Partager via

Configuration de la synchronisation sélective du hachage de mot de passe pour Microsoft Entra Connect

  • Article

La synchronisation sélective du hachage de mot de passe est l’une des méthodes de connexion utilisées pour accomplir l’identité hybride. Microsoft Entra Connect synchronise le hachage du mot de passe d’un utilisateur entre une instance Active Directory locale et une instance Microsoft Entra basée sur le cloud. Par défaut, une fois qu’elle est configurée, la synchronisation de hachage de mot de passe se produit sur tous les utilisateurs que vous synchronisez.

Si vous souhaitez exclure un sous-ensemble d’utilisateurs de la synchronisation de leur hachage de mot de passe avec l’ID Microsoft Entra, vous pouvez configurer la synchronisation sélective du hachage de mot de passe à l’aide des étapes guidées de cet article.

Important

Microsoft ne prend pas en charge la modification ou l’utilisation de la synchronisation Microsoft Entra Connect en dehors des configurations ou des actions documentées de façon formelle. L’une de ces configurations ou actions peut entraîner un état incohérent ou non pris en charge de Microsoft Entra Connect Sync. Par conséquent, Microsoft ne peut pas garantir la possibilité de fournir un support technique efficace pour ces déploiements.

Réfléchir à votre implémentation

Pour réduire l’effort administratif de la configuration, vous devez d’abord prendre en compte le nombre d’objets utilisateur que vous souhaitez exclure de la synchronisation du hachage de mot de passe. Vérifiez les scénarios suivants, qui s’excluent mutuellement, s’alignent sur vos exigences pour sélectionner l’option de configuration appropriée pour vous.

  • Si le nombre d’utilisateurs à exclure est inférieur au nombre d’utilisateurs à inclure, suivez les étapes de cette section.
  • Si le nombre d’utilisateurs à exclure est supérieur au nombre d’utilisateurs à inclure, suivez les étapes de cette section.

Important

Avec l’une ou l’autre option de configuration choisie, une synchronisation initiale requise (synchronisation complète) pour appliquer les modifications est effectuée automatiquement au cours du prochain cycle de synchronisation.

Important

La configuration de la synchronisation sélective du hachage de mot de passe influence directement la réécriture du mot de passe. Les modifications de mot de passe ou les réinitialisations de mot de passe lancées dans Microsoft Entra ID sont réécrites dans Active Directory local uniquement si l’utilisateur est dans l’étendue de la synchronisation de hachage de mot de passe.

Important

La synchronisation sélective de hachage de mot de passe est prise en charge dans la version 1.6.2.4 de Microsoft Entra Connect ou ultérieure. Si vous utilisez une version inférieure à celle-ci, effectuez une mise à niveau vers la dernière version.

Attribut adminDescription

Les deux scénarios s’appuient sur la définition de l’attribut adminDescription des utilisateurs sur une valeur spécifique. Cela permet d’appliquer les règles et c’est ce qui permet à la synchronisation sélective du hachage de mot de passe de fonctionner.

Scénario Valeur adminDescription
Moins d’utilisateurs exclus que d’utilisateurs inclus PHSFiltered
Plus d’utilisateurs exclus que d’utilisateurs inclus PHSIncluded

Cet attribut peut être défini :

  • à l’aide de l’interface utilisateur Utilisateurs et ordinateurs Active Directory
  • à l’aide de la cmdlet PowerShell Set-ADUser Pour plus d’informations, consultez set-ADUser.

Désactiver le planificateur de synchronisation

Avant de commencer l’un ou l’autre scénario, vous devez désactiver le planificateur de synchronisation tout en modifiant les règles de synchronisation.

  1. Démarrez Windows PowerShell et entrez.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Vérifiez que le planificateur est désactivé en exécutant la cmdlet suivante :

    Get-ADSyncScheduler

Pour plus d’informations sur le planificateur, consultez planificateur Microsoft Entra Connect Sync.

Moins d’utilisateurs exclus que d’utilisateurs inclus

La section suivante décrit comment activer la synchronisation sélective du hachage de mot de passe lorsque le nombre d’utilisateurs à exclureest inférieur au nombre d’utilisateurs à inclure.

Important

Avant de continuer, vérifiez que le planificateur de synchronisation est désactivé comme décrit précédemment.

  • Créez une copie modifiable de l’entrée Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe désélectionnée et définissez son filtre d’étendue.
  • Créez une autre copie modifiable de la valeur par défaut Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe sélectionnée et définissez son filtre d’étendue.
  • Réactivez le planificateur de synchronisation.
  • Dans Active Directory, définissez la valeur de l’attribut qui a été défini comme attribut d’étendue sur les utilisateurs que vous souhaitez autoriser dans la synchronisation du hachage de mot de passe.

