適用於 Microsoft Entra Connect 的選擇性密碼雜湊同步設定
密碼雜湊同步是其中一種用來完成混合式身分識別的登入方法。 Microsoft Entra Connect 將使用者密碼雜湊的雜湊碼從內部部署的 Active Directory 執行個體同步到雲端式 Microsoft Entra 執行個體。 依預設,在設定完成之後,您要同步處理的所有使用者都會進行密碼雜湊同步處理。
如果您想要將一部分使用者從密碼雜湊同步處理至 Microsoft Entra ID 中排除,可以使用本文中提供的引導式步驟來設定選擇性密碼雜湊同步。
重要
Microsoft 不支援在正式記載的設定或動作以外修改和操作 Microsoft Entra Connect 同步處理。 任何這些設定或動作都可能導致 Microsoft Entra Connect 同步處理發生不一致或不支援的狀態。因此,Microsoft 無法保證我們能夠為這類部署提供有效率的技術支援。
考慮您的實作
若要減少設定的管理工作,您應該先考慮要從密碼雜湊同步中排除的使用者物件數目。 確認下列哪些案例彼此互斥、哪些與您的需求相符,以為您選取正確的設定選項。
重要
選擇任一設定選項之後,用來套用變更的必要初始同步 (完整同步) 將會在下一個同步週期時自動執行。
重要
設定選擇性密碼雜湊同步會直接影響密碼回寫。 只有當使用者位於密碼雜湊同步處理的範圍內時,Microsoft Entra ID 中起始的密碼變更或密碼重設才會寫回內部部署的 Active Directory。
重要
Microsoft Entra Connect 1.6.2.4 或更新版本支援選擇性密碼雜湊同步處理。 如果您使用的版本早於該版本,請升級至最新版本。
adminDescription 屬性
這兩種案例都需要將使用者的 adminDescription 屬性設為特定值。 這可讓您套用規則,並讓選擇性 PHS 運作。
案例 | adminDescription 值 |
---|---|
排除的使用者小於包括的使用者 | PHSFiltered |
排除的使用者大於包括的使用者 | PHSIncluded |
這個屬性可以設為:
- 使用 Active Directory 使用者和電腦 UI
- 使用
Set-ADUser
PowerShell cmdlet。 如需詳細資訊,請參閱 Set-ADUser。
停用同步處理排程器:
在您開始任一案例之前,必須在對同步規則進行變更時,停用同步處理排程器。
啟動並進入 Windows PowerShell。
Set-ADSyncScheduler -SyncCycleEnabled $false
藉由執行下列 Cmdlet 來確認排程器已停用:
Get-ADSyncScheduler
如需關於排程器的詳細資訊,請參閱 Microsoft Entra Connect 同步處理排程器 (部分機器翻譯)。
排除的使用者小於包括的使用者
下節說明當要排除的使用者數目小於要包括的使用者數目時,如何啟用選擇性密碼雜湊同步。
重要
繼續之前,請確定已停用同步處理排程器,如上所述。
- 建立 In from AD – User AccountEnabled 的可編輯複本,並搭配 enable password hash sync un-selected 的選項,然後定義其範圍設定篩選
- 建立預設 In from AD – User AccountEnabled 的另一個可編輯複本,並搭配 enable password hash sync selected 的選項,然後定義其範圍設定篩選
- 重新啟用同步處理排程器
- 在 Active Directory 中設定屬性值,此屬性值定義為您想要允許在密碼雜湊同步使用者上的範圍設定屬性。
重要
提供用來設定選擇性密碼雜湊同步的步驟,只會影響 Active Directory 中填入 adminDescription 屬性的使用者物件,其值為 PHSFiltered。 如果未填入此屬性或值為 PHSFiltered 以外的值,則這些規則不會套用至使用者物件。
設定必要的同步處理規則:
- 啟動同步處理規則編輯器,將篩選條件 [密碼同步] 設為 [開啟],並將 [規則類型] 設為 [標準]。
- 針對要設定選擇性密碼具有雜湊同步的 Active Directory 樹系連接器選取 In from AD – User AccountEnabled 規則,然後按一下 [編輯]。 在下一個對話方塊中選取 [是],以建立原始規則的可編輯複本。
- 第一個規則會停用密碼雜湊同步處理。將下列名稱提供給新的自訂規則:In from AD - User AccountEnabled - Filter Users from PHS。 將優先順序值變更為低於100 的數字 (例如 90 或您環境中可用的最小值)。 確定已取消選取 [啟用密碼同步] 和 [已停用] 核取方塊。 按一下 [下一步] 。
- 在 [範圍設定篩選] 中,按一下 [新增子句]。 在 [屬性] 資料行中選取 [adminDescription],接著在 [運算子] 資料行中輸入 EQUAL,然後輸入 PHSFiltered 作為值。
- 不需要進行進一步變更。 聯結規則和轉換應該保留預設複製的設定,而您現在可以按一下 [儲存]。 在警告對話方塊中按一下 [確定],通知將會在連接器的下一個同步處理週期時執行完整同步處理。
- 接著,建立另一個已啟用密碼雜湊同步的自訂規則。 針對要設定選擇性密碼具有雜湊同步的 Active Directory 樹系再次選取 In from AD – User AccountEnabled 預設規則,然後按一下 [編輯]。 在下一個對話方塊中選取 [是],以建立原始規則的可編輯複本。
- 將下列名稱提供給新的自訂規則:In from AD - User AccountEnabled - Users included for PHS。
將優先順序值變更為小魚先前所建立規則的數字 (在此範例中,將會是 89)。
確定已勾選 [啟用密碼同步] 核取方塊,並取消選取 [已停用] 核取方塊。
按一下 [下一步] 。
- 在 [範圍設定篩選] 中,按一下 [新增子句]。 在 [屬性] 資料行中選取 [adminDescription],接著在 [運算子] 資料行中輸入 NOTEQUAL,然後輸入 PHSFiltered 作為值。
