Konfiguration av synkronisering av selektiv lösenordshash för Microsoft Entra Connect

Synkronisering av lösenordshash är en av de inloggningsmetoder som används för att åstadkomma hybrididentitet. Microsoft Entra Connect synkroniserar en hash, av hashen, av en användares lösenord från en lokal Active Directory-instans till en molnbaserad Microsoft Entra-instans. När den har konfigurerats sker som standard synkronisering av lösenordshash på alla användare som du synkroniserar.

Om du vill undanta en delmängd användare från att synkronisera sin lösenordshash till Microsoft Entra-ID kan du konfigurera selektiv synkronisering av lösenordshash med hjälp av de guidade stegen i den här artikeln.

Viktigt!

Microsoft stöder inte ändring eller drift av Microsoft Entra Connect Sync utanför de konfigurationer eller åtgärder som formellt dokumenteras. Någon av dessa konfigurationer eller åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Connect Sync. Därför kan Microsoft inte garantera möjligheten att tillhandahålla effektiv teknisk support för sådana distributioner.

Överväg implementeringen

För att minska den administrativa konfigurationen bör du först överväga antalet användarobjekt som du vill undanta från synkronisering av lösenordshash. Kontrollera att följande scenarier, som är ömsesidigt uteslutande, överensstämmer med dina krav för att välja rätt konfigurationsalternativ åt dig.

• Om antalet användare som ska undantas är mindre än antalet användare som ska inkluderas följer du stegen i det här avsnittet.
• Om antalet användare som ska undantas är större än antalet användare som ska inkluderas följer du stegen i det här avsnittet.

Viktigt!

Med något av konfigurationsalternativen valt utförs en nödvändig inledande synkronisering (fullständig synkronisering) för att tillämpa ändringarna automatiskt under nästa synkroniseringscykel.

Viktigt!

Att konfigurera synkronisering av selektiv lösenordshash påverkar direkt tillbakaskrivning av lösenord. Lösenordsändringar eller lösenordsåterställningar som initieras i Microsoft Entra-ID skrivs tillbaka till lokal Active Directory endast om användaren är i omfånget för synkronisering av lösenordshash.

Viktigt!

Selektiv synkronisering av lösenordshash stöds i Microsoft Entra Connect 1.6.2.4 eller senare. Om du använder en lägre version än så uppgraderar du till den senaste versionen.

Attributet adminDescription

Båda scenarierna förlitar sig på att ange adminDescription-attributet för användare till ett specifikt värde. Detta gör att reglerna kan tillämpas och är det som gör att selektiv PHS fungerar.

Scenario	adminDescription-värde
Exkluderade användare är mindre än inkluderade användare	PHSFiltered
Exkluderade användare är större än inkluderade användare	PHSIncluded

Det här attributet kan anges antingen:

• använda användargränssnittet för Active Directory - användare och datorer
• med hjälp av Set-ADUser PowerShell-cmdleten. För mer information, se Set-ADUser.

Inaktivera synkroniseringsschemaläggaren:

Innan du startar något av scenariot måste du inaktivera synkroniseringsschemaläggaren när du gör ändringar i synkroniseringsreglerna.

1. Starta Windows PowerShell och ange.

   Set-ADSyncScheduler -SyncCycleEnabled $false

2. Bekräfta att schemaläggaren är inaktiverad genom att köra följande cmdlet:

   Get-ADSyncScheduler

Mer information om schemaläggaren finns i Microsoft Entra Connect Sync-schemaläggaren.

Exkluderade användare är mindre än inkluderade användare

I följande avsnitt beskrivs hur du aktiverar synkronisering av selektiv lösenordshash när antalet användare som ska undantas är mindre än antalet användare som ska inkluderas.

Viktigt!

Innan du fortsätter kontrollerar du att synkroniseringsschemaläggaren är inaktiverad enligt beskrivningen ovan.

• Skapa en redigerbar kopia av In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash ovald och definiera dess omfångsfilter
• Skapa en annan redigerbar kopia av standardvärdet In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash valt och definiera dess omfångsfilter
• Återaktivera synkroniseringsschemaläggaren
• Ange attributvärdet i Active Directory som definierades som omfångsattribut för de användare som du vill tillåta i synkronisering av lösenordshash.

Viktigt!

Stegen för att konfigurera synkronisering av selektiv lösenordshash påverkar bara användarobjekt som har attributet adminDescription i Active Directory med värdet PHSFiltered. Om det här attributet inte är ifyllt eller om värdet är något annat än PHSFiltered tillämpas inte dessa regler på användarobjekten.

Konfigurera de nödvändiga synkroniseringsreglerna:

1. Starta redigeraren för synkroniseringsregler och ange filtren Lösenordssynkronisering till På och Regeltyp till Standard.
2. Välj regeln In från AD – User AccountEnabled för Active Directory Forest Connector som du vill konfigurera selektiv lösenordssynkronisering med hash på och välj Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln.
3. Den första regeln inaktiverar synkronisering av lösenordshash. Ange följande namn för den nya anpassade regeln: In från AD – User AccountEnabled – Filtrera användare från PHS. Ändra prioritetsvärdet till ett tal som är lägre än 100 (till exempel 90 eller beroende på vilket som är det lägsta tillgängliga värdet i din miljö). Kontrollera att kryssrutorna Aktivera lösenordssynkronisering och Inaktiverad är avmarkerade. Välj Nästa.
4. I Omfångsfiltervälj Lägg till sats. Välj adminDescription i attributkolumnen EQUAL i kolumnen Operator och ange PHSFiltered som värde.
5. Inga ytterligare ändringar krävs. Kopplingsregler och Transformations ska lämnas kvar med de kopierade standardinställningarna så att du kan välja Spara nu. Välj OK i varningsdialogrutan som informerar om att en fullständig synkronisering ska köras på nästa synkroniseringscykel för anslutningsappen.
6. Skapa sedan en annan anpassad regel med synkronisering av lösenordshash aktiverat. Välj åter standardregeln In från AD – User AccountEnabled för den Active Directory-skog du vill konfigurera selektiv lösenordssynkronisering för och välj Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln.
7. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Användare som ingår i PHS. Ändra prioritetsvärdet till ett tal som är lägre än regeln som skapades tidigare (i det här exemplet är det 89). Kontrollera att kryssrutan Aktivera lösenordssynkronisering är markerad och att kryssrutan Inaktiverad är avmarkerad. Välj Nästa.
   
8. I Omfångsfiltervälj Lägg till villkor. Välj adminDescription i attributkolumnen, NOTEQUAL i kolumnen Operator och ange PHSFiltered som värde.
9. Inga ytterligare ändringar krävs. Kopplingsregler och transformationer ska lämnas kvar med standardinställningarna som kopieras så att du kan välja Spara nu. Välj OK i varningsdialogrutan som informerar om att en fullständig synkronisering ska köras på nästa synkroniseringscykel för anslutningsappen.
10. Bekräfta att reglerna har skapats. Ta bort filtren Lösenordssynkroniseringpå och Standard för regeltyp. Och du bör se båda de nya reglerna som du nyss skapade.

Återaktivera synkroniseringsschemaläggare:

När du har slutfört stegen för att konfigurera de nödvändiga synkroniseringsreglerna aktiverar du synkroniseringsschemaläggaren igen med följande steg:

1. I Windows PowerShell kör du:

   set-adsyncscheduler -synccycleenabled:$true

2. Bekräfta sedan att det har aktiverats genom att köra:

   get-adsyncscheduler

Mer information om schemaläggaren finns i Microsoft Entra Connect Sync-schemaläggaren.

Redigera användare adminDescription-attribut :

När alla konfigurationer är klara behöver du redigera attributet adminDescription för alla användare som du vill exkludera från synkronisering av lösenordshash i Active Directory och lägga till strängen som används i omfångsfiltret: PHSFiltered.

Du kan också använda följande PowerShell-kommando för att redigera en användares adminDescription-attribut :

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Exkluderade användare är större än inkluderade användare

I följande avsnitt beskrivs hur du aktiverar synkronisering av selektiv lösenordshash när antalet användare som ska undantas är större än antalet användare som ska inkluderas.

Viktigt!

Innan du fortsätter kontrollerar du att synkroniseringsschemaläggaren är inaktiverad enligt beskrivningen ovan.

