Configuración de la sincronización selectiva de hash de contraseñas para Microsoft Entra Connect
La sincronización de hash de contraseñas es uno de los métodos de inicio de sesión utilizados para realizar la identidad híbrida. Microsoft Entra Connect sincroniza un hash, del hash, de la contraseña de un usuario desde una instancia de Active Directory local con una instancia de Microsoft Entra basada en la nube. De forma predeterminada, una vez que se ha configurado, la sincronización de hash de contraseñas se realizará en todos los usuarios que se van a sincronizar.
Si quiere excluir a un subconjunto de usuarios de la sincronización de su hash de contraseñas con Microsoft Entra ID, puede configurar la sincronización selectiva del hash de contraseñas siguiendo los pasos indicados en este artículo.
Importante
Microsoft no admite la modificación ni el uso de la sincronización de Microsoft Entra Connect con configuraciones o acciones distintas a las que hay documentadas formalmente. Cualquiera de estas configuraciones o acciones podría dar lugar a un estado incoherente o no compatible con la sincronización de Microsoft Entra Connect. Como resultado, Microsoft no puede garantizar que podamos proporcionar un soporte técnico eficiente para tales implementaciones.
Consideración de su implementación
Para reducir el esfuerzo administrativo de configuración, primero debe tener en cuenta el número de objetos de usuario que desea excluir de la sincronización de hash de contraseñas. Compruebe cuál de los escenarios siguientes, que se excluyen mutuamente, se ajusta a sus necesidades para seleccionar la opción de configuración adecuada.
- Si el número de usuarios que se van a excluir es menor que el número de usuarios que se van a incluir, siga los pasos de esta sección.
- Si el número de usuarios que se van a excluir es mayor que el número de usuarios que se van a incluir, siga los pasos de esta sección.
Importante
Con cualquier opción de configuración elegida, se realizará automáticamente una sincronización inicial necesaria (sincronización completa) para aplicar los cambios en el siguiente ciclo de sincronización.
Importante
La configuración de la sincronización de hash de contraseñas selectiva influye directamente en la escritura diferida de contraseñas. Los cambios o restablecimientos de contraseña que se inician en Microsoft Entra ID reescriben en la instancia local de Active Directory solo si el usuario está en el ámbito de la sincronización de hash de contraseñas.
Importante
La sincronización de hash de contraseña selectiva se admite en Microsoft Entra Connect en la versión 1.6.2.4 o posterior. Si usa una versión anterior a esa, actualice a la versión más reciente.
El atributo adminDescription
Ambos escenarios se basan en establecer el atributo adminDescription de los usuarios en un valor específico. Esto permite aplicar las reglas y es lo que hace que funcione la sincronización selectiva de hash de contraseñas.
| Escenario | valor adminDescription |
|---|---|
| El número de usuarios excluidos es menor que el de usuarios incluidos. | PHSFiltered |
| El número de usuarios excluidos es mayor que el de usuarios incluidos. | PHSIncluded |
Este atributo se puede establecer mediante una de estas opciones:
- con la interfaz de usuario de Usuarios y equipos de Active Directory.
- con el cmdlet de PowerShell
Set-ADUser. Para obtener más información, consulte Set-ADUser.
Deshabilitación del programador de sincronización
Antes de iniciar cualquiera de los dos escenarios, debe desactivar el programador de sincronización mientras realiza cambios en las reglas de sincronización.
Inicie Windows PowerShell y escriba:
Set-ADSyncScheduler -SyncCycleEnabled $falseConfirme que el programador está deshabilitado mediante la ejecución del siguiente cmdlet:
Get-ADSyncScheduler
Para más información sobre el programador de sincronización, consulte Programador de sincronización de Microsoft Entra Connect.
El número de usuarios excluidos es menor que el de usuarios incluidos.
En la siguiente sección se describe cómo habilitar la sincronización selectiva de hash de contraseña cuando el número de usuarios que se van a excluir es menor que el número de usuarios que se van a incluir.
Importante
Antes de continuar, asegúrese de que el programador de sincronización está deshabilitado, tal y como se ha descrito anteriormente.
- Cree una copia modificable de In from AD – User AccountEnabled con la opción para habilitar la sincronización de hash de contraseñas no seleccionada y defina su filtro de ámbito.
- Cree otra copia modificable del valor predeterminado In from AD – User AccountEnabled con la opción para habilitar la sincronización de hash de contraseñas seleccionada y defina su filtro de ámbito.
- Nueva habilitación del programador de sincronización
- Establezca el valor del atributo, en Active Directory, que se definió como atributo de ámbito en los usuarios a los que desea permitir la sincronización de hash de contraseñas.