- 不需要進行進一步變更。 聯結規則和轉換應該保留預設複製的設定,而您現在可以按一下 [儲存]。 在警告對話方塊中按一下 [確定],通知將會在連接器的下一個同步處理週期時執行完整同步處理。
- 確認規則建立。 拿掉 [密碼同步處理] 和 [規則類型標準]。 您應該會看到剛才建立的兩個新規則。
重新啟用同步處理排程器:
完成設定必要同步處理規則的步驟之後,請使用下列步驟重新啟用同步處理排程器:
在 Windows PowerShell 中,執行:
set-adsyncscheduler -synccycleenabled:$true
然後藉由執行下列動作來確認已成功啟用:
get-adsyncscheduler
如需關於排程器的詳細資訊,請參閱 Microsoft Entra Connect 同步處理排程器 (部分機器翻譯)。
編輯使用者 adminDescription 屬性:
完成所有設定之後,您需要在 Active Directory 中編輯您想要從密碼雜湊同步中排除所有使用者的屬性 adminDescription,並新增範圍設定篩選中所使用的字串:PHSFiltered。
您也可以使用下列 PowerShell 命令來編輯使用者的 adminDescription 屬性:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
排除的使用者大於包括的使用者
下節說明當要排除的使用者數目大於要包括的使用者數目時,如何啟用選擇性密碼雜湊同步。
重要
繼續之前,請確定已停用同步處理排程器,如上所述。
下列是將在下方步驟中採取的動作摘要:
- 建立 In from AD – User AccountEnabled 的可編輯複本,並搭配 enable password hash sync un-selected 的選項,然後定義其範圍設定篩選
- 建立預設 In from AD – User AccountEnabled 的另一個可編輯複本,並搭配 enable password hash sync selected 的選項,然後定義其範圍設定篩選
- 重新啟用同步處理排程器
- 在 Active Directory 中設定屬性值,此屬性值定義為您想要允許在密碼雜湊同步使用者上的範圍設定屬性。
重要
提供用來設定選擇性密碼雜湊同步的步驟,只會影響 Active Directory 中填入 adminDescription 屬性的使用者物件,其值為 PHSIncluded。 如果未填入此屬性或值為 PHSIncluded 以外的值,則這些規則不會套用至使用者物件。
設定必要的同步處理規則:
- 啟動同步處理規則編輯器,並設定 [密碼同步處理] 和 [規則類型標準]。
- 針對要設定選擇性密碼具有雜湊同步的 Active Directory 樹系選取 In from AD – User AccountEnabled 規則,然後按一下 [編輯]。 在下一個對話方塊中選取 [是],以建立原始規則的可編輯複本。
- 第一個規則會停用密碼雜湊同步處理。將下列名稱提供給新的自訂規則:In from AD - User AccountEnabled - Filter Users from PHS。 將優先順序值變更為低於100 的數字 (例如 90 或您環境中可用的最小值)。 確定已取消選取 [啟用密碼同步] 和 [已停用] 核取方塊。 按一下 [下一步] 。
- 在 [範圍設定篩選] 中,按一下 [新增子句]。 在 [屬性] 資料行中選取 [adminDescription],接著在 [運算子] 資料行中輸入 NOTEQUAL,然後輸入 PHSIncluded 作為值。
- 不需要進行進一步變更。 聯結規則和轉換應該保留預設複製的設定,而您現在可以按一下 [儲存]。 在警告對話方塊中按一下 [確定],通知將會在連接器的下一個同步處理週期時執行完整同步處理。
- 接著,建立另一個已啟用密碼雜湊同步的自訂規則。 針對要設定選擇性密碼具有雜湊同步的 Active Directory 樹系再次選取 In from AD – User AccountEnabled 預設規則,然後按一下 [編輯]。 在下一個對話方塊中選取 [是],以建立原始規則的可編輯複本。
- 將下列名稱提供給新的自訂規則:In from AD - User AccountEnabled - Users included for PHS。 將優先順序值變更為小魚先前所建立規則的數字 (在此範例中,將會是 89)。 確定已勾選 [啟用密碼同步] 核取方塊,並取消選取 [已停用] 核取方塊。 按一下 [下一步] 。
- 在 [範圍設定篩選] 中,按一下 [新增子句]。 在 [屬性] 資料行中選取 [adminDescription],接著在 [運算子] 資料行中輸入 EQUAL,然後輸入 PHSIncluded 作為值。
- 不需要進行進一步變更。 聯結規則和轉換應該保留預設複製的設定,而您現在可以按一下 [儲存]。 在警告對話方塊中按一下 [確定],通知將會在連接器的下一個同步處理週期時執行完整同步處理。
- 確認規則建立。 拿掉 [密碼同步處理] 和 [規則類型標準]。 您應該會看到剛才建立的兩個新規則。
重新啟用同步處理排程器:
完成設定必要同步處理規則的步驟之後,請使用下列步驟重新啟用同步處理排程器:
在 Windows PowerShell 中,執行:
set-adsyncscheduler-synccycleenabled$true
然後藉由執行下列動作來確認已成功啟用:
get-adsyncscheduler
如需關於排程器的詳細資訊,請參閱 Microsoft Entra Connect 同步處理排程器 (部分機器翻譯)。
編輯使用者 adminDescription 屬性:
完成所有設定之後,您需要在 Active Directory 中編輯您想要針對密碼雜湊同步包括所有使用者的屬性 adminDescription,並新增範圍設定篩選中所使用的字串:PHSIncluded。
您也可以使用下列 PowerShell 命令來編輯使用者的 adminDescription 屬性:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}