Sdílet prostřednictvím

Selektivní konfigurace synchronizace hodnot hash hesel pro Microsoft Entra Connect

  • Článek

Synchronizace hodnot hash hesel je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Connect synchronizuje hodnotu hash s heslem uživatele z instance místní Active Directory do cloudové instance Microsoft Entra. Po nastavení se synchronizace hodnot hash hesel ve výchozím nastavení provádí u všech uživatelů, které synchronizujete.

Pokud chcete vyloučit podmnožinu uživatelů, aby synchronizovali hodnotu hash hesel s ID Microsoft Entra, můžete nakonfigurovat selektivní synchronizaci hodnot hash hesel pomocí pokynů v tomto článku.

Důležité

Microsoft nepodporuje úpravy ani provoz microsoft Entra Connect Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Connect Sync. Microsoft proto nemůže zaručit schopnost poskytovat efektivní technickou podporu pro taková nasazení.

Zvažte implementaci

Pokud chcete snížit administrativní úsilí konfigurace, měli byste nejprve zvážit počet uživatelských objektů, které chcete vyloučit ze synchronizace hodnot hash hesel. Ověřte, že následující scénáře, které se vzájemně vylučují, odpovídají vašim požadavkům a vyberte pro vás správnou možnost konfigurace.

  • Pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
  • Pokud je počet uživatelů, které chcete vyloučit, větší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.

Důležité

Když zvolíte některou z možností konfigurace, provede se při příštím cyklu synchronizace automaticky požadovaná počáteční synchronizace (úplná synchronizace).

Důležité

Konfigurace selektivní synchronizace hodnot hash hesel přímo ovlivňuje zpětný zápis hesla. Změny hesla nebo resetování hesla, které jsou inicializovány v Microsoft Entra ID zpětný zápis do místní Active Directory pouze v případě, že je uživatel v oboru synchronizace hodnot hash hesel.

Důležité

Selektivní synchronizace hodnot hash hesel se podporuje v microsoft Entra Connect 1.6.2.4 nebo novějším. Pokud používáte nižší verzi, upgradujte na nejnovější verzi.

Atribut adminDescription

Oba scénáře se spoléhají na nastavení atributu adminDescription uživatelů na konkrétní hodnotu. To umožňuje použít pravidla a je to, co dělá selektivní phS práce.

Scénář hodnota adminDescription
Vyloučení uživatelé jsou menší než zahrnutí uživatelé. PhSFiltered
Vyloučení uživatelé jsou větší než zahrnutí uživatelé. PhSIncluded

Tento atribut lze nastavit buď:

  • pomocí uživatelského rozhraní Uživatelé a počítače služby Active Directory
  • pomocí Set-ADUser rutiny PowerShellu. Další informace viz Set-ADUser.

Zakažte plánovač synchronizace:

Než začnete s některým scénářem, musíte plánovač synchronizace zakázat při provádění změn pravidel synchronizace.

  1. Spusťte Windows PowerShell a zadejte.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Spuštěním následující rutiny ověřte, že je plánovač zakázaný:

    Get-ADSyncScheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Vyloučení uživatelé jsou menší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je popsáno výše.

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel mají vliv pouze na uživatelské objekty, které mají atribut adminDescription naplněné ve službě Active Directory s hodnotou PHSFiltered. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSFiltered tato pravidla nebudou použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte synchronizaci hesel na Zapnuto a Typ pravidla na Standardní. Spuštění editoru pravidel synchronizace
  2. Vyberte pravidlo In z AD – User AccountEnabled pro konektor doménové struktury služby Active Directory, u kterého chcete nakonfigurovat selektivní synchronizaci hash hodnot hesel, a vyberte Upravit. Výběrem možnosti Ano v dalším dialogovém okně vytvoříte upravitelnou kopii původního pravidla. Vybrat pravidlo
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrování uživatelů z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Vyberte Další. Úprava příchozích přenosů
  4. V filtru oborůvyberte Přidat podmínku. Ve sloupci atributu vyberte adminDescription , EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Filtr oborů
  5. Nejsou vyžadovány žádné další změny. pravidla připojení a transformace by měla zůstat ve výchozím nastavení, abyste mohli vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Uložit pravidlo
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – uživatelských účtů pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat synchronizaci selektivních hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Vlastní pravidlo
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Vyberte Další.
    Upravit nové pravidlo
  8. V filtru oborů vybertePřidat klauzuli . Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Pravidlo oboru
  9. Nejsou vyžadovány žádné další změny. Pravidla připojení a transformace by měla zůstat s výchozím zkopírovaným nastavením, abyste mohli nyní vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Pravidla připojení
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizacihesel a typpravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Potvrzení pravidel

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler -synccycleenabled:$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací je potřeba upravit popis adminDescription atributu pro všechny uživatele, které chcete vyloučit ze synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSFiltered.

Upravit atribut

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Vyloučení uživatelé jsou větší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, větší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

Následuje souhrn akcí, které se mají provést:

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Postup konfigurace selektivní synchronizace hodnot hash hesel má vliv pouze na objekty uživatelů, které mají atribut adminDescription naplněné ve službě Active Directory hodnotou PHSIncluded. Pokud tento atribut není vyplněný nebo hodnota je něco jiného než PHSIncluded tato pravidla se na objekty uživatele nepoužijí.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte filtry Synchronizacehesel podle standardu a typpravidla. Typ pravidla
  2. Vyberte pravidlo In z AD – Uživatelské účtyEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. V z AD
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrování uživatelů z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Vyberte Další. Nastavit prioritu
  4. V části s filtrem rozsahu vyberte možnost Přidat klauzuli. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . Add – klauzule
  5. Nejsou vyžadovány žádné další změny. Pravidla připojení a Transformace by měla zůstat ve výchozím zkopírovaném nastavení, abyste mohli nyní vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Transformace
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo "V" z AD – Povolené uživatelské účty pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Uživatelský účetEnabled
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Vyberte Další. Povolení synchronizace hesel
  8. V filtru rozsahuvyberte Přidat podmínku. Vyberte adminDescription ve sloupci atributu, EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . PhSIncluded
  9. Nejsou vyžadovány žádné další změny. Pravidla připojení a transformace by měla zůstat na výchozím nastavení, abyste nyní mohli vybrat možnost Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Uložit
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizacihesel a typpravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Synchronizovat na

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler-synccycleenabled$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací musíte upravit popis adminDescription atributu pro všechny uživatele, které chcete zahrnout do synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSIncluded.

Úprava atributů

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Další kroky