Udostępnij za pośrednictwem

Wybiórcza konfiguracja synchronizacji skrótów haseł dla Microsoft Entra Connect

  • Artykuł

Synchronizacja skrótów haseł jest jedną z metod logowania używanych do realizacji tożsamości hybrydowej. Program Microsoft Entra Connect synchronizuje skrót skrótu hasła użytkownika z lokalnej usługi Active Directory do wystąpienia Microsoft Entra w chmurze. Domyślnie, po jej skonfigurowaniu, synchronizacja skrótów haseł odbywa się dla wszystkich użytkowników, których synchronizujesz.

Jeśli chcesz wykluczyć podzbiór użytkowników z synchronizowania skrótu haseł z identyfikatorem Entra firmy Microsoft, możesz skonfigurować selektywną synchronizację skrótów haseł, wykonując kroki z przewodnikiem w tym artykule.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Connect Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan programu Microsoft Entra Connect Sync. W związku z tym firma Microsoft nie może zagwarantować możliwości zapewnienia wydajnej pomocy technicznej dla takich wdrożeń.

Rozważ wdrożenie

Aby zmniejszyć nakład pracy administracyjnej konfiguracji, należy najpierw rozważyć liczbę obiektów użytkownika, które chcesz wykluczyć z synchronizacji skrótów haseł. Sprawdź następujące scenariusze, które wzajemnie się wykluczają, i upewnij się, że odpowiadają Twoim wymaganiom, aby wybrać odpowiednią opcję konfiguracji.

  • Jeśli liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.
  • Jeśli liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.

Ważne

Po wybraniu jednej z opcji konfiguracji wymagana synchronizacja początkowa (pełna synchronizacja) w celu zastosowania zmian jest wykonywana automatycznie w następnym cyklu synchronizacji.

Ważne

Konfigurowanie selektywnej synchronizacji skrótów haseł bezpośrednio wpływa na zapisywanie zwrotne haseł. Zmiany haseł lub resetowanie haseł inicjowane w usłudze Microsoft Entra ID zapisują się z powrotem do lokalnej usługi Active Directory tylko wtedy, gdy użytkownik jest objęty zakresem synchronizacji skrótów hasła.

Ważne

Selektywna synchronizacja skrótów haseł jest obsługiwana w programie Microsoft Entra Connect 1.6.2.4 lub nowszym. Jeśli używasz wersji niższej niż ta, przeprowadź uaktualnienie do najnowszej wersji.

Atrybut adminDescription

Oba scenariusze polegają na ustawieniu atrybutu adminDescription użytkowników na określoną wartość. Dzięki temu reguły mogą być stosowane, co sprawia, że selektywne PHS działa.

Scenariusz wartość pola adminDescription
Liczba wykluczonych użytkowników jest mniejsza niż liczba uwzględnionych użytkowników. PHSFiltered
Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy PHSIncluded

Ten atrybut można ustawić jedną z następujących opcji:

  • korzystanie z interfejsu użytkownika Użytkownicy i Komputery Active Directory
  • przy użyciu Set-ADUser polecenia cmdlet programu PowerShell. Aby uzyskać więcej informacji, zobacz Set-ADUser.

Wyłącz harmonogram synchronizacji:

Przed rozpoczęciem dowolnego scenariusza należy wyłączyć harmonogram synchronizacji podczas wprowadzania zmian w regułach synchronizacji.

  1. Uruchom program Windows PowerShell i naciśnij Enter.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Upewnij się, że harmonogram jest wyłączony, uruchamiając następujące polecenie cmdlet:

    Get-ADSyncScheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Wykluczeni użytkownicy są mniejsi niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z wcześniejszym opisem.

