Me preguntaba qué opciones tengo para permitir que los usuarios remotos se sincronicen con nuestro AD dado el siguiente escenario en el que un usuario externo es alguien fuera de nuestro edificio/red, pero tiene una computadora que está en nuestro dominio.
Estamos a punto de tener algunos usuarios externos. Hemos estado probando esto y el primer usuario externo con el que hemos probado descubrió que cuando cambia su contraseña de AD a través del correo web, no se propaga desde AD a su computadora. Esto tiene sentido, ya que no tienen medios para conectarse a nuestro servidor AD. Me preguntaba acerca de las formas estándar de solucionar este problema. Aquí hay algunos que creo que son posibles y espero que alguien pueda decirme qué métodos son posibles y cuáles no. Evidentemente, otras opciones son muy bienvenidas.
Recientemente comenzamos a usar los servicios en la nube de Office 365 y estamos usando Azure AD Connect. ¿Hay alguna forma de llegar a un AD "en la nube" que les permita restablecer su contraseña en su computadora y propagarla a todo el entorno AD? Para ser claros, nunca he usado el portal de Azure AD real, solo ejecuté la contraseña y la sincronización del usuario a través de AD Connect.
¿Es normal hacer un agujero en el firewall para permitir la autenticación externa en AD? Esto parece algo que definitivamente no querrías hacer, pero soy un novato y podría estar equivocado.
Tenemos una VPN, pero, en pocas palabras, nuestro ISP apesta y es increíblemente poco confiable. Yo diría que aproximadamente 1/5 de los intentos de unirse a nuestra VPN tienen éxito. Estamos trabajando con ellos, pero son muy pequeños y les resulta difícil resolver sus solicitudes.
¿Algo más? ¿Tengo otras opciones?
Al buscar en Google, parece que la VPN es el método más común aquí, pero como nuestra VPN es tan horrible, esperaba que el número 1 fuera posible.
Respuesta1
Azure AD admite la característica llamadaReescritura de contraseña, que permite a los usuarios cambiar o restablecer sus contraseñas en Internet y luego sincronizarlas con AD local mediante AD Connect.
Para utilizar la reescritura de contraseña, debe asegurarse de completar los siguientes requisitos previos:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Si ya tiene una suscripción a Office 365, ¡ya tiene un inquilino de Azure AD! Puedes iniciar sesión en elportal azulcon su cuenta O365 y comience a usar Azure AD.
Por cierto, incluso si usa Windows 10 con la función Azure AD Join, aún necesita tener habilitada la escritura de contraseña.
Además, puedes utilizarAcceso directopara permitir a los usuarios remotos cambiar o restablecer contraseñas.
Las siguientes son las secciones extraídas del blog a continuación.
El primero es el restablecimiento de contraseñas para usuarios remotos.Los usuarios que olviden su contraseña o queden bloqueados mientras están remotos llamarán al servicio de asistencia técnica, pero si el usuario no tiene visibilidad de un controlador de dominio, restablecer la contraseña en Active Directory no ayudará al usuario a menos que entre y se conecte a la red interna. . Un usuario que no puede abrir una VPN porque no puede iniciar sesión no podrá usar la VPN para conectarse. Pero con DirectAccess, el usuario tiene visibilidad de un controlador de dominio directamente desde el mensaje CTRL-ALT-DEL, por lo que un restablecimiento de contraseña realizado por el servicio de asistencia técnica será visible instantáneamente para el usuario final. Incluso debería poder exponer el portal de autoservicio de restablecimiento de contraseñas de Forefront Identity Manager a través del túnel de infraestructura de DirectAccess para que los usuarios puedan incluso restablecer sus propias contraseñas mientras navegan por Internet.
El segundo son los cambios de contraseña por parte de usuarios remotos.Un usuario itinerante de computadora portátil que cambia una contraseña en OWA recibirá este cambio de contraseña enviado a Active Directory. Pero no afectará las credenciales almacenadas en caché en su computadora portátil. La próxima vez que el usuario inicie sesión e intente utilizar su “nueva contraseña”, el inicio de sesión con las credenciales almacenadas en caché de la computadora portátil fallará a menos que la computadora portátil esté ahora conectada directamente a la intranet. Con DirectAccess, un usuario siempre puede cambiar una contraseña directamente desde el mensaje CTRL-ALT-SUPR.
Además, los cambios de contraseña de la cuenta de computadora, que ocurren cada 30 días de manera predeterminada, funcionarían correctamente en una computadora portátil habilitada para DirectAccess, incluso para usuarios que casi nunca activan su VPN. Esto puede evitar que las cuentas de computadora legítimas se limpien mediante cualquier actividad de limpieza de AD que puedan ejecutar los profesionales de TI internos.
Respuesta2
El restablecimiento de contraseña de autoservicio de Azure AD es una opción. Debe tener Azure AD premium, ya sea directamente o mediante otro paquete, como Enterprise Mobility Suite (EMS). Esto permite restablecer la contraseña en Azure y volver a escribirla en AD local a través de Azure AD Connect.