Compartilhar via


Configuração de sincronização de hash de senha seletiva para o Microsoft Entra Connect

A sincronização de hash de senha é um dos métodos de entrada usados para atingir a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância de Active Directory local para uma instância do Microsoft Entra baseada em nuvem. Por padrão, após a instalação, a sincronização de hash de senha ocorrerá em todos os usuários que forem sincronizados.

Se desejar que um subconjunto de usuários seja excluído da sincronização de hash de senha para o Microsoft Entra ID, você poderá configurar a sincronização de hash de senha seletiva usando as etapas guiadas fornecidas nesse artigo.

Importante

A Microsoft não oferece suporte à modificação ou à operação da sincronização do Microsoft Entra Connect fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte da sincronização do Microsoft Entra Connect. Como resultado, a Microsoft não pode garantir que poderá oferecer um suporte técnico eficiente para essas implantações.

Considere sua implementação

Para reduzir o esforço administrativo de configuração, primeiro deve se considerado o número de objetos de usuário que se deseja excluir da sincronização de hash de senha. Verifique quais dos cenários abaixo, que são mutuamente exclusivos, se alinha com seus requisitos para selecionar a opção de configuração correta para sua necessidade.

  • Se o número de usuários a serem excluídos for menor do que o número de usuários a serem incluídos, siga as etapas desta seção.
  • Se o número de usuários a serem excluídos for maior do que o número de usuários a serem incluídos, siga as etapas desta seção.

Importante

Com qualquer opção de configuração escolhida, uma sincronização inicial obrigatória (sincronização completa) será executada automaticamente no próximo ciclo de sincronização para aplicar as alterações.

Importante

Configurar a sincronização de hash de senha seletiva influencia diretamente o write-back de senha. As alterações ou redefinições de senha iniciadas no Microsoft Entra ID terão o write-back para o Active Directory local somente se o usuário estiver no escopo para a sincronização de hash de senha.

Importante

Há suporte para a sincronização de hash de senha seletiva no Microsoft Entra Connect 1.6.2.4 ou posterior. Se você estiver usando uma versão anterior a essa, atualize para a versão mais recente.

O atributo adminDescription

Os dois cenários dependem da definição do atributo adminDescription de usuários para um valor específico. Isso permite que as regras sejam aplicadas e é o que faz o PHS seletivo funcionar.

Cenário Valor do adminDescription
Usuários excluídos são menos do que os usuários incluídos PHSFiltered
Usuários excluídos são mais do que os usuários incluídos PHSIncluded

Este atributo pode ser definido:

  • usando a interface do usuário Usuários e Computadores do Active Directory
  • ou usando o cmdlet Set-ADUser do PowerShell. Para obter mais informações, consulte Set-ADUser.

Desabilitar o Agendador de sincronização:

Antes de iniciar qualquer cenário, o Agendador de sincronização deve ser desabilitado enquanto são feitas alterações nas regras de sincronização.

  1. Iniciar o Windows PowerShell e inserir.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Confirmar se o Agendador está desabilitado executando o cmdlet a seguir:

    Get-ADSyncScheduler

Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.

Usuários excluídos são menos do que os usuários incluídos

A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é menor do que o número de usuários a serem incluídos.

Importante

Antes de continuar, verifique se o Agendador de sincronização está desabilitado conforme descrito acima.

  • Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
  • Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
  • Reabilitar o Agendador de sincronização
  • Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.

Importante

As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetarão somente os objetos de usuário que têm o atributo adminDescription populado no Active Directory com o valor de PHSFiltered. Se esse atributo não for preenchido ou o valor for algo diferente de PHSFiltered, essas regras não serão aplicadas aos objetos de usuário.