Följande är en sammanfattning av de åtgärder som ska utföras:

• Skapa en redigerbar kopia av In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash ovald och definiera dess omfångsfilter
• Skapa en annan redigerbar kopia av standardvärdet In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash valt och definiera dess omfångsfilter
• Återaktivera synkroniseringsschemaläggaren
• Ange attributvärdet i Active Directory som definierades som omfångsattribut för de användare som du vill tillåta i synkronisering av lösenordshash.

Viktigt!

Stegen för att konfigurera synkronisering av selektiv lösenordshash påverkar endast användarobjekt vars attribut adminDescription är ifyllt i Active Directory med värdet PHSIncluded. Om det här attributet inte är ifyllt eller om värdet är något annat än PHSIncluded tillämpas inte dessa regler på användarobjekten.

Konfigurera de nödvändiga synkroniseringsreglerna:

1. Starta redigeraren för synkroniseringsregler och ange filtren Lösenordssynkroniseringpå och Standard för regeltyp.
2. Välj regeln In från AD – User AccountEnabled för den Active Directory-skog där du vill konfigurera selektiv lösenordssynkronisering och välj Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln.
3. Den första regeln inaktiverar synkroniseringen av lösenordshash. Ange följande namn för den nya anpassade regeln: In från AD – User AccountEnabled – Filtrera användare från PHS. Ändra prioritetsvärdet till ett tal som är lägre än 100 (till exempel 90 eller beroende på vilket som är det lägsta tillgängliga värdet i din miljö). Kontrollera att kryssrutorna Aktivera lösenordssynkronisering och Inaktiverad är avmarkerade. Välj Nästa.
4. I Omfångsfilterväljer du Lägg till villkor. Välj adminDescription i attributkolumnen, NOTEQUAL i kolumnen Operator och ange PHSIncluded som värde.
5. Inga ytterligare ändringar krävs. Kopplingsregler och Transformationer ska kopieras och lämnas kvar med standardinställningarna så att du kan välja Spara nu. Välj OK i varningsdialogrutan som informerar om att en fullständig synkronisering ska köras på nästa synkroniseringscykel för anslutningsappen.
6. Skapa sedan en annan anpassad regel med synkronisering av lösenordshash aktiverat. Välj återigen standardregeln In från AD – User AccountEnabled för den Active Directory-skog där du vill konfigurera selektiv lösenordssynkronisering och välj Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln.
7. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Användare som ingår i PHS. Ändra prioritetsvärdet till ett tal som är lägre än regeln som skapades tidigare (i det här exemplet är det 89). Kontrollera att kryssrutan Aktivera lösenordssynkronisering är markerad och att kryssrutan Inaktiverad är avmarkerad. Välj Nästa.
8. I Omfångsfilterväljer du Lägg till sats. Välj adminDescription i attributkolumnen EQUAL i kolumnen Operator och ange PHSIncluded som värde.
9. Inga ytterligare ändringar krävs. Kopplingsregler och Transformationer ska lämnas kvar med de standardinställningar som kopieras så att du nu kan välja Spara. Välj OK i varningsdialogrutan som informerar om att en fullständig synkronisering ska köras på nästa synkroniseringscykel för anslutningsappen.
10. Bekräfta att reglerna har skapats. Ta bort filtren Lösenordssynkroniseringpå och Standard för regeltyp. Och du bör se båda de nya reglerna som du nyss skapade.

Återaktivera synkroniseringsschemaläggare:

När du har slutfört stegen för att konfigurera de nödvändiga synkroniseringsreglerna aktiverar du synkroniseringsschemaläggaren igen med följande steg:

1. Kör i Windows PowerShell:

   set-adsyncscheduler-synccycleenabled$true

2. Bekräfta sedan att det har aktiverats genom att köra:

   get-adsyncscheduler

Mer information om schemaläggaren finns i Microsoft Entra Connect Sync-schemaläggaren.

Redigera användare adminDescription-attribut :

När alla konfigurationer har slutförts behöver du redigera attributet adminDescription för alla användare som du vill inkludera för synkronisering av lösenordshash i Active Directory och lägga till strängen som används i omfångsfiltret: PHSIncluded.

Du kan också använda följande PowerShell-kommando för att redigera en användares adminDescription-attribut :

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Nästa steg

• Vad är synkronisering av lösenordshash?
• Så här fungerar synkronisering av lösenordshash