Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion de Workspace ONE Access si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion.

Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur la page Paramètres de répertoire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe.

Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory.

Les limites suivantes s'appliquent.

  • Lorsqu'un répertoire est ajouté à VMware Workspace ONE Access en tant que catalogue global, l'option Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636.
  • Le mot de passe d'un utilisateur de Bind DN ne peut pas être réinitialisé à partir de VMware Workspace ONE Access, même s'il expire ou si l'administrateur Active Directory le réinitialise.

    Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.

  • Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Workspace ONE Access.
Note : L'option Autoriser la modification du mot de passe ne peut pas être activée pour les annuaires ACC.

Conditions préalables

  • Le niveau fonctionnel du domaine des contrôleurs de domaine Active Directory doit être défini sur Windows 2008 ou version ultérieure.
  • Le port 464 doit être ouvert entre le service de synchronisation d'annuaire et les contrôleurs de domaine.
  • Active Directory doit utiliser l'un des formats UPN suivants :
    • Format UPN standard : samaccountname@domain
    • Autre format de préfixe UPN : alternativePrefix@domain
    • Autre format de suffixe UPN : samaccountname@alternativeSuffix

    Le format UPN de la valeur alternativePrefix@alternativeSuffix n'est pas pris en charge.

  • Les horloges sur le service de synchronisation d'annuaire et les contrôleurs de domaine doivent être synchronisées.
  • L'option Autoriser la modification du mot de passe est disponible avec le connecteur version 2016.11.1 et version ultérieure.

Procédure

  1. Dans la console Workspace ONE Access, accédez à la page Gestion d'identités et d'accès > Configuration > Annuaires.
  2. Cliquez sur l'annuaire à configurer.
  3. Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe.
  4. Entrez le mot de passe de Bind DN dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer.