Узнайте, как включить обратную запись паролей для самостоятельного сброса паролей в Azure AD.

Благодаря функции обратной записи паролей Azure AD пользователи могут самостоятельно сбрасывать или изменять свои пароли и разблокировать свои учетные записи с помощью Azure AD или Microsoft 365, и эти изменения можно синхронизировать с их локальными учетными записями AD. Это позволяет пользователям иметь единый набор учетных данных как в Azure AD, так и в локальной среде AD, что упрощает создание и запоминание сложных доменных паролей, которые трудно взломать.

Порядок включения обратной записи паролей в Azure AD

Предварительные требования

• Клиент Azure AD с активированной лицензией Premium P1 или пробной версией.
• Учетная запись глобального администратора Azure AD.
• Настроенная функция самостоятельного сброса пароля в Azure AD.
• Существующая локальная среда AD DS, настроенная с использованием актуальной версии Azure AD Connect.

Чтобы использовать обратную запись паролей, контроллеры домена могут работать под управлением любой поддерживаемой версии Windows Server.

Шаг 1. Настройте разрешения учетной записи для Azure AD Connect

1. Откройте оснастку Пользователи и компьютеры Active Directory, используя учетную запись администратора домена.
2. Нажмите Вид и в появившемся меню нажмите Дополнительные функции, чтобы включить их.
3. На панели слева щелкните правой кнопкой мыши объект, представляющий корень домена, и выберите Свойства. В открывшемся окне Свойства выберите Безопасность > Дополнительно.
4. В открывшемся окне выберите Разрешения > Добавить.
5. Для параметра Основная выберите учетную запись домена, используемую для Azure AD Connect. К этой учетной записи будут применены разрешения.
6. В раскрывающемся списке Применяется к выберите Объекты-потомки пользователя.
7. В разделе Разрешения выберите Сброс пароля.
8. В разделе Свойства выберите Записать lockoutTime и Записать pwdLastSet.
9. Нажмите Применить или ОК.

После выполнения вышеуказанных шагов может потребоваться час или больше, чтобы новые настроенные разрешения были применены ко всем объектам в AD.

Если вы обновляете групповую политику, дождитесь репликации обновленной политики или используйте команду gpupdate /force.

Шаг 2. Настройте Azure AD Connect для включения обратной записи паролей

1. Войдите на сервер Azure AD Connect и откройте мастер настройки Azure AD Connect.
2. На странице приветствия выберите Настроить.
3. В открывшемся разделе Дополнительные задачи выберите Настроить параметры синхронизации и нажмите Далее.
4. В открывшемся разделе Подключение к Azure AD введите учетные данные глобального администратора и нажмите Далее.
5. Появится раздел Подключить каталоги. Здесь нажмите кнопку Далее.
6. Затем появится раздел Фильтр по домену/подразделению. Снова нажмите Далее.
7. В разделе Дополнительные функции выберите Обратная запись пароля и нажмите Далее.

   

8. В открывшемся разделе Расширения каталога выберите Далее.
9. Откроется раздел Готово к настройке. Здесь нажмите Настроить и дождитесь завершения процесса.
10. После завершения настройки нажмите кнопку Выйти.

Шаг 3. Реализуйте обратную запись пароля для самостоятельного сброса пароля

1. Войдите в Azure как глобальный администратор.
2. Перейдите в раздел Azure Active Directory > Сброс пароля > Локальная интеграция.
3. Выберите Да для параметра Записывать пароли обратно в локальный каталог?
4. Выберите Да для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля?
5. Выберите функцию Самостоятельный сброс пароля Azure AD для обратной записи пароля.
6. Нажмите Сохранить.

Несмотря на то, что функция обратной записи паролей помогает пользователям иметь единый набор учетных данных AD, синхронизируя изменения паролей, внесенные в учетную запись Azure AD, с локальной учетной записью AD, эта функция не работает в обратную сторону. Кроме того, синхронизация паролей AD с учетными записями корпоративных приложений требует дополнительной настройки.

Универсальное решение для синхронизации паролей для AD и корпоративных приложений

ManageEngine ADSelfService Plus предлагает синхронизацию паролей на основе AD. Эта функция синхронизирует пароли доменов AD пользователей, а также любые их изменения, с их учетными записями Azure AD, учетными записями Microsoft 365 и другими корпоративными приложениями, такими как AD Lightweight Directory Services, Google Workspace и Salesforce.

Основные преимущества внедрения этой функции включают в себя следующие:

• Самостоятельный сброс пароля: ADSelfService Plus предлагает безопасный портал для самостоятельного сброса паролей, который позволяет пользователям сбрасывать свои пароли и синхронизировать изменения с интегрированными корпоративными учетными записями.
• Детальная настройка: синхронизацию паролей с определенными приложениями можно включить для пользователей, принадлежащих определенным доменам, подразделениям и группам.
• Детальные политики паролей: сброс или изменение паролей будет регулироваться средством обеспечения соблюдения политики паролей. Эта функция может реализовать расширенные требования к паролям, включая запреты на использование слов и шаблонов из словаря.
• Специальные пароли для приложений: пользователи могут выбрать синхронизацию изменений между всеми учетными записями интегрированных приложений или только с нужными приложениями.
• Синхронизация статуса учетной записи: после самостоятельной разблокировки учетной записи домена также будут разблокированы и другие интегрированные корпоративные учетные записи.