与 Microsoft Azure AD 同步密码写回保持同步

---

当组织的目录服务（尤其是 Azure Active Directory）迁移到云时，本地基础设施通常会保留。这种共存被称为混合设置，通常会让最终用户感到困惑，因为他们需要在本地执行某些任务，而另一些则在云中执行。

一个例子是重置或更改密码。某些组织要求在其本地 AD 中更改密码。如果用户尝试在 Azure AD 中重置密码，则会收到错误消息，从而导致服务台呼叫并导致用户体验下降。

什么是正确的举动？您应该在 Azure AD 和混合 Active Directory 基础结构中启用密码写回。敬请关注;本教程逐步教您如何启用密码写回。

扫描您的 AD，查找 930 多个被泄露的密码。下载 Specops Password Auditor，这是一款免费的只读工具，可识别与密码相关的漏洞。

先决条件

本教程将是一个实践演示。如果您想继续操作，请确保您具备以下条件：

• Azure AD 租户 - 如果没有，请注册一个免费帐户。

• 在 Azure AD 中具有全局管理员或混合身份管理员角色的管理员帐户。

• 已配置最新 Azure AD Connect 的本地 Active Directory 环境 - 本教程使用带有 Azure AD Connect 2.1.15.0 的 Windows Server 2019 数据中心。

• Azure AD 租户中已启用自助密码重置功能。

• （可选）Azure AD PowerShell 模块安装在 Windows Server 或管理计算机上。

检查密码写回支持

在启用密码写回之前，您必须确保满足所有必要条件。并非所有 Azure AD 租户都支持将密码写回本地 AD。请按照后续部分检查并确认密码写回资格和支持。

启用密码写回的主要条件是 Azure AD Premium 许可证。

要检查您是否拥有 Azure AD P1 或 P2 许可证：

1. 打开您喜欢的 Web 浏览器，然后登录 Azure Active Directory 管理中心。

2. 接下来，单击 Azure Active Directory → 概述边栏选项卡。

您将看到 Azure AD Premium P1 或 Azure AD Premium P2，类似于下面的屏幕截图。

3. 或者，以管理员身份打开 PowerShell 并运行下面的 Connect-AzureAD 命令以首先连接到 Azure Active Directory。

Connect-AzureAD

4. 现在，运行以下任一命令来列出租户的 Azure AD Premium 许可证。

(Get-AzureADSubscribedSku).ServicePlans | Where-Object {$_.ServicePlanName -like "AAD_PREMIUM*"}
(Get-AzureADTenantDetail).AssignedPlans | Where-Object {$_.Service -eq 'AADPremiumService'}

下表显示了有关 Azure AD Premium 的许可证信息。

Service Plan IDLicense NameGet-AzureADSubscribedSkuGet-AzureADTenantDetail41781fb2-bc02-4b7c-bd55-b576c07bb09dAzure AD Premium P1AAD_PREMIUMAADPremiumServiceeec0eb4f-6444-4f95-aba0-50c24d67f998Azure AD Premium P1AAD_PREMIUM_P2AADPremiumService

下面的屏幕截图确认该租户拥有 Azure AD Premium P2 许可证。

查找 Azure AD Connect 本地目录帐户

安装和配置 Azure AD Connect 时，安装过程会自动创建一个林登录帐户。此帐户必须具有特定权限才能使密码写回正常工作。

如果您不知道当前的 Azure AD Connect 域登录帐户：

以管理员身份打开 PowerShell，然后运行以下命令来执行以下操作：

• IImport（导入模块）AdSyncConfig 模块。此模块包含在 Azure AD Connect 中，位于 C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1。

• 获取 Azure AD 连接器帐户名称 (Get-ADSyncADConnectorAccount)。

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1'
Get-ADSyncADConnectorAccount

您将得到以下结果，显示 ADConnectorAccountName 属性包含 Azure AD 连接器帐户名称。

配置密码写回权限

Azure AD 连接器帐户必须对本地 Active Directory 域具有以下权限。

• 重置密码
• 写入锁定时间
• 写入 pwdLastSet
• 取消林中每个域根的密码过期。

好消息是您不需要手动设置这些权限。 AdSyncConfig 模块包含一个名为 Set-ADSyncPasswordWritebackPermissions 的 cmdlet，可以方便地设置所有必要的权限。

要设置密码写回权限，请在 PowerShell 中运行以下命令。确保将 ADConnectorAccountName 和 ADConnectorAccountDomain 值替换为您的值。

Set-ADSyncPasswordWritebackPermissions `
    -ADConnectorAccountName MSOL_27c8dae74e08 `
    -ADConnectorAccountDomain LAZYEXCHANGEADMIN.CYOU `
    -Confirm:$false

