A Microsoft Entra Csatlakozás szelektív jelszókivonat-szinkronizálási konfigurációja

  • Cikk

A jelszókivonat-szinkronizálás a hibrid identitás megvalósítására használt bejelentkezési módszerek egyike. A Microsoft Entra Csatlakozás egy felhasználó jelszavának kivonatát szinkronizálja egy helyi Active Directory-példányból egy felhőalapú Microsoft Entra-példányba. Alapértelmezés szerint a beállítás után a jelszókivonat-szinkronizálás az összes szinkronizált felhasználón megtörténik.

Ha azt szeretné, hogy a felhasználók egy részhalmaza ne szinkronizálja a jelszókivonatot a Microsoft Entra-azonosítóval, a jelen cikkben ismertetett irányított lépések végrehajtásával konfigurálhatja a szelektív jelszókivonat-szinkronizálást.

Fontos

A Microsoft nem támogatja a Microsoft Entra Csatlakozás Sync módosítását vagy üzemeltetését a hivatalosan dokumentált konfigurációkon vagy műveleteken kívül. Ezen konfigurációk vagy műveletek bármelyike a Microsoft Entra Csatlakozás Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tudja garantálni, hogy hatékony technikai támogatást tudunk nyújtani az ilyen üzemelő példányokhoz.

Fontolja meg a megvalósítást

A konfigurációs rendszergazdai munka csökkentése érdekében először vegye figyelembe a jelszókivonat-szinkronizálásból kizárni kívánt felhasználói objektumok számát. Ellenőrizze, hogy az alábbi, kölcsönösen kizáró forgatókönyvek közül melyik felel meg a követelményeknek a megfelelő konfigurációs beállítás kiválasztásához.

  • Ha a kizárandó felhasználók száma kisebb, mint a felvenni kívánt felhasználók száma, kövesse az ebben a szakaszban leírt lépéseket.
  • Ha a kizárandó felhasználók száma nagyobb, mint a felvenni kívánt felhasználók száma, kövesse az ebben a szakaszban ismertetett lépéseket.

Fontos

Ha bármelyik konfigurációs beállítást választja, a módosítások alkalmazásához szükséges kezdeti szinkronizálás (teljes szinkronizálás) automatikusan megtörténik a következő szinkronizálási ciklus során.

Fontos

A szelektív jelszókivonat-szinkronizálás konfigurálása közvetlenül befolyásolja a jelszóvisszaírást. A Microsoft Entra ID-ban kezdeményezett jelszómódosítások vagy jelszó-visszaállítások csak akkor írhatók vissza helyi Active Directory, ha a felhasználó a jelszókivonat-szinkronizálás hatókörébe tartozik.

Fontos

A Microsoft Entra Csatlakozás 1.6.2.4 vagy újabb verziói támogatják a szelektív jelszókivonat-szinkronizálást. Ha ennél alacsonyabb verziót használ, frissítsen a legújabb verzióra.

Az adminDescription attribútum

Mindkét forgatókönyv a felhasználók adminDescription attribútumának adott értékre állításán alapul. Ez lehetővé teszi a szabályok alkalmazását, és ez teszi a szelektív PHS működését.

Eset adminDescription érték
A kizárt felhasználók kisebbek a belefoglalt felhasználóknál PHSFiltered
A kizárt felhasználók nagyobbak a belefoglalt felhasználóknál PHSIncluded

Ez az attribútum a következőkre állítható be:

  • a Active Directory - felhasználók és számítógépek felhasználói felületének használata
  • PowerShell-parancsmag használatával Set-ADUser . További információ: Set-ADUser.

A szinkronizálásütemező letiltása:

Mielőtt bármelyik forgatókönyvet elkezdené, le kell tiltania a szinkronizálási ütemezőt, miközben módosítja a szinkronizálási szabályokat.

  1. Indítsa el a Windows PowerShellt, és írja be.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Ellenőrizze, hogy az ütemező le van-e tiltva a következő parancsmag futtatásával:

    Get-ADSyncScheduler

Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.

A kizárt felhasználók kisebbek a belefoglalt felhasználóknál

A következő szakasz azt ismerteti, hogyan engedélyezheti a szelektív jelszókivonat-szinkronizálást, ha a kizárni kívánt felhasználók száma kisebb, mint a felvenni kívánt felhasználók száma.

Fontos

Mielőtt továbblép, győződjön meg arról, hogy a szinkronizálásütemező le van tiltva a fent ismertetett módon.

  • A Be fájl szerkeszthető másolatának létrehozása az AD-ből – User AccountEnabled lehetőséggel a jelszókivonat-szinkronizálás nincs kiválasztva , és a hatókörszűrő meghatározása
  • Hozzon létre egy másik szerkeszthető másolatot az alapértelmezett In from AD – User AccountEnabled fájlról, amely lehetővé teszi a jelszókivonat-szinkronizálás kiválasztását és a hatókörszűrő definiálását
  • A szinkronizálásütemező újbóli engedélyezése
  • Állítsa be az Active Directoryban a hatókör-attribútumként definiált attribútum értékét azon felhasználókon, amelyeket engedélyezni szeretne a jelszókivonat-szinkronizálásban.