Important

Les étapes fournies pour configurer la synchronisation sélective de hachage de mot de passe affectent uniquement les objets utilisateur qui ont l’attribut adminDescription renseignés dans Active Directory avec la valeur de PHSFiltered. Si cet attribut n’est pas renseigné ou si la valeur est autre que phSFiltered ces règles ne seront pas appliquées aux objets utilisateur.

Configurer les règles de synchronisation nécessaires :

  1. Démarrez l’éditeur de règles de synchronisation et définissez les filtres Synchronisation des mots de passe sur Activé et Type de règle sur Standard. Démarrer l’éditeur de règles de synchronisation
  2. Sélectionnez la règle Dans AD – CompteUtilisateur Activé pour le connecteur de forêt Active Directory sur lequel vous souhaitez configurer la synchronisation sélective du hachage de mot de passe, puis sélectionnez Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine. Sélectionner une règle
  3. La première règle désactive la synchronisation des hachages de mots de passe. Fournissez le nom suivant à la nouvelle règle personnalisée : Importation AD - Utilisateur activé - Filtrer les utilisateurs depuis PHS. Remplacez la valeur de précédence par un nombre inférieur à 100 (par exemple 90 ou la valeur la plus basse disponible dans votre environnement). Assurez-vous que les cases à cocher Activer la synchronisation de mot de passe et Désactivé sont décochées. Sélectionnez puissuivant. Modifier une règle de trafic entrant
  4. Dans le filtre d’étendue, sélectionnez Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et EQUAL dans la colonne Opérateur, puis entrez PHSFiltered comme valeur. Filtre d’étendue
  5. Aucune autre modification n’est nécessaire. Règles de jointure et Transformations doivent être laissées avec les paramètres copiés par défaut pour pouvoir sélectionner Enregistrer maintenant. Sélectionnez OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète doit être exécutée lors du prochain cycle de synchronisation du connecteur. Enregistrer la règle
  6. Ensuite, créez une autre règle personnalisée avec la synchronisation du hachage de mot de passe activée. Sélectionnez à nouveau la règle par défaut dans AD – CompteUtilisateurActivé pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective du mot de passe, puis sélectionnez Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine. Règle personnalisée
  7. Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Utilisateurs inclus pour la PHS. Remplacez la valeur de priorité par un nombre inférieur à la règle précédemment créée (dans cet exemple, ce sera 89). Vérifiez que la case Activer la synchronisation de mot de passe est cochée et que celle pour Désactivé est décochée. Sélectionnez Suivant.
    Modifier une nouvelle règle
  8. Dans le filtre d’étendue, sélectionnez Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et NOTEQUAL dans la colonne Opérateur, puis entrez PHSFiltered comme valeur. Règle d’étendue
  9. Aucune autre modification n’est nécessaire. Règles de jointure et Transformations doivent être laissées avec les paramètres copiés par défaut pour pouvoir sélectionner Enregistrer maintenant. Sélectionnez OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète doit être exécutée lors du prochain cycle de synchronisation du connecteur. Règles de jonction
  10. Confirmez la création des règles. Supprimez les filtres Synchronisation du mot de passe :Activée et Type de règle : Standard. Vous devriez voir les deux nouvelles règles que vous venez de créer. Confirmer les règles

Réactiver le planificateur de synchronisation :

Une fois que vous avez terminé les étapes de configuration des règles de synchronisation nécessaires, réactivez le planificateur de synchronisation en procédant comme suit :

  1. Dans Windows PowerShell, exécutez :

    set-adsyncscheduler -synccycleenabled:$true

  2. Vérifiez ensuite qu’il a été correctement activé en exécutant :

    get-adsyncscheduler

Pour plus d’informations sur le Microsoft Entra Connect Sync scheduler, consultez Microsoft Entra Connect Sync scheduler.

Modifier l’attribut adminDescription des utilisateurs :

Une fois toutes les configurations terminées, vous devez modifier l’attribut adminDescription de tous les utilisateurs que vous souhaitez exclure de la synchronisation du hachage de mot de passe dans Active Directory et ajouter la chaîne utilisée dans le filtre d’étendue : PHSFiltered.

Modifier l’attribut

Vous pouvez également utiliser la commande PowerShell suivante pour modifier l’attribut adminDescription d’un utilisateur :

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Plus d’utilisateurs exclus que d’utilisateurs inclus

La section suivante décrit comment activer la synchronisation sélective du hachage de mot de passe lorsque le nombre d’utilisateurs à exclureest supérieur au nombre d’utilisateurs à inclure.

Important

Avant de continuer, vérifiez que le planificateur de synchronisation est désactivé comme indiqué ci-dessus.