  • Utwórz edytowalną kopię elementu Włączone konto użytkownika — z usługi AD z opcją niezaznaczenia włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu.
  • Utwórz dodatkową edytowalną kopię domyślnej opcji Z AD — Włączone konto użytkownika z wybraną opcją włączenia synchronizacji skrótów haseł i zdefiniuj filtr zakresu.
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane w celu skonfigurowania selektywnej synchronizacji skrótów haseł mają wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełnione w usłudze Active Directory z wartością PHSFiltered. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSFiltered te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł na Włączone i Typ reguły na Standardowa. Uruchamianie edytora reguł synchronizacji
  2. Wybierz regułę w usłudze AD — konto użytkownika - włączone dla łącznika lasu Active Directory, na którym chcesz skonfigurować selektywną synchronizację skrótu hasła, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Wybierz regułę
  3. Pierwsza reguła wyłącza synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: w z AD — Konto użytkownika Włączone — Filtruj użytkowników z PHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Wybierz pozycję Dalej. Edytowanie ruchu przychodzącego
  4. W filtru określania zakresuwybierz Dodaj klauzulę. Wybierz adminDescription w kolumnie atrybutu, EQUAL w kolumnie Operator i wprowadź PHSFiltered jako wartość. Filtr określania zakresu
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi ustawieniami skopiowanymi, aby można było wybrać opcję Zapisz teraz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz regułę
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz domyślną regułę In from AD – Konto użytkownika włączone dla lasu Active Directory, który chcesz skonfigurować na selektywną synchronizację haseł, a następnie wybierz Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Reguła niestandardowa
  7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD - Konto użytkownika włączone - Użytkownicy uwzględnieni dla PHS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Wybierz pozycję Dalej.
    Edytuj nową regułę
  8. W filtru określania zakresuwybierz Dodaj klauzulę. Wybierz adminDescription w kolumnie atrybutu, NOTEQUAL w kolumnie Operator i wprowadź PHSFiltered jako wartość. Reguła zakresu
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i Przekształcenia powinny pozostać z domyślnie skopiowanymi ustawieniami, aby można było teraz wybrać Zapisz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Zasady dołączania
  10. Potwierdź utworzenie reguł. Usuń filtry Synchronizacja hasełWłączone i Typ regułyStandardowa. Powinieneś zobaczyć obie nowe reguły, które właśnie utworzyłeś. Potwierdzanie reguł

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler -synccycleenabled:$true

  2. Następnie upewnij się, że zostało pomyślnie włączone, uruchamiając komendę:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, których chcesz wykluczyćz synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSFiltered.

Edytuj atrybut

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

Poniżej przedstawiono podsumowanie akcji do wykonania:

  • Utwórz edytowalną kopię elementu In from AD – Konto użytkownika włączone z opcją włączenia synchronizacji skrótów haseł odznaczoną i zdefiniuj jego filtr zakresu.
  • Utwórz kolejną edytowalną kopię domyślnej In from AD – Konto użytkownika Włączone z wybraną opcją włączenia synchronizacji skrótów haseł i zdefiniuj jego filtr określania zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki przedstawione w celu skonfigurowania selektywnej synchronizacji skrótów haseł dotyczą tylko obiektów użytkowników, które mają atrybut adminDescription uzupełniony w Active Directory wartością PHSIncluded. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSIncluded te reguły nie są stosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja hasełWłączone oraz Typ regułyStandard. Typ reguły
  2. Wybierz regułę w usłudze AD — Konto użytkownika Włączone dla lasu katalogowego Active Directory, na którym chcesz skonfigurować selektywną synchronizację haseł, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. W usłudze AD
  3. Pierwsza reguła wyłącza synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: Z AD - Konto użytkownika włączone - filtruj użytkowników z PHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Wybierz pozycję Dalej. Ustaw pierwszeństwo
  4. W filtru określania zakresuwybierz Dodaj klauzulę. Wybierz adminDescription w kolumnie atrybutu, NOTEQUAL w kolumnie Operator, i wprowadź PHSIncluded jako wartość. Dodaj klauzulę
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i Przekształcenia powinny pozostać ze skopiowanymi domyślnymi ustawieniami, aby można było teraz wybrać Zapisz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Przekształcenie
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz domyślną regułę In z AD – Włączone konto użytkownika dla lasu usługi Active Directory, na którym chcesz skonfigurować selektywną synchronizację haseł, a następnie wybierz pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Konto użytkownika Włączone
  7. Podaj następującą nazwę nowej reguły niestandardowej: Z AD - Konto użytkownika włączone - Użytkownicy uwzględnieni dla PHS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Wybierz pozycję Dalej. Włączanie synchronizacji haseł
  8. W filtru określania zakresuwybierz Dodaj klauzulę. Wybierz adminDescription w kolumnie atrybutów, EQUAL w kolumnie Operator i wprowadź PHSIncluded jako wartość. PHSIncluded
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i Przekształcenia powinny pozostać z domyślnymi ustawieniami skopiowanymi, aby można było teraz wybrać Zapisz. Wybierz pozycję OK w oknie dialogowym ostrzeżenia z informacją o pełnej synchronizacji, która ma zostać uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz teraz
  10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja hasełWłączone i Typ regułyStandardowy. Powinieneś zobaczyć nowe reguły, które właśnie utworzyłeś. Włącz synchronizację

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler-synccycleenabled$true

  2. Następnie upewnij się, że została włączona poprawnie, uruchamiając polecenie:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Microsoft Entra Connect Sync scheduler.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają zostać uwzględnieni na potrzeby synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSIncluded.

Edytuj atrybuty

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Następne kroki