Fontos

A szelektív jelszókivonat-szinkronizálás konfigurálásához megadott lépések csak azokat a felhasználói objektumokat érintik, amelyeknél az AdminDescription attribútum az Active Directoryban a PHSFiltered értékével van feltöltve. Ha ez az attribútum nincs feltöltve, vagy az érték más, mint a PHSFiltered, akkor ezek a szabályok nem lesznek alkalmazva a felhasználói objektumokra.

Konfigurálja a szükséges szinkronizálási szabályokat:

  1. Indítsa el a Szinkronizálási szabályok szerkesztőt, és állítsa be a Jelszószinkronizálás szűrőt Be értékre, a szabálytípust pedig Standard értékre. Start sync rules editor
  2. Válassza ki az Active Directory-erdőhöz tartozó In (Be) szabályt az Active Directory-erdő felhasználói fiókjában, Csatlakozás vagy a szelektív jelszó kivonat-szinkronizálását szeretné konfigurálni, majd kattintson a Szerkesztés gombra. Válassza az Igen lehetőséget a következő párbeszédpanelen az eredeti szabály szerkeszthető másolatának létrehozásához. Select rule
  3. Az első szabály letiltja a jelszókivonat-szinkronizálást. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Filter Users from PHS. Módosítsa az elsőbbségi értéket 100-nál kisebb számra (például 90 vagy amelyik a környezetben elérhető legalacsonyabb érték). Győződjön meg arról, hogy az Enable Password Sync and Disabled (Jelszószinkronizálás engedélyezése és letiltása) jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra. Edit inbound
  4. A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban, egyenlőség az Operátor oszlopban,és adja meg a PHSFiltered értéket. Scoping filter
  5. Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni. Save rule
  6. Ezután hozzon létre egy másik egyéni szabályt, amelyen engedélyezve van a jelszókivonat-szinkronizálás. Válassza ki ismét az alapértelmezett Be szabályt az AD-ből – A felhasználói fiók az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához. Custom rule
  7. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Users included for PHS. Módosítsa az elsőbbségi értéket a korábban létrehozott szabálynál alacsonyabb számra (ebben a példában ez 89 lesz). Győződjön meg arról, hogy a Jelszószinkronizálás engedélyezése jelölőnégyzet be van jelölve, és a Letiltva jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra.
    Edit new rule
  8. A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza ki az adminDescription lehetőséget az attribútumoszlopban, a NOTEQUAL értéket az Operátor oszlopban, és adja meg a PHSFiltered értéket. Scope rule
  9. Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni. Join rules
  10. Erősítse meg a szabályok létrehozását. Távolítsa el a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőit. És az imént létrehozott új szabályokat is látnia kell. Confirm rules

Szinkronizálásütemező újbóli engedélyezése:

Miután elvégezte a szükséges szinkronizálási szabályok konfigurálásához szükséges lépéseket, engedélyezze újra a szinkronizálásütemezőt az alábbi lépésekkel:

  1. Windows PowerShellben futtassa a következőt:

    set-adsyncscheduler -synccycleenabled:$true

  2. Ezután ellenőrizze, hogy sikeresen engedélyezve lett-e a következő futtatásával:

    get-adsyncscheduler

Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.

Felhasználók szerkesztése adminDescription attribútum:

Ha minden konfiguráció befejeződött, szerkesztenie kell az attribútum adminDescription elemét az Active Directory jelszókivonat-szinkronizálásából kizárnikívánt összes felhasználó esetében, és hozzá kell adnia a hatókörszűrőben használt sztringet: PHSFiltered.

Edit attribute

A következő PowerShell-paranccsal is szerkesztheti a felhasználó adminDescription attribútumát:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

A kizárt felhasználók nagyobbak a belefoglalt felhasználóknál

A következő szakasz azt ismerteti, hogyan engedélyezheti a szelektív jelszókivonat-szinkronizálást, ha a kizárni kívánt felhasználók száma nagyobb, mint a felvenni kívánt felhasználók száma.

Fontos

Mielőtt továbblép, győződjön meg arról, hogy a szinkronizálásütemező le van tiltva a fent ismertetett módon.

