Configuration de la synchronisation sélective du hachage de mot de passe pour Microsoft Entra Connect
La synchronisation sélective du hachage de mot de passe est l’une des méthodes de connexion utilisées pour accomplir l’identité hybride. Microsoft Entra Connect synchronise le hachage du mot de passe d’un utilisateur entre une instance Active Directory locale et une instance Microsoft Entra basée sur le cloud. Par défaut, une fois qu’elle a été configurée, la synchronisation du hachage de mot de passe aura lieu sur tous les utilisateurs que vous synchronisez.
Si vous souhaitez exclure un sous-ensemble d’utilisateurs de la synchronisation du hachage de leurs mots de passe sur Microsoft Entra ID, vous pouvez configurer la synchronisation sélective du hachage de mot de passe en suivant les étapes guidées fournies dans cet article.
Important
Microsoft ne prend pas en charge la modification ou l’utilisation de la synchronisation Microsoft Entra Connect en dehors des configurations ou des actions documentées de façon formelle. Ces configurations ou actions peuvent entraîner un état de synchronisation Microsoft Entra Connect incohérent ou non pris en charge. Par conséquent, Microsoft ne peut pas garantir que nous serons capables de fournit un support technique efficace pour de tels déploiements.
Réfléchir à votre implémentation
Pour réduire l’effort administratif de la configuration, vous devez d’abord prendre en compte le nombre d’objets utilisateur que vous souhaitez exclure de la synchronisation du hachage de mot de passe. Vérifiez lequel des scénarios ci-dessous, qui s’excluent mutuellement, correspond à vos besoins afin de sélectionner l’option de configuration qui vous convient.
- Si le nombre d’utilisateurs à exclure est inférieur au nombre d’utilisateurs à inclure, suivez les étapes de cette section.
- Si le nombre d’utilisateurs à exclure est supérieur au nombre d’utilisateurs à inclure, suivez les étapes de cette section.
Important
Quelle que soit l’option de configuration choisie, une synchronisation initiale obligatoire (synchronisation complète) pour appliquer les modifications est effectuée automatiquement lors du cycle de synchronisation suivant.
Important
La configuration de la synchronisation sélective du hachage de mot de passe influence directement la réécriture du mot de passe. Les modifications de mot de passe ou les réinitialisations de mot de passe lancées dans Microsoft Entra ID sont réécrites dans Active Directory local uniquement si l’utilisateur est dans l’étendue de la synchronisation de hachage de mot de passe.
Important
La synchronisation sélective de hachage de mot de passe est prise en charge dans la version 1.6.2.4 de Microsoft Entra Connect ou ultérieure. Si vous utilisez une version antérieure, effectuez une mise à niveau vers la version la plus récente.
Attribut adminDescription
Les deux scénarios s’appuient sur la définition de l’attribut adminDescription des utilisateurs sur une valeur spécifique. Cela permet d’appliquer les règles et c’est ce qui permet à la synchronisation sélective du hachage de mot de passe de fonctionner.
Scénario | Valeur adminDescription |
---|---|
Moins d’utilisateurs exclus que d’utilisateurs inclus | PHSFiltered |
Plus d’utilisateurs exclus que d’utilisateurs inclus | PHSIncluded |
Cet attribut peut être défini :
- à l’aide de l’interface utilisateur Utilisateurs et ordinateurs Active Directory
- à l’aide de la cmdlet PowerShell
Set-ADUser
Pour plus d’informations, consultez Set-ADUser.
Désactiver le planificateur de synchronisation
Avant de commencer l’un ou l’autre scénario, vous devez désactiver le planificateur de synchronisation tout en modifiant les règles de synchronisation.
Démarrez Windows PowerShell et entrez.
Set-ADSyncScheduler -SyncCycleEnabled $false
Vérifiez que le planificateur est désactivé en exécutant la cmdlet suivante :
Get-ADSyncScheduler
Pour plus d’informations sur le planificateur, consultez Planificateur de synchronisation Microsoft Entra Connect.
Moins d’utilisateurs exclus que d’utilisateurs inclus
La section suivante décrit comment activer la synchronisation sélective du hachage de mot de passe lorsque le nombre d’utilisateurs à exclureest inférieur au nombre d’utilisateurs à inclure.
Important
Avant de continuer, vérifiez que le planificateur de synchronisation est désactivé comme indiqué ci-dessus.
- Créez une copie modifiable de l’entrée Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe désélectionnée et définissez son filtre d’étendue.
- Créez une autre copie modifiable de la valeur par défaut Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe sélectionnée et définissez son filtre d’étendue.
- Réactivez le planificateur de synchronisation.
