[PL] Azure AD Connect – Password Writeback

Synchronizacja hashów haseł z Azure AD do lokalnego AD.

Domyślnie, synchronizacja hashów haseł w Azure AD Connect jest od lokalnego Active Directory do Azure Active Directory. A co, gdyby zrobić także synchronizację haseł w drugą stronę? Czyli reset hasła z Azure AD i replikacja do lokalnego AD?

Na samym początku musimy mieć wstępnie skonfigurowanego AAD Connect oraz znać konto, które dokonuje synchronizacji:

"[PL] Azure AD Connect - Password Writeback"

Drugim wymaganiem jest skonfigurowane SSPR, które opisałem w tym poście.

Wstępna konfiguracja wygląda w taki sposób, że otwieramy Azure AD Connect na serwerze, gdzie jest on zainstalowany, przechodzimy do opcji: Customize Synchronization Options, logujemy się odpowiednimi danymi i w dodatkowych opcjach zaznaczamy Password writeback

"[PL] Azure AD Connect - Password Writeback"

Zatwierdzamy konfigurację, przechodzimy do przystawki Active Directory Users and Computers

Klikamy prawym przyciskiem na naszą domenę, wybieramy Delegate Control, w drugim kroku wybieramy użytkownika MSOL, którego znaleźliśmy wcześniej, w polu: Tasks to delegate zaznaczamy Create a custom task to delegate, natomiast w Delegate Control of: wybieramy Users objects

"[PL] Azure AD Connect - Password Writeback"

W kroku Select the permissions you want to delegate zaznaczamy dwie pierwsze opcje czyli:

  • General
  • Property-specific

A z listy musimy wybrać:

  • Change password
  • Reset password
  • Write lockoutTime
  • Write pwdLastSet
"[PL] Azure AD Connect - Password Writeback"

Ostatnim krokiem, który musimy wykonać jest skonfigurowanie GPO, aby hasło nie musiało być starsze niż jeden dzień zanim zostanie zmienione.

Źródło: Microsoft Docs

Dokonujemy tego w sposób:

1) Otwieramy Group Policy Management Editor 2) Edytujemy odpowiednią politykę GPO, ja edytuję domyślną 3) Przechodzimy do: Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy i edytujemy ustawienie: Minimum password age zgodnie z tym co na screenie:

"[PL] Azure AD Connect - Password Writeback"

Co ważne – polityka haseł dla użytkowników z on-prem jest teraz sterowana przez lokalne AD, w związku z czym polecam przejrzeć pozostałe ustawienia w Password Policy, abyście się nie nacieli na to, że nagle reset hasła dla użytkownika nie działa poprawnie.

Pytania? Standardowo zapraszam do komentarzy.

Jakub Piesik

Jakub Piesik

Microsoft 365 Consultant

I’m writing not only about Intune and Windows 365. I’m writing about everything what I leared previously and want to share with you!

#security #microsoft365 #intune #windows365 #powershell #automation 🙂