Konfigurieren der selektiven Kennwort-Hash-Synchronisierung für Microsoft Entra ID Connect

Die Kennworthashsynchronisierung ist eine der Anmeldemethoden, die zur Implementierung von Hybrididentitäten verwendet wird. Microsoft Entra Connect synchronisiert einen Hash vom Hash des Kennworts eines Benutzers aus einer lokalen Active Directory-Instanz mit einer cloudbasierten Microsoft Entra-Instanz. Standardmäßig erfolgt die Kennworthashsynchronisierung nach der Einrichtung für alle Benutzer, die Sie synchronisieren.

Wenn Sie einen Teil der Benutzer*innen von der Kennwort-Hash-Synchronisierung mit Microsoft Entra ID ausschließen möchten, können Sie die selektive Kennworthashsynchronisierung mithilfe der in diesem Artikel beschriebenen Schritte konfigurieren.

Wichtig

Microsoft unterstützt die Änderung oder den Einsatz von Microsoft Entra Connect Sync außerhalb dieser formal dokumentierten Konfigurationen oder Aktionen nicht. Jede dieser Konfigurationen oder Aktionen kann zu einem inkonsistenten oder nicht unterstützten Zustand von Microsoft Entra Connect Sync führen. Infolgedessen kann Microsoft nicht garantieren, dass wir in der Lage sind, effizienten technischen Support für solche Bereitstellungen zu leisten.

Planen Ihrer Implementierung

Um den Verwaltungsaufwand für die Konfiguration zu reduzieren, sollten Sie zunächst die Anzahl von Benutzerobjekten einschätzen, die Sie von der Kennworthashsynchronisierung ausschließen möchten. Überlegen Sie, welches der nachfolgenden Szenarien (die sich gegenseitig ausschließen) Ihren Anforderungen entspricht, um die richtige Konfigurationsoption auszuwählen.

  • Wenn die Anzahl der auszuschließenden Benutzer kleiner ist als die Anzahl einzuschließender Benutzer, führen Sie die Schritte in diesem Abschnitt aus.
  • Wenn die Anzahl der auszuschließenden Benutzer größer ist als die Anzahl einzuschließender Benutzer, führen Sie die Schritte in diesem Abschnitt aus.

Wichtig

Nachdem Sie eine der beiden Konfigurationsoptionen ausgewählt haben, ist eine anfängliche Synchronisierung (vollständige Synchronisierung) erforderlich, um die Änderungen anzuwenden. Diese wird im nächsten Synchronisierungszyklus ausgeführt.

Wichtig

Das Konfigurieren der selektiven Kennwort-Hash-Synchronisierung übt einen direkten Einfluss auf das Kennwortrückschreiben aus. Kennwortänderungen oder Kennwortrücksetzungen, die in Microsoft Entra ID initiiert werden, werden nur dann in das lokale Active Directory zurückgeschrieben, wenn sich Benutzer*innen im Geltungsbereich der Kennwort-Hash-Synchronisierung befinden.

Wichtig

Die selektive Kennwort-Hash-Synchronisierung wird in Microsoft Entra Connect 1.6.2.4 unterstützt. Wenn Sie eine frühere Version verwenden, führen Sie ein Upgrade auf die neueste Version durch.

Das adminDescription-Attribut

Bei beiden Szenarien wird das adminDescription-Attribut von Benutzern auf einen bestimmten Wert festgelegt. Dies ermöglicht die Anwendung der Regeln und ist das, was das Funktionieren der selektive PHS ermöglicht.

Szenario Wert von adminDescription
Weniger ausgeschlossene als eingeschlossene Benutzer PHSFiltered
Mehr ausgeschlossene als eingeschlossene Benutzer PHSIncluded

Dieses Attribut kann wie folgt festgelegt werden:

  • über die Benutzeroberfläche von Active Directory-Benutzer und -Computer
  • mithilfe des PowerShell-Cmdlets Set-ADUser Weitere Informationen finden Sie unter Set-ADUser.

Deaktivieren des Synchronisierungsplaners

Bevor Sie mit einem der beiden Szenarien beginnen können, müssen Sie den Synchronisierungsplaner deaktivieren, während Sie Änderungen an den Synchronisierungsregeln vornehmen.

  1. Starten Sie Windows PowerShell und geben Sie dies ein.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Vergewissern Sie sich, dass der Planer deaktiviert ist, indem Sie das folgende Cmdlet ausführen:

    Get-ADSyncScheduler

Weitere Informationen zum Planer finden Sie unter Microsoft Entra Connect-Synchronisierungsplaner.

