Konfiguracja synchronizacji skrótów selektywnych haseł dla Połączenie firmy Microsoft

Synchronizacja skrótów haseł jest jedną z metod logowania używanych do realizacji tożsamości hybrydowej. Firma Microsoft Entra Połączenie synchronizuje skrót skrótu hasła użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia firmy Microsoft Entra opartego na chmurze. Domyślnie po jego skonfigurowaniu synchronizacja skrótów haseł będzie wykonywana dla wszystkich użytkowników, którzy są synchronizowani.

Jeśli chcesz mieć podzbiór użytkowników wykluczonych z synchronizowania skrótu haseł z identyfikatorem Entra firmy Microsoft, możesz skonfigurować selektywną synchronizację skrótów haseł przy użyciu kroków z przewodnikiem podanych w tym artykule.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Połączenie Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan usługi Microsoft Entra Połączenie Sync. W związku z tym firma Microsoft nie może zagwarantować, że będziemy mogli zapewnić wydajną pomoc techniczną dla takich wdrożeń.

Rozważ wdrożenie

Aby zmniejszyć nakład pracy administracyjnej konfiguracji, należy najpierw rozważyć liczbę obiektów użytkownika, które chcesz wykluczyć z synchronizacji skrótów haseł. Sprawdź, które z poniższych scenariuszy, które wzajemnie się wykluczają, są zgodne z wymaganiami, aby wybrać odpowiednią opcję konfiguracji.

• Jeśli liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.
• Jeśli liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.

Ważne

Po wybraniu jednej z opcji konfiguracji wymagana synchronizacja początkowa (pełna synchronizacja) w celu zastosowania zmian zostanie wykonana automatycznie w następnym cyklu synchronizacji.

Ważne

Konfigurowanie selektywnej synchronizacji skrótów haseł bezpośrednio wpływa na zapisywanie zwrotne haseł. Zmiany haseł lub resetowanie haseł inicjowane w usłudze Microsoft Entra ID zapisu z powrotem do lokalna usługa Active Directory tylko wtedy, gdy użytkownik jest w zakresie synchronizacji skrótów haseł.

Ważne

Selektywna synchronizacja skrótów haseł jest obsługiwana w programie Microsoft Entra Połączenie 1.6.2.4 lub nowszym. Jeśli używasz starszej wersji, przeprowadź uaktualnienie do najnowszej wersji.

Atrybut adminDescription

Oba scenariusze polegają na ustawieniu atrybutu adminDescription użytkowników na określoną wartość. Dzięki temu reguły mogą być stosowane i co sprawia, że selektywne phS działają.

Scenariusz	wartość adminDescription
Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy	PHSFiltered
Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy	PHSIncluded

Ten atrybut można ustawić jedną z następujących opcji:

• korzystanie z interfejsu użytkownika Użytkownicy i komputery usