Partilhar via

Configuração seletiva de sincronização de hash de senha para o Microsoft Entra Connect

  • Artigo

A Sincronização do hash de palavras-passe é um dos métodos de início de sessão utilizados para obter a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância do Ative Directory local para uma instância do Microsoft Entra baseada em nuvem. Por padrão, uma vez configurada, a sincronização do hash da senha ocorre para todos os utilizadores que está a sincronizar.

Se você quiser excluir um subconjunto de usuários da sincronização de seu hash de senha para o Microsoft Entra ID, você pode configurar a sincronização seletiva de hash de senha usando as etapas guiadas neste artigo.

Importante

A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect Sync fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode garantir a capacidade de fornecer suporte técnico eficiente para essas implantações.

Considere a sua implementação

Para reduzir o esforço administrativo da configuração, deve primeiro considerar o número de objetos de utilizador que quer excluir da sincronização do hash de palavras-passe. Verifique se os cenários a seguir, que são mutuamente exclusivos, estão alinhados com seus requisitos para selecionar a opção de configuração certa para você.

  • Se o número de usuários a serem excluídos for menor do que o número de usuários a serem incluídos, siga as etapas nesta seção.
  • Se o número de usuários a serem excluídos for maior do que o número de usuários a serem incluídos, siga as etapas nesta seção.

Importante

Com qualquer uma das opções de configuração escolhidas, uma sincronização inicial necessária (Full Sync) para aplicar as alterações é executada automaticamente ao longo do próximo ciclo de sincronização.

Importante

Configurar a sincronização seletiva do hash de palavras-passe influencia diretamente a repetição de escrita de palavras-passe. As alterações de senha ou redefinições de senha iniciadas no Microsoft Entra ID gravam novamente no Ative Directory local somente se o usuário estiver no escopo para sincronização de hash de senha.

Importante

A sincronização seletiva de hash de senha é suportada no Microsoft Entra Connect 1.6.2.4 ou posterior. Se você estiver usando uma versão inferior a essa, atualize para a versão mais recente.

O atributo adminDescription

Ambos os cenários dependem da definição do atributo adminDescription dos usuários para um valor específico. Isso permite que as regras sejam aplicadas e é o que faz com que o PHS seletivo funcione.

Cenário valor adminDescription
Os usuários excluídos são menores do que os usuários incluídos PHSFiltered
Os usuários excluídos são maiores do que os usuários incluídos PHSIncluded

Este atributo pode ser definido:

  • usando a interface do usuário Usuários e Computadores do Ative Directory
  • usando o Set-ADUser cmdlet do PowerShell. Para obter mais informações, consulte Set-ADUser.

Desative o agendador de sincronização:

Antes de iniciar qualquer cenário, você deve desabilitar o agendador de sincronização ao fazer alterações nas regras de sincronização.

  1. Inicie o Windows PowerShell e digite.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Confirme se o agendador está desabilitado executando o seguinte cmdlet:

    Get-ADSyncScheduler

Para mais informações sobre o agendador do Microsoft Entra Connect Sync, consulte .

Os usuários excluídos são menores do que os usuários incluídos

A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é menor do que o número de utilizadores a incluir.

Importante

Antes de continuar, verifique se o agendador de sincronização está desativado conforme descrito anteriormente.

  • Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
  • Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
  • Reativar o agendador de sincronização
  • Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.

Importante

As etapas fornecidas para configurar a sincronização seletiva de hash de senha afetam apenas os objetos de usuário que têm o atributo adminDescription preenchido no Ative Directory com o valor de PHSFiltered. Se esse atributo não for preenchido ou se o valor for algo diferente de PHSFiltered essas regras não serão aplicadas aos objetos do usuário.

