Configurazione selettiva della sincronizzazione dell'hash delle password per Microsoft Entra Connessione

  • Articolo

La sincronizzazione dell'hash delle password è uno dei metodi di accesso usati per eseguire l'identità ibrida. Microsoft Entra Connect sincronizza un hash, dell'hash della password utente da un'istanza di Active Directory locale a un'istanza basata sul cloud di Microsoft Entra. Per impostazione predefinita, una volta configurata, la sincronizzazione dell'hash delle password verrà eseguita su tutti gli utenti sincronizzati.

Se si vuole avere un subset di utenti esclusi dalla sincronizzazione dell'hash delle password con l'ID Microsoft Entra, è possibile configurare la sincronizzazione selettiva dell'hash delle password usando i passaggi guidati forniti in questo articolo.

Importante

Microsoft non supporta la modifica o il funzionamento di Microsoft Entra Connessione Sync all'esterno delle configurazioni o delle azioni documentate formalmente. Una di queste configurazioni o azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Connessione Sync. Di conseguenza, Microsoft non può garantire che saremo in grado di fornire un supporto tecnico efficiente per tali distribuzioni.

Prendere in considerazione l'implementazione

Per ridurre il lavoro amministrativo di configurazione, è necessario considerare innanzitutto il numero di oggetti utente da escludere dalla sincronizzazione dell'hash delle password. Verificare quali degli scenari seguenti, che si escludono a vicenda, si allineano ai requisiti per selezionare l'opzione di configurazione appropriata.

  • Se il numero di utenti da escludere è inferiore al numero di utenti da includere, seguire la procedura descritta in questa sezione.
  • Se il numero di utenti da escludere è maggiore del numero di utenti da includere, seguire la procedura descritta in questa sezione.

Importante

Con una delle opzioni di configurazione scelte, una sincronizzazione iniziale obbligatoria (sincronizzazione completa) per applicare le modifiche verrà eseguita automaticamente nel ciclo di sincronizzazione successivo.

Importante

La configurazione della sincronizzazione selettiva dell'hash delle password influisce direttamente sul writeback delle password. Le modifiche delle password o le reimpostazioni delle password avviate in Microsoft Entra ID rescrivano in Active Directory locale solo se l'utente è nell'ambito della sincronizzazione dell'hash delle password.

Importante

La sincronizzazione selettiva dell'hash delle password è supportata in Microsoft Entra Connessione 1.6.2.4 o versione successiva. Se si usa una versione precedente, eseguire l'aggiornamento alla versione più recente.

Attributo adminDescription

Entrambi gli scenari si basano sull'impostazione dell'attributo adminDescription degli utenti su un valore specifico. Ciò consente di applicare le regole ed è ciò che rende il lavoro selettivo PHS.

Scenario valore adminDescription
Gli utenti esclusi sono più piccoli degli utenti inclusi PHSFiltered
Gli utenti esclusi sono maggiori di quelli inclusi PHSIncluded

Questo attributo può essere impostato:

  • uso dell'interfaccia utente di Utenti e computer di Active Directory
  • uso del Set-ADUser cmdlet di PowerShell. Per altre informazioni, vedere Set-ADUser.

Disabilitare l'utilità di pianificazione della sincronizzazione:

Prima di iniziare uno scenario, è necessario disabilitare l'utilità di pianificazione della sincronizzazione durante l'esecuzione delle modifiche alle regole di sincronizzazione.

  1. Avviare Windows PowerShell e immettere.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Verificare che l'utilità di pianificazione sia disabilitata eseguendo il cmdlet seguente:

    Get-ADSyncScheduler

Per altre informazioni sull'utilità di pianificazione, vedere Utilità di pianificazione di Microsoft Entra Connessione Sync.

Gli utenti esclusi sono più piccoli degli utenti inclusi

La sezione seguente descrive come abilitare la sincronizzazione selettiva dell'hash delle password quando il numero di utenti da escludere è inferiore al numero di utenti da includere.

Importante

Prima di procedere, assicurarsi che l'utilità di pianificazione della sincronizzazione sia disabilitata come descritto in precedenza.

  • Creare una copia modificabile di In da ACTIVE Directory - Account utenteEnabled con l'opzione per abilitare la sincronizzazione dell'hash delle password non selezionata e definirne il filtro di ambito
  • Creare un'altra copia modificabile dell'impostazione predefinita In da AD - Account utenteEnabled con l'opzione per abilitare la sincronizzazione dell'hash delle password selezionata e definirne il filtro di ambito
  • Riabilitare l'utilità di pianificazione della sincronizzazione
  • Impostare il valore dell'attributo, in Active Directory, definito come attributo di ambito per gli utenti che si desidera consentire nella sincronizzazione dell'hash delle password.

