Configuratie van selectieve wachtwoord-hashsynchronisatie voor Microsoft Entra Connect
Wachtwoord-hashsynchronisatie is een van de aanmeldingsmethoden die worden gebruikt om een hybride identiteit uit te voeren. Microsoft Entra Connect synchroniseert een hash, van de hash, van het wachtwoord van een gebruiker van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud. Wanneer deze is ingesteld, vindt synchronisatie van wachtwoord-hashs standaard plaats voor alle gebruikers die u synchroniseert.
Als u een subset van gebruikers wilt uitsluiten van het synchroniseren van hun wachtwoord-hash naar Microsoft Entra-id, kunt u selectieve wachtwoord-hashsynchronisatie configureren met behulp van de begeleide stappen in dit artikel.
Belangrijk
Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Microsoft Entra Connect Sync buiten de configuraties of acties die formeel worden gedocumenteerd. Een van deze configuraties of acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Connect Sync. Als gevolg hiervan kan Microsoft niet garanderen dat deze implementaties efficiënt kunnen worden ondersteund.
Overweeg uw implementatie
Als u de beheertaken voor de configuratie wilt verminderen, moet u eerst rekening houden met het aantal gebruikersobjecten dat u wilt uitsluiten van wachtwoord-hashsynchronisatie. Controleer of de volgende scenario's, die elkaar wederzijds uitsluiten, overeenkomen met uw vereisten om de juiste configuratieoptie voor u te selecteren.
- Als het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.
- Als het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.
Belangrijk
Als u een van beide configuratieopties hebt gekozen, wordt een vereiste initiële synchronisatie (Volledige synchronisatie) om de wijzigingen toe te passen, automatisch uitgevoerd tijdens de volgende synchronisatiecyclus.
Belangrijk
Het configureren van selectieve wachtwoord-hashsynchronisatie heeft rechtstreeks invloed op het terugschrijven van wachtwoorden. Wachtwoordwijzigingen of wachtwoordherstel die in Microsoft Entra ID worden geïnitieerd, schrijven alleen terug naar on-premises Active Directory als de gebruiker binnen het bereik van wachtwoord-hashsynchronisatie valt.
Belangrijk
Selectieve wachtwoord-hashsynchronisatie wordt ondersteund in Microsoft Entra Connect 1.6.2.4 of hoger. Als u een versie lager gebruikt dan die, voert u een upgrade uit naar de nieuwste versie.
Het kenmerk adminDescription
Beide scenario's zijn afhankelijk van het instellen van het adminDescription-kenmerk van gebruikers op een specifieke waarde. Hierdoor kunnen de regels worden toegepast en wordt selectief PHS-werk.
| Scenario | adminDescription-waarde |
|---|---|
| Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers | PHSFiltered |
| Uitgesloten gebruikers zijn groter dan opgenomen gebruikers | PHSIncluded |
Dit kenmerk kan worden ingesteld:
- de gebruikersinterface van Active Directory gebruiken
- met behulp van
Set-ADUserPowerShell-cmdlet. Zie Set-ADUservoor meer informatie.
Schakel de synchronisatieplanner uit:
Voordat u een van beide scenario's start, moet u de synchronisatieplanner uitschakelen terwijl u wijzigingen aanbrengt in de synchronisatieregels.
Start Windows PowerShell en voer het in.
Set-ADSyncScheduler -SyncCycleEnabled $falseControleer of de scheduler is uitgeschakeld door de volgende cmdlet uit te voeren:
Get-ADSyncScheduler
Zie Microsoft Entra Connect Sync Schedulervoor meer informatie over de scheduler.
Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers
In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen.
Belangrijk
Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals eerder beschreven.
- Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
- Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
- De synchronisatieplanner opnieuw inschakelen
- Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.
Belangrijk
De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten met het kenmerk adminDescription ingevuld in Active Directory met de waarde van PHSFiltered. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSFiltered worden deze regels niet toegepast op de gebruikersobjecten.
Configureer de benodigde synchronisatieregels:
- Start de editor voor synchronisatieregels en stel de filters Wachtwoordsynchronisatie in op Aan en regeltype op Standaard.
