При необходимости можно предоставить пользователям возможность изменять свои пароли Active Directory с портала или приложения Workspace ONE в любое удобное для них время. Пользователи также могут выполнять сброс своих паролей Active Directory на странице входа Workspace ONE Access, если пароль просрочен или если администратор Active Directory сбросил пароль, чтобы пользователь изменил его при следующем входе в систему.

Этот параметр можно включить для всего каталога, выбрав параметр Разрешить изменение паролей на странице «Параметры каталога».

Пользователи могут сменить свои пароли при входе на портал Workspace ONE. Для этого они должны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пункт Учетная запись и щелкнуть ссылку Изменить пароль. В приложении Workspace ONE пользователи могут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.

Пароли с истекшим сроком действия и пароли, сброшенные администратором в Active Directory, можно изменить на странице входа в систему. Если пользователь попытается войти в систему с просроченным паролем, ему будет предложено сбросить пароль. Для этого пользователь должен ввести старый и новый пароль.

Требования, предъявляемые к новым паролям, определяются политикой использования паролей Active Directory. Количество разрешенных попыток также зависит от политики использования паролей Active Directory.

Действуют следующие ограничения.

  • При добавлении глобального каталога в VMware Workspace ONE Access параметр Разрешить изменение паролей недоступен. При добавлении каталогов можно выбрать параметр «Active Directory с протоколом LDAP» или «Проверка подлинности Windows», используя порт 389 или 636.
  • Пароль пользователя с различающимся именем для подключения нельзя сбросить из VMware Workspace ONE Access, даже если он просрочен или сброшен администратором Active Directory.

    Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

  • Пароли пользователей, чьи имена для входа содержат многобайтные символы (отличные от ASCII), из VMware Workspace ONE Access сбросить нельзя.
Примечание: Параметр «Разрешить изменение паролей» невозможно включить для каталогов ACC.

Необходимые условия

  • На функциональном уровне домена для контроллеров доменов Active Directory должна поддерживаться ОС Windows 2008 или более поздние версии.
  • В службе синхронизации каталогов нужно открыть порт 464 для контроллеров домена.
  • Для Active Directory необходимо использовать один из следующих форматов основных имен пользователей.
    • Обычный формат основных имен пользователей: samaccountname@domain
    • Альтернативный формат основных имен пользователей с префиксом: alternativePrefix@domain
    • Альтернативный формат основных имен пользователей с суффиксом: samaccountname@alternativeSuffix

    Формат основных имен пользователей alternativePrefix@alternativeSuffix не поддерживается.

  • Часы служебного узла синхронизации каталогов и контроллеров доменов должны быть синхронизированы.
  • Параметр Разрешить изменение паролей доступен для соединителей версии 2016.11.1 и более поздних версий.

Процедура

  1. В консоли Workspace ONE Access перейдите к странице Управление учетными данными и доступом > Настройка > Каталоги.
  2. Щелкните каталог, который нужно настроить.
  3. В разделе Разрешить изменение паролей установите флажок Включить функцию изменения паролей.
  4. Введите пароль для различающегося имени для подключения в разделе Сведения о пользователе подключения и нажмите кнопку Сохранить.