Come funziona il writeback della reimpostazione della password self-service in Microsoft Entra ID?

Microsoft Entra self-service password reset (SSPR) consente agli utenti di reimpostare le password nel cloud, ma la maggior parte delle aziende dispone anche di un ambiente Active Directory Domain Services (AD DS) locale per gli utenti. Il ripristino della password consente di eseguire le modifiche delle password nel cloud in una directory locale in tempo reale usando Microsoft Entra Connect o sincronizzazione cloud di Microsoft Entra Connect. Quando gli utenti modificano o reimpostano le password usando il self-service di reimpostazione della password nel cloud, le password aggiornate vengono scritte anche nell'ambiente dei Servizi di dominio di Active Directory locale.

Il writeback delle password è supportato in ambienti che usano i modelli di identità ibrida seguenti:

• sincronizzazione dell'hash delle password
• Autenticazione pass-through
• Servizi di Federazione di Active Directory

Il writeback delle password offre le funzionalità seguenti:

• Applicazione dei criteri password di Active Directory Domain Services (AD DS) in sede: Quando un utente reimposta la password, viene verificato per assicurarsi che soddisfi i criteri di AD DS in sede prima di eseguirne il commit in tale directory. Questa revisione include la verifica della cronologia, della complessità, dell'età, dei filtri delle password e di eventuali altre restrizioni relative alle password definite in Active Directory Domain Services.
• feedback in ritardo zero: il writeback delle password è un'operazione sincrona. Gli utenti ricevono una notifica immediata se la password non soddisfa i criteri o non può essere reimpostata o modificata per qualsiasi motivo.
• Supporta le modifiche delle password dal pannello di accesso e Microsoft 365: quando gli utenti federati o sincronizzati con hash delle password devono cambiare le password scadute o non scadute, tali password vengono riscritte in Active Directory Domain Services.
• supporta il writeback delle password quando un amministratore li reimposta dall'interfaccia di amministrazione di Microsoft Entra: quando un amministratore reimposta la password di un utente nell'interfaccia di amministrazione di Microsoft Entra, se tale utente è federato o sincronizzato l'hash delle password, la password viene riscritta in locale. Questa funzionalità non è attualmente supportata nel portale di amministrazione di Office.
• Non richiede regole del firewall in ingresso: Il writeback delle password utilizza un relay del Bus di Servizio di Azure come canale di comunicazione sottostante. Tutte le comunicazioni sono in uscita sulla porta 443.
• Supporta la distribuzione side-by-side a livello di dominio usando Microsoft Entra Connect o sincronizzazione cloud per impostare diversi set di utenti in base alle proprie esigenze, inclusi gli utenti che si trovano in domini disconnessi.

Per iniziare con il writeback della SSPR (reimpostazione della password self-service), completare una o entrambe le seguenti esercitazioni:

• Esercitazione: Abilitare il writeback della reimpostazione della password self-service (SSPR)
• Esercitazione: Abilitare il writeback della reimpostazione della password self-service per sincronizzazione cloud con Microsoft Entra Connect nell'ambiente locale (Anteprima)

Distribuzione parallela di Microsoft Entra Connect e cloud sync

È possibile distribuire Microsoft Entra Connect e la sincronizzazione cloud side-by-side in domini diversi per definire diversi set di utenti. Ciò consente agli utenti esistenti di continuare a eseguire il writeback delle modifiche delle password durante l'aggiunta dell'opzione nei casi in cui gli utenti si trovano in domini disconnessi a causa di una fusione o divisione aziendale. Microsoft Entra Connect e la sincronizzazione cloud possono essere configurati in domini diversi, in modo che gli utenti di un dominio possano usare Microsoft Entra Connect mentre gli utenti di un altro dominio usano la sincronizzazione cloud. La sincronizzazione cloud può anche offrire una disponibilità più elevata perché non si basa su una singola istanza di Microsoft Entra Connect. Per un confronto delle funzionalità tra le due opzioni di distribuzione, vedere confronto tra Microsoft Entra Connect e sincronizzazione cloud.

Come funziona la retroazione delle password

Quando un account utente configurato per la federazione, la sincronizzazione dell'hash delle password (o, nel caso di una distribuzione di Microsoft Entra Connect, l'autenticazione pass-through) tenta di reimpostare o modificare una password nel cloud, si verificano le azioni seguenti:

1. Viene eseguito un controllo per verificare il tipo di password dell'utente. Se la password è gestita in locale:

   • Viene eseguito un controllo per verificare se il servizio di writeback è attivo e in esecuzione. In caso affermativo, l'utente può procedere.
   • Se il servizio di writeback è inattivo, l'utente viene informato che la password non può essere reimpostata al momento.

2. Successivamente, l'utente passa i controlli di autenticazione appropriati e raggiunge la pagina Reimposta password.

3. L'utente seleziona una nuova password e la conferma.

4. Quando l'utente seleziona Invia, la password in testo non crittografato viene crittografata con una chiave pubblica creata durante il processo di installazione del writeback.

5. La password crittografata è inclusa in un payload che viene inviato tramite un canale HTTPS al relay del bus di servizio specifico del tenant, impostato per te durante il processo di configurazione del writeback. Questo relè è protetto da una password generata in modo casuale che solo l'installazione on-premises conosce.

6. Dopo che il messaggio raggiunge il bus di servizio, l'endpoint di reimpostazione della password viene riattivato automaticamente e rileva che ha una richiesta di reimpostazione in sospeso.

7. Il servizio cerca quindi l'utente usando l'attributo di ancoraggio cloud. Affinché questa ricerca abbia esito positivo, è necessario soddisfare le condizioni seguenti:

   • L'oggetto utente deve esistere nello spazio connettore di Active Directory Domain Services.
   • L'oggetto utente deve essere collegato all'oggetto metaverse (MV) corrispondente.
   • L'oggetto utente deve essere collegato all'oggetto connettore Microsoft Entra corrispondente.
   • Il collegamento dall'oggetto connettore dei servizi di dominio Active Directory all'MV deve avere la regola di sincronizzazione Microsoft.InfromADUserAccountEnabled.xxx.

   Quando la chiamata proviene dal cloud, il motore di sincronizzazione usa l'attributo cloudAnchor per cercare l'oggetto spazio connettore Microsoft Entra. Segue il collegamento all'oggetto MV e poi segue il collegamento all'oggetto AD DS. Poiché possono essere presenti più oggetti di Active Directory Domain Services (più foreste) per lo stesso utente, il motore di sincronizzazione si basa sul collegamento Microsoft.InfromADUserAccountEnabled.xxx per selezionarne uno corretto.

8. Dopo aver trovato l'account utente, viene effettuato un tentativo di reimpostare la password direttamente nella foresta di Active Directory Domain Services appropriata.

9. Se l'operazione di impostazione della password ha esito positivo, all'utente viene comunicato che la password è stata modificata.

   Nota

   Se l'hash delle password dell'utente viene sincronizzato con Microsoft Entra ID usando la sincronizzazione dell'hash delle password, è possibile che i criteri password locali siano più deboli rispetto ai criteri password cloud. In questo caso, vengono applicati i criteri in sede. Questo criterio garantisce che i criteri locali vengano applicati nel cloud, indipendentemente dall'uso della sincronizzazione dell'hash delle password o della federazione per fornire l'accesso Single Sign-On.

10. Se l'operazione di impostazione della password non riesce, viene richiesto all'utente di riprovare. L'operazione potrebbe non riuscire a causa dei motivi seguenti:

    • Il servizio era inattivo.
    • La password selezionata non soddisfa i criteri dell'organizzazione.
    • Impossibile trovare l'utente nell'ambiente Active Directory Domain Services locale.

    I messaggi di errore forniscono indicazioni agli utenti in modo che possano tentare di risolvere senza l'intervento dell'amministratore.

Sicurezza del ritorno alla scrittura delle password

Il writeback delle password è un servizio altamente sicuro. Per assicurarsi che le informazioni siano protette, viene abilitato un modello di sicurezza a quattro livelli come indicato di seguito:

• di relay del bus di servizio specifico per il locatario
  • Quando si configura il servizio, viene configurato un inoltro del bus di servizio specifico del tenant protetto da una password complessa generata in modo casuale a cui Microsoft non ha mai accesso.
• Chiave di crittografia bloccata, crittograficamente complessa e
  • Dopo aver creato l'inoltro del bus di servizio, viene creata una chiave simmetrica forte usata per crittografare la password mentre viene trasmessa attraverso la rete. Questa chiave si trova solo nell'archivio segreto dell'azienda nel cloud, che è fortemente bloccato e controllato, proprio come qualsiasi altra password nella directory.
• Protocollo standard del settore Transport Layer Security (TLS)
  1. Quando si verifica un'operazione di reimpostazione o modifica della password nel cloud, la password in testo non crittografato viene crittografata con la chiave pubblica.
  2. La password crittografata viene inserita in un messaggio HTTPS inviato attraverso un canale crittografato con certificati TLS/SSL di Microsoft al relay del Service Bus.
  3. Dopo l'arrivo del messaggio nel bus di servizio, l'agente locale si riattiva ed esegue l'autenticazione al bus di servizio usando la password complessa generata in precedenza.
  4. L'agente locale preleva il messaggio crittografato e lo decrittografa usando la chiave privata.
  5. L'agente locale tenta di impostare la password tramite l'API SetPassword di Active Directory Domain Services. Questo passaggio consente l'applicazione dei criteri password locali di Active Directory Domain Services (ad esempio la complessità, l'età, la cronologia e i filtri) nel cloud.
• criteri di scadenza dei messaggi
  • Se il messaggio si trova nel bus di servizio perché il servizio locale è non disponibile, andrà in timeout e verrà rimosso dopo alcuni minuti. Il timeout e la rimozione del messaggio aumentano ulteriormente la sicurezza.

