Udostępnij za pośrednictwem


Konfiguracja synchronizacji skrótów selektywnych haseł dla programu Microsoft Entra Connect

Synchronizacja skrótów haseł jest jedną z metod logowania używanych do realizacji tożsamości hybrydowej. Program Microsoft Entra Connect synchronizuje skrót hasła użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia firmy Microsoft Entra opartego na chmurze. Domyślnie, po jej skonfigurowaniu, synchronizacja skrótów haseł odbywa się dla wszystkich użytkowników, których synchronizujesz.

Jeśli chcesz wykluczyć podzbiór użytkowników z synchronizowania skrótu haseł z identyfikatorem Entra firmy Microsoft, możesz skonfigurować selektywną synchronizację skrótów haseł, wykonując kroki z przewodnikiem w tym artykule.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Connect Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan programu Microsoft Entra Connect Sync. W związku z tym firma Microsoft nie może zagwarantować możliwości zapewnienia wydajnej pomocy technicznej dla takich wdrożeń.

Rozważ wdrożenie

Aby zmniejszyć nakład pracy administracyjnej konfiguracji, należy najpierw rozważyć liczbę obiektów użytkownika, które chcesz wykluczyć z synchronizacji skrótów haseł. Sprawdź następujące scenariusze, które wzajemnie się wykluczają, i upewnij się, że odpowiadają Twoim wymaganiom, aby wybrać odpowiednią opcję konfiguracji.

  • Jeśli liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.
  • Jeśli liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.

Ważne

Po wybraniu jednej z opcji konfiguracji wymagana synchronizacja początkowa (pełna synchronizacja) w celu zastosowania zmian jest wykonywana automatycznie w następnym cyklu synchronizacji.

Ważne

Konfigurowanie selektywnej synchronizacji skrótów haseł bezpośrednio wpływa na zapisywanie zwrotne haseł. Zmiany haseł lub resetowanie haseł inicjowane w usłudze Microsoft Entra ID zapisu z powrotem do lokalna usługa Active Directory tylko wtedy, gdy użytkownik jest w zakresie synchronizacji skrótów haseł.

Ważne

Selektywna synchronizacja skrótów haseł jest obsługiwana w programie Microsoft Entra Connect 1.6.2.4 lub nowszym. Jeśli używasz wersji niższej niż ta, przeprowadź uaktualnienie do najnowszej wersji.

Atrybut adminDescription

Oba scenariusze polegają na ustawieniu atrybutu adminDescription użytkowników na określoną wartość. Dzięki temu reguły mogą być stosowane i co sprawia, że selektywne phS działają.

Scenariusz wartość adminDescription
Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy PHSFiltered
Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy PHSIncluded

Ten atrybut można ustawić jedną z następujących opcji:

  • korzystanie z interfejsu użytkownika Użytkownicy i komputery usługi Active Directory
  • przy użyciu Set-ADUser polecenia cmdlet programu PowerShell. Aby uzyskać więcej informacji, zobacz Set-ADUser.

Wyłącz harmonogram synchronizacji:

Przed rozpoczęciem dowolnego scenariusza należy wyłączyć harmonogram synchronizacji podczas wprowadzania zmian w regułach synchronizacji.

  1. Uruchom program Windows PowerShell i wprowadź polecenie .

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Upewnij się, że harmonogram jest wyłączony, uruchamiając następujące polecenie cmdlet:

    Get-ADSyncScheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z wcześniejszym opisem.

  • Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
  • Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane w celu skonfigurowania selektywnej synchronizacji skrótów haseł mają wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełnione w usłudze Active Directory z wartością PHSFiltered. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSFiltered te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł na Włączone i Typ reguły na Standardowa. Uruchamianie edytora reguł synchronizacji
  2. Wybierz regułę w usłudze AD — konto użytkownikaWłączanie dla łącznika lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację skrótów selektywnego hasła, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Wybierz regułę
  3. Pierwsza reguła wyłącza synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: w z AD — Konto użytkownika Włączone — Filtruj użytkowników z PHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Wybierz pozycję Dalej. Edytowanie ruchu przychodzącego
  4. W filtru określania zakresuwybierz Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość. Filtr określania zakresu
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi ustawieniami skopiowanymi, aby można było wybrać opcję Zapisz teraz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz regułę
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz domyślną regułę w usłudze AD — Konto użytkownika Włączane dla lasu katalogowego usługi Active Directory, na którym chcesz skonfigurować selektywną synchronizację hasła, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Reguła niestandardowa
  7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Wybierz pozycję Dalej.
    Edytuj nową regułę
  8. W znaczniku zakresuwybierz Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość. Reguła zakresu
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi ustawieniami skopiowanymi, aby można było wybrać opcję Zapisz teraz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Reguły dołączania
  10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typreguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone. Potwierdzanie reguł

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler -synccycleenabled:$true

  2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, których chcesz wykluczyćz synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSFiltered.

Edytuj atrybut

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

Poniżej przedstawiono podsumowanie akcji do wykonania:

  • Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
  • Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki przedstawione w celu skonfigurowania selektywnej synchronizacji skrótów haseł dotyczą tylko obiektów użytkowników, które mają atrybut adminDescription uzupełniony w Active Directory wartością PHSIncluded. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSIncluded te reguły nie są stosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł włączone i Typreguły w warstwie Standardowa. Typ reguły
  2. Wybierz regułę w usłudze AD — Konto użytkownika Włączone dla lasu Active Directory, na którym chcesz skonfigurować selektywną synchronizację hasła, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. W usłudze AD
  3. Pierwsza reguła wyłącza synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: w usłudze AD — Konto użytkownikaWłąd — filtruj użytkowników zPHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Wybierz pozycję Dalej. Ustaw pierwszeństwo
  4. W filtru określania zakresuwybierz pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość. Dodaj klauzulę
  5. Nie są wymagane żadne dalsze zmiany. Reguły scalania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami, aby można było teraz wybrać opcję Zapisz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Przekształcenie
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz regułę domyślną w usłudze AD — konto użytkownikaWłączane dla lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Konto użytkownikaWłąd
  7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Wybierz pozycję Dalej. Włączanie synchronizacji haseł
  8. W filtru określania zakresuwybierz pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość. PHSIncluded
  9. Nie są wymagane żadne dalsze zmiany. Reguły łączenia i przekształcenia powinny pozostać z domyślnymi, skopiowanymi ustawieniami, aby można było teraz wybrać opcję Zapisz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz teraz
  10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typreguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone. Synchronizacja przy

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler-synccycleenabled$true

  2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają zostać uwzględnieni na potrzeby synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSIncluded.

Edytuj atrybuty

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Następne kroki