Compartilhar via

Tutorial: Habilitar o write-back de redefinição de senha self-service do Microsoft Entra para um ambiente local

Com a SSPR (redefinição de senha self-service) do Microsoft Entra, os usuários podem atualizar sua senha ou desbloquear sua conta usando um navegador da Web. Recomendamos este vídeo sobre como habilitar e configurar o SSPR na ID do Microsoft Entra. Em um ambiente híbrido em que o Microsoft Entra ID está conectado a um ambiente local do Active Directory Domain Services (AD DS), esse cenário pode fazer com que as senhas sejam diferentes entre os dois diretórios.

O write-back de senha pode ser usado para sincronizar alterações de senha no Microsoft Entra de volta ao seu ambiente do AD DS local. O Microsoft Entra Connect fornece um mecanismo seguro para enviar essas alterações de senha de volta para um diretório local existente do Microsoft Entra ID.

Importante

Este tutorial mostra como um administrador pode habilitar a redefinição de senha por autoatendimento novamente para um ambiente local. Se você for um usuário final já registrado para redefinição de senha por autoatendimento e precisar voltar à sua conta, vá para https://aka.ms/sspr.

Se sua equipe de TI não tiver habilitado a capacidade de redefinir sua própria senha, entre em contato com sua assistência técnica para obter mais assistência.

Neste tutorial, você aprenderá como:

  • Configurar as permissões necessárias para a reversão de senha
  • Habilitar a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o write-back de senha no Microsoft Entra SSPR

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Configurar permissões de conta para o Microsoft Entra Connect

O Microsoft Entra Connect permite sincronizar usuários, grupos e credenciais entre um ambiente local do AD DS e o Microsoft Entra ID. Normalmente, você instala o Microsoft Entra Connect em um computador com Windows Server 2016 ou posterior que está ingressado no domínio local do AD DS.

Para trabalhar corretamente com o write-back do SSPR, a conta especificada no Microsoft Entra Connect deve ter as permissões e as opções apropriadas definidas. Se você não tiver certeza de qual conta está sendo usada no momento, abra o Microsoft Entra Connect e selecione a opção Exibir configuração atual . A conta à qual você precisa adicionar permissões está listada em Diretórios Sincronizados. As seguintes permissões e opções precisam estar definidas na conta:

  • Redefinir a senha
  • Alterar senha
  • Permissões de gravação em lockoutTime
  • Permissões de gravação em pwdLastSet
  • Direitos estendidos para "Não permitir expiração da senha" no objeto raiz de cada domínio nessa floresta, caso ainda não estejam definidos.

Se você não atribuir essas permissões, o write-back poderá parecer estar configurado corretamente, mas os usuários receberão erros ao tentar gerenciar as respectivas senhas locais na nuvem. Ao definir permissões de "Senha Não Expirável" no Active Directory, ela deve ser aplicada a Este objeto e a todos os objetos descendentes, somente este objeto ou todos os objetos descendentes, caso contrário, a permissão "Senha Não Expirável" não poderá ser exibida.

Dica

Se as senhas de algumas contas de usuário não são gravadas de volta no diretório local, verifique se a herança não está desabilitada para essas contas no ambiente local do AD DS. As permissões de gravação para senhas devem ser aplicadas aos objetos descendentes para que o recurso funcione corretamente.

Para configurar as permissões apropriadas para que ocorra o write-back de senha, conclua as etapas a seguir:

  1. Em seu ambiente do AD DS local, abra usuários e computadores do Active Directory com uma conta que tenha as permissões de administrador de domínio apropriadas.
  2. No menu Exibir , verifique se os recursos avançados estão ativados.
  3. No painel esquerdo, selecione à direita o objeto que representa a raiz do domínio e selecione Propriedades>Avançadas de Segurança>.
  4. Na guia Permissões , selecione Adicionar.
  5. Para o Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).
  6. Na lista suspensa Aplica-se a, selecione Objetos de Usuário Descendente.
  7. Em Permissões, selecione a caixa para a seguinte opção:
    • Redefinir a senha
  8. Em Propriedades, selecione as caixas para as opções a seguir. Role a lista para encontrar essas opções, que podem já estar definidas por padrão:

  • Escrever o tempo de bloqueio

  • Gravar pwdLastSet

    Defina as permissões apropriadas em Usuários Ativos e Computadores para a conta usada pelo Microsoft Entra Connect

  1. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações.
  2. Na guia Permissões , selecione Adicionar.
  3. Para o Principal, selecione a conta à qual as permissões devem ser aplicadas (a conta usada pelo Microsoft Entra Connect).
  4. Na lista suspensa Aplica-se a, selecione Este objeto e todos os descendentes
  5. Em Permissões, selecione a caixa para a seguinte opção:
    • Não permitir expiração de senha
  6. Quando estiver pronto, selecione Aplicar/OK para aplicar as alterações e sair de todas as caixas de diálogo abertas.

Quando você atualizar as permissões, poderá levar até uma hora ou mais para que essas permissões sejam replicadas em todos os objetos no diretório.

As políticas de senha no ambiente local do AD DS podem impedir que as redefinições de senha sejam processadas corretamente. Para que o write-back de senha funcione com mais eficiência, a política de grupo para a idade mínima da senha deve ser definida como 0. Essa configuração pode ser encontrada em Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta dentro gpmc.msc.

