Sdílet prostřednictvím

Selektivní konfigurace synchronizace hodnot hash hesel pro Microsoft Entra Connect

  • Článek

Synchronizace hash hesla je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Connect synchronizuje hodnotu hash s heslem uživatele z instance místní Active Directory do cloudové instance Microsoft Entra. Po nastavení se synchronizace hodnot hash hesel ve výchozím nastavení provádí u všech uživatelů, které synchronizujete.

Pokud chcete vyloučit podmnožinu uživatelů, aby synchronizovali hodnotu hash hesel s ID Microsoft Entra, můžete nakonfigurovat selektivní synchronizaci hodnot hash hesel pomocí pokynů v tomto článku.

Důležité

Microsoft nepodporuje úpravy ani provoz microsoft Entra Connect Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Connect Sync. Microsoft proto nemůže zaručit schopnost poskytovat efektivní technickou podporu pro taková nasazení.

Zvažte svou implementaci

Pokud chcete snížit administrativní úsilí konfigurace, měli byste nejprve zvážit počet uživatelských objektů, které chcete vyloučit ze synchronizace hodnot hash hesel. Ověřte, že následující scénáře, které se vzájemně vylučují, odpovídají vašim požadavkům a vyberte pro vás správnou možnost konfigurace.

  • Pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
  • Pokud je počet uživatelů, které chcete vyloučit, větší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.

Důležité

Když zvolíte některou z možností konfigurace, provede se při příštím cyklu synchronizace automaticky požadovaná počáteční synchronizace (úplná synchronizace).

Důležité

Konfigurace selektivní synchronizace hodnot hash hesel přímo ovlivňuje zpětný zápis hesla. Změny hesla nebo resetování hesla, které jsou inicializovány v Microsoft Entra ID, se zapisují zpět do místní Active Directory pouze v případě, že je uživatel zahrnut do rozsahu synchronizace hashů hesel.

Důležité

Selektivní synchronizace hodnot hash hesel se podporuje v microsoft Entra Connect 1.6.2.4 nebo novějším. Pokud používáte nižší verzi, upgradujte na nejnovější verzi.

Atribut adminDescription

Oba scénáře se spoléhají na nastavení atributu adminDescription uživatelů na konkrétní hodnotu. To umožňuje použít pravidla a je to, co umožňuje, aby selektivní PHS fungovalo.

Scénář hodnota adminDescription
Vyloučení uživatelé jsou menší než zahrnutí uživatelé. PhSFiltered
Vyloučení uživatelé jsou větší než zahrnutí uživatelé. PhSIncluded

Tento atribut lze nastavit buď:

  • pomocí uživatelského rozhraní Uživatelé a počítače služby Active Directory
  • pomocí Set-ADUser cmdletu PowerShellu. Další informace viz Set-ADUser.

Zakažte plánovač synchronizace:

Než začnete s některým scénářem, musíte plánovač synchronizace zakázat při provádění změn pravidel synchronizace.

  1. Spusťte Windows PowerShell a zadejte.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Spuštěním následujícího příkazu ověřte, že je plánovač zakázaný:

    Get-ADSyncScheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Vyloučení uživatelé jsou menší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je popsáno výše.

  • Vytvořte upravitelnou kopii z AD – Uživatelský účet povolen s možností povolit synchronizaci hodnot hash hesel nevybranou a definujte její filtr rozsahu.
  • Vytvořte další upravitelnou kopii výchozího nastavení z AD – Uživatelský účet povolen mající vybranou možnost povolit synchronizaci hash hesel a definujte její scope filtr.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu v adresáři Active Directory, definovanou jako definiční atribut pro uživatele, které chcete povolit při synchronizaci hashů hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel mají vliv pouze na uživatelské objekty, které mají atribut adminDescription naplněné ve službě Active Directory s hodnotou PHSFiltered. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSFiltered tato pravidla nebudou použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte synchronizaci hesel na Zapnuto a Typ pravidla na Standardní. Spuštění editoru pravidel synchronizace
  2. Vyberte pravidlo In z AD – User AccountEnabled pro konektor doménové struktury služby Active Directory, u kterého chcete nakonfigurovat selektivní synchronizaci hash hodnot hesel, a vyberte Upravit. Výběrem možnosti Ano v dalším dialogovém okně vytvoříte upravitelnou kopii původního pravidla. Vybrat pravidlo
  3. První pravidlo deaktivuje synchronizaci hashů hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User Account Enabled – Filtrování uživatelů z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Vyberte Další. Upravit příchozí
  4. V filtru rozsahu vyberte Přidat podmínku. Ve sloupci atributu vyberte adminDescription , EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Filtr rozsahu
  5. Nejsou vyžadovány žádné další změny. Pravidla připojení a transformace by měla zůstat s výchozím zkopírovaným nastavením, abyste nyní mohli vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Uložit pravidlo
  6. Následně vytvořte další vlastní pravidlo s aktivní synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat synchronizaci selektivních hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Vlastní pravidlo
  7. Do nového vlastního pravidla zadejte následující název: Z AD – Uživatelský účet povolen – Uživatelé zahrnutí pro PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Vyberte Další.
    Upravit nové pravidlo
  8. V filtru rozsahu vyberte Přidat podmínku. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Pravidlo oboru
  9. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měla zůstat ve výchozím nastavení, abyste nyní mohli vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Pravidla připojení
  10. Potvrďte vytvoření pravidel. Odeberte filtry Synchronizace heselZapnuto a Typ pravidlaStandardní. Měli byste vidět obě nová pravidla, která jste právě vytvořili. Potvrzení pravidel