Az alábbiakban összefoglaljuk az alábbi lépésekben végrehajtandó műveleteket:

  • A Be fájl szerkeszthető másolatának létrehozása az AD-ből – User AccountEnabled lehetőséggel a jelszókivonat-szinkronizálás nincs kiválasztva , és a hatókörszűrő meghatározása
  • Hozzon létre egy másik szerkeszthető másolatot az alapértelmezett In from AD – User AccountEnabled fájlról, amely lehetővé teszi a jelszókivonat-szinkronizálás kiválasztását és a hatókörszűrő definiálását
  • A szinkronizálásütemező újbóli engedélyezése
  • Állítsa be az Active Directoryban a hatókör-attribútumként definiált attribútum értékét azon felhasználókon, amelyeket engedélyezni szeretne a jelszókivonat-szinkronizálásban.

Fontos

A szelektív jelszókivonat-szinkronizálás konfigurálásához megadott lépések csak azokat a felhasználói objektumokat érintik, amelyeknél az AdminDescription attribútum az Active Directoryban a PHSIncluded értékével van feltöltve. Ha ez az attribútum nincs feltöltve, vagy az érték nem a PHSIncludeded függvény, akkor ezek a szabályok nem lesznek alkalmazva a felhasználói objektumokra.

Konfigurálja a szükséges szinkronizálási szabályokat:

  1. Indítsa el a szinkronizálási szabályok szerkesztőt, és állítsa be a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőt. Rule type
  2. Válassza ki a Be szabályt az AD - User AccountEnabled elemből ahhoz az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához. In from AD
  3. Az első szabály letiltja a jelszókivonat-szinkronizálást. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Filter Users from PHS. Módosítsa az elsőbbségi értéket 100-nál kisebb számra (például 90 vagy amelyik a környezetben elérhető legalacsonyabb érték). Győződjön meg arról, hogy az Enable Password Sync and Disabled (Jelszószinkronizálás engedélyezése és letiltása) jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra. Set precedence
  4. A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban, a NOTEQUAL értéket az Operátor oszlopban, és adja meg a PHSIncludeded értéket. Add clause
  5. Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni. Transformation
  6. Ezután hozzon létre egy másik egyéni szabályt, amelyen engedélyezve van a jelszókivonat-szinkronizálás. Válassza ki ismét az alapértelmezett Be szabályt az AD-ből – A felhasználói fiók az Active Directory-erdőhöz, amelyen konfigurálni szeretné a szelektív jelszót, és kattintson a Szerkesztés gombra. A következő párbeszédpanelen válassza az Igen lehetőséget az eredeti szabály szerkeszthető másolatának létrehozásához. User AccountEnabled
  7. Adja meg a következő nevet az új egyéni szabálynak: In from AD – User AccountEnabled – Users included for PHS. Módosítsa az elsőbbségi értéket a korábban létrehozott szabálynál alacsonyabb számra (ebben a példában ez 89 lesz). Győződjön meg arról, hogy a Jelszószinkronizálás engedélyezése jelölőnégyzet be van jelölve, és a Letiltva jelölőnégyzet nincs bejelölve. Kattintson a Tovább gombra. Enable Password Sync
  8. A Hatókörszűrőben kattintson a Záradék hozzáadása elemre. Válassza az adminDescription lehetőséget az attribútumoszlopban,egyenlőség az Operátor oszlopban, és adja meg a PHSIncludeded értéket. PHSIncluded
  9. Nincs szükség további módosításokra. Az illesztés szabályait és az átalakításokat az alapértelmezett másolt beállításokkal kell hagyni, hogy a Mentés gombra kattinthasson. Kattintson az OK gombra a figyelmeztető párbeszédpanelen, amely tájékoztatja, hogy a teljes szinkronizálás az összekötő következő szinkronizálási ciklusában fog futni. Save now
  10. Erősítse meg a szabályok létrehozását. Távolítsa el a Jelszószinkronizálás bekapcsolva és a Szabálytípus standard szűrőit. És az imént létrehozott új szabályokat is látnia kell. Sync on

Szinkronizálásütemező újbóli engedélyezése:

Miután elvégezte a szükséges szinkronizálási szabályok konfigurálásához szükséges lépéseket, engedélyezze újra a szinkronizálásütemezőt az alábbi lépésekkel:

  1. A Windows PowerShellben futtassa a következőt:

    set-adsyncscheduler-synccycleenabled$true

  2. Ezután ellenőrizze, hogy sikeresen engedélyezve lett-e a következő futtatásával:

    get-adsyncscheduler

Az ütemezőről további információt a Microsoft Entra Csatlakozás Sync scheduler című témakörben talál.

Felhasználók szerkesztése adminDescription attribútum:

Ha az összes konfiguráció befejeződött, szerkesztenie kell az attribútum adminDescription parancsát az Active Directory jelszókivonat-szinkronizálásához használni kívántösszes felhasználó esetében, és hozzá kell adnia a hatókörszűrőben használt sztringet: PHSIncluded.

Edit attributes

A következő PowerShell-paranccsal is szerkesztheti a felhasználó adminDescription attribútumát:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Következő lépések