Condividi tramite

Configurazione selettiva della sincronizzazione dell'hash delle password per Microsoft Entra Connect

  • Articolo

La sincronizzazione dell'hash delle password è uno dei metodi di accesso usati per eseguire l'identità ibrida. Microsoft Entra Connect sincronizza un hash dell'hash della password di un utente da un'istanza di Active Directory locale a un'istanza di Microsoft Entra basata sul cloud. Per impostazione predefinita, una volta configurata, la sincronizzazione dell'hash delle password viene eseguita su tutti gli utenti sincronizzati.

Se si vuole escludere un subset di utenti dalla sincronizzazione dell'hash delle password all'ID Microsoft Entra, è possibile configurare la sincronizzazione selettiva dell'hash delle password usando i passaggi guidati descritti in questo articolo.

Importante

Microsoft non supporta la modifica o il funzionamento di Microsoft Entra Connect Sync all'esterno delle configurazioni o delle azioni documentate formalmente. Una di queste configurazioni o azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Connect Sync. Di conseguenza, Microsoft non può garantire la possibilità di fornire un supporto tecnico efficiente per tali distribuzioni.

Prendere in considerazione la vostra implementazione

Per ridurre il lavoro amministrativo di configurazione, è necessario considerare innanzitutto il numero di oggetti utente da escludere dalla sincronizzazione dell'hash delle password. Verifica che gli scenari seguenti, che si escludono a vicenda, siano in linea con i tuoi requisiti per selezionare l'opzione di configurazione corretta.

  • Se il numero di utenti da escludere è inferiore al numero di utenti da includere, seguire la procedura descritta in questa sezione.
  • Se il numero di utenti da escludere è maggiore del numero di utenti da includere, seguire la procedura descritta in questa sezione.

Importante

Con l'opzione di configurazione scelta, una sincronizzazione iniziale obbligatoria (sincronizzazione completa) per applicare le modifiche viene eseguita automaticamente nel ciclo di sincronizzazione successivo.

Importante

La configurazione della sincronizzazione selettiva dell'hash delle password influisce direttamente sul writeback delle password. Le modifiche delle password o le reimpostazioni delle password avviate in Microsoft Entra ID riscrivono in Active Directory locale solo se l'utente è soggetto alla sincronizzazione dell'hash delle password.

Importante

La sincronizzazione selettiva dell'hash delle password è supportata in Microsoft Entra Connect 1.6.2.4 o versione successiva. Se stai utilizzando una versione precedente, esegui l'aggiornamento all'ultima versione.

Attributo adminDescription

Entrambi gli scenari si basano sull'impostazione dell'attributo adminDescription degli utenti su un valore specifico. Ciò consente di applicare le regole e fa funzionare selettivamente il PHS.

Scenario valore adminDescription
Il numero di utenti esclusi è inferiore al numero di utenti inclusi. PHSFiltered
Gli utenti esclusi sono maggiori di quelli inclusi PHSIncluded

Questo attributo può essere impostato:

  • utilizzo dell'interfaccia utente di Active Directory Users and Computers
  • uso del Set-ADUser cmdlet di PowerShell. Per altre informazioni, vedere Set-ADUser.

Disabilitare l'utilità di pianificazione della sincronizzazione:

Prima di iniziare uno scenario, è necessario disabilitare l'utilità di pianificazione della sincronizzazione durante l'esecuzione delle modifiche alle regole di sincronizzazione.

  1. Avviare Windows PowerShell e immettere.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Verificare che il pianificatore sia disabilitato eseguendo il cmdlet indicato di seguito:

    Get-ADSyncScheduler

Per ulteriori informazioni sul scheduler, vedere Microsoft Entra Connect Sync scheduler.

Il numero di utenti esclusi è inferiore a quello degli utenti inclusi.

La sezione seguente descrive come abilitare la sincronizzazione selettiva dell'hash delle password quando il numero di utenti da escludere è inferiore al numero di utenti da includere.

Importante

Prima di procedere, verificare che l'utilità di pianificazione della sincronizzazione sia disabilitata come descritto in precedenza.

  • Creare una copia modificabile di In da Active Directory - Account utente abilitato con l'opzione per abilitare la sincronizzazione dell'hash delle password non selezionato e definire il filtro di ambito
  • Creare un'altra copia modificabile dell'impostazione predefinita In da AD - Account utente abilitato, con l'opzione di sincronizzazione dell'hash delle password abilitata, e definire il relativo filtro di ambito.
  • Riabilita il schedulatore della sincronizzazione
  • Imposta il valore dell'attributo, in Active Directory, definito come attributo di ambito per gli utenti ai quali vuoi permettere la sincronizzazione dell'hash delle password.

