Azure AD 和 Office 365 密码写回

我之前的博文是关于自助服务密码重置 (SSPR) 的。对于云身份来说这是一个很好的功能，但如果您有同步身份或联合身份，则此功能不起作用。这些在您的本地 Active Directory 中进行管理，因此要使 SSPR 发挥作用，您需要实施密码写回解决方案。

幸运的是，此功能可用，但标准 Office 365 许可证不包含密码写回功能。您需要 Azure AD Premium P1 或 Azure AD Premium P2 许可证。企业移动性 + 安全性 (EMS) E3 包含 Azure AD Premium P1，EMS E5 包含 Azure AD Premium P2。

要实现密码写回，您需要启动并运行 SSPR。要配置密码写回，必须运行 Azure AD Connect 向导。

注意。确保始终运行最新版本的 Azure AD Connect。更好的是，使用 Azure AD Connect 的自动更新功能来确保您处于最新状态。截至撰写本文时，Azure AD Connect 的最新版本为 1.1.882.0（截至 2018 年 9 月 8 日）。

启动 Azure AD Connect 向导并选择自定义同步选项。按照向导操作，直到到达可选功能。选中密码写回选项，如下面的屏幕截图所示，然后单击“下一步”继续。

按照向导操作直至配置完成，然后单击“退出”完成向导并存储新配置。
Azure AD Connect 使用的服务帐户需要本地 Active Directory 中的适当权限才能存储已在 Azure AD 中设置的新密码。
要了解 Azure AD Connect 使用哪个服务帐户，请启动 Azure AD Connect 并选择查看当前配置，然后检查该帐户，如以下屏幕截图所示：

如果要限制权限范围，则需要向域对象或 OU 上的服务帐户授予以下权限：

• 重设密码
• 更改密码
• lockoutTime 的写入权限
• pwdLastSet 的写权限

打开Active Directory和计算机，启用高级功能，选择域属性，点击安全，点击在高级上，然后单击添加。

选择之前在主体下检索到的服务帐户，然后在适用于下拉框中选择后代用户对象。检查以下选项：

• 重设密码
• 更改密码
• 写入锁定时间（向下滚动）
• 写入 pwdLastSet（向下滚动）

单击确定将更改应用到 Active Directory 并关闭所有以下弹出框。

要测试密码写回选项，请按照 SSPR 博客文章中的相同过程进行操作。更改密码后，密码将写回到本地 Active Directory，并且以下事件将写入 Azure AD Connect 服务器的事件日志。

概括

在这篇博文中，我向您展示了如何在同步的 Azure AD 环境中实现密码写回。一个先决条件是您需要实施自助服务密码重置，并且需要有 Azure AD Premium P1 或 Azure AD Premium P2。