Selektivní konfigurace synchronizace hodnot hash hesel pro Microsoft Entra Connect
Synchronizace hash hesla je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Connect synchronizuje hodnotu hash s heslem uživatele z instance místní Active Directory do cloudové instance Microsoft Entra. Po nastavení se synchronizace hodnot hash hesel ve výchozím nastavení provádí u všech uživatelů, které synchronizujete.
Pokud chcete vyloučit podmnožinu uživatelů, aby synchronizovali hodnotu hash hesel s ID Microsoft Entra, můžete nakonfigurovat selektivní synchronizaci hodnot hash hesel pomocí pokynů v tomto článku.
Důležité
Microsoft nepodporuje úpravy ani provoz microsoft Entra Connect Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Connect Sync. Microsoft proto nemůže zaručit schopnost poskytovat efektivní technickou podporu pro taková nasazení.
Zvažte svou implementaci
Pokud chcete snížit administrativní úsilí konfigurace, měli byste nejprve zvážit počet uživatelských objektů, které chcete vyloučit ze synchronizace hodnot hash hesel. Ověřte, že následující scénáře, které se vzájemně vylučují, odpovídají vašim požadavkům a vyberte pro vás správnou možnost konfigurace.
- Pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
- Pokud je počet uživatelů, které chcete vyloučit, větší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
Důležité
Když zvolíte některou z možností konfigurace, provede se při příštím cyklu synchronizace automaticky požadovaná počáteční synchronizace (úplná synchronizace).
Důležité
Konfigurace selektivní synchronizace hodnot hash hesel přímo ovlivňuje zpětný zápis hesla. Změny hesla nebo resetování hesla, které jsou inicializovány v Microsoft Entra ID, se zapisují zpět do místní Active Directory pouze v případě, že je uživatel zahrnut do rozsahu synchronizace hashů hesel.
Důležité
Selektivní synchronizace hodnot hash hesel se podporuje v microsoft Entra Connect 1.6.2.4 nebo novějším. Pokud používáte nižší verzi, upgradujte na nejnovější verzi.
Atribut adminDescription
Oba scénáře se spoléhají na nastavení atributu adminDescription uživatelů na konkrétní hodnotu. To umožňuje použít pravidla a je to, co umožňuje, aby selektivní PHS fungovalo.
Scénář | hodnota adminDescription |
---|---|
Vyloučení uživatelé jsou menší než zahrnutí uživatelé. | PhSFiltered |
Vyloučení uživatelé jsou větší než zahrnutí uživatelé. | PhSIncluded |
Tento atribut lze nastavit buď:
- pomocí uživatelského rozhraní Uživatelé a počítače služby Active Directory
- pomocí
Set-ADUser
cmdletu PowerShellu. Další informace viz Set-ADUser.
Zakažte plánovač synchronizace:
Než začnete s některým scénářem, musíte plánovač synchronizace zakázat při provádění změn pravidel synchronizace.
Spusťte Windows PowerShell a zadejte.
Set-ADSyncScheduler -SyncCycleEnabled $false
Spuštěním následujícího příkazu ověřte, že je plánovač zakázaný:
Get-ADSyncScheduler
Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.
Vyloučení uživatelé jsou menší než zahrnutí uživatelé.
Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které mají zahrnout.
Důležité
Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je popsáno výše.
- Vytvořte upravitelnou kopii z AD – Uživatelský účet povolen s možností povolit synchronizaci hodnot hash hesel nevybranou a definujte její filtr rozsahu.
- Vytvořte další upravitelnou kopii výchozího nastavení z AD – Uživatelský účet povolen mající vybranou možnost povolit synchronizaci hash hesel a definujte její scope filtr.
- Opětovné povolení plánovače synchronizace
- Nastavte hodnotu atributu v adresáři Active Directory, definovanou jako definiční atribut pro uživatele, které chcete povolit při synchronizaci hashů hesel.
Důležité
Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel mají vliv pouze na uživatelské objekty, které mají atribut adminDescription naplněné ve službě Active Directory s hodnotou PHSFiltered. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSFiltered tato pravidla nebudou použita pro objekty uživatele.
Nakonfigurujte potřebná synchronizační pravidla:
- Spusťte Editor synchronizačních pravidel a nastavte synchronizaci hesel na Zapnuto a Typ pravidla na Standardní.
- Vyberte pravidlo In z AD – User AccountEnabled pro konektor doménové struktury služby Active Directory, u kterého chcete nakonfigurovat selektivní synchronizaci hash hodnot hesel, a vyberte Upravit. Výběrem možnosti Ano v dalším dialogovém okně vytvoříte upravitelnou kopii původního pravidla.
- První pravidlo deaktivuje synchronizaci hashů hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User Account Enabled – Filtrování uživatelů z PHS.
Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí).
Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto .