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler -synccycleenabled:$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Upravit atribut uživatele adminDescription:

Po dokončení všech konfigurací je potřeba upravit atribut adminDescription pro všechny uživatele, které chcete vyloučit ze synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru rozsahu: PHSFiltered.

Upravit atribut

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Vyloučení uživatelé jsou větší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, větší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

Následuje souhrn akcí, které se mají provést:

  • Vytvořit upravitelnou kopii ze In from AD – uživatelský účet Enabled s možností nevybrat synchronizaci hodnot hash hesel a definovat její oborový filtr
  • Vytvořte další upravitelnou kopii výchozího profilu In z AD – User AccountEnabled s vybranou možností povolit synchronizaci hashů hesel a definujte její rozsahový filtr.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Postup konfigurace selektivní synchronizace hodnot hash hesel má vliv pouze na objekty uživatelů, které mají atribut adminDescription naplněné ve službě Active Directory hodnotou PHSIncluded. Pokud tento atribut není vyplněný nebo hodnota je něco jiného než PHSIncluded tato pravidla se na objekty uživatele nepoužijí.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte filtry Synchronizace heselZapnuto a Typ pravidlaStandard. Typ pravidla
  2. Vyberte pravidlo In z AD – Uživatelský účet povolen pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Od roku AD
  3. První pravidlo zakáže synchronizaci hashů hesel. Do nového vlastního pravidla zadejte následující název: In from AD – Uživatelský účet aktivován – Filtr uživatelů z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Vyberte Další. Nastavit prioritu
  4. V Rozsahovém filtru vyberte Přidat podmínku. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . Přidat klauzuli
  5. Nejsou vyžadovány žádné další změny. Pravidla připojení a Transformace by měla zůstat ve výchozím nastavení, abyste nyní mohli vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Transformace
  6. Dále vytvořte další vlastní pravidlo s aktivovanou synchronizací hash hesla. Znovu vyberte výchozí pravidlo In from AD – User AccountEnabled pro doménovou strukturu služby Active Directory, ve které chcete nakonfigurovat selektivní synchronizaci hesel, a vyberte Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Uživatelský účet povolen
  7. Do nového vlastního pravidla uveďte následující název: Z AD – Uživatelský účetAktivován – Uživatelé zahrnutí pro PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Vyberte Další. Povolení synchronizace hesel
  8. V Filtru rozsahu vyberte Přidat podmínku. Vyberte adminDescription ve sloupci atributu, EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . PHSIncluded
  9. Nejsou vyžadovány žádné další změny. Pravidla připojení a transformace by měla být ponechána ve výchozím nastavení, abyste mohli nyní vybrat Uložit. V dialogovém okně upozornění vyberte OK informující o úplné synchronizaci, která se má spustit v dalším cyklu synchronizace konektoru. Uložit nyní
  10. Potvrďte vytvoření pravidel. Odeberte filtry Synchronizace heselZapnuto, Typ pravidlaStandard. Obě nová pravidla, která jste právě vytvořili, by se měla zobrazit. Zapnout synchronizaci

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler-synccycleenabled$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v tématu Plánovač synchronizace Microsoft Entra Connect.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací musíte upravit atribut adminDescription pro všechny uživatele, které chcete zahrnout do synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oblasti: PHSIncluded.

Úprava atributů

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Další kroky