Importante

I passaggi forniti per configurare la sincronizzazione selettiva dell'hash delle password influiscono solo sugli oggetti utente con l'attributo adminDescription popolato in Active Directory con il valore phSFiltered. Se questo attributo non viene popolato o il valore è diverso da PHSFiltered , queste regole non verranno applicate agli oggetti utente.

Configurare le regole di sincronizzazione necessarie:

  1. Avviare l'Editor regole di sincronizzazione e impostare i filtri Sincronizzazione password su e Tipo di regola su Standard. Start sync rules editor
  2. Selezionare la regola In from AD – User AccountEnabled for the Active Directory forest Connessione or you want to configure selective password had hash synchronization on (In active Directory - Account utenteEnabled for the Active Directory forest Connessione or you want to configure selective password had hash synchronization on and click Edit( Modifica). Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. Select rule
  3. La prima regola disabiliterà la sincronizzazione dell'hash delle password. Specificare il nome seguente alla nuova regola personalizzata: in da AD - Account utenteEnabled - Filtra utenti da PHS. Modificare il valore di precedenza impostando un numero inferiore a 100 (ad esempio 90 o quale sia il valore più basso disponibile nell'ambiente). Assicurarsi che le caselle di controllo Abilita sincronizzazione password e Disabilitato siano deselezionate. Fare clic su Avanti. Edit inbound
  4. In Filtro ambito fare clic su Aggiungi clausola. Selezionare adminDescription nella colonna attributo EQUAL nella colonna Operatore e immettere PHSFiltered come valore. Scoping filter
  5. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate in modo da poter fare clic su Salva ora. Fare clic su OK nella finestra di dialogo di avviso che informa che verrà eseguita una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Save rule
  6. Creare quindi un'altra regola personalizzata con la sincronizzazione dell'hash delle password abilitata. Selezionare di nuovo la regola predefinita In from AD – User AccountEnabled per la foresta active Directory in cui si vuole configurare la sincronizzazione selettiva della password e fare clic su Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. Custom rule
  7. Specificare il nome seguente alla nuova regola personalizzata: da AD - Account utenteEnabled - Utenti inclusi per PHS. Modificare il valore di precedenza in un numero inferiore rispetto alla regola creata in precedenza (in questo esempio che sarà 89). Assicurarsi che la casella di controllo Abilita sincronizzazione password sia selezionata e che la casella di controllo Disabilitata sia deselezionata. Fare clic su Avanti.
    Edit new rule
  8. In Filtro ambito fare clic su Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo NOTEQUAL nella colonna Operatore e immettere PHSFiltered come valore. Scope rule
  9. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate in modo da poter fare clic su Salva ora. Fare clic su OK nella finestra di dialogo di avviso che informa che verrà eseguita una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Join rules
  10. Confermare la creazione delle regole. Rimuovere i filtri Sincronizzazionepassword Su e Tipo diregola Standard. Verranno visualizzate entrambe le nuove regole appena create. Confirm rules

Riabilitare l'utilità di pianificazione della sincronizzazione:

Dopo aver completato i passaggi per configurare le regole di sincronizzazione necessarie, riabilitare l'utilità di pianificazione della sincronizzazione seguendo questa procedura:

  1. In Windows PowerShell eseguire:

    set-adsyncscheduler -synccycleenabled:$true

  2. Verificare quindi che sia stato abilitato correttamente eseguendo:

    get-adsyncscheduler

Per altre informazioni sull'utilità di pianificazione, vedere Utilità di pianificazione di Microsoft Entra Connessione Sync.

Modificare l'attributo adminDescription degli utenti:

Al termine di tutte le configurazioni, è necessario modificare l'attributo adminDescription per tutti gli utenti da escludere dalla sincronizzazione dell'hash delle password in Active Directory e aggiungere la stringa usata nel filtro di ambito: PHSFiltered.

Edit attribute

È anche possibile usare il comando di PowerShell seguente per modificare l'attributo adminDescription di un utente:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Gli utenti esclusi sono maggiori di quelli inclusi

La sezione seguente descrive come abilitare la sincronizzazione selettiva dell'hash delle password quando il numero di utenti da escludere è maggiore del numero di utenti da includere.

Importante

Prima di procedere, assicurarsi che l'utilità di pianificazione della sincronizzazione sia disabilitata come descritto in precedenza.

