更改作时,纯文本密码将使用公钥进行加密。
- 加密密码将放置在通过加密通道发送的 HTTPS 消息中,该消息使用 Microsoft TLS/SSL 证书发送到服务总线中继。
- 消息到达服务总线后,本地代理会唤醒自身,使用以前生成的强密码向服务总线进行身份验证。
- 本地代理会选取加密的消息,并使用私钥对其进行解密。
- 本地代理尝试通过 AD DS SetPassword API 设置密码。 此步骤允许在云中强制实施 AD DS 本地密码策略(例如复杂性、年龄、历史记录和筛选器)。
-
消息过期策略
- 如果消息因本地服务停机而位于服务总线中,它会超时,并在几分钟后被删除。 消息超时和删除会进一步提高安全性。
密码写回加密详细信息
用户提交密码重置后,重置请求在到达本地环境之前会经历几个加密步骤。 这些加密步骤可确保最大的服务可靠性和安全性。 它们如下所述:
- 使用 2048 位 RSA 密钥进行密码加密:用户提交密码以写回到本地后,提交的密码本身使用 2048 位 RSA 密钥进行加密。
- 使用 256 位 AES-GCM 进行包级加密:整个包(密码和所需的元数据)使用 AES-GCM(密钥大小为 256 位)进行加密。 此加密可防止任何直接访问基础服务总线通道的人查看或篡改内容。
- 所有通信都通过 TLS/SSL 发生:与服务总线的所有通信都发生在 SSL/TLS 通道中。 此加密保护内容不被未经授权的第三方访问。
- 每六个月自动密钥轮替:所有密钥每六个月轮替一次,或者每次在 Microsoft Entra Connect 上禁用密码写回后重新启用,以确保最大限度的服务安全与保护。
密码写回带宽使用情况
密码写回是一种低带宽服务,仅在以下情况下将请求发送回本地代理:
- 当通过 Microsoft Entra Connect 启用或禁用该功能时,将发送两条消息。
- 只要服务正在运行,每 5 分钟发送一条消息一次,作为服务检测信号。
- 每次提交新密码时,都会发送两条消息:
- 第一条消息是请求执行操作。
- 第二条消息包含作的结果,并在以下情况下发送:
- 每次在用户自助密码重置期间提交新密码。
- 用户在更改密码操作期间每提交一次新密码。
- 每次在管理员发起的用户密码重置期间提交新密码(仅从 Entra 管理门户提交)。
消息大小和带宽注意事项
前面描述的每个消息的大小通常低于 1 KB。 即使在极端负载下,密码写回服务本身也消耗了每秒几千位的带宽。 由于每个消息都是实时发送的,因此仅当密码更新作需要时才发送,并且由于消息大小太小,写回功能的带宽使用率太小,无法产生可衡量的影响。
支持的写回操作
在以下所有情况下,密码都会被写回:
支持的终端用户操作
- 任何最终用户进行自助服务的自愿修改密码操作。
- 任何终端用户自助服务强制更改密码操作,例如密码过期。
- 源自 密码重置门户的任何最终用户自助密码重置。
支持的管理员操作
- 任何管理员进行自助的自愿更改密码操作。
- 任何管理员自助进行的强制更改密码操作,例如密码过期。
- 源自 密码重置门户的任何管理员自助密码重置。
- 从 Microsoft Entra 管理中心发起的任何管理员最终用户密码重置。
- 管理员通过 Microsoft Graph API 发起的任何最终用户密码重置。
不支持的写回操作
在以下任何情况下,密码不会写回:
不支持的最终用户操作
- 任何终端用户都可以使用 PowerShell 版本 1、版本 2 或 Microsoft 图形接口重置自己的密码。
不支持的管理员操作
- 由管理员发起的从 PowerShell 版本 1 或版本 2 中针对最终用户的任何密码重置。
- 来自 Microsoft 365 管理中心的任何管理员发起的最终用户密码重置。
- 任何管理员都无法使用密码重置工具重置自己的密码进行密码写回。
注释
如果用户在 Active Directory(AD)中设置了“密码永不过期”选项,则不会在 Active Directory (AD)中设置强制密码更改标志,因此即使在管理员启动的最终用户密码重置期间,即使强制用户在下次登录选项上更改其密码的选项,也不会提示用户在下次登录时更改密码。
后续步骤
若要开始使用 SSPR 写回,请完成以下教程: