在Azure AD中配置密码回写

通过hth华体会体育全站 小时
评论 13个评论

在这篇文章中,我将向您展示如何在Azure AD混合环境中启用和配置密码回写。通过启用密码回写功能,您可以将Azure Active Directory中的密码更改同步到本地Active Directory环境中。

为了启用密码回写功能,我们使用Azure AD Connect工具来提供安全机制,将密码更改从Azure AD发送回现有的本地目录。要了解密码回写功能是如何工作的,请阅读本文文章

最重要的是确保您始终拥有最新版本的Azure AD连接运行。这一点很重要,因为密码回写功能将在Azure AD Connect 1.0.8641.0及更早版本中停止工作。

PatchMyPC HorizontalAD
修补我的电脑赞助广告

那么,当用户重置密码时会发生什么?密码的复杂性如何?当用户重置密码时,将检查该密码以确保它符合您的本地策略,然后将其提交到该目录。这包括在本地定义的复杂度、年龄和密码过滤器活动目录

如果您在Azure AD中没有启用密码回写,您将看到类似于下面截图所示的内容。当你点击密码重置-内部集成,它显示内部部署集成尚未启用

在Azure AD中配置密码回写

Azure AD密码回写前提条件

若要使用密码回写,必须在租户上分配以下许可之一。

  • Azure AD Premium P1
  • Azure AD Premium P2
  • 企业移动+安全E3或A3
  • 企业移动+安全E5或A5
  • 微软365 E3或A3,微软365 E5或A5,微软365 F1
  • 微软365商业版

在Azure AD中配置密码回写

首先要配置密码回写,登录到Azure AD连接服务器。启动Azure AD Connect配置向导。在欢迎页面上,选择配置

微软Azure活动目录连接工具

下一个额外的任务页面,选择自定义同步选项

自定义同步选项

  • 在“连接到Azure AD”页上,输入全局管理员凭据,然后选择下一个
  • 点击下一个连接目录而且域/欧过滤页面。
  • 在“可选特性”页面,启用密码回写并选择下一个

在Azure AD中配置密码回写

点击配置

微软Azure活动目录连接工具

完成配置。您还可以看到消息Azure AD连接配置成功.已启动同步进程。

微软Azure活动目录连接工具

在上面的步骤中,您在Azure AD中启用了密码回写。下一步我们将在SSPR中启用密码回写选项。

在SSPR中启用密码回写选项

  • 打开Azure门户并使用全局管理员帐户登录。
  • 转到Azure活动目录并单击密码重置
  • 在左侧窗格中,选择本地集成
  • 设置选项为将密码写回本地目录是的
  • 你也可以设置允许用户无需重置密码即可解锁账户是的
  • 最后点击保存

密码回写

《阿凡达》的照片

hth华体会体育全站普拉杰瓦尔·德赛是微软企业移动领域的MVP。他撰写文章SCCM, Intune,配置管理器,Microsoft Intune, Azure, Windows Server, Windows 11, WordPress和其他主题,目的是为人们提供有用的信息。

留下回复

你的电邮地址将不会公布。必填字段已标记

13个评论

  1. 《阿凡达》的照片 weka 说:

    密码哈希同步不启用时密码回写工作吗?

    回复
  2. 《阿凡达》的照片 石女士 说:

    你好!

    我将AD连接迁移到一个新的服务器(从201R2迁移到2019年),在同步服务中一切看起来都很好。但我刚从事件日志中发现它不起作用。

    在使用IsDynamic设置为false的绑定之前,必须在这个地址创建31034中继
    在Azure>Password Rest>On-Premises integration:“没有检测到代理。在启用密码回写之前,请安装同步代理并设置同步引擎。”

    你有什么想法吗?

    回复
  3. 《阿凡达》的照片 Sonu Klaynia 说:

    混合AD环境下,启用密码回写后,终端如何在没有公司网络的情况下同步密码。

    回复
  4. 《阿凡达》的照片 约翰条板 说:

    我在Azure中打开选项时遇到了问题。我已经在prem AD中配置了选项,然后在云代理中配置了选项。欢迎您~它仍然不允许我打开这两个选项。我已经找到了关于许可证的信息,我们有E1和E3给我们的用户。
    混合用户密码更改或重置与prem上写回
    当使用Azure AD Connect从本地目录同步的Azure AD中的用户希望更改或重置其密码,并将新密码写回本地目录时。”这是你发送的那篇文章,上面说这是微软365商业高级版可用的。我们拥有的企业E1和E3是商业高级版的升级版,所以我们似乎也会有这种功能。
    把密码写回你的本地目录?
    是的
    没有
    允许用户在不重置密码的情况下解锁账户?
    是的
    没有

    请通知

    回复
  5. 《阿凡达》的照片 MITULKUMAR P 说:

    嗨,如何匹配/同步用户,而用户存在与Azure-AD和on - prem AD相同的名字,同时做第一次AAD同步的选项是什么,我必须选择,这样重复的用户将不会在Azure AD上创建。

    回复
  6. 《阿凡达》的照片 詹姆斯·库克 说:

    嗨,有人知道这是如何从一个On-Prem AD初始同步到Azure AD中的现有用户群的吗?理想情况下,id希望同步用户,与现有的云帐户匹配,并让云密码成为用户密码,而不是被On-Prem AD欢迎您~密码覆盖。

    回复
  7. 《阿凡达》的照片 哈米什 说:

    你好,

    当试图从Azure AD重置时,我在密码重置日志中收到描述为“ADAdminActionRequired”的错误消息。我已经仔细检查了权限,它们是正确的,并已禁用所有on-prem密码策略GPOs。还有什么需要我检查的吗?

    我不认为这是一个许可问题。我的Azure AD租户为其许可证显示了Azure AD Premium P1,许可功能部分列出了可用的密码回写。

    非常感谢

    回复
    2. 《阿凡达》的照片 迪安琼斯 说:

      我有同样的问题,也有这个错误OnPremisesAdminActionRequired.你找到解决办法了吗?

      回复
  8. 《阿凡达》的照片 大卫 说:

    Hy,

    我不知道怎么管理它。
    今天我有几个许可证:
    Office 365企业版E3
    Office 365商务高级版
    Office 365商务必备

    因为我没有相应的执照,所以好像不行。

    我需要为每个用户购买AD premium P1还是只需要一个用户就可以激活这个功能?

    提前感谢你的回答。

    回复
    1. 《阿凡达》的照片 瑞安·戈尔茨坦 说:

      是的,你需要通过p1

      回复
  9. 《阿凡达》的照片 道博 说:

    我一直在使用密码哈希与AAD写回一段时间现在。在本地AD和AAD中仍然存在密码过期的问题。用户仍然可以在云应用程序上访问电子邮件,但不能访问使用LDAP进欢迎您~行身份验证的应用程序,因为密码过期可能需要某种类型的通知

    回复
    1. 《阿凡达》的照片 托马斯。 说:

      根据MS:

      如果有同步用户只与Azure AD集成服务交互,并且还必须遵守密码过期策略,您可以通过启用EnforceCloudPasswordPolicyForPasswordSyncedUsers特性强制他们遵守Azure AD密码过期策略。欢迎您~

      回复