开启Azure AD的密码回写功能
如果你想第一时间查收所有我写的文章,麻烦扫描下面二维码来关注我的个人公众号来接收我的文章推送。
俗语说三人行必有我师,这句俗语再一次完美的体验到我的身上了,虽然我自己对O365的产品线也是有一定的了解,但毕竟个人的能力是有限的,不能把所有新功能或者有用的东西都使用或者了解个遍。互相交流是一个非常重要的环节,这也是我坚持写文章到我公众号的原因,互相学习,共同进步嘛~
其实一直以来我们都有个非常实际的需求,因为我们的账号是通过Azure AD Connector由本地LDAP服务器同步到云端的Azure AD上的。 用户直接在本地ldap上修改密码能很好的同步到云端。但如果用户想直接通过Offiece 365 的 owa 页面来修改密码,就会有报错告诉你没有权限这样去做,因为云端用户改写密码再同步到本地LDAP服务器是需要开始Azure AD 的密码回写功能的。然而免费版的Azure AD 却刚刚好缺失这功能,如果我们考虑升级到专业版的Azure AD费用方面也是挺高的,毕竟这玩意是没有教育折扣的。所以一直以来,我们终端用户在修改密码的时候是通过第三方应用,修改本地的LDAP密码再同步上云端的,这样的缺陷就是往往用户会忘记这个第三方插件,直接调用owa上的页面去修改密码,因为没有权限而失败告终。
然而在前不久和我们IT群的朋友聊天的时候,偶然发现原来之前我买了的Microsoft 365 A5 授权,不单单能用于激活ATP插件来对自己的tenant数据保护,同时也是可以通过一个账号来开启整个tenant的密码回写功能。郁闷啊!话说这授权我都买了少半年了,为什么现在才知道,真的是没细心看所有文档啊。还好别人的告知,能让我茅塞顿开!
那现在就让我们试试开启这个密码回写的功能再试玩一下吧。在测试之前,麻烦确认下你登陆的O365管理员账号分配了Microsoft 365 A5的授权,基于之前我在讲ATP的时候有提及怎么去做的,所以这里就忽略带过去了,有兴趣的同学可以参阅我以前写的文章。
使用分配了Microsoft 365 A5授权的管理员账号登陆Azure AD: https://azure.microsoft.com/en-us/services/active-directory/
点击 “User”.
点入“Password Reset”.
在 “On-premises integration” 列表栏下,把“Write back passwords to your on premises directory” 选择为“Yes”.
之后如下图所示,选择这个密码写回的功能分配给哪些用户,你可以基于组去选择,当然我在这里选择All,毕竟我的出发点是大家都可以简单的通过owa来修改密码。
到这一步,Azure AD的密码写回功能就已经开启完成了,现在让我们切换到终端用户页面来看如何修改自己的密码吧。.
登陆Office 365 的owa页面,在右上角点击个人图像,之后选择My account.
在左边栏中点击进去Security & privacy 之后选择Password.
输入你旧的密码,之后再填入新的密码,最后按submit确认。
如果你们的tenant是开启了密码的复杂性的话,还需要注意下一定要满足一些强密码策略特性
贴士:
如果你想修改一个符合学校规定的强密码,必须符合下面四个的至少3个条件:
- 至少8位数字的密码
- 包含数字和字符
- 包含大写字符
- 包含至少一位的特殊字符
另外,你还不能使用以前使用个的密码(这里要看你们管理员的策略配置了)。