Importante
Los pasos proporcionados para configurar la sincronización selectiva de hash de contraseñas solo afectarán a los objetos de usuario que tengan el atributo adminDescription rellenado en Active Directory con el valor de PHSFiltered. Si no se rellena este atributo o el valor es distinto de PHSFiltered, estas reglas no se aplicarán a los objetos de usuario.
Configuración de las reglas de sincronización necesarias
- Inicie el editor de reglas de sincronización y establezca los filtros Sincronización de contraseñas en Activado y Tipo de regla en Estándar.
- Seleccione la regla In from AD – User AccountEnabled para el conector del bosque de Active Directory en el que desea configurar la sincronización selectiva de contraseñas y haga clic en Editar. Seleccione Sí en el siguiente cuadro de diálogo para crear una copia modificable de la regla original.
- La primera regla deshabilitará la sincronización de hash de contraseñas. Proporcione el siguiente nombre a la nueva regla personalizada: In from AD - User AccountEnabled - Filter Users from PHS.
Cambie el valor de precedencia a un número inferior a 100 (por ejemplo, 90 o el valor más bajo disponible en su entorno).
Asegúrese de que las casillas Habilitar sincronización de contraseña y Deshabilitado estén desactivadas.
Haga clic en Next.
- En Filtro de ámbito, haga clic en Agregar cláusula.
Seleccione adminDescription en la columna de atributo y EQUAL en la columna operador y escriba PHSFiltered como valor.
- No se requiere ningún cambio más. Reglas de unión y Transformaciones deben dejarse con los valores de configuración predeterminados copiados. Luego, haga clic en Guardar.
Haga clic en Aceptar en el cuadro de diálogo de advertencia que informa de que se ejecutará una sincronización completa en el siguiente ciclo de sincronización del conector.
- A continuación, cree otra regla personalizada con la sincronización de hash de contraseñas habilitada. Seleccione de nuevo la regla predeterminada In from AD – User AccountEnabled para el bosque de Active Directory en el que desea configurar la sincronización selectiva de contraseñas y haga clic en Editar. Seleccione Sí en el siguiente cuadro de diálogo para crear una copia modificable de la regla original.
- Proporcione el siguiente nombre a la nueva regla personalizada: In from AD - User AccountEnabled - Users included for PHS.
Cambie el valor de precedencia a un número inferior a la regla creada anteriormente (en este ejemplo, será 89).
Asegúrese de que la casilla Habilitar sincronización de contraseña está activada y que la casilla Deshabilitado está desactivada.
Haga clic en Next.
- En Filtro de ámbito, haga clic en Agregar cláusula.
Seleccione adminDescription en la columna de atributo y NOTEQUAL en la columna operador y escriba PHSFiltered como valor.
- No se requiere ningún cambio más. Reglas de unión y Transformaciones deben dejarse con los valores de configuración predeterminados copiados. Luego, haga clic en Guardar.
Haga clic en Aceptar en el cuadro de diálogo de advertencia que informa de que se ejecutará una sincronización completa en el siguiente ciclo de sincronización del conector.
- Confirme la creación de las reglas. Quite los filtros Sincronización de contraseñaActivo y Tipo de reglaEstándar. Y debería ver las reglas nuevas que acaba de crear.
Rehabilitación del programador de sincronización
Una vez que haya completado los pasos para configurar las reglas de sincronización necesarias, vuelva a habilitar el programador de sincronización con los pasos siguientes:
En Windows PowerShell, ejecute:
set-adsyncscheduler -synccycleenabled:$trueDespués, confirme que se ha habilitado correctamente mediante la ejecución de:
get-adsyncscheduler
Para más información sobre el programador de sincronización, consulte Programador de sincronización de Microsoft Entra Connect.
Edición del atributo adminDescription de los usuarios
Una vez completadas todas las configuraciones, debe editar el atributo adminDescription para todos los usuarios que desee excluir de la sincronización de hash de contraseñas en Active Directory y agregar la cadena usada en el filtro de ámbito: PHSFiltered.
También puede usar el comando de PowerShell siguiente para editar el atributo adminDescription de un usuario:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
El número de usuarios excluidos es mayor que el de usuarios incluidos.
En la siguiente sección se describe cómo habilitar la sincronización selectiva de hash de contraseña cuando el número de usuarios que se van a excluir es mayor que el número de usuarios que se van a incluir.
Importante
Antes de continuar, asegúrese de que el programador de sincronización está deshabilitado, tal y como se ha descrito anteriormente.
