Configuratie van selectieve wachtwoord-hashsynchronisatie voor Microsoft Entra Connect
Wachtwoord-hashsynchronisatie is een van de aanmeldingsmethoden die worden gebruikt om een hybride identiteit uit te voeren. Microsoft Entra Connect synchroniseert een hash, van de hash, van het wachtwoord van een gebruiker van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud. Wanneer deze is ingesteld, vindt de synchronisatie van wachtwoord-hashs standaard plaats voor alle gebruikers die u synchroniseert.
Als u een subset van gebruikers wilt uitsluiten van het synchroniseren van hun wachtwoordhash naar Microsoft Entra-id, kunt u selectieve wachtwoord-hashsynchronisatie configureren met behulp van de begeleide stappen in dit artikel.
Belangrijk
Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Microsoft Entra Connect Sync buiten de configuraties of acties die formeel worden gedocumenteerd. Een van deze configuraties of acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Connect Sync. Als gevolg hiervan kan Microsoft niet garanderen dat we efficiënte technische ondersteuning kunnen bieden voor dergelijke implementaties.
Overweeg uw implementatie
Als u de beheertaken voor de configuratie wilt verminderen, moet u eerst rekening houden met het aantal gebruikersobjecten dat u wilt uitsluiten van wachtwoord-hashsynchronisatie. Controleer welke van de onderstaande scenario's, die elkaar wederzijds uitsluiten, overeenkomt met uw vereisten om de juiste configuratieoptie voor u te selecteren.
- Als het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.
- Als het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.
Belangrijk
Als u een van beide configuratieopties hebt gekozen, wordt een vereiste initiële synchronisatie (volledige synchronisatie) om de wijzigingen toe te passen, automatisch uitgevoerd tijdens de volgende synchronisatiecyclus.
Belangrijk
Het configureren van selectieve wachtwoord-hashsynchronisatie heeft rechtstreeks invloed op het terugschrijven van wachtwoorden. Wachtwoordwijzigingen of wachtwoordherstel die in Microsoft Entra ID worden geïnitieerd, schrijven alleen terug naar on-premises Active Directory als de gebruiker binnen het bereik van wachtwoord-hashsynchronisatie valt.
Belangrijk
Selectieve wachtwoord-hashsynchronisatie wordt ondersteund in Microsoft Entra Connect 1.6.2.4 of hoger. Als u een versie lager gebruikt dan die, voert u een upgrade uit naar de nieuwste versie.
Het kenmerk adminDescription
Beide scenario's zijn afhankelijk van het instellen van het adminDescription-kenmerk van gebruikers op een specifieke waarde. Hierdoor kunnen de regels worden toegepast en wordt selectief PHS-werk.
Scenario | adminDescription-waarde |
---|---|
Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers | PHSFiltered |
Uitgesloten gebruikers zijn groter dan opgenomen gebruikers | PHSIncluded |
Dit kenmerk kan worden ingesteld:
- de gebruikersinterface van Active Directory gebruiken
- met behulp van
Set-ADUser
PowerShell-cmdlet. Zie Set-ADUser voor meer informatie.
Schakel de synchronisatieplanner uit:
Voordat u een van beide scenario's start, moet u de synchronisatieplanner uitschakelen terwijl u wijzigingen aanbrengt in de synchronisatieregels.
Start Windows PowerShell en voer het in.
Set-ADSyncScheduler -SyncCycleEnabled $false
Controleer of de scheduler is uitgeschakeld door de volgende cmdlet uit te voeren:
Get-ADSyncScheduler
Zie Microsoft Entra Connect Sync Scheduler voor meer informatie over de planner.
Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers
In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen.
Belangrijk
Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals hierboven wordt beschreven.
- Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
- Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
- De synchronisatieplanner opnieuw inschakelen
- Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.
Belangrijk
De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten waarvoor de kenmerk adminDescription is ingevuld in Active Directory met de waarde PHSFiltered. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSFiltered , worden deze regels niet toegepast op de gebruikersobjecten.
Configureer de benodigde synchronisatieregels:
- Start de editor voor synchronisatieregels en stel de filters Wachtwoordsynchronisatie in op Aan en regeltype op Standaard.
- Selecteer de regel In in AD : User AccountEnabled voor de Active Directory-forestconnector waarop u selectieve wachtwoord-hashsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Met de eerste regel wordt wachtwoord-hashsynchronisatie uitgeschakeld. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Filter Users from PHS. Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving). Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld. Klik op Volgende.
- Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSFiltered in als de waarde.
- Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel In van AD: GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS.
Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld is dat 89).
Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld.
Klik op Volgende.
- Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSFiltered in als de waarde.
- Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatie op en regeltype standaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt.
Synchronisatieplanner opnieuw inschakelen:
Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:
Voer in Windows PowerShell de volgende opdracht uit:
set-adsyncscheduler -synccycleenabled:$true
Controleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:
get-adsyncscheduler
Zie Microsoft Entra Connect Sync Scheduler voor meer informatie over de planner.
Bewerk het kenmerk adminDescription van gebruikers:
Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt uitsluiten van wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSFiltered.
U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Uitgesloten gebruikers zijn groter dan opgenomen gebruikers
In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen.
Belangrijk
Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals hierboven wordt beschreven.
Hier volgt een overzicht van de acties die worden uitgevoerd in de onderstaande stappen:
- Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
- Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
- De synchronisatieplanner opnieuw inschakelen
- Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.
Belangrijk
De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten waarvoor de kenmerk adminDescription is ingevuld in Active Directory met de waarde PHSIncluded. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSIncluded , worden deze regels niet toegepast op de gebruikersobjecten.
Configureer de benodigde synchronisatieregels:
- Start de synchronisatieregelseditor en stel de filters Wachtwoordsynchronisatie in en Regeltype Standard in.
- Selecteer de regel In in AD : GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Met de eerste regel wordt wachtwoord-hashsynchronisatie uitgeschakeld. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Filter Users from PHS. Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving). Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld. Klik op Volgende.
- Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSIncluded in als de waarde.
- Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel In van AD: GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken.
- Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS. Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld is dat 89). Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld. Klik op Volgende.
- Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSIncluded in als de waarde.
- Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector.
- Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatie op en regeltype standaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt.
Synchronisatieplanner opnieuw inschakelen:
Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:
Voer in Windows PowerShell het volgende uit:
set-adsyncscheduler-synccycleenabled$true
Controleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:
get-adsyncscheduler
Zie Microsoft Entra Connect Sync Scheduler voor meer informatie over de planner.
Bewerk het kenmerk adminDescription van gebruikers:
Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt opnemen voor wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSIncluded.
U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}