Få at vide, hvordan du aktiverer nulstilling/ændring af adgangskoder til selvbetjent nulstilling af adgangskoder i Azure AD

Med Azure AD's funktion til nulstilling/ændring af adgangskoder kan brugere nulstille eller ændre deres adgangskoder og låse deres konti op via Azure AD eller Microsoft 365, og disse ændringer kan synkroniseres med deres lokale AD-konti. Dette giver brugerne mulighed for at bibeholde et mindre antal adgangsoplysninger på tværs af både Azure AD og lokalt AD, hvilket gør det nemmere at oprette og huske komplekse domæneadgangskoder, som er svære at hacke.

Sådan aktiverer du nulstilling/ændring af adgangskoder i Azure AD

Forudsætninger

• En Azure AD-lejer, der har mindst en Premium P1- eller prøvelicens aktiveret.
• En Azure AD-konto som global administrator.
• Selvbetjent nulstilling af adgangskoder konfigureret i Azure AD.
• Et eksisterende lokalt AD DS-miljø, der er konfigureret med en aktuel version af Azure AD Connect.

For at bruge nulstilling/ændring af adgangskoder kan kontrolfunktioner i domænet køre en hvilken som helst understøttet version af Windows Server.

Trin 1: Konfigurer kontotilladelser til Azure AD Connect

1. Åbn Active Directory Users and Computers med en domæneadministratorkonto.
2. Klik på Vis, og i den menu, der vises, skal du klikke på Avancerede funktioner for at slå dem til.
3. I panelet til venstre skal du højreklikke på det objekt, der repræsenterer domæneroden, og klikke på Egenskaber. I vinduet Egenskaber, der åbnes, skal du gå til Sikkerhed > Avanceret.
4. I det vindue, der åbnes, skal du gå til Tilladelser > Tilføj.
5. For indstillingen Principal gælder det, at du skal vælge den domænekonto, der bruges til Azure AD Connect. Tilladelserne bliver anvendt på denne konto.
6. I rullemenuen Gælder for skal du vælge Underordnede brugerobjekter.
7. Under Tilladelser skal du vælge Nulstil adgangskode.
8. Under Egenskaber skal du vælge Write lockoutTime og Write pwdLastSet.
9. Klik på Anvend eller OK.

Når trinnene ovenfor er gennemført, kan det tage en time eller mere, før de nyangivne tilladelser er føjet til alle objekter i AD.

Hvis du opdaterer gruppepolitikken, skal du vente på, at den opdaterede politik duplikeres, eller bruge kommandoen: gpupdate /force.

Trin 2: Konfigurer Azure AD Connect for at aktivere nulstilling/ændring af adgangskoder

1. Log ind på Azure AD Connect-serveren, og åbn konfigurationsguiden for Azure AD Connect.
2. På siden Velkommen skal du vælge Konfigurer.
3. I afsnittet Yderligere opgaver, der vises, skal du vælge Tilpas indstillinger for synkronisering og derefter klikke på Næste.
4. I afsnittet Forbind til Azure AD, der åbnes, skal du indtaste adgangsoplysningerne for en global administratorkonto og klikke på Næste.
5. Afsnittet Forbind mapper vises. Her skal du klikke på Næste.
6. Derefter vises afsnittet Domæne/OU-filtrering. Klik på Næste igen.
7. I afsnittet Valgfrie funktioner skal du vælge Nulstilling/ændring af adgangskoder og klikke på Næste.

   

8. I afsnittet Mappeudvidelser, der åbnes, skal du vælge Næste.
9. Afsnittet Klar til at konfigurere åbnes nu. Her skal du klikke på Konfigurer og vente på, at processen afsluttes.
10. Når konfigurationen er fuldført, skal du klikke på Afslut.

Trin 3: Implementer nulstilling/ændring af adgangskoder til selvbetjent nulstilling af adgangskoder

1. Log ind på Azure som global administrator.
2. Gå til Azure Active Directory > Nulstilling af adgangskode > Lokal integration.
3. Vælg Ja til Ønsker du at nulstille/ændre adgangskoder i din lokale mappe?
4. Vælg Ja til Ønsker du at tillade brugere at låse konti op uden at nulstille deres adgangskode?
5. Vælg Selvbetjent nulstilling af adgangskoder i Azure AD til nulstilling/ændring af adgangskoder.
6. Klik på Gem.

Selvom funktionen til nulstilling/ændring af adgangskoder hjælper brugerne med at bibeholde et mindre antal AD-adgangsoplysninger ved at synkronisere ændringer i adgangskoder, der er foretaget på Azure AD-kontoen, med den lokale AD-konto, fungerer funktionen ikke omvendt. Derudover kræver synkronisering af AD-adgangskoder med konti til virksomhedsapplikationer yderligere konfiguration.

En løsning til synkronisering af adgangskoder til AD og virksomhedsapplikationer – samlet på ét sted

ManageEngine ADSelfService Plus tilbyder AD-baseret synkronisering af adgangskoder. Funktionen synkroniserer brugernes AD-domæneadgangskoder, tillige med eventuelle ændringer af dem, med deres Azure AD-konti, Microsoft 365-konti og andre virksomhedsapplikationer såsom AD Lightweight Directory Services, Google Workspace og Salesforce.

De vigtigste fordele ved at implementere denne funktion er blandt andet:

• Selvbetjent nulstilling af adgangskoder: ADSelfService Plus tilbyder en sikker selvbetjent nulstilling af adgangskoder, som giver brugerne mulighed for at nulstille deres adgangskoder og få ændringerne synkroniseret med integrerede virksomhedskonti.
• Detaljeret konfiguration: Synkronisering af adgangskoder med bestemte applikationer kan aktiveres for brugere, der tilhører bestemte domæner, OU'er og grupper.
• Avancerede politikker for adgangskoder: Nulstillinger eller ændringer af adgangskoder styres af funktionen til håndhævelse af politik for adgangskoder. Denne funktion kan implementere avancerede krav til adgangskoder, herunder forbud mod ord i ordbøger og mønstre.
• Konkret synkronisering af applikationer: Brugerne kan vælge at synkronisere ændringerne på tværs af alle de integrerede applikationskonti eller kun for de ønskede applikationer.
• Synkroniseret kontostatus: Selvbetjent oplåsning af domænekonti låser andre integrerede virksomhedskonti op.