Weniger ausgeschlossene als eingeschlossene Benutzer

Im folgenden Abschnitt wird beschrieben, wie Sie die selektive Kennworthashsynchronisierung aktivieren, wenn die Anzahl der auszuschließenden Benutzer kleiner als die Anzahl der einzuschließenden Benutzer ist.

Wichtig

Stellen Sie vor dem Fortfahren wie oben beschrieben sicher, dass der Synchronisierungsplaner deaktiviert ist.

  • Erstellen Sie eine bearbeitbare Kopie von Eingehend aus AD – Benutzerkonto aktiviert mit deaktivierter Option zum Aktivieren der Kennworthashsynchronisierung, und definieren Sie den Bereichsfilter.
  • Erstellen Sie eine bearbeitbare Kopie von Eingehend aus AD – Benutzerkonto aktiviert mit aktivierter Option zum Aktivieren der Kennworthashsynchronisierung, und definieren Sie den Bereichsfilter.
  • Erneutes Aktivieren des Synchronisierungsplaners
  • Legen Sie in Active Directory für Benutzer, für die Sie die Kennworthashsynchronisierung zulassen möchten, den Attributwert fest, der als Bereichsattribut definiert wurde.

Wichtig

Die angegebenen Schritte zur Konfiguration der selektiven Kennwort-Hash-Synchronisierung wirken sich nur auf Benutzerobjekte aus, bei denen das Attribut adminDescription in Active Directory mit dem Wert PHSFiltered gefüllt ist. Wenn dieses Attribut nicht angegeben oder der Wert nicht auf PHSFiltered festgelegt wurde, werden diese Regeln nicht auf die Benutzerobjekte angewandt.

Konfigurieren der erforderlichen Synchronisierungsregeln

  1. Starten Sie den Synchronisierungsregel-Editor, und legen Sie die Filter Kennwortsynchronisierung auf Ein und Regeltyp auf Standard fest. Start sync rules editor
  2. Wählen Sie die Regel Eingehend aus AD – Benutzerkonto aktiviert für den Active Directory-Gesamtstrukturconnector aus, für den Sie die selektive Kennworthashsynchronisierung konfigurieren möchten, und klicken Sie auf Bearbeiten. Wählen Sie im nächsten Dialogfeld Ja aus, um eine bearbeitbare Kopie der ursprünglichen Regel zu erstellen. Select rule
  3. Die erste Regel wird die Kennwort-Hash-Synchronisierung deaktivieren. Geben Sie der neuen benutzerdefinierten Regel den folgenden Namen: In vom AD - User AccountEnabled - Filter Users from PHS. Ändern Sie den Rangfolgenwert in eine Zahl unter 100 (z. B. 90 oder den niedrigsten Wert in Ihrer Umgebung). Stellen Sie sicher, dass die Kontrollkästchen Kennwortsynchronisierung aktivieren und Deaktiviert deaktiviert sind. Klicken Sie auf Weiter. Edit inbound
  4. Klicken Sie unter Bereichsfilter auf Klausel hinzufügen. Wählen Sie in der Spalte „Attribut“ adminDescription und in der Spalte „Operator“ EQUAL aus, und geben Sie als Wert PHSFiltered ein. Scoping filter
  5. Es sind keine weiteren Änderungen erforderlich. Verknüpfungsregeln und Transformationen sollten mit den Standardeinstellungen übernommen werden. Sie können daher jetzt auf Speichern klicken. Klicken Sie in dem Warnungsdialogfeld, in dem Sie darüber informiert werden, dass im nächsten Synchronisierungszyklus des Connectors eine vollständige Synchronisierung ausgeführt wird, auf OK. Save rule
  6. Erstellen Sie als Nächstes eine weitere benutzerdefinierte Regel mit aktivierter Kennworthashsynchronisierung. Wählen Sie erneut die Standardregel Eingehend aus AD – Benutzerkonto aktiviert für die Active Directory-Gesamtstruktur aus, für die Sie die selektive Kennworthashsynchronisierung konfigurieren möchten, und klicken Sie auf Bearbeiten. Wählen Sie im nächsten Dialogfeld Ja aus, um eine bearbeitbare Kopie der ursprünglichen Regel zu erstellen. Custom rule
  7. Geben Sie für die neue benutzerdefinierte Regel den folgenden Namen an: Eingehend aus AD – Benutzerkonto aktiviert – Benutzer in Kennworthashsynchronisierung eingeschlossen. Ändern Sie den Rangfolgenwert in eine niedrigere Zahl als bei der zuvor erstellten Regel (in diesem Beispiel 89). Vergewissern Sie sich, dass das Kontrollkästchen Kennwortsynchronisierung aktivieren aktiviert und das Kontrollkästchen Deaktiviert deaktiviert ist. Klicken Sie auf Weiter.
    Edit new rule
  8. Klicken Sie unter Bereichsfilter auf Klausel hinzufügen. Wählen Sie in der Spalte „Attribut“ adminDescription und in der Spalte „Operator“ NOTEQUAL aus, und geben Sie als Wert PHSFiltered ein. Scope rule
  9. Es sind keine weiteren Änderungen erforderlich. Verknüpfungsregeln und Transformationen sollten mit den Standardeinstellungen übernommen werden. Sie können daher jetzt auf Speichern klicken. Klicken Sie in dem Warnungsdialogfeld, in dem Sie darüber informiert werden, dass im nächsten Synchronisierungszyklus des Connectors eine vollständige Synchronisierung ausgeführt wird, auf OK. Join rules
  10. Bestätigen Sie das Erstellen der Regeln. Entfernen Sie die Filter für die Kennwortsynchronisierung (Ein) und den Regeltyp (Standard). Es sollten die beiden neuen Regeln angezeigt werden, die Sie soeben erstellt haben. Confirm rules

Erneutes Aktivieren des Synchronisierungsplaners

Nachdem Sie die Schritte zum Konfigurieren der erforderlichen Synchronisierungsregeln abgeschlossen haben, aktivieren Sie den Synchronisierungsplaner mit den folgenden Schritten erneut:

  1. Führen Sie in Windows PowerShell folgenden Befehl aus:

    set-adsyncscheduler -synccycleenabled:$true

  2. Vergewissern Sie sich dann, dass die Aktivierung erfolgreich war, indem Sie Folgendes ausführen:

    get-adsyncscheduler

Weitere Informationen zum Planer finden Sie unter Microsoft Entra Connect-Synchronisierungsplaner.

Bearbeiten des Benutzerattributs adminDescription

Wenn die gesamte Konfiguration abgeschlossen ist, müssen Sie das adminDescription-Attribut für alle Benutzer bearbeiten, die Sie von der Kennworthashsynchronisierung in Active Directory ausschließen möchten, und die Zeichenfolge im Bereichsfilter hinzufügen: PHSFiltered.

Edit attribute

Sie können auch den folgenden PowerShell-Befehl verwenden, um das adminDescription -Attribut eines Benutzers zu bearbeiten:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Mehr ausgeschlossene als eingeschlossene Benutzer

Im folgenden Abschnitt wird beschrieben, wie Sie die selektive Kennworthashsynchronisierung aktivieren, wenn die Anzahl der auszuschließenden Benutzer größer als die Anzahl der einzuschließenden Benutzer ist.

Wichtig

Stellen Sie vor dem Fortfahren wie oben beschrieben sicher, dass der Synchronisierungsplaner deaktiviert ist.

Im Folgenden finden Sie eine Zusammenfassung der Aktionen, die in den folgenden Schritten ausgeführt werden:

  • Erstellen Sie eine bearbeitbare Kopie von Eingehend aus AD – Benutzerkonto aktiviert mit deaktivierter Option zum Aktivieren der Kennworthashsynchronisierung, und definieren Sie den Bereichsfilter.
  • Erstellen Sie eine bearbeitbare Kopie von Eingehend aus AD – Benutzerkonto aktiviert mit aktivierter Option zum Aktivieren der Kennworthashsynchronisierung, und definieren Sie den Bereichsfilter.
  • Erneutes Aktivieren des Synchronisierungsplaners
  • Legen Sie in Active Directory für Benutzer, für die Sie die Kennworthashsynchronisierung zulassen möchten, den Attributwert fest, der als Bereichsattribut definiert wurde.

Wichtig

Die angegebenen Schritte zur Konfiguration der selektiven Kennwort-Hash-Synchronisierung wirken sich nur auf Benutzerobjekte aus, bei denen das Attribut adminDescription im Active Directory mit dem Wert PHSIncluded ausgefüllt ist. Wenn dieses Attribut nicht angegeben oder der Wert nicht auf PHSIncluded festgelegt wurde, werden diese Regeln nicht auf die Benutzerobjekte angewandt.

Konfigurieren der erforderlichen Synchronisierungsregeln

  1. Starten Sie den Synchronisierungsregel-Editor, und legen Sie die Filter Kennwortsynchronisierung auf Ein und Regeltyp auf Standard fest. Rule type
  2. Wählen Sie die Regel Eingehend aus AD – Benutzerkonto aktiviert für die Active Directory-Gesamtstruktur aus, für die Sie die selektive Kennworthashsynchronisierung konfigurieren möchten, und klicken Sie auf Bearbeiten. Wählen Sie im nächsten Dialogfeld Ja aus, um eine bearbeitbare Kopie der ursprünglichen Regel zu erstellen. In from AD
  3. Die erste Regel wird die Kennwort-Hash-Synchronisierung deaktivieren. Geben Sie der neuen benutzerdefinierten Regel den folgenden Namen: In vom AD - User AccountEnabled - Filter Users from PHS. Ändern Sie den Rangfolgenwert in eine Zahl unter 100 (z. B. 90 oder den niedrigsten Wert in Ihrer Umgebung). Stellen Sie sicher, dass die Kontrollkästchen Kennwortsynchronisierung aktivieren und Deaktiviert deaktiviert sind. Klicken Sie auf Weiter. Set precedence
  4. Klicken Sie unter Bereichsfilter auf Klausel hinzufügen. Wählen Sie in der Spalte „Attribut“ adminDescription und in der Spalte „Operator“ NOTEQUAL aus, und geben Sie als Wert PHSIncluded ein. Add clause
  5. Es sind keine weiteren Änderungen erforderlich. Verknüpfungsregeln und Transformationen sollten mit den Standardeinstellungen übernommen werden. Sie können daher jetzt auf Speichern klicken. Klicken Sie in dem Warnungsdialogfeld, in dem Sie darüber informiert werden, dass im nächsten Synchronisierungszyklus des Connectors eine vollständige Synchronisierung ausgeführt wird, auf OK. Transformation
  6. Erstellen Sie als Nächstes eine weitere benutzerdefinierte Regel mit aktivierter Kennworthashsynchronisierung. Wählen Sie erneut die Standardregel Eingehend aus AD – Benutzerkonto aktiviert für die Active Directory-Gesamtstruktur aus, für die Sie die selektive Kennworthashsynchronisierung konfigurieren möchten, und klicken Sie auf Bearbeiten. Wählen Sie im nächsten Dialogfeld Ja aus, um eine bearbeitbare Kopie der ursprünglichen Regel zu erstellen. User AccountEnabled
  7. Geben Sie für die neue benutzerdefinierte Regel den folgenden Namen an: Eingehend aus AD – Benutzerkonto aktiviert – Benutzer in Kennworthashsynchronisierung eingeschlossen. Ändern Sie den Rangfolgenwert in eine niedrigere Zahl als bei der zuvor erstellten Regel (in diesem Beispiel 89). Vergewissern Sie sich, dass das Kontrollkästchen Kennwortsynchronisierung aktivieren aktiviert und das Kontrollkästchen Deaktiviert deaktiviert ist. Klicken Sie auf Weiter. Enable Password Sync
  8. Klicken Sie unter Bereichsfilter auf Klausel hinzufügen. Wählen Sie in der Spalte „Attribut“ adminDescription und in der Spalte „Operator“ EQUAL aus, und geben Sie als Wert PHSIncluded ein. PHSIncluded
  9. Es sind keine weiteren Änderungen erforderlich. Verknüpfungsregeln und Transformationen sollten mit den Standardeinstellungen übernommen werden. Sie können daher jetzt auf Speichern klicken. Klicken Sie in dem Warnungsdialogfeld, in dem Sie darüber informiert werden, dass im nächsten Synchronisierungszyklus des Connectors eine vollständige Synchronisierung ausgeführt wird, auf OK. Save now
  10. Bestätigen Sie das Erstellen der Regeln. Entfernen Sie die Filter für die Kennwortsynchronisierung (Ein) und den Regeltyp (Standard). Es sollten die beiden neuen Regeln angezeigt werden, die Sie soeben erstellt haben. Sync on

Erneutes Aktivieren des Synchronisierungsplaners

Nachdem Sie die Schritte zum Konfigurieren der erforderlichen Synchronisierungsregeln abgeschlossen haben, aktivieren Sie den Synchronisierungsplaner mit den folgenden Schritten erneut:

  1. Führen Sie in Windows PowerShell folgenden Befehl aus:

    set-adsyncscheduler-synccycleenabled$true

  2. Vergewissern Sie sich dann, dass die Aktivierung erfolgreich war, indem Sie Folgendes ausführen:

    get-adsyncscheduler

Weitere Informationen zum Planer finden Sie unter Microsoft Entra Connect-Synchronisierungsplaner.

Bearbeiten des Benutzerattributs adminDescription

Wenn die gesamte Konfiguration abgeschlossen ist, müssen Sie das adminDescription-Attribut für alle Benutzer bearbeiten, die Sie in die Kennworthashsynchronisierung in Active Directory einschließen möchten, und die Zeichenfolge im Bereichsfilter hinzufügen: PHSIncluded.

Edit attributes

Sie können auch den folgenden PowerShell-Befehl verwenden, um das adminDescription -Attribut eines Benutzers zu bearbeiten:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Nächste Schritte