Sdílet prostřednictvím

Selektivní konfigurace synchronizace hodnot hash hesel pro Microsoft Entra Connect

  • Článek

Synchronizace hodnot hash hesel je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Connect synchronizuje hodnotu hash s heslem uživatele z instance místní Active Directory do cloudové instance Microsoft Entra. Po nastavení bude synchronizace hodnot hash hesel ve výchozím nastavení probíhat u všech uživatelů, které synchronizujete.

Pokud chcete mít podmnožinu uživatelů vyloučených z synchronizace hodnoty hash hesel s ID Microsoft Entra, můžete nakonfigurovat selektivní synchronizaci hodnot hash hesel pomocí kroků s asistencí uvedených v tomto článku.

Důležité

Microsoft nepodporuje úpravy ani provoz microsoft Entra Connect Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu synchronizace Microsoft Entra Connect Sync. Společnost Microsoft proto nemůže zaručit, že budeme schopni poskytovat efektivní technickou podporu pro taková nasazení.

Zvažte implementaci

Pokud chcete snížit administrativní úsilí konfigurace, měli byste nejprve zvážit počet uživatelských objektů, které chcete vyloučit ze synchronizace hodnot hash hesel. Ověřte, které z níže uvedených scénářů, které se vzájemně vylučují, odpovídají vašim požadavkům a vyberte pro vás správnou možnost konfigurace.

  • Pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
  • Pokud je počet uživatelů, které chcete vyloučit, větší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.

Důležité

Když zvolíte některou z možností konfigurace, provede se při dalším cyklu synchronizace automaticky požadovaná počáteční synchronizace (úplná synchronizace).

Důležité

Konfigurace selektivní synchronizace hodnot hash hesel přímo ovlivňuje zpětný zápis hesla. Změny hesla nebo resetování hesla, které jsou inicializovány v Microsoft Entra ID zpětný zápis do místní Active Directory pouze v případě, že je uživatel v oboru synchronizace hodnot hash hesel.

Důležité

Selektivní synchronizace hodnot hash hesel se podporuje v microsoft Entra Connect 1.6.2.4 nebo novějším. Pokud používáte nižší verzi, upgradujte na nejnovější verzi.

Atribut adminDescription

Oba scénáře se spoléhají na nastavení atributu adminDescription uživatelů na konkrétní hodnotu. To umožňuje použít pravidla a je to, co dělá selektivní phS práce.

Scénář hodnota adminDescription
Vyloučení uživatelé jsou menší než zahrnutí uživatelé. PhSFiltered
Vyloučení uživatelé jsou větší než zahrnutí uživatelé. PhSIncluded

Tento atribut lze nastavit buď:

  • pomocí uživatelského rozhraní Uživatelé a počítače služby Active Directory
  • pomocí Set-ADUser rutiny PowerShellu. Další informace naleznete v tématu Set-ADUser.

Zakažte plánovač synchronizace:

Než začnete s některým scénářem, musíte plánovač synchronizace zakázat při provádění změn pravidel synchronizace.

  1. Spusťte Windows PowerShell a zadejte.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Spuštěním následující rutiny ověřte, že je plánovač zakázaný:

    Get-ADSyncScheduler

Další informace o plánovači najdete v plánovači Microsoft Entra Connect Sync.

Vyloučení uživatelé jsou menší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel ovlivní pouze objekty uživatelů s vyplněným popisem adminDescription atributu ve službě Active Directory s hodnotou PHSFiltered. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSFiltered , nebudou tato pravidla použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte synchronizaci hesel na Zapnuto a Typ pravidla na Standardní. Spuštění editoru pravidel synchronizace
  2. Vyberte pravidlo In z AD – User AccountEnabled pro konektor doménové struktury služby Active Directory, u kterého chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na Upravit. Výběrem možnosti Ano v dalším dialogovém okně vytvoříte upravitelnou kopii původního pravidla. Vybrat pravidlo
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrovat uživatele z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Klikněte na tlačítko Další. Úprava příchozích přenosů
  4. Ve filtru oborů klikněte na přidat klauzuli. Ve sloupci atributu vyberte adminDescription , EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Filtr oborů
  5. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Uložit pravidlo
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Vlastní pravidlo
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Klikněte na tlačítko Další.
    Upravit nové pravidlo
  8. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Pravidlo oboru
  9. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Pravidla připojení
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizaci hesel a typ pravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Potvrzení pravidel

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler -synccycleenabled:$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v plánovači Microsoft Entra Connect Sync.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací je potřeba upravit popis adminDescription atributu pro všechny uživatele, které chcete vyloučit ze synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSFiltered.

Upravit atribut

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Vyloučení uživatelé jsou větší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, větší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

Následuje souhrn akcí, které se budou provádět v následujících krocích:

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel ovlivní pouze objekty uživatelů, které mají v Active Directory vyplněné popisy adminDescription atributu s hodnotou PHSIncluded. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSIncluded , nebudou tato pravidla použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte filtry Synchronizace hesel podle standardu a typ pravidla. Typ pravidla
  2. V ad vyberte pravidlo In – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. V z AD
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrovat uživatele z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Klikněte na tlačítko Další. Nastavit prioritu
  4. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . Add – klauzule
  5. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Transformace
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Uživatelský účetEnabled
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Klikněte na tlačítko Další. Povolení synchronizace hesel
  8. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu, EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . PhSIncluded
  9. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Uložit
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizaci hesel a typ pravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Synchronizovat na

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler-synccycleenabled$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači najdete v plánovači Microsoft Entra Connect Sync.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací musíte upravit popis adminDescription atributu pro všechny uživatele, které chcete zahrnout do synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSIncluded.

Úprava atributů

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Další kroky