Importante

La procedura fornita per configurare la sincronizzazione selettiva dell'hash delle password influisce solo sugli oggetti utente con l'attributo adminDescription popolato in Active Directory con il valore di PHSFiltered. Se questo attributo non viene popolato o il valore è diverso da PHSFiltered, queste regole non verranno applicate agli oggetti utente.

Configurare le regole di sincronizzazione necessarie:

  1. Avvia l'Editor regole di sincronizzazione e imposta i filtri Sincronizzazione delle password su Attivo e Tipo di regola su Standard. Avviare l'editor delle regole di sincronizzazione
  2. Selezionare la regola In from AD – Account Utente Abilitato per il Connettore per la foresta di Active Directory su cui si desidera configurare la sincronizzazione selettiva degli hash delle password e selezionare Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. Selezionare la regola
  3. La prima regola disabilita la sincronizzazione dell'hash delle password. Specificare il seguente nome per la nuova regola personalizzata: In da AD - User AccountEnabled - Filtra Utenti da PHS. Modificare il valore di precedenza impostando un numero inferiore a 100 (ad esempio 90 o quale sia il valore più basso disponibile nell'ambiente). Assicurarsi che le caselle di controllo Abilita sincronizzazione password e Disabilitato siano deselezionate. Selezionare Avanti. Modifica in ingresso
  4. In Filtro di ambito, selezionare Aggiungi clausola. Selezionare adminDescription nella colonna attributo EQUAL nella colonna Operatore e immettere PHSFiltered come valore. Filtro per la definizione dell'ambito
  5. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate, in modo da poter selezionare Salva ora. Selezionare OK nella finestra di dialogo di avviso che informa l'esecuzione di una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Salva regola
  6. Creare quindi un'altra regola personalizzata con la sincronizzazione dell'hash delle password abilitata. Selezionare nuovamente la regola predefinita In from AD – User AccountEnabled per la foresta di Active Directory su cui si desidera configurare la sincronizzazione selettiva delle password e scegliere Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. Regola personalizzata
  7. Fornire il seguente nome alla nuova regola personalizzata: In da AD - Account Utente abilitato - Utenti inclusi per PHS. Modificare il valore di precedenza in un numero inferiore alla regola creata in precedenza (in questo esempio verrà 89). Assicurarsi che la casella di controllo Abilita sincronizzazione password sia selezionata e che la casella di controllo Disabilitata sia deselezionata. Selezionare Avanti.
    Modifica nuova regola
  8. In Filtro di ambito, selezionare Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo, NOTEQUAL nella colonna Operatore e immettere PHSFiltered come valore. Regola di ambito
  9. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate, in modo da poter selezionare Salva ora. Selezionare OK nella finestra di dialogo di avviso che informa l'esecuzione di una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Regole di unione
  10. Confermare la creazione delle regole. Rimuovere i filtri Sincronizzazione PasswordAttiva e Tipo di RegolaStandard. Dovresti vedere entrambe le nuove regole che hai appena creato. Confermare le regole

Riabilitare l'utilità di pianificazione della sincronizzazione:

Dopo aver completato i passaggi per configurare le regole di sincronizzazione necessarie, riabilitare l'utilità di pianificazione della sincronizzazione seguendo questa procedura:

  1. In Windows PowerShell eseguire:

    set-adsyncscheduler -synccycleenabled:$true

  2. Verificare quindi che sia stato abilitato correttamente eseguendo:

    get-adsyncscheduler

Per maggiori informazioni sullo scheduler, vedere Microsoft Entra Connect Sync scheduler.

Modificare l'attributo adminDescription degli utenti:

Al termine di tutte le configurazioni, è necessario modificare l'attributo adminDescription per tutti gli utenti da escludere dalla sincronizzazione dell'hash delle password in Active Directory e aggiungere la stringa usata nel filtro di ambito: PHSFiltered.

Modifica attributo

È anche possibile usare il comando di PowerShell seguente per modificare l'attributo adminDescription di un utente:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Gli utenti esclusi sono maggiori di quelli inclusi

La sezione seguente descrive come abilitare la sincronizzazione selettiva dell'hash delle password quando il numero di utenti da escludere è maggiore del numero di utenti da includere.

Importante

Prima di procedere, assicurarsi che l'utilità di pianificazione della sincronizzazione sia disabilitata come descritto in precedenza.

