A Microsoft Entra Csatlakozás szelektív jelszókivonat-szinkronizálási konfigurációja
A jelszókivonat-szinkronizálás a hibrid identitás megvalósítására használt bejelentkezési módszerek egyike. A Microsoft Entra Csatlakozás egy felhasználó jelszavának kivonatát szinkronizálja egy helyi Active Directory-példányból egy felhőalapú Microsoft Entra-példányba. Alapértelmezés szerint a beállítás után a jelszókivonat-szinkronizálás az összes szinkronizált felhasználón megtörténik.
Ha azt szeretné, hogy a felhasználók egy részhalmaza ne szinkronizálja a jelszókivonatot a Microsoft Entra-azonosítóval, a jelen cikkben ismertetett irányított lépések végrehajtásával konfigurálhatja a szelektív jelszókivonat-szinkronizálást.
Fontos
A Microsoft nem támogatja a Microsoft Entra Csatlakozás Sync módosítását vagy üzemeltetését a hivatalosan dokumentált konfigurációkon vagy műveleteken kívül. Ezen konfigurációk vagy műveletek bármelyike a Microsoft Entra Csatlakozás Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tudja garantálni, hogy hatékony technikai támogatást tudunk nyújtani az ilyen üzemelő példányokhoz.
Fontolja meg a megvalósítást
A konfigurációs rendszergazdai munka csökkentése érdekében először vegye figyelembe a jelszókivonat-szinkronizálásból kizárni kívánt felhasználói objektumok számát. Ellenőrizze, hogy az alábbi, kölcsönösen kizáró forgatókönyvek közül melyik felel meg a követelményeknek a megfelelő konfigurációs beállítás kiválasztásához.
- Ha a kizárandó felhasználók száma kisebb, mint a felvenni kívánt felhasználók száma, kövesse az ebben a szakaszban leírt lépéseket.
- Ha a kizárandó felhasználók száma nagyobb, mint a felvenni kívánt felhasználók száma, kövesse az ebben a szakaszban ismertetett lépéseket.
Fontos
Ha bármelyik konfigurációs beállítást választja, a módosítások alkalmazásához szükséges kezdeti szinkronizálás (teljes szinkronizálás) automatikusan megtörténik a következő szinkronizálási ciklus során.
Fontos
A szelektív jelszókivonat-szinkronizálás konfigurálása közvetlenül befolyásolja a jelszóvisszaírást. A Microsoft Entra ID-ban kezdeményezett jelszómódosítások vagy jelszó-visszaállítások csak akkor írhatók vissza helyi Active Directory, ha a felhasználó a jelszókivonat-szinkronizálás hatókörébe tartozik.
Fontos
A Microsoft Entra Csatlakozás 1.6.2.4 vagy újabb verziói támogatják a szelektív jelszókivonat-szinkronizálást. Ha ennél alacsonyabb verziót használ, frissítsen a legújabb verzióra.
Az adminDescription attribútum
Mindkét forgatókönyv a felhasználók adminDescription attribútumának adott értékre állításán alapul. Ez lehetővé teszi a szabályok alkalmazását, és ez teszi a szelektív PHS működését.
Eset | adminDescription érték |
---|---|
A kizárt felhasználók kisebbek a belefoglalt felhasználóknál | PHSFiltered |
A kizárt felhasználók nagyobbak a belefoglalt felhasználóknál | PHSIncluded |
Ez az attribútum a következőkre állítható be:
- a Active Directory - felhasználók és számítógépek felhasználói felületének használata
- PowerShell-parancsmag használatával
Set-ADUser
. További információ: Set-ADUser.
A szinkronizálásütemező letiltása:
Mielőtt bármelyik forgatókönyvet elkezdené, le kell tiltania a szinkronizálási ütemezőt, miközben módosítja a szinkronizálási szabályokat.
Indítsa el a Windows PowerShellt, és írja be.
Set-ADSyncScheduler -SyncCycleEnabled $false
Ellenőrizze, hogy az ütemező le van-e tiltva a következő parancsmag futtatásával:
Get-ADSyncScheduler
Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.
A kizárt felhasználók kisebbek a belefoglalt felhasználóknál
A következő szakasz azt ismerteti, hogyan engedélyezheti a szelektív jelszókivonat-szinkronizálást, ha a kizárni kívánt felhasználók száma kisebb, mint a felvenni kívánt felhasználók száma.
