Compartilhar via

Configuração de sincronização de hash de senha seletiva para o Microsoft Entra Connect

  • Artigo

A sincronização de hash de senha é um dos métodos de entrada usados para atingir a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância de Active Directory local para uma instância do Microsoft Entra baseada em nuvem. Por padrão, depois de configurada, a sincronização de hash de senha ocorre para todos os usuários que você está sincronizando.

Se você quiser excluir um subconjunto de usuários de sincronizar seu hash de senha com a ID do Microsoft Entra, poderá configurar a sincronização de hash de senha seletiva usando as etapas guiadas neste artigo.

Importante

A Microsoft não oferece suporte à modificação ou à operação da sincronização do Microsoft Entra Connect fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode garantir a capacidade de fornecer suporte técnico eficiente para essas implantações.

Considere sua implementação

Para reduzir o esforço administrativo de configuração, primeiro deve se considerado o número de objetos de usuário que se deseja excluir da sincronização de hash de senha. Verifique se os cenários a seguir, que são mutuamente exclusivos, se alinham aos seus requisitos para selecionar a opção de configuração correta para você.

  • Se o número de usuários a serem excluídos for menor do que o número de usuários a serem incluídos, siga as etapas desta seção.
  • Se o número de usuários a serem excluídos for maior do que o número de usuários a serem incluídos, siga as etapas desta seção.

Importante

Com qualquer opção de configuração escolhida, uma sincronização inicial necessária (Sincronização Completa) para aplicar as alterações é executada automaticamente no próximo ciclo de sincronização.

Importante

Configurar a sincronização de hash de senha seletiva influencia diretamente o write-back de senha. As alterações ou redefinições de senha iniciadas no Microsoft Entra ID terão o write-back para o Active Directory local somente se o usuário estiver no escopo para a sincronização de hash de senha.

Importante

Há suporte para a sincronização de hash de senha seletiva no Microsoft Entra Connect 1.6.2.4 ou posterior. Se você estiver usando uma versão inferior a essa, atualize para a versão mais recente.

O atributo adminDescription

Os dois cenários dependem da definição do atributo adminDescription de usuários para um valor específico. Isso permite que as regras sejam aplicadas e é o que faz o PHS seletivo funcionar.

Cenário Valor do adminDescription
Usuários excluídos são menos do que os usuários incluídos PHSFiltered
Usuários excluídos são mais do que os usuários incluídos PHSIncluded

Este atributo pode ser definido:

  • usando a interface do usuário Usuários e Computadores do Active Directory
  • ou usando o cmdlet Set-ADUser do PowerShell. Para obter mais informações, confira Set-ADUser.

Desabilitar o Agendador de sincronização:

Antes de iniciar qualquer cenário, o Agendador de sincronização deve ser desabilitado enquanto são feitas alterações nas regras de sincronização.

  1. Iniciar o Windows PowerShell e inserir.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Confirmar se o Agendador está desabilitado executando o cmdlet a seguir:

    Get-ADSyncScheduler

Para obter mais informações sobre o agendador, consulte Microsoft Entra Connect Sync scheduler.

Usuários excluídos são menos do que os usuários incluídos

A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é menor do que o número de usuários a serem incluídos.

Importante

Antes de continuar, verifique se o agendador de sincronização está desabilitado, conforme descrito anteriormente.

  • Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
  • Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
  • Reabilitar o Agendador de sincronização
  • Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.

Importante

As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetam apenas objetos de usuário que têm o atributo adminDescription preenchidos no Active Directory com o valor de PHSFiltered. Se esse atributo não for preenchido ou o valor for algo diferente de PHSFiltered, essas regras não serão aplicadas aos objetos de usuário.

Configurar as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão. Iniciar o editor de regras de sincronização
  2. Selecione a regra Entrada do AD – usuário AccountEnabled para o Conector de floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização de hash ativada e selecione Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Selecionar regra
  3. A primeira regra desabilita a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: Entrada do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Selecione Avançar. Editar entrada
  4. Em Filtro de escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSFiltered como o valor. Filtro de escopo
  5. Nenhuma alteração adicional será necessária. Regras de junção e Transformações devem ser deixadas com as configurações padrão copiadas para que você possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Salvar regra
  6. Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra Entrada do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e selecione Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Regra personalizada
  7. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS. Altere o valor de precedência para um número menor do que a regra criada anteriormente (neste exemplo, isso será 89). Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Selecione Avançar.
    Editar nova regra
  8. Em Filtro de escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSFiltered como o valor. Regra de escopo
  9. Nenhuma alteração adicional será necessária. Regras de junção e Transformações devem ser deixadas com as configurações padrão copiadas para que você possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Regras de associação
  10. Confirmar a criação das regras. Remova os filtros Sincronização de senhaAtivado e Tipo de regraPadrão. E deverá ver as novas regras que acabou de criar. Confirmar regras

Reabilitar o Agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler -synccycleenabled:$true

  2. Em seguida, confirme se ele foi habilitado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, confira Agendador de sincronização do Microsoft Entra Connect.

Edite o atributo de usuários adminDescription:

Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja excluir da sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSFiltered.

Editar atributo

Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Usuários excluídos são mais do que os usuários incluídos

A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é maior do que o número de usuários a serem incluídos.

Importante

Antes de continuar, verifique se o Agendador de sincronização está desabilitado conforme descrito acima.

Veja a seguir um resumo das ações a serem executadas:

  • Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
  • Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
  • Reabilitar o Agendador de sincronização
  • Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.

Importante

As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetam apenas objetos de usuário que têm o atributo adminDescription preenchido no Active Directory com o valor de PHSIncluded. Se esse atributo não for preenchido ou o valor for algo diferente de PHSIncluded, essas regras não serão aplicadas aos objetos de usuário.

Configurar as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão. Tipo de regra
  2. Selecione a regra Entrada do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e selecione Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Entrada do AD
  3. A primeira regra desabilita a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: Entrada do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Selecione Avançar. Definir precedência
  4. Em Filtro de escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSIncluded como o valor. Adicionar cláusula
  5. Nenhuma alteração adicional será necessária. Regras de junção e Transformações devem ser deixadas com as configurações padrão copiadas para que você possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Transformação
  6. Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra Entrada do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e selecione Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. AccountEnabled do usuário
  7. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS. Altere o valor de precedência para um número menor do que a regra criada anteriormente (neste exemplo, será 89). Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Selecione Avançar. Habilitar a sincronização de senha
  8. Em Filtro de Escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSIncluded como o valor. PHSIncluded
  9. Nenhuma alteração adicional será necessária. Regras de junção e Transformações devem ser deixadas com as configurações padrão copiadas para que você possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Salvar agora
  10. Confirmar a criação das regras. Remova os filtros Sincronização de senhaAtivado e Tipo de regraPadrão. E deverá ver as novas regras que acabou de criar. Sincronização ativada

Reabilitar o Agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler-synccycleenabled$true

  2. Em seguida, confirme se ele foi habilitado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, confira Agendador de sincronização do Microsoft Entra Connect.

Edite o atributo de usuários adminDescription:

Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja incluir na sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSIncluded.

Editar Atributos

Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Próximas etapas