- Selecteer de regel In van AD – User AccountEnabled voor de Active Directory-forestconnector waarop u selectieve wachtwoord-hashsynchronisatie wilt configureren en selecteer Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Met de eerste regel wordt de synchronisatie van wachtwoord-hashes uitgeschakeld. Geef de volgende naam aan de nieuwe aangepaste regel: In vanuit AD - User AccountEnabled - Filter Users van PHS.
Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving).
Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld.
Selecteer Volgende.
- Selecteer in het Scoping-filterde optie Voorwaarde toevoegen.
Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSFiltered in als de waarde.
- Er zijn geen verdere wijzigingen vereist.
Samenvoegregels en transformaties moeten de standaard gekopieerde instellingen bevatten, zodat u nu Opslaan kunt selecteren.
Selecteer OK- in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie moet worden uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel in AD – User AccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en selecteer vervolgens Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS.
Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld wordt dat 89).
Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld.
Selecteer Volgende.
- Selecteer in Scope-filterde optie Clausule toevoegen.
Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSFiltered in als de waarde.
- Er zijn geen verdere wijzigingen vereist.
regels voor samenvoegen en transformaties moeten worden gelaten met de standaard overgenomen instellingen, zodat u nu Opslaan kunt selecteren.
Selecteer OK- in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie moet worden uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatie op en regeltypestandaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt.
Synchronisatieplanner opnieuw inschakelen:
Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:
Voer in Windows PowerShell de volgende opdracht uit:
set-adsyncscheduler -synccycleenabled:$trueControleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:
get-adsyncscheduler
Zie Microsoft Entra Connect Sync Schedulervoor meer informatie over de scheduler.
Bewerk het kenmerk adminDescription van gebruikers:
Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt uitsluiten van wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSFiltered.
U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Uitgesloten gebruikers zijn groter dan opgenomen gebruikers
In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen.
Belangrijk
Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals hierboven wordt beschreven.
Hier volgt een samenvatting van de acties die moeten worden uitgevoerd:
- Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
- Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
- De synchronisatieplanner opnieuw inschakelen
- Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.
Belangrijk
De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten met het kenmerk adminDescription ingevuld in Active Directory met de waarde van PHSIncluded. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSIncluded worden deze regels niet toegepast op de gebruikersobjecten.
Configureer de benodigde synchronisatieregels:
- Start de synchronisatieregelseditor en stel de filters Wachtwoordsynchronisatie in en RegeltypeStandard in.
- Selecteer de regel In van AD: User AccountEnabled voor de Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en selecteer Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Met de eerste regel wordt de synchronisatie van wachtwoord-hashes uitgeschakeld. Geef de nieuwe aangepaste regel de volgende naam: Van AD - Gebruikersaccount Actief - Filter Gebruikers van PHS.
Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving).
Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld.
Selecteer Volgende.
- Selecteer in scopingsfilterde optie Clausule toevoegen.
Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSIncluded in als de waarde.
- Er zijn geen verdere wijzigingen vereist.
Samenvoegregels en transformaties moeten de standaard gekopieerde instellingen bevatten, zodat u Opslaan nu kunt selecteren.
Selecteer OK- in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie moet worden uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel In van AD: User AccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en selecteer Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS.
Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld wordt dat 89).
Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld.
Selecteer Volgende.
- Selecteer in scopingsfilterde optie Voorwaarde toevoegen.
Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSIncluded in als de waarde.
- Er zijn geen verdere wijzigingen vereist.
Samenvoegregels en Transformaties moeten met de standaard gekopieerde instellingen worden gelaten, zodat u nu Opslaan kunt selecteren.
Selecteer OK- in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie moet worden uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatie op en regeltypestandaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt.
Synchronisatieplanner opnieuw inschakelen:
Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:
Voer in Windows PowerShell het volgende uit:
set-adsyncscheduler-synccycleenabled$trueControleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:
get-adsyncscheduler
Zie Microsoft Entra Connect Sync Schedulervoor meer informatie over de scheduler.
Bewerk het kenmerk adminDescription van gebruikers:
Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt opnemen voor wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSIncluded.
U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}