Voici un résumé des actions à entreprendre :

  • Créez une copie modifiable de l’entrée Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe désélectionnée et définissez son filtre d’étendue.
  • Créez une autre copie modifiable de la valeur par défaut Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe sélectionnée et définissez son filtre d’étendue.
  • Réactivez le planificateur de synchronisation.
  • Dans Active Directory, définissez la valeur de l’attribut qui a été défini comme attribut d’étendue sur les utilisateurs que vous souhaitez autoriser dans la synchronisation du hachage de mot de passe.

Important

Les étapes fournies pour configurer la synchronisation sélective de hachage de mot de passe affectent uniquement les objets utilisateur qui ont l’attribut adminDescription renseignés dans Active Directory avec la valeur de PHSIncluded. Si cet attribut n’est pas renseigné ou si la valeur est autre que PHSIncluded ces règles ne sont pas appliquées aux objets utilisateur.

Configurer les règles de synchronisation nécessaires :

  1. Démarrez l’éditeur de règles de synchronisation et définissez les filtres Synchronisation des mots de passe sur Activé et Type de règle sur Standard. Type de règle
  2. Sélectionnez la règle dans AD – CompteUtilisateurActivé pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective des mots de passe, puis sélectionnez Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine. Entrant à partir d’AD
  3. La première règle désactive la synchronisation du hachage de mot de passe. Fournissez le nom suivant à la nouvelle règle personnalisée : De AD - CompteUtilisateurActivé - Filtrer les utilisateurs depuis PHS. Remplacez la valeur de précédence par un nombre inférieur à 100 (par exemple 90 ou la valeur la plus basse disponible dans votre environnement). Assurez-vous que les cases à cocher Activer la synchronisation de mot de passe et Désactivé sont décochées. Sélectionnez suivant. Définir la priorité
  4. Dans le filtre d’étendue, sélectionnez Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et NOTEQUAL dans la colonne Opérateur, puis entrez PHSIncluded comme valeur. Ajouter une clause
  5. Aucune autre modification n’est nécessaire. Règles de jointure et Transformations doivent être laissées avec les paramètres copiés par défaut pour pouvoir sélectionner Enregistrer maintenant. Sélectionnez OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète doit être exécutée lors du prochain cycle de synchronisation du connecteur. Transformation
  6. Ensuite, créez une autre règle personnalisée avec la synchronisation du hachage de mot de passe activée. Sélectionnez à nouveau la règle par défaut dans AD – CompteUtilisateurActivé pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective du mot de passe, puis sélectionnez Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine. Utilisateur AccountEnabled
  7. Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Utilisateurs inclus pour la PHS. Remplacez la valeur de précédence par un nombre inférieur à la règle précédemment créée (dans cet exemple, ce sera 89). Vérifiez que la case Activer la synchronisation de mot de passe est cochée et que celle pour Désactivé est décochée. Sélectionnez Suivant. Activer la synchronisation de mot de passe
  8. Dans le filtre d’étendue, sélectionnez Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et EQUAL dans la colonne Opérateur, puis entrez PHSIncluded comme valeur. PHSIncluded
  9. Aucune autre modification n’est nécessaire. Règles de jointure et Transformations doivent être laissées avec les paramètres copiés par défaut pour pouvoir sélectionner Enregistrer maintenant. Sélectionnez OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète doit être exécutée lors du prochain cycle de synchronisation du connecteur. Enregistrer maintenant
  10. Confirmez la création des règles. Supprimez les filtres Synchronisation du mot de passe :Activée et Type de règle : Standard. Vous devriez voir les deux nouvelles règles que vous venez de créer. Synchronisation activée

Réactiver le planificateur de synchronisation :

Une fois que vous avez terminé les étapes de configuration des règles de synchronisation nécessaires, réactivez le planificateur de synchronisation en procédant comme suit :

  1. Dans Windows PowerShell, exécutez :

    set-adsyncscheduler-synccycleenabled$true

  2. Vérifiez ensuite qu’il a été correctement activé en exécutant :

    get-adsyncscheduler

Pour plus d’informations sur le planificateur, consultez planificateur Microsoft Entra Connect Sync.

Modifier l’attribut adminDescription des utilisateurs :

Une fois toutes les configurations terminées, vous devez modifier l’attribut adminDescription pour tous les utilisateurs que vous souhaitez inclure pour la synchronisation du hachage de mot de passe dans Active Directory et ajouter la chaîne utilisée dans le filtre d’étendue : PHSIncluded.

Modifier les attributs

Vous pouvez également utiliser la commande PowerShell suivante pour modifier l’attribut adminDescription d’un utilisateur :

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Étapes suivantes