在Azure AD中配置密码回写
在这篇文章中,我将向您展示如何在Azure AD混合环境中启用和配置密码回写。通过启用密码回写功能,您可以将Azure Active Directory中的密码更改同步到本地Active Directory环境中。
为了启用密码回写功能,我们使用Azure AD Connect工具来提供安全机制,将密码更改从Azure AD发送回现有的本地目录。要了解密码回写功能是如何工作的,请阅读本文文章.
最重要的是确保您始终拥有最新版本的Azure AD连接运行。这一点很重要,因为密码回写功能将在Azure AD Connect 1.0.8641.0及更早版本中停止工作。
那么,当用户重置密码时会发生什么?密码的复杂性如何?当用户重置密码时,将检查该密码以确保它符合您的本地策略,然后将其提交到该目录。这包括在本地定义的复杂度、年龄和密码过滤器活动目录.
如果您在Azure AD中没有启用密码回写,您将看到类似于下面截图所示的内容。当你点击密码重置-内部集成,它显示内部部署集成尚未启用.
目录
Azure AD密码回写前提条件
若要使用密码回写,必须在租户上分配以下许可之一。
- Azure AD Premium P1
- Azure AD Premium P2
- 企业移动+安全E3或A3
- 企业移动+安全E5或A5
- 微软365 E3或A3,微软365 E5或A5,微软365 F1
- 微软365商业版
在Azure AD中配置密码回写
首先要配置密码回写,登录到Azure AD连接服务器。启动Azure AD Connect配置向导。在欢迎页面上,选择配置.
下一个额外的任务页面,选择自定义同步选项.
- 在“连接到Azure AD”页上,输入全局管理员凭据,然后选择下一个.
- 点击下一个在连接目录而且域/欧过滤页面。
- 在“可选特性”页面,启用密码回写并选择下一个.
点击配置.
完成配置。您还可以看到消息Azure AD连接配置成功.已启动同步进程。
在上面的步骤中,您在Azure AD中启用了密码回写。下一步我们将在SSPR中启用密码回写选项。
在SSPR中启用密码回写选项
- 打开Azure门户并使用全局管理员帐户登录。
- 转到Azure活动目录并单击密码重置.
- 在左侧窗格中,选择本地集成.
- 设置选项为将密码写回本地目录来是的.
- 你也可以设置允许用户无需重置密码即可解锁账户来是的.
- 最后点击保存.
密码哈希同步不启用时密码回写工作吗?
你好!
我将AD连接迁移到一个新的服务器(从201R2迁移到2019年),在同步服务中一切看起来都很好。但我刚从事件日志中发现它不起作用。
在使用IsDynamic设置为false的绑定之前,必须在这个地址创建31034中继
在Azure>Password Rest>On-Premises integration:“没有检测到代理。在启用密码回写之前,请安装同步代理并设置同步引擎。”
你有什么想法吗?
混合AD环境下,启用密码回写后,终端如何在没有公司网络的情况下同步密码。
我在Azure中打开选项时遇到了问题。我已经在prem AD中配置了选项,然后在云代理中配置了选项。欢迎您~它仍然不允许我打开这两个选项。我已经找到了关于许可证的信息,我们有E1和E3给我们的用户。
混合用户密码更改或重置与prem上写回
当使用Azure AD Connect从本地目录同步的Azure AD中的用户希望更改或重置其密码,并将新密码写回本地目录时。”这是你发送的那篇文章,上面说这是微软365商业高级版可用的。我们拥有的企业E1和E3是商业高级版的升级版,所以我们似乎也会有这种功能。
把密码写回你的本地目录?
是的
没有
允许用户在不重置密码的情况下解锁账户?
是的
没有
请通知
嗨,如何匹配/同步用户,而用户存在与Azure-AD和on - prem AD相同的名字,同时做第一次AAD同步的选项是什么,我必须选择,这样重复的用户将不会在Azure AD上创建。
嗨,有人知道这是如何从一个On-Prem AD初始同步到Azure AD中的现有用户群的吗?理想情况下,id希望同步用户,与现有的云帐户匹配,并让云密码成为用户密码,而不是被On-Prem AD欢迎您~密码覆盖。
你好,
当试图从Azure AD重置时,我在密码重置日志中收到描述为“ADAdminActionRequired”的错误消息。我已经仔细检查了权限,它们是正确的,并已禁用所有on-prem密码策略GPOs。还有什么需要我检查的吗?
我不认为这是一个许可问题。我的Azure AD租户为其许可证显示了Azure AD Premium P1,许可功能部分列出了可用的密码回写。
非常感谢
你能用我的联系方式把日志和截图发给我吗?
我有同样的问题,也有这个错误OnPremisesAdminActionRequired.你找到解决办法了吗?
Hy,
我不知道怎么管理它。
今天我有几个许可证:
Office 365企业版E3
Office 365商务高级版
Office 365商务必备
因为我没有相应的执照,所以好像不行。
我需要为每个用户购买AD premium P1还是只需要一个用户就可以激活这个功能?
提前感谢你的回答。
是的,你需要通过p1
我一直在使用密码哈希与AAD写回一段时间现在。在本地AD和AAD中仍然存在密码过期的问题。用户仍然可以在云应用程序上访问电子邮件,但不能访问使用LDAP进欢迎您~行身份验证的应用程序,因为密码过期可能需要某种类型的通知
根据MS:
如果有同步用户只与Azure AD集成服务交互,并且还必须遵守密码过期策略,您可以通过启用EnforceCloudPasswordPolicyForPasswordSyncedUsers特性强制他们遵守Azure AD密码过期策略。欢迎您~