- Dans Active Directory, définissez la valeur de l’attribut qui a été défini comme attribut d’étendue sur les utilisateurs que vous souhaitez autoriser dans la synchronisation du hachage de mot de passe.
Important
Les étapes fournies pour configurer la synchronisation sélective du hachage de mot de passe ne concernent que les objets utilisateur dont l’attribut adminDescription est renseigné dans Active Directory avec la valeur PHSFiltered. Si cet attribut n’est pas renseigné ou si la valeur est différente de PHSFiltered, ces règles ne seront pas appliquées aux objets utilisateur.
Configurer les règles de synchronisation nécessaires :
- Démarrez l’éditeur de règles de synchronisation et définissez les filtres Synchronisation des mots de passe sur Activé et Type de règle sur Standard.
- Sélectionnez la règle Entrant depuis AD – Utilisateur AccountEnabled pour le connecteur de forêt Active Directory sur lequel vous souhaitez configurer la synchronisation sélective du hachage de mot de passe, puis cliquez sur Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine.
- La première règle désactivera la synchronisation du hachage de mot de passe. Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Filtrer les utilisateurs par PHS. Remplacez la valeur de précédence par un nombre inférieur à 100 (par exemple 90 ou la valeur la plus basse disponible dans votre environnement). Assurez-vous que les cases à cocher Activer la synchronisation de mot de passe et Désactivé sont décochées. Cliquez sur Suivant.
- Dans Filtre d’étendue, cliquez sur Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et EQUAL dans la colonne Opérateur, puis entrez PHSFiltered comme valeur.
- Aucune autre modification n’est nécessaire. Les règles de jointure et les transformations doivent être laissées avec les paramètres copiés par défaut ; vous pouvez donc maintenant cliquer sur Enregistrer. Cliquez sur OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète sera exécutée lors du prochain cycle de synchronisation du connecteur.
- Ensuite, créez une autre règle personnalisée avec la synchronisation du hachage de mot de passe activée. Sélectionnez de nouveau la règle par défaut Entrant depuis AD – Utilisateur AccountEnabled pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective du hachage de mot de passe, puis cliquez sur Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine.
- Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Utilisateurs inclus pour la PHS.
Remplacez la valeur de précédence par un nombre inférieur à celui de la règle créée précédemment (dans cet exemple, ce sera 89).
Vérifiez que la case Activer la synchronisation de mot de passe est cochée et que celle pour Désactivé est décochée.
Cliquez sur Suivant.
- Dans Filtre d’étendue, cliquez sur Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et NOTEQUAL dans la colonne Opérateur, puis entrez PHSFiltered comme valeur.
- Aucune autre modification n’est nécessaire. Les règles de jointure et les transformations doivent être laissées avec les paramètres copiés par défaut ; vous pouvez donc maintenant cliquer sur Enregistrer. Cliquez sur OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète sera exécutée lors du prochain cycle de synchronisation du connecteur.
- Confirmez la création des règles. Supprimez les filtres Synchronisation du mot de passe : Activée et Type de règle : Standard. Vous devriez voir les deux nouvelles règles que vous venez de créer.
Réactiver le planificateur de synchronisation :
Une fois que vous avez terminé les étapes de configuration des règles de synchronisation nécessaires, réactivez le planificateur de synchronisation en procédant comme suit :
Dans Windows PowerShell, exécutez :
set-adsyncscheduler -synccycleenabled:$true
Vérifiez ensuite qu’il a été correctement activé en exécutant :
get-adsyncscheduler
Pour plus d’informations sur le planificateur, consultez Planificateur de synchronisation Microsoft Entra Connect.
Modifier l’attribut adminDescription des utilisateurs :
Une fois toutes les configurations terminées, vous devez modifier l’attribut adminDescription de tous les utilisateurs que vous souhaitez exclure de la synchronisation du hachage de mot de passe dans Active Directory et ajouter la chaîne utilisée dans le filtre d’étendue : PHSFiltered.
Vous pouvez également utiliser la commande PowerShell suivante pour modifier l’attribut adminDescription d’un utilisateur :
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Plus d’utilisateurs exclus que d’utilisateurs inclus
La section suivante décrit comment activer la synchronisation sélective du hachage de mot de passe lorsque le nombre d’utilisateurs à exclureest supérieur au nombre d’utilisateurs à inclure.
Important
Avant de continuer, vérifiez que le planificateur de synchronisation est désactivé comme indiqué ci-dessus.
Voici un résumé des actions qui seront effectuées dans les étapes ci-dessous :
- Créez une copie modifiable de l’entrée Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe désélectionnée et définissez son filtre d’étendue.