Fontos
Mielőtt továbblép, győződjön meg arról, hogy a szinkronizálásütemező le van tiltva a fent ismertetett módon.
- A Be fájl szerkeszthető másolatának létrehozása az AD-ből – User AccountEnabled lehetőséggel a jelszókivonat-szinkronizálás nincs kiválasztva , és a hatókörszűrő meghatározása
- Hozzon létre egy másik szerkeszthető másolatot az alapértelmezett In from AD – User AccountEnabled fájlról, amely lehetővé teszi a jelszókivonat-szinkronizálás kiválasztását és a hatókörszűrő definiálását
- A szinkronizálásütemező újbóli engedélyezése
- Állítsa be az Active Directoryban a hatókör-attribútumként definiált attribútum értékét azon felhasználókon, amelyeket engedélyezni szeretne a jelszókivonat-szinkronizálásban.
Fontos
A szelektív jelszókivonat-szinkronizálás konfigurálásához megadott lépések csak azokat a felhasználói objektumokat érintik, amelyeknél az AdminDescription attribútum az Active Directoryban a PHSFiltered értékével van feltöltve. Ha ez az attribútum nincs feltöltve, vagy az érték más, mint a PHSFiltered, akkor ezek a szabályok nem lesznek alkalmazva a felhasználói objektumokra.
Konfigurálja a szükséges szinkronizálási szabályokat:
- Indítsa el a Szinkronizálási szabályok szerkesztőt, és állítsa be a Jelszószinkronizálás szűrőt Be értékre, a szabálytípust pedig Standard értékre.
- Válassza ki az Active Directory-erdőhöz tartozó In (Be) szabályt az Active Directory-erdő felhasználói fiókjában, Csatlakozás vagy a szelektív jelszó kivonat-szinkronizálását szeretné konfigurálni, majd kattintson a Szerkesztés gombra. Válassza az Igen lehetőséget a következő párbeszédpanelen az eredeti szabály szerkeszthető másolatának létrehozásához.
- Az első szabály letiltja a jelszókivonat-szinkronizálást. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Filter Users from PHS. Módosítsa az elsőbbségi értéket 100-nál kisebb számra (például 90 vagy amelyik a környezetben elérhető legalacsonyabb érték). Győződjön meg arról, hogy az Enable Password Sync and Disabled (Jelszószinkronizálás engedélyezése és letiltása) jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra.
- A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban, egyenlőség az Operátor oszlopban,és adja meg a PHSFiltered értéket.
- Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni.
- Ezután hozzon létre egy másik egyéni szabályt, amelyen engedélyezve van a jelszókivonat-szinkronizálás. Válassza ki ismét az alapértelmezett Be szabályt az AD-ből – A felhasználói fiók az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához.
- Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Users included for PHS.
Módosítsa az elsőbbségi értéket a korábban létrehozott szabálynál alacsonyabb számra (ebben a példában ez 89 lesz).
Győződjön meg arról, hogy a Jelszószinkronizálás engedélyezése jelölőnégyzet be van jelölve, és a Letiltva jelölőnégyzet nincs bejelölve.
Kattintson a Tovább gombra.
- A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza ki az adminDescription lehetőséget az attribútumoszlopban, a NOTEQUAL értéket az Operátor oszlopban, és adja meg a PHSFiltered értéket.
- Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni.
- Erősítse meg a szabályok létrehozását. Távolítsa el a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőit. És az imént létrehozott új szabályokat is látnia kell.
Szinkronizálásütemező újbóli engedélyezése:
Miután elvégezte a szükséges szinkronizálási szabályok konfigurálásához szükséges lépéseket, engedélyezze újra a szinkronizálásütemezőt az alábbi lépésekkel:
Windows PowerShellben futtassa a következőt:
set-adsyncscheduler -synccycleenabled:$true
Ezután ellenőrizze, hogy sikeresen engedélyezve lett-e a következő futtatásával:
get-adsyncscheduler
Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.
Felhasználók szerkesztése adminDescription attribútum:
Ha minden konfiguráció befejeződött, szerkesztenie kell az attribútum adminDescription elemét az Active Directory jelszókivonat-szinkronizálásából kizárnikívánt összes felhasználó esetében, és hozzá kell adnia a hatókörszűrőben használt sztringet: PHSFiltered.
