Выборочная конфигурация синхронизации хэша паролей для Microsoft Entra Connect

Синхронизация хэша паролей является одним из методов входа, используемых для реализации гибридной идентификации. Microsoft Entra Connect синхронизирует хэш(хэш) пароля пользователя из локальная служба Active Directory экземпляра в облачный экземпляр Microsoft Entra. По умолчанию после настройки синхронизация хэша паролей выполняется для всех пользователей, которые вы синхронизируете.

Если вы хотите исключить подмножество пользователей из синхронизации хэша паролей с идентификатором Microsoft Entra ID, можно настроить выборочную синхронизацию хэша паролей, выполнив действия, описанные в этой статье.

Внимание

Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может гарантировать возможность эффективной технической поддержки таких развертываний.

Планирование реализации

Чтобы сократить административную трудоемкость, необходимо сначала определить количество объектов-пользователей, которые вы хотите исключить из синхронизации хэшей паролей. Проверьте следующие сценарии, которые являются взаимоисключающими, соответствуют вашим требованиям, чтобы выбрать правильный вариант конфигурации.

• Если число исключаемых пользователей меньше числа включаемых пользователей, выполните действия, описанные в этом разделе.
• Если число исключаемых пользователей больше числа включаемых пользователей, выполните действия, описанные в этом разделе.

Внимание

При выборе любого варианта конфигурации для применения изменений требуется начальная синхронизация (полная синхронизация), которая выполняется автоматически в течение следующего цикла синхронизации.

Внимание

Конфигурация выборочной синхронизации хэша паролей напрямую влияет на компонент обратной записи паролей. Изменения пароля или сбросы паролей, инициируемые в идентификаторе Microsoft Entra ID, записываются обратно в локальная служба Active Directory только в том случае, если пользователь находится в области синхронизации хэша паролей.

Внимание

Выборочная синхронизация хэша паролей поддерживается в Microsoft Entra Connect 1.6.2.4 или более поздней версии. Если вы используете более низкую версию, обновите ее до последней версии.

Атрибут The adminDescription

Оба сценария зависят от определенного значения атрибута adminDescription пользователей. Это позволяет применять правила, на основании которых работает выборочная синхронизация хэша паролей.

Сценарий	Значение adminDescription
Исключенных пользователей меньше, чем включенных пользователей	PHSFiltered
Исключенных пользователей больше, чем включенных пользователей	PHSIncluded

Этот атрибут можно задать:

• с помощью интерфейса "Пользователи и компьютеры Active Directory";
• с помощью команды Set-ADUser в PowerShell. Дополнительные сведения см. в Set-ADUser.

Отключение планировщика синхронизации:

Перед запуском любого сценария необходимо отключить планировщик синхронизации на время внесения изменений в правила синхронизации.

1. Запустите Windows PowerShell и введите.

   Set-ADSyncScheduler -SyncCycleEnabled $false

2. Убедитесь, что планировщик отключен, выполнив следующий командлет:

   Get-ADSyncScheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Исключенных пользователей меньше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей меньше числа включаемых пользователей.

Внимание

Прежде чем продолжить, убедитесь, что планировщик синхронизации отключен, как описано ранее.

• Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Повторное включение планировщика синхронизации
• Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Действия, описанные для настройки выборочной синхронизации хэша паролей, влияют только на объекты пользователей, у которых атрибут adminDescription заполнен в Active Directory со значением PHSFiltered. Если этот атрибут не заполнен или значение не является чем-то другим, кроме PHSFiltered, эти правила не будут применяться к объектам пользователя.

Настройте необходимые правила синхронизации:

1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное).
2. Выберите правило «Учетная запись включена» в AD для соединителя леса Active Directory, для которого вы хотите настроить выборочную синхронизацию хэша пароля, и выберите «Изменить». Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
3. Первое правило отключает синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: из AD — User AccountEnabled — фильтрация пользователей из PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Выберите Далее.
4. В фильтр проверки областивыберите добавить условие. В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" (Оператор) выберите EQUAL (РАВНО) и введите значение PHSFiltered.
5. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о том, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя.
6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Снова выберите правило по умолчанию из AD — User AccountEnabled для леса Active Directory, для которого вы хотите настроить синхронизацию выборочного пароля, и выберите Изменить. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере будет 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Выберите Далее.
   
8. В фильтр области действиявыберите добавить условие. В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSFiltered.
9. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите ОК в диалоговом окне предупреждения, сообщающем, что полная синхронизация будет выполнена в следующем цикле синхронизации подключенного устройства.
10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали.

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

1. В Windows PowerShell выполните команду:

   set-adsyncscheduler -synccycleenabled:$true

2. Затем убедитесь, что планировщик включен, выполнив команду:

   get-adsyncscheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите исключить из синхронизации хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSFiltered.

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Исключенных пользователей больше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей больше числа включаемых пользователей.

Внимание

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

Ниже приведены краткие сведения о действиях, которые необходимо выполнить:

• Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Повторное включение планировщика синхронизации
• Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Шаги, предоставленные для настройки выборочной синхронизации хэша паролей, затрагивают только пользовательские объекты, атрибут adminDescription которых заполнен в Active Directory значением PHSIncluded. Если этот атрибут не заполнен или значение не является чем-то другим, кроме PHSIncluded эти правила не применяются к объектам пользователя.

Настройте необходимые правила синхронизации:

1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное).
2. Выберите правило в AD – User AccountEnabled для леса Active Directory, в котором вы хотите настроить синхронизацию выборочного пароля, и выберите Редактировать. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
3. Первое правило отключает синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: из AD — User AccountEnabled — фильтрация пользователей из PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Выберите Далее.
4. В фильтр области охватавыберите добавить условие. В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSIncluded.
5. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о выполнении полной синхронизации на следующем цикле синхронизации соединителя.
6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Снова выберите правило по умолчанию включения учетной записи пользователя из AD для леса Active Directory, для которого требуется настроить выборочную синхронизацию пароля, и выберите Изменить. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере будет 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Выберите Далее.
8. В фильтр области действиявыберите добавить условие. В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите EQUAL (РАВНО) и введите значение PHSIncluded.
9. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите ОК в диалоговом окне предупреждения, чтобы подтвердить, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя.
10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали.

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

1. В Windows PowerShell запустите:

   set-adsyncscheduler-synccycleenabled$true

2. Затем убедитесь, что планировщик включен, выполнив команду:

   get-adsyncscheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите включить в синхронизацию хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSIncluded.

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Next Steps

• Что такое синхронизация хэша паролей
• Как работает синхронизация хэша паролей