- Créez une autre copie modifiable de la valeur par défaut Entrant depuis AD – Utilisateur AccountEnabled avec l’option Activer la synchronisation de hachage du mot de passe sélectionnée et définissez son filtre d’étendue.
- Réactivez le planificateur de synchronisation.
- Dans Active Directory, définissez la valeur de l’attribut qui a été défini comme attribut d’étendue sur les utilisateurs que vous souhaitez autoriser dans la synchronisation du hachage de mot de passe.
Important
Les étapes fournies pour configurer la synchronisation sélective du hachage de mot de passe ne concernent que les objets utilisateur dont l’attribut adminDescription est renseigné dans Active Directory avec la valeur PHSIncluded. Si cet attribut n’est pas renseigné ou si la valeur est différente de PHSIncluded, ces règles ne seront pas appliquées aux objets utilisateur.
Configurer les règles de synchronisation nécessaires :
- Démarrez l’éditeur de règles de synchronisation et définissez les filtres Synchronisation des mots de passe sur Activé et Type de règle sur Standard.
- Sélectionnez la règle Entrant depuis AD – Utilisateur AccountEnabled pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective du hachage de mot de passe, puis cliquez sur Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine.
- La première règle désactivera la synchronisation du hachage de mot de passe. Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Filtrer les utilisateurs par PHS. Remplacez la valeur de précédence par un nombre inférieur à 100 (par exemple 90 ou la valeur la plus basse disponible dans votre environnement). Assurez-vous que les cases à cocher Activer la synchronisation de mot de passe et Désactivé sont décochées. Cliquez sur Suivant.
- Dans Filtre d’étendue, cliquez sur Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et NOTEQUAL dans la colonne Opérateur, puis entrez PHSIncluded comme valeur.
- Aucune autre modification n’est nécessaire. Les règles de jointure et les transformations doivent être laissées avec les paramètres copiés par défaut ; vous pouvez donc maintenant cliquer sur Enregistrer. Cliquez sur OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète sera exécutée lors du prochain cycle de synchronisation du connecteur.
- Ensuite, créez une autre règle personnalisée avec la synchronisation du hachage de mot de passe activée. Sélectionnez de nouveau la règle par défaut Entrant depuis AD – Utilisateur AccountEnabled pour la forêt Active Directory sur laquelle vous souhaitez configurer la synchronisation sélective du hachage de mot de passe, puis cliquez sur Modifier. Sélectionnez Oui dans la boîte de dialogue suivante pour créer une copie modifiable de la règle d’origine.
- Donnez le nom suivant à la nouvelle règle personnalisée : Entrant depuis AD – Utilisateur AccountEnabled – Utilisateurs inclus pour la PHS. Remplacez la valeur de précédence par un nombre inférieur à celui de la règle créée précédemment (dans cet exemple, ce sera 89). Vérifiez que la case Activer la synchronisation de mot de passe est cochée et que celle pour Désactivé est décochée. Cliquez sur Suivant.
- Dans Filtre d’étendue, cliquez sur Ajouter une clause. Sélectionnez adminDescription dans la colonne d’attribut et EQUAL dans la colonne Opérateur, puis entrez PHSIncluded comme valeur.
- Aucune autre modification n’est nécessaire. Les règles de jointure et les transformations doivent être laissées avec les paramètres copiés par défaut ; vous pouvez donc maintenant cliquer sur Enregistrer. Cliquez sur OK dans la boîte de dialogue d’avertissement indiquant qu’une synchronisation complète sera exécutée lors du prochain cycle de synchronisation du connecteur.
- Confirmez la création des règles. Supprimez les filtres Synchronisation du mot de passe : Activée et Type de règle : Standard. Vous devriez voir les deux nouvelles règles que vous venez de créer.
Réactiver le planificateur de synchronisation :
Une fois que vous avez terminé les étapes de configuration des règles de synchronisation nécessaires, réactivez le planificateur de synchronisation en procédant comme suit :
Dans Windows PowerShell, exécutez :
set-adsyncscheduler-synccycleenabled$true
Vérifiez ensuite qu’il a été correctement activé en exécutant :
get-adsyncscheduler
Pour plus d’informations sur le planificateur, consultez Planificateur de synchronisation Microsoft Entra Connect.
Modifier l’attribut adminDescription des utilisateurs :
Une fois toutes les configurations terminées, vous devez modifier l’attribut adminDescription pour tous les utilisateurs que vous souhaitez inclure pour la synchronisation du hachage de mot de passe dans Active Directory et ajouter la chaîne utilisée dans le filtre d’étendue : PHSIncluded.
Vous pouvez également utiliser la commande PowerShell suivante pour modifier l’attribut adminDescription d’un utilisateur :
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}