Di seguito è riportato un riepilogo delle azioni da eseguire:

  • Creare una copia modificabile di In da AD - Account utente abilitato con l'opzione non selezionata per abilitare la sincronizzazione dell'hash delle password e definirne il filtro di ambito.
  • Crea un'altra copia modificabile dell'impostazione predefinita In da AD - Account utente abilitato selezionando l'opzione di abilitare la sincronizzazione dell'hash della password e definirne il filtro di ambito.
  • Riabilitare il pianificatore della sincronizzazione
  • Impostare il valore dell'attributo, in Active Directory, definito come attributo di ambito per gli utenti che si desidera consentire nella sincronizzazione dell'hash delle password.

Importante

La procedura per la configurazione della sincronizzazione selettiva degli hash delle password riguarda esclusivamente gli oggetti utente il cui attributo adminDescription è popolato in Active Directory con il valore PHSIncluded. Se questo attributo non viene popolato o il valore è diverso da PHSIncluded, queste regole non vengono applicate agli oggetti utente.

Configurare le regole di sincronizzazione necessarie:

  1. Avviare l'Editor regole di sincronizzazione e impostare i filtri Sincronizzazione passwordAttiva e Tipo di regolaStandard. Tipo di regola
  2. Seleziona la regola In da AD - Account utente abilitato per la foresta di Active Directory su cui desideri configurare la sincronizzazione selettiva delle password e seleziona Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. In da AD
  3. La prima regola disabilita la sincronizzazione dell'hash delle password. Specificare il seguente nome per la nuova regola personalizzata: In da AD - User AccountEnabled - Filtra utenti da PHS. Modificare il valore di precedenza impostando un numero inferiore a 100 (ad esempio 90 o quale sia il valore più basso disponibile nell'ambiente). Assicurarsi che le caselle di controllo Abilita sincronizzazione password e Disabilitato siano deselezionate. Selezionare Avanti. Impostare la precedenza
  4. In Filtro di ambito, selezionare Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo, NOTEQUAL nella colonna Operatore e immettere PHSIncluded come valore. Aggiungi clausola
  5. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate, in modo da poter selezionare Salva ora. Selezionare OK nella finestra di dialogo di avviso che informa l'esecuzione di una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Trasformazione
  6. Creare quindi un'altra regola personalizzata con la sincronizzazione dell'hash delle password abilitata. Selezionare di nuovo la regola predefinita da AD – User AccountEnabled per la foresta di Active Directory su cui si desidera configurare la sincronizzazione selettiva delle password e selezionare Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. Account utente abilitato
  7. Specificare il seguente nome alla nuova regola personalizzata: In da AD - Account utente abilitato - Utenti inclusi per PHS. Modificare il valore di precedenza in un numero inferiore alla regola creata in precedenza (in questo esempio verrà 89). Assicurarsi che la casella di controllo Abilita sincronizzazione password sia selezionata e che la casella di controllo Disabilitata sia deselezionata. Selezionare Avanti. Abilita sincronizzazione password
  8. In Filtro di ambito, selezionare Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo, EQUAL nella colonna Operatore e inserire PHSIncluded come valore. PHSIncluded
  9. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate, in modo da poter selezionare Salva ora. Selezionare OK nella finestra di dialogo di avviso che informa l'esecuzione di una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Salva ora
  10. Confermare la creazione delle regole. Rimuovere i filtri Sincronizzazione PasswordOn e Tipo di RegolaStandard. Dovresti vedere entrambe le nuove regole che hai appena creato. Sincronizzazione su

Riabilitare l'utilità di pianificazione della sincronizzazione:

Dopo aver completato i passaggi per configurare le regole di sincronizzazione necessarie, riabilitare l'utilità di pianificazione della sincronizzazione seguendo questa procedura:

  1. In Windows PowerShell eseguire:

    set-adsyncscheduler-synccycleenabled$true

  2. Verificare quindi che sia stato abilitato correttamente eseguendo:

    get-adsyncscheduler

Per ulteriori informazioni sul pianificatore, vedere Microsoft Entra Connect Sync scheduler.

Modificare l'attributo adminDescription degli utenti:

Una volta completate tutte le configurazioni, è necessario modificare l'attributo adminDescription per tutti gli utenti che si desidera includere per la sincronizzazione dell'hash delle password in Active Directory e aggiungere la stringa usata nel filtro di ambito: PHSIncluded.

Modifica attributi

È anche possibile usare il comando di PowerShell seguente per modificare l'attributo adminDescription di un utente:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Passaggi successivi