Configuração de sincronização de hash de senha seletiva para o Microsoft Entra Connect
A sincronização de hash de senha é um dos métodos de entrada usados para atingir a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância de Active Directory local para uma instância do Microsoft Entra baseada em nuvem. Por padrão, após a instalação, a sincronização de hash de senha ocorrerá em todos os usuários que forem sincronizados.
Se desejar que um subconjunto de usuários seja excluído da sincronização de hash de senha para o Microsoft Entra ID, você poderá configurar a sincronização de hash de senha seletiva usando as etapas guiadas fornecidas nesse artigo.
Importante
A Microsoft não oferece suporte à modificação ou à operação da sincronização do Microsoft Entra Connect fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte da sincronização do Microsoft Entra Connect. Como resultado, a Microsoft não pode garantir que poderá oferecer um suporte técnico eficiente para essas implantações.
Considere sua implementação
Para reduzir o esforço administrativo de configuração, primeiro deve se considerado o número de objetos de usuário que se deseja excluir da sincronização de hash de senha. Verifique quais dos cenários abaixo, que são mutuamente exclusivos, se alinha com seus requisitos para selecionar a opção de configuração correta para sua necessidade.
- Se o número de usuários a serem excluídos for menor do que o número de usuários a serem incluídos, siga as etapas desta seção.
- Se o número de usuários a serem excluídos for maior do que o número de usuários a serem incluídos, siga as etapas desta seção.
Importante
Com qualquer opção de configuração escolhida, uma sincronização inicial obrigatória (sincronização completa) será executada automaticamente no próximo ciclo de sincronização para aplicar as alterações.
Importante
Configurar a sincronização de hash de senha seletiva influencia diretamente o write-back de senha. As alterações ou redefinições de senha iniciadas no Microsoft Entra ID terão o write-back para o Active Directory local somente se o usuário estiver no escopo para a sincronização de hash de senha.
Importante
Há suporte para a sincronização de hash de senha seletiva no Microsoft Entra Connect 1.6.2.4 ou posterior. Se você estiver usando uma versão anterior a essa, atualize para a versão mais recente.
O atributo adminDescription
Os dois cenários dependem da definição do atributo adminDescription de usuários para um valor específico. Isso permite que as regras sejam aplicadas e é o que faz o PHS seletivo funcionar.
Cenário | Valor do adminDescription |
---|---|
Usuários excluídos são menos do que os usuários incluídos | PHSFiltered |
Usuários excluídos são mais do que os usuários incluídos | PHSIncluded |
Este atributo pode ser definido:
- usando a interface do usuário Usuários e Computadores do Active Directory
- ou usando o cmdlet
Set-ADUser
do PowerShell. Para obter mais informações, consulte Set-ADUser.
Desabilitar o Agendador de sincronização:
Antes de iniciar qualquer cenário, o Agendador de sincronização deve ser desabilitado enquanto são feitas alterações nas regras de sincronização.
Iniciar o Windows PowerShell e inserir.
Set-ADSyncScheduler -SyncCycleEnabled $false
Confirmar se o Agendador está desabilitado executando o cmdlet a seguir:
Get-ADSyncScheduler
Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.
Usuários excluídos são menos do que os usuários incluídos
A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é menor do que o número de usuários a serem incluídos.
Importante
Antes de continuar, verifique se o Agendador de sincronização está desabilitado conforme descrito acima.
- Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
- Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
- Reabilitar o Agendador de sincronização
- Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.
Importante
As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetarão somente os objetos de usuário que têm o atributo adminDescription populado no Active Directory com o valor de PHSFiltered. Se esse atributo não for preenchido ou o valor for algo diferente de PHSFiltered, essas regras não serão aplicadas aos objetos de usuário.
Configurar as regras de sincronização necessárias:
- Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão.
- Selecione a regra In do AD – usuário AccountEnabled para o Conector de floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização de hash ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original.
- A primeira regra desabilitará a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Clique em Próximo.
- Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSFiltered como o valor.
- Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector.
- Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original.
- Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS.
Altere o valor de precedência para um número inferior ao da regra criada anteriormente (neste exemplo será 89).
Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada.
Clique em Próximo.
- Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSFiltered como o valor.
- Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector.
- Confirmar a criação das regras. Remova os filtros Sincronização de senha Ativado e Tipo de regra Padrão. E deverá ver as novas regras que acabou de criar.
Reabilitar o Agendador de sincronização:
Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:
No Windows PowerShell, execute:
set-adsyncscheduler -synccycleenabled:$true
Em seguida, confirme se ele foi habilitado com êxito executando:
get-adsyncscheduler
Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.
Edite o atributo de usuários adminDescription:
Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja excluir da sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSFiltered.
Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Usuários excluídos são mais do que os usuários incluídos
A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é maior do que o número de usuários a serem incluídos.
Importante
Antes de continuar, verifique se o Agendador de sincronização está desabilitado conforme descrito acima.
Veja a seguir um resumo das ações que serão executadas nas etapas abaixo:
- Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
- Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
- Reabilitar o Agendador de sincronização
- Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.
Importante
As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetarão somente os objetos de usuário que têm o atributo adminDescription populado no Active Directory com o valor de PHSIncluded. Se esse atributo não for preenchido ou o valor for algo diferente de PHSIncluded, essas regras não serão aplicadas aos objetos de usuário.
Configurar as regras de sincronização necessárias:
- Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão.
- Selecione a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original.
- A primeira regra desabilitará a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Clique em Próximo.
- Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSIncluded como o valor.
- Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector.
- Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original.
- Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS. Altere o valor de precedência para um número inferior ao da regra criada anteriormente (neste exemplo será 89). Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Clique em Próximo.
- Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSIncluded como o valor.
- Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector.
- Confirmar a criação das regras. Remova os filtros Sincronização de senha Ativado e Tipo de regra Padrão. E deverá ver as novas regras que acabou de criar.
Reabilitar o Agendador de sincronização:
Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:
No Windows PowerShell, execute:
set-adsyncscheduler-synccycleenabled$true
Em seguida, confirme se ele foi habilitado com êxito executando:
get-adsyncscheduler
Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.
Edite o atributo de usuários adminDescription:
Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja incluir na sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSIncluded.
Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}