Configure as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de Senha como Ativado e Tipo de Regra como Padrão. Iniciar o editor de regras de sincronização
  2. Selecione a regra In do AD – User AccountEnabled para o Conector de floresta do Ative Directory que você deseja configurar a senha seletiva com sincronização de hash ativada e selecione Editar. Selecione Sim na próxima caixa de diálogo para criar uma cópia editável da regra original. Selecionar regra
  3. A primeira regra desativa a sincronização do hash da password. Forneça o seguinte nome para a nova regra personalizada: In do AD - User AccountEnabled - Filter Users from PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o que for o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Ativar sincronização de senha e Desativado estão desmarcadas. Selecione Avançar. Editar entrada
  4. Em Filtro de escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna de atributo, EQUAL na coluna Operador e insira PHSFiltered como o valor. Filtro de escopo
  5. Não são necessárias mais alterações. Regras de associação e Transformações devem ser deixadas com as configurações padrões copiadas para que possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando uma sincronização completa a ser executada no próximo ciclo de sincronização do conector. Salvar regra
  6. Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Volte a selecionar a regra padrão In do AD – User AccountEnabled para a floresta do Active Directory que você deseja configurar para a sincronização seletiva de senhas e selecione Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. Regra personalizada
  7. Forneça o seguinte nome para a nova regra personalizada: In from AD - User AccountEnabled - Users included for PHS. Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89). Verifique se a caixa de seleção Ativar sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Selecione Avançar.
    Editar nova regra
  8. Em filtro de escopo, selecione Adicionar cláusula. Selecione adminDescription na coluna de atributo, NOTAQUAL na coluna Operador e digite PHSFiltered como o valor. Regra de âmbito de aplicação
  9. Não são necessárias mais alterações. Regras de associação e Transformações devem ser mantidas com as configurações padrão copiadas para que possas selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando uma sincronização completa a ser executada no próximo ciclo de sincronização do conector. Regras de adesão
  10. Confirme a criação das regras. Remova os filtros Password Sync On e Rule TypeStandard. E você deve ver as duas novas regras que acabou de criar. Confirmar regras

Reative o agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, reative o agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler -synccycleenabled:$true

  2. Em seguida, confirme se foi ativado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte Microsoft Entra Connect Sync scheduler.

Editar atributos adminDescription de usuários:

Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer excluir da sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSFiltered.

Editar atributo

Você também pode usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Os usuários excluídos são maiores do que os usuários incluídos

A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é superior ao número de utilizadores a incluir.

Importante

Antes de prosseguir, verifique se o agendador de sincronização está desativado, conforme descrito acima.

Segue-se um resumo das medidas a tomar:

  • Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
  • Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
  • Reativar o agendador de sincronização
  • Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.

Importante

As etapas fornecidas para configurar a sincronização seletiva de hash de senha afetam apenas os objetos de usuário que têm o atributo adminDescription preenchido no Active Directory com o valor de PHSIncluded. Se esse atributo não for preenchido ou se o valor for algo diferente de PHSIncluded essas regras não serão aplicadas aos objetos do usuário.

Configure as regras de sincronização necessárias:

  1. Inicie o Editor de regras de sincronização e defina os filtros Password SyncOn e Rule TypeStandard. Tipo de regra
  2. Selecione a regra In do AD – User AccountEnabled para a floresta do Ative Directory na qual você deseja configurar a senha seletiva com sincronização e selecione Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. Em de AD
  3. A primeira regra desativa a sincronização de resumo de senha. Forneça o seguinte nome para a nova regra personalizada: In de AD - Conta de Utilizador Ativada - Filtrar Utilizadores do PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o que for o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Ativar sincronização de senha e Desativado estão desmarcadas. Selecione Avançar. Definir precedência
  4. Em Scoping filter, selecione Adicionar cláusula. Selecione adminDescription na coluna de atributo, NOTAQUAL na coluna Operador e insira PHSIncluded como o valor. Adicionar cláusula
  5. Não são necessárias mais alterações. Regras de ingresso e Transformações devem ser deixadas com as configurações copiadas padrão para que você possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando uma sincronização completa a ser executada no próximo ciclo de sincronização do conector. Transformação
  6. Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Selecione novamente a regra padrão no AD – Conta de Utilizador Ativada para a floresta do Active Directory na qual deseja configurar a sincronização seletiva de senhas e selecione Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. Conta de UsuárioHabilitado
  7. Forneça o seguinte nome para a nova regra personalizada: In from AD - User AccountEnabled - Users included for PHS. Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89). Verifique se a caixa de seleção Ativar sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Selecione Avançar. Ativar sincronização de senha
  8. Em Filtro de Escopo, selecione Adicionar Cláusula. Selecione adminDescription na coluna de atributo, EQUAL na coluna Operador e insira PHSIncluded como o valor. PHSIncluded
  9. Não são necessárias mais alterações. Regras de associação e Transformações devem ser deixadas com as configurações copiadas padrão para que possa selecionar Salvar agora. Selecione OK na caixa de diálogo de aviso informando uma sincronização completa a ser executada no próximo ciclo de sincronização do conector. Poupe agora
  10. Confirme a criação das regras. Remova os filtros Password Sync On e Rule TypeStandard. E você deve ver as duas novas regras que acabou de criar. Sincronizar em

Reative o agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, reative o agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler-synccycleenabled$true

  2. Em seguida, confirme se foi ativado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte programador de tarefas do Microsoft Entra Connect Sync.

Editar atributos adminDescription de usuários:

Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer incluir na sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSIncluded.

Editar atributos

Você também pode usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Passos Seguintes