A következő PowerShell-paranccsal is szerkesztheti a felhasználó adminDescription attribútumát:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
A kizárt felhasználók nagyobbak a belefoglalt felhasználóknál
A következő szakasz azt ismerteti, hogyan engedélyezheti a szelektív jelszókivonat-szinkronizálást, ha a kizárni kívánt felhasználók száma nagyobb, mint a felvenni kívánt felhasználók száma.
Fontos
Mielőtt továbblép, győződjön meg arról, hogy a szinkronizálásütemező le van tiltva a fent ismertetett módon.
Az alábbiakban összefoglaljuk az alábbi lépésekben végrehajtandó műveleteket:
- A Be fájl szerkeszthető másolatának létrehozása az AD-ből – User AccountEnabled lehetőséggel a jelszókivonat-szinkronizálás nincs kiválasztva , és a hatókörszűrő meghatározása
- Hozzon létre egy másik szerkeszthető másolatot az alapértelmezett In from AD – User AccountEnabled fájlról, amely lehetővé teszi a jelszókivonat-szinkronizálás kiválasztását és a hatókörszűrő definiálását
- A szinkronizálásütemező újbóli engedélyezése
- Állítsa be az Active Directoryban a hatókör-attribútumként definiált attribútum értékét azon felhasználókon, amelyeket engedélyezni szeretne a jelszókivonat-szinkronizálásban.
Fontos
A szelektív jelszókivonat-szinkronizálás konfigurálásához megadott lépések csak azokat a felhasználói objektumokat érintik, amelyeknél az AdminDescription attribútum az Active Directoryban a PHSIncluded értékével van feltöltve. Ha ez az attribútum nincs feltöltve, vagy az érték nem a PHSIncludeded függvény, akkor ezek a szabályok nem lesznek alkalmazva a felhasználói objektumokra.
Konfigurálja a szükséges szinkronizálási szabályokat:
- Indítsa el a szinkronizálási szabályok szerkesztőt, és állítsa be a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőt.
- Válassza ki a Be szabályt az AD - User AccountEnabled elemből ahhoz az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához.
- Az első szabály letiltja a jelszókivonat-szinkronizálást. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Filter Users from PHS. Módosítsa az elsőbbségi értéket 100-nál kisebb számra (például 90 vagy amelyik a környezetben elérhető legalacsonyabb érték). Győződjön meg arról, hogy az Enable Password Sync and Disabled (Jelszószinkronizálás engedélyezése és letiltása) jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra.
- A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban, a NOTEQUAL értéket az Operátor oszlopban, és adja meg a PHSIncludeded értéket.
- Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni.
- Ezután hozzon létre egy másik egyéni szabályt, amelyen engedélyezve van a jelszókivonat-szinkronizálás. Válassza ki ismét az alapértelmezett Be szabályt az AD-ből – A felhasználói fiók az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához.
- Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Users included for PHS. Módosítsa az elsőbbségi értéket a korábban létrehozott szabálynál alacsonyabb számra (ebben a példában ez 89 lesz). Győződjön meg arról, hogy a Jelszószinkronizálás engedélyezése jelölőnégyzet be van jelölve, és a Letiltva jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra.
- A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban,egyenlőség az Operátor oszlopban, és adja meg a PHSIncludeded értéket.
- Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni.
- Erősítse meg a szabályok létrehozását. Távolítsa el a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőit. És az imént létrehozott új szabályokat is látnia kell.
Szinkronizálásütemező újbóli engedélyezése:
Miután elvégezte a szükséges szinkronizálási szabályok konfigurálásához szükséges lépéseket, engedélyezze újra a szinkronizálásütemezőt az alábbi lépésekkel:
A Windows PowerShellben futtassa a következőt:
set-adsyncscheduler-synccycleenabled$true
Ezután ellenőrizze, hogy sikeresen engedélyezve lett-e a következő futtatásával:
get-adsyncscheduler
Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.
Felhasználók szerkesztése adminDescription attribútum:
Ha az összes konfiguráció befejeződött, szerkesztenie kell az attribútum adminDescription parancsát az Active Directory jelszókivonat-szinkronizálásához használni kívántösszes felhasználó esetében, és hozzá kell adnia a hatókörszűrőben használt sztringet: PHSIncluded.
A következő PowerShell-paranccsal is szerkesztheti a felhasználó adminDescription attribútumát:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}