Configurar as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão. Iniciar o editor de regras de sincronização
  2. Selecione a regra In do AD – usuário AccountEnabled para o Conector de floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização de hash ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Selecionar regra
  3. A primeira regra desabilitará a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Clique em Próximo. Editar entrada
  4. Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSFiltered como o valor. Filtro de escopo
  5. Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Salvar regra
  6. Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Regra personalizada
  7. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS. Altere o valor de precedência para um número inferior ao da regra criada anteriormente (neste exemplo será 89). Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Clique em Próximo.
    Editar nova regra
  8. Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSFiltered como o valor. Regra de escopo
  9. Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Regras de associação
  10. Confirmar a criação das regras. Remova os filtros Sincronização de senha Ativado e Tipo de regra Padrão. E deverá ver as novas regras que acabou de criar. Confirmar regras

Reabilitar o Agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler -synccycleenabled:$true

  2. Em seguida, confirme se ele foi habilitado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.

Edite o atributo de usuários adminDescription:

Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja excluir da sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSFiltered.

Editar atributo

Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Usuários excluídos são mais do que os usuários incluídos

A seção a seguir descreve como habilitar a sincronização de hash de senha seletiva quando o número de usuários a serem excluídos é maior do que o número de usuários a serem incluídos.

Importante

Antes de continuar, verifique se o Agendador de sincronização está desabilitado conforme descrito acima.

Veja a seguir um resumo das ações que serão executadas nas etapas abaixo:

  • Crie uma cópia editável de In do AD – usuário AccountEnabled com a opção de habilitar a sincronização de hash de senha desmarcada e defina seu filtro de escopo
  • Crie outra cópia editável de In do AD – usuário AccountEnabled padrão com a opção de habilitar a sincronização de hash de senha marcada e defina seu filtro de escopo
  • Reabilitar o Agendador de sincronização
  • Defina o valor do atributo, no Active Directory, que foi definido como atributo de escopo nos usuários que se deseja permitir na sincronização de hash de senha.

Importante

As etapas fornecidas para configurar a sincronização de hash de senha seletiva afetarão somente os objetos de usuário que têm o atributo adminDescription populado no Active Directory com o valor de PHSIncluded. Se esse atributo não for preenchido ou o valor for algo diferente de PHSIncluded, essas regras não serão aplicadas aos objetos de usuário.

Configurar as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de senha como Ativado e Tipo de regra como Padrão. Tipo de regra
  2. Selecione a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. Entrada do AD
  3. A primeira regra desabilitará a sincronização de hash de senha. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Filtrar usuários de PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Habilitar Sincronização de senha e Desabilitado estão desmarcadas. Clique em Próximo. Definir precedência
  4. Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, NOT EQUAL na coluna operador e digite PHSIncluded como o valor. Adicionar cláusula
  5. Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Transformação
  6. Em seguida, crie outra regra personalizada com a sincronização de hash de senha habilitada. Selecione novamente a regra In do AD – usuário AccountEnabled padrão para a floresta do Active Directory para o qual deseja configurar a senha seletiva que tinha sincronização ativada e clique em Editar. Selecione Sim na caixa de diálogo avançar para criar uma cópia editável da regra original. AccountEnabled do usuário
  7. Forneça o seguinte nome para a nova regra personalizada: In do AD – Usuário AccountEnabled – Usuários inclusos para PHS. Altere o valor de precedência para um número inferior ao da regra criada anteriormente (neste exemplo será 89). Verifique se a caixa de seleção Habilitar Sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Clique em Próximo. Habilitar a sincronização de senha
  8. Em Filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna atributo, EQUAL na coluna operador e digite PHSIncluded como o valor. PHSIncluded
  9. Nenhuma alteração adicional será necessária. As regras de associação e as transformações devem ser deixadas com as configurações padrão copiadas para que seja possível clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Salvar agora
  10. Confirmar a criação das regras. Remova os filtros Sincronização de senha Ativado e Tipo de regra Padrão. E deverá ver as novas regras que acabou de criar. Sincronização ativada

Reabilitar o Agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, habilite novamente o Agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler-synccycleenabled$true

  2. Em seguida, confirme se ele foi habilitado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte Agendador de sincronização do Microsoft Entra.

Edite o atributo de usuários adminDescription:

Depois que todas as configurações forem concluídas, será necessário editar o atributo adminDescription para todos os usuários que deseja incluir na sincronização de hash de senha no Active Directory e adicionar a cadeia de caracteres usada no filtro de escopo: PHSIncluded.

Editar Atributos

Também é possível usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Próximas etapas