Di seguito è riportato un riepilogo delle azioni che verranno eseguite nei passaggi seguenti:

  • Creare una copia modificabile di In da ACTIVE Directory - Account utenteEnabled con l'opzione per abilitare la sincronizzazione dell'hash delle password non selezionata e definirne il filtro di ambito
  • Creare un'altra copia modificabile dell'impostazione predefinita In da AD - Account utenteEnabled con l'opzione per abilitare la sincronizzazione dell'hash delle password selezionata e definirne il filtro di ambito
  • Riabilitare l'utilità di pianificazione della sincronizzazione
  • Impostare il valore dell'attributo, in Active Directory, definito come attributo di ambito per gli utenti che si desidera consentire nella sincronizzazione dell'hash delle password.

Importante

I passaggi forniti per configurare la sincronizzazione selettiva dell'hash delle password influiscono solo sugli oggetti utente con l'attributo adminDescription popolato in Active Directory con il valore phSIncluded. Se questo attributo non viene popolato o il valore è diverso da PHSIncluded , queste regole non verranno applicate agli oggetti utente.

Configurare le regole di sincronizzazione necessarie:

  1. Avviare l'Editor regole di sincronizzazione e impostare i filtri Sincronizzazionepassword Su e Tipo diregola Standard. Rule type
  2. Selezionare la regola In from AD – User AccountEnabled per la foresta Active Directory in cui si vuole configurare la sincronizzazione della password selettiva e fare clic su Modifica.Select the rule In from AD – User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on and click Edit. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. In from AD
  3. La prima regola disabiliterà la sincronizzazione dell'hash delle password. Specificare il nome seguente alla nuova regola personalizzata: in da AD - Account utenteEnabled - Filtra utenti da PHS. Modificare il valore di precedenza impostando un numero inferiore a 100 (ad esempio 90 o quale sia il valore più basso disponibile nell'ambiente). Assicurarsi che le caselle di controllo Abilita sincronizzazione password e Disabilitato siano deselezionate. Fare clic su Avanti. Set precedence
  4. In Filtro ambito fare clic su Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo NOTEQUAL nella colonna Operatore e immettere PHSIncluded come valore. Add clause
  5. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate in modo da poter fare clic su Salva ora. Fare clic su OK nella finestra di dialogo di avviso che informa che verrà eseguita una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Transformation
  6. Creare quindi un'altra regola personalizzata con la sincronizzazione dell'hash delle password abilitata. Selezionare di nuovo la regola predefinita In from AD – User AccountEnabled per la foresta active Directory in cui si vuole configurare la sincronizzazione selettiva della password e fare clic su Modifica. Selezionare nella finestra di dialogo successiva per creare una copia modificabile della regola originale. User AccountEnabled
  7. Specificare il nome seguente alla nuova regola personalizzata: da AD - Account utenteEnabled - Utenti inclusi per PHS. Modificare il valore di precedenza in un numero inferiore rispetto alla regola creata in precedenza (in questo esempio che sarà 89). Assicurarsi che la casella di controllo Abilita sincronizzazione password sia selezionata e che la casella di controllo Disabilitata sia deselezionata. Fare clic su Avanti. Enable Password Sync
  8. In Filtro ambito fare clic su Aggiungi clausola. Selezionare adminDescription nella colonna dell'attributo EQUAL nella colonna Operatore e immettere PHSIncluded come valore. PHSIncluded
  9. Non sono necessarie ulteriori modifiche. Le regole di join e le trasformazioni devono essere lasciate con le impostazioni predefinite copiate in modo da poter fare clic su Salva ora. Fare clic su OK nella finestra di dialogo di avviso che informa che verrà eseguita una sincronizzazione completa nel ciclo di sincronizzazione successivo del connettore. Save now
  10. Confermare la creazione delle regole. Rimuovere i filtri Sincronizzazionepassword Su e Tipo diregola Standard. Verranno visualizzate entrambe le nuove regole appena create. Sync on

Riabilitare l'utilità di pianificazione della sincronizzazione:

Dopo aver completato i passaggi per configurare le regole di sincronizzazione necessarie, riabilitare l'utilità di pianificazione della sincronizzazione seguendo questa procedura:

  1. In Windows PowerShell eseguire:

    set-adsyncscheduler-synccycleenabled$true

  2. Verificare quindi che sia stato abilitato correttamente eseguendo:

    get-adsyncscheduler

Per altre informazioni sull'utilità di pianificazione, vedere Utilità di pianificazione di Microsoft Entra Connessione Sync.

Modificare l'attributo adminDescription degli utenti:

Una volta completate tutte le configurazioni, è necessario modificare l'attributo adminDescription per tutti gli utenti che si desidera includere per la sincronizzazione dell'hash delle password in Active Directory e aggiungere la stringa usata nel filtro di ambito: PHSIncluded.

Edit attributes

È anche possibile usare il comando di PowerShell seguente per modificare l'attributo adminDescription di un utente:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Passaggi successivi