Vyberte Další.
- V filtru rozsahu vyberte Přidat podmínku.
Ve sloupci atributu vyberte adminDescription , EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered .
- Nejsou vyžadovány žádné další změny.
Pravidla připojení a transformace by měla zůstat s výchozím zkopírovaným nastavením, abyste nyní mohli vybrat Uložit.
V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru.
- Následně vytvořte další vlastní pravidlo s aktivní synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat synchronizaci selektivních hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla.
- Do nového vlastního pravidla zadejte následující název: Z AD – Uživatelský účet povolen – Uživatelé zahrnutí pro PHS.
Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89).
Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté .
Vyberte Další.
- V filtru rozsahu vyberte Přidat podmínku.
Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered .
- Nejsou vyžadovány žádné další změny.
Pravidla spojení a transformace by měla zůstat ve výchozím nastavení, abyste nyní mohli vybrat Uložit.
V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru.
- Potvrďte vytvoření pravidel. Odeberte filtry Synchronizace heselZapnuto a Typ pravidlaStandardní. Měli byste vidět obě nová pravidla, která jste právě vytvořili.
Opětovné povolení plánovače synchronizace:
Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:
Ve Windows PowerShellu spusťte:
set-adsyncscheduler -synccycleenabled:$true
Potom ověřte, že je úspěšně povolena spuštěním příkazu:
get-adsyncscheduler
Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.
Upravit atribut uživatele adminDescription:
Po dokončení všech konfigurací je potřeba upravit atribut adminDescription pro všechny uživatele, které chcete vyloučit ze synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru rozsahu: PHSFiltered.
K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Vyloučení uživatelé jsou větší než zahrnutí uživatelé.
Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, větší než počet uživatelů, které mají zahrnout.
Důležité
Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.
Následuje souhrn akcí, které se mají provést:
- Vytvořit upravitelnou kopii ze In from AD – uživatelský účet Enabled s možností nevybrat synchronizaci hodnot hash hesel a definovat její oborový filtr
- Vytvořte další upravitelnou kopii výchozího profilu In z AD – User AccountEnabled s vybranou možností povolit synchronizaci hashů hesel a definujte její rozsahový filtr.
- Opětovné povolení plánovače synchronizace
- Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.
Důležité
Postup konfigurace selektivní synchronizace hodnot hash hesel má vliv pouze na objekty uživatelů, které mají atribut adminDescription naplněné ve službě Active Directory hodnotou PHSIncluded. Pokud tento atribut není vyplněný nebo hodnota je něco jiného než PHSIncluded tato pravidla se na objekty uživatele nepoužijí.
Nakonfigurujte potřebná synchronizační pravidla:
- Spusťte Editor synchronizačních pravidel a nastavte filtry Synchronizace heselZapnuto a Typ pravidlaStandard.
- Vyberte pravidlo In z AD – Uživatelský účet povolen pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla.
- První pravidlo zakáže synchronizaci hashů hesel. Do nového vlastního pravidla zadejte následující název: In from AD – Uživatelský účet aktivován – Filtr uživatelů z PHS.
Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí).
Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto .
Vyberte Další.
- V Rozsahovém filtru vyberte Přidat podmínku.
Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded .
- Nejsou vyžadovány žádné další změny.
Pravidla připojení a Transformace by měla zůstat ve výchozím nastavení, abyste nyní mohli vybrat Uložit.
V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru.
- Dále vytvořte další vlastní pravidlo s aktivovanou synchronizací hash hesla. Znovu vyberte výchozí pravidlo In from AD – User AccountEnabled pro doménovou strukturu služby Active Directory, ve které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla.
- Do nového vlastního pravidla uveďte následující název: Z AD – Uživatelský účetAktivován – Uživatelé zahrnutí pro PHS.
Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89).
Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté .
Vyberte Další.
- V Filtru rozsahu vyberte Přidat podmínku.
Vyberte adminDescription ve sloupci atributu, EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded .
- Nejsou vyžadovány žádné další změny.
Pravidla připojení a transformace by měla být ponechána ve výchozím nastavení, abyste mohli nyní vybrat Uložit.
V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru.
- Potvrďte vytvoření pravidel. Odeberte filtry Synchronizace heselZapnuto, Typ pravidlaStandard. Obě nová pravidla, která jste právě vytvořili, by se měla zobrazit.
Opětovné povolení plánovače synchronizace:
Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:
Ve Windows PowerShellu spusťte:
set-adsyncscheduler-synccycleenabled$true
Potom ověřte, že je úspěšně povolena spuštěním příkazu:
get-adsyncscheduler
Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.
Upravit atribut adminDescription uživatele:
Po dokončení všech konfigurací musíte upravit atribut adminDescription pro všechny uživatele, které chcete zahrnout do synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oblasti: PHSIncluded.
K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}