Dettagli della crittografia del ripristino delle password

Dopo che un utente invia una reimpostazione della password, la richiesta di reimpostazione esegue diversi passaggi di crittografia prima che arrivi nell'ambiente locale. Questi passaggi di crittografia garantiscono la massima affidabilità e sicurezza del servizio. Sono descritti come segue:

1. Crittografia password con chiave RSA a 2048 bit: dopo che un utente invia una password da scrivere in locale, la password inviata viene crittografata con una chiave RSA a 2048 bit.
2. crittografia a livello di pacchetto conAES-GCM a 256 bit: l'intero pacchetto, la password più i metadati necessari, vengono crittografati usando AES-GCM (con lunghezza della chiave di 256 bit). Questa crittografia impedisce a chiunque abbia accesso diretto al canale del bus di servizio sottostante di visualizzare o manomettere il contenuto.
3. Tutte le comunicazioni avvengono su TLS/SSL: tutte le comunicazioni con il bus di servizio si verificano in un canale SSL/TLS. Questa crittografia protegge il contenuto da terze parti non autorizzate.
4. rollover automatico delle chiavi ogni sei mesi: tutte le chiavi si aggiornano ogni sei mesi, o ogni volta che il writeback delle password viene disabilitato e poi riabilitato in Microsoft Entra Connect, per garantire la massima sicurezza del servizio.

Utilizzo della larghezza di banda del writeback delle password

Il writeback delle password è un servizio a larghezza di banda ridotta che invia solo le richieste all'agente locale nelle circostanze seguenti:

• Due messaggi vengono inviati quando la funzionalità è abilitata o disabilitata tramite Microsoft Entra Connect.
• Un messaggio viene inviato una volta ogni cinque minuti come segnale di vita del servizio finché il servizio è attivo.
• Vengono inviati due messaggi ogni volta che viene inviata una nuova password:
  • Il primo messaggio è una richiesta per eseguire l'operazione.
  • Il secondo messaggio contiene il risultato dell'operazione e viene inviato nelle circostanze seguenti:
    • Ogni volta che viene inviata una nuova password durante la reimpostazione della password self-service dell'utente.
    • Ogni volta che viene inviata una nuova password durante un'operazione di modifica della password utente.
    • Ogni volta che viene inviata una nuova password durante la reimpostazione della password utente avviata dall'amministratore (solo dai portali di amministrazione di Entra).

Considerazioni sulle dimensioni dei messaggi e sulla larghezza di banda

Le dimensioni di ogni messaggio descritto in precedenza sono in genere minori di 1 KB. Anche in caso di carichi estremi, il servizio di writeback delle password sta consumando alcuni kilobit al secondo di larghezza di banda. Poiché ogni messaggio viene inviato in tempo reale, solo quando richiesto da un'operazione di aggiornamento delle password e poiché le dimensioni del messaggio sono così ridotte, l'utilizzo della larghezza di banda della funzionalità di writeback è troppo piccolo per avere un impatto misurabile.

Operazioni di scrittura inversa supportate

Le password vengono riscritte nelle seguenti situazioni.

• Operazioni Degli Utenti Finali Supportate

  • Qualsiasi operazione di modifica volontaria della password tramite self-service.
  • Qualsiasi operazione self-service dell'utente finale forza la modifica della password, ad esempio la scadenza della password.
  • Qualsiasi reimpostazione della password self-service dell'utente finale proveniente dal portale di reimpostazione della password .

• Operazioni di Amministratore Supportate

  • Qualsiasi operazione self-service volontaria per la modifica della password.
  • Qualsiasi operazione self-service dell'amministratore che impone il cambio della password, ad esempio in caso di scadenza della password.
  • Qualsiasi reimpostazione della password self-service dell'amministratore che ha origine dal portale di reimpostazione della password .
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft Entra.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'API Microsoft Graph .

Operazioni di writeback non supportate

Le password non vengono riscritte in nessuna delle seguenti situazioni.

• operazioni degli utenti finali non supportate

  • Qualsiasi utente finale che reimposta la propria password usando PowerShell versione 1, versione 2 o l'API Microsoft Graph.

• operazioni di amministratore non supportate

  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dalla versione 1 o dalla versione 2 di PowerShell.
  • Qualsiasi reimpostazione della password dell'utente finale avviata dall'amministratore dall'interfaccia di amministrazione di Microsoft 365 .
  • Nessun amministratore può usare lo strumento di reimpostazione della password per reimpostare la propria password per il ripristino della password.

Passaggi successivi

Per iniziare a usare il writeback della reimpostazione della password self-service, completare l'esercitazione seguente: