Fiquei me perguntando quais opções tenho para permitir que usuários remotos sincronizem com nosso AD, considerando o seguinte cenário em que um usuário externo é alguém fora de nosso prédio/rede, mas possui um computador que está em nosso domínio.
Estamos prestes a ter alguns usuários externos. Estamos testando isso, e o primeiro usuário externo com quem testamos descobriu que, quando altera a senha do AD por meio do webmail, ela não se propaga do AD para o computador. Isso faz sentido, pois eles não têm como se conectar ao nosso servidor AD. Eu queria saber sobre maneiras padrão de corrigir esse problema. Aqui estão alguns que considero possíveis e espero que alguém possa me dizer quais métodos são possíveis e quais não são. Outras opções são obviamente muito bem-vindas.
Recentemente, começamos a usar os serviços em nuvem do Office 365 e estamos usando o Azure AD Connect. Existe uma maneira de eles alcançarem um AD "nuvem", que lhes permitirá redefinir sua senha em seu computador e propagá-la para todo o ambiente AD? Para ser claro, nunca usei o portal do Azure AD real, apenas executei a senha e a sincronização do usuário por meio do AD Connect.
É normal abrir um buraco no firewall para permitir autenticação externa no AD? Isso parece algo que você definitivamente não gostaria de fazer, mas sou um novato e posso estar errado.
Temos uma VPN, mas, resumindo a história, nosso ISP é uma droga e é incrivelmente não confiável. Eu diria que cerca de 1/5 das tentativas de adesão à nossa VPN foram bem-sucedidas. Estamos trabalhando com eles, mas eles são muito pequenos e têm dificuldade em atender a qualquer solicitação.
Algo mais? Tenho outras opções?
Pesquisando no Google, parece que a VPN é o método mais comum aqui, mas como nossa VPN é tão horrível, eu esperava que o número 1 fosse possível.
Responder1
O Azure AD dá suporte ao recurso chamadoWrite-back de senha, que permite aos usuários alterar ou redefinir suas senhas na Internet e depois sincronizá-las com o AD local pelo AD Connect.
Para usar o Writeback de senha, você deve preencher os seguintes pré-requisitos:
• You have an Azure AD tenant with Azure AD Premium enabled.
• Password reset has been configured and enabled in your Azure AD tenant.
• You have the Azure AD Connect tool installed with version number 1.0.0419.0911 or higher, and with Password Writeback enabled
Se você já possui uma assinatura do Office 365, já possui um locatário do Azure AD! Você pode entrar noPortal do Azurecom sua conta do O365 e comece a usar o Azure AD.
A propósito, mesmo que você use o Windows 10 com o recurso Azure AD Join, você ainda precisa ter o Password Writeback habilitado.
Além disso, você pode usarAcesso diretopara permitir que usuários remotos alterem ou redefinam senhas.
A seguir estão as seções provenientes do blog abaixo.
A primeira são as redefinições de senha para usuários remotos.Os usuários que esquecerem sua senha ou forem bloqueados remotamente ligarão para o suporte técnico, mas se o usuário não tiver visibilidade de um controlador de domínio, realizar uma redefinição de senha no Active Directory não ajudará o usuário, a menos que ele entre e se conecte à rede interna . Um usuário que não consegue acessar uma VPN porque não consegue fazer login não poderá usar a VPN para se conectar. Mas com o DirectAccess, o usuário tem visibilidade de um controlador de domínio diretamente no prompt CTRL-ALT-DEL, portanto, uma redefinição de senha feita pelo suporte técnico ficará instantaneamente visível para o usuário final. Você deve ser capaz de expor o portal de redefinição de senha de autoatendimento do Forefront Identity Manager por meio do túnel de infraestrutura do DirectAccess para que os usuários possam redefinir suas próprias senhas enquanto estiverem em roaming na Internet.
A segunda são as alterações de senha por usuários remotos.Um usuário de laptop móvel que alterar uma senha no OWA terá essa alteração de senha enviada ao Active Directory. Mas isso não afetará as credenciais armazenadas em cache no laptop. Na próxima vez que o usuário fizer logon e tentar usar sua “nova senha”, o logon nas credenciais armazenadas em cache do laptop falhará, a menos que o laptop esteja conectado diretamente à intranet. Com o DirectAccess, um usuário sempre pode alterar uma senha diretamente no prompt CTRL-ALT-DEL.
Além disso, as alterações de senha de contas de computador, que acontecem a cada 30 dias por padrão, funcionariam corretamente em um laptop habilitado para DirectAccess, mesmo para usuários que quase nunca acessavam sua VPN. Isso pode impedir que contas de computador legítimas sejam limpas por quaisquer atividades de limpeza do AD executadas por profissionais de TI internos.
Responder2
A redefinição de senha de autoatendimento do Azure AD é uma opção. Você precisa ter o Azure AD premium diretamente ou por meio de outro pacote, como o Enterprise Mobility Suite (EMS). Isso permite redefinir a senha no Azure e fazer com que ela seja gravada no AD local por meio do Azure AD Connect.