Se você atualizar a política de grupo, aguarde a replicação da política atualizada ou use o comando gpupdate /force.

Observação

Se você precisar permitir que os usuários alterem ou redefinam senhas mais de uma vez por dia, a idade mínima da senha deve ser definida como 0. O write-back de senha funcionará depois que as políticas de senha locais forem avaliadas com êxito.

Habilitar a reversão de senha no Microsoft Entra Connect

Uma das opções de configuração no Microsoft Entra Connect é para o write-back de senha. Quando essa opção é habilitada, os eventos de alteração de senha fazem o Microsoft Entra Connect sincronizar as credenciais atualizadas de volta para o ambiente local do AD DS.

Para habilitar a escrita de retorno do SSPR, primeiro ative a opção de escrita de retorno no Microsoft Entra Connect. Em seu servidor do Microsoft Entra Connect, conclua as seguintes etapas:

  1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página Tarefas Adicionais , selecione Personalizar opções de sincronização e selecioneAvançar.
  4. Na página Conectar à ID do Microsoft Entra , insira uma credencial de Administrador Híbrido para seu locatário do Azure e selecione Avançar.
  5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
  6. Na página Recursos opcionais, selecione a caixa ao lado de reescrita de senha e selecione Avançar.
  7. Na página extensões do Diretório , selecione Avançar.
  8. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  9. Quando você vir a configuração ser concluída, selecione Sair.

Observação

Não há suporte para a atualização PasswordWritebackEnabled dos recursos do serviço OnPremDirectorySynchronization , pois esse sinalizador de recurso não está em uso.

Habilitar a devolução de senha para o SSPR

Com o write-back de senha habilitado no Microsoft Entra Connect, agora configure o Microsoft Entra SSPR para write-back. O SSPR pode ser configurado para write-back por meio de agentes do Microsoft Entra Connect Sync e agentes de provisionamento do Microsoft Entra Connect (sincronização de nuvem). Quando você habilita o SSPR para usar o write-back de senha, a senha atualizada dos usuários que alteram ou redefinem as respectivas senhas é sincronizada novamente para o ambiente local do AD DS.

Para habilitar o write-back de senha no SSPR, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como administrador global.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Marque a opção Fazer write-back de senhas em seu diretório local.
  4. (opcional) Se os agentes de provisionamento do Microsoft Entra Connect forem detectados, você também poderá verificar a opção de write-back de senhas com a sincronização de nuvem do Microsoft Entra Connect.
  5. Verifique a opção permitir que os usuários desbloqueiem contas sem redefinir sua senha para Sim.
  6. Quando estiver pronto, selecione Salvar.

Limpar os recursos

Caso não deseje mais usar a funcionalidade de write-back do SSPR configurada como parte deste tutorial, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como administrador global.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Desmarque a opção de Fazer write-back de senhas em seu diretório local.
  4. Desmarque a opção de gravar senhas de volta com a sincronização de nuvem do Microsoft Entra Connect.
  5. Desmarque a opção para permitir que os usuários desbloqueiem contas sem redefinir a senha.
  6. Quando estiver pronto, selecione Salvar.

Caso não queira mais usar a sincronização na nuvem do Microsoft Entra Connect para a funcionalidade de write-back do SSPR, mas queira continuar usando o agente de sincronização do Microsoft Entra Connect para write-backs, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como administrador global.
  2. Navegue até Entra ID>redefinição de senha e, em seguida, escolha integração local.
  3. Desmarque a opção de gravar senhas de volta com a sincronização de nuvem do Microsoft Entra Connect.
  4. Quando estiver pronto, selecione Salvar.

Se você não quiser mais usar nenhuma funcionalidade de senha, conclua as seguintes etapas do seu servidor do Microsoft Entra Connect:

  1. Entre no servidor do Microsoft Entra Connect e inicie o assistente de configuração do Microsoft Entra Connect .
  2. Na página Bem-vindo , selecione Configurar.
  3. Na página Tarefas Adicionais , selecione Personalizar opções de sincronização e selecioneAvançar.
  4. Na página Conectar à ID do Microsoft Entra , insira uma credencial de Administrador Híbrido e selecione Avançar.
  5. Nas páginas de filtragem Conectar diretórios e Domínio/OU, selecione Próximo.
  6. Na página Recursos opcionais, desmarque a caixa ao lado de reversão de senha e selecione Avançar.
  7. Na página Pronto para configurar , selecione Configurar e aguarde a conclusão do processo.
  8. Quando você vir a configuração ser concluída, selecione Sair.

Importante

A habilitação do write-back de senha pela primeira vez pode disparar os eventos de alteração de senha 656 e 657, mesmo que uma alteração de senha não tenha ocorrido. Isso porque todos os hashes de senha são sincronizados novamente depois que um ciclo de sincronização dos hashes de senha é executado.

Próximas etapas

Neste tutorial, você habilitou o write-back do Microsoft Entra SSPR para um ambiente do AD DS local. Você aprendeu a:

  • Configurar as permissões necessárias para a reversão de senha
  • Habilitar a opção de write-back de senha no Microsoft Entra Connect
  • Habilitar o write-back de senha no Microsoft Entra SSPR

Avaliar o risco ao entrar

  • Last updated on