A continuación se muestra un resumen de las acciones que se realizarán en los pasos siguientes:
- Cree una copia modificable de In from AD – User AccountEnabled con la opción para habilitar la sincronización de hash de contraseñas no seleccionada y defina su filtro de ámbito.
- Cree otra copia modificable del valor predeterminado In from AD – User AccountEnabled con la opción para habilitar la sincronización de hash de contraseñas seleccionada y defina su filtro de ámbito.
- Nueva habilitación del programador de sincronización
- Establezca el valor del atributo, en Active Directory, que se definió como atributo de ámbito en los usuarios a los que desea permitir la sincronización de hash de contraseñas.
Importante
Los pasos proporcionados para configurar la sincronización selectiva de hash de contraseñas solo afectarán a los objetos de usuario que tengan el atributo adminDescription rellenado en Active Directory con el valor de PHSIncluded. Si no se rellena este atributo o el valor es distinto de PHSIncluded, estas reglas no se aplicarán a los objetos de usuario.
Configuración de las reglas de sincronización necesarias
- Inicie el editor de reglas de sincronización y establezca los filtros Sincronización de contraseñas en Activado y Tipo de regla en Estándar.
- Seleccione la regla In from AD – User AccountEnabled para el bosque de Active Directory en el que desea configurar la sincronización selectiva de contraseñas y haga clic en Editar. Seleccione Sí en el siguiente cuadro de diálogo para crear una copia modificable de la regla original.
- La primera regla deshabilitará la sincronización de hash de contraseñas. Proporcione el siguiente nombre a la nueva regla personalizada: In from AD - User AccountEnabled - Filter Users from PHS.
Cambie el valor de precedencia a un número inferior a 100 (por ejemplo, 90 o el valor más bajo disponible en su entorno).
Asegúrese de que las casillas Habilitar sincronización de contraseña y Deshabilitado estén desactivadas.
Haga clic en Next.
- En Filtro de ámbito, haga clic en Agregar cláusula.
Seleccione adminDescription en la columna de atributo y NOTEQUAL en la columna operador y escriba PHSIncluded como valor.
- No se requiere ningún cambio más. Reglas de unión y Transformaciones deben dejarse con los valores de configuración predeterminados copiados. Luego, haga clic en Guardar.
Haga clic en Aceptar en el cuadro de diálogo de advertencia que informa de que se ejecutará una sincronización completa en el siguiente ciclo de sincronización del conector.
- A continuación, cree otra regla personalizada con la sincronización de hash de contraseñas habilitada. Seleccione de nuevo la regla predeterminada In from AD – User AccountEnabled para el bosque de Active Directory en el que desea configurar la sincronización selectiva de contraseñas y haga clic en Editar. Seleccione Sí en el siguiente cuadro de diálogo para crear una copia modificable de la regla original.
- Proporcione el siguiente nombre a la nueva regla personalizada: In from AD - User AccountEnabled - Users included for PHS.
Cambie el valor de precedencia a un número inferior a la regla creada anteriormente (en este ejemplo, será 89).
Asegúrese de que la casilla Habilitar sincronización de contraseña está activada y que la casilla Deshabilitado está desactivada.
Haga clic en Next.
- En Filtro de ámbito, haga clic en Agregar cláusula.
Seleccione adminDescription en la columna de atributo y EQUAL en la columna operador y escriba PHSIncluded como valor.
- No se requiere ningún cambio más. Reglas de unión y Transformaciones deben dejarse con los valores de configuración predeterminados copiados. Luego, haga clic en Guardar.
Haga clic en Aceptar en el cuadro de diálogo de advertencia que informa de que se ejecutará una sincronización completa en el siguiente ciclo de sincronización del conector.
- Confirme la creación de las reglas. Quite los filtros Sincronización de contraseñaActivo y Tipo de reglaEstándar. Y debería ver las reglas nuevas que acaba de crear.
Rehabilitación del programador de sincronización
Una vez que haya completado los pasos para configurar las reglas de sincronización necesarias, vuelva a habilitar el programador de sincronización con los pasos siguientes:
En Windows PowerShell, ejecute:
set-adsyncscheduler-synccycleenabled$trueDespués, confirme que se ha habilitado correctamente mediante la ejecución de:
get-adsyncscheduler
Para más información sobre el programador de sincronización, consulte Programador de sincronización de Microsoft Entra Connect.
Edición del atributo adminDescription de los usuarios
Una vez completadas todas las configuraciones, debe editar el atributo adminDescription para todos los usuarios que desee incluir para la sincronización de hash de contraseñas en Active Directory y agregar la cadena usada en el filtro de ámbito: PHSIncluded.
También puede usar el comando de PowerShell siguiente para editar el atributo adminDescription de un usuario:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}