等待命令快速完成，您将收到一条确认消息，如下所示。

在 Azure AD Connect 中启用密码写回

现在您已确认 Azure AD 租户的密码写回资格并配置了密码写回权限。但就是这样吗？嗯，还不够近。下一步是在 Azure AD Connect 中启用密码写回。

1. 在服务器上打开 Azure AD Connect。

2、在“欢迎使用 Azure AD Connect”页面上，单击“配置”。

3. 在其他任务页面上，单击自定义同步选项 → 下一步。

4. 现在，在“连接到 Azure AD”页面上，键入全局管理员或混合身份管理员凭据，然后单击“下一步”。

5. 不要更改“连接您的目录”页面上的任何内容，然后单击“下一步”。

6. 保留“域和 OU 过滤”页面中的默认设置，以与所有域和 OU 同步，然后单击“下一步”。

7. 在可选功能页面上，勾选密码写回功能（因为您要启用密码写回），然后单击下一步。

8. 选中“开始同步过程”框，然后单击“配置”以在配置完成后立即开始同步。

如下所示，该配置启用了密码写回功能。

9. 最后，等待配置完成，然后单击“退出”关闭 Azure AD Connect。

在 Azure Active Directory 中启用密码写回

您已在 Azure AD Connect 中启用密码写回，但还必须确保在 Azure Active Directory 中启用密码写回。

在 Web 浏览器中打开 Azure Active Directory 管理中心。

现在，使用以下命令启用密码写回：

• 单击Azure Active Directory → 密码重置 → 本地集成。

• 启用将密码写回本地目录和允许用户解锁帐户而不重置密码选项。

注意：“允许用户解锁帐户而不重置密码”功能并不是密码写回工作所必需的。此功能是可选的，仅适用于为用户提供解锁帐户而不重置密码的选项。

• 最后，单击“保存”按钮保存更改。

注意：截至撰写本文时，还没有专用的 PowerShell cmdlet 来启用 Azure AD 中的密码写回功能。

测试密码写回

启用密码写回功能后，您必须测试用户体验以确保一切正常。

Azure AD 密码写回功能使混合用户能够执行密码更改和重置操作。请按照后续部分中的步骤对两者进行测试。

以下部分使用名为“[email ”的混合/本地同步帐户来登录 Azure AD。

更改密码

执行密码更改适用于知道旧密码并想要更改密码的用户。

1. 在网络浏览器中导航至“我的帐户”页面。

2. 使用非管理员混合用户帐户登录。

3. 在“我的帐户”页面上，单击“更改密码”链接以开始更改帐户密码。

4. 现在，在旧密码字段中输入旧密码，在创建新密码和确认新密码字段中输入新密码。

对新密码感到满意后，单击“提交”以更改帐户的密码。

由于 Azure AD 会将密码写回，因此新密码须遵守本地 AD 中的密码要求策略。

如果新密码不可接受，您将收到以下错误。

重设密码

另一方面，密码重置操作不需要您的旧密码。如果您忘记了密码或您的帐户被锁定，则最好执行此操作。

注意：使用 Azure AD 中的自助密码重置功能重置密码会自动解锁用户帐户。

1. 打开网络浏览器并导航至自助密码重置页面。

2. 输入您的用户名和验证码，然后单击下一步。

3. 选择任一选项返回您的帐户：

• 我忘记了密码 - 此选项可让您重置密码

• 我知道密码，但仍然无法登录 -此选项会解锁您的帐户，而不是重置您的密码。

在此示例中，选择“我忘记了密码”选项，然后单击“下一步”开始重置密码。

4. 现在，指定验证方法信息。验证方式为用户首次开通自助密码重置时注册的验证方式。

在本例中，验证方法是通过短信。

5. 查找发送到您手机的验证码，在下面的空白字段中输入该代码，然后单击“下一步”。

如果验证码有效，您的浏览器将重定向到您可以设置新密码的页面。

6. 最后，在两个字段中输入您的新密码，然后单击完成以完成密码重置。

如果密码重置成功，您将收到一条确认消息，如下所示。

与密码更改操作一样，重置密码也遵循本地 AD 中的密码策略。

扩展组策略的功能并简化细粒度密码策略的管理。使用 Specops 密码策略将字典和密码短语设置定位到任何 GPO 级别、组、用户或计算机。免费试用！

结论

在混合环境中启用密码写回是保持本地 AD 和 Azure AD 之间密码同步的重要一步。在本教程中，您了解了用户如何直接在 Office 365 中更改或重置其密码或解锁其帐户。

这项任务一开始可能会令人畏惧。但是，正如本教程所示，实现密码写回并不复杂。只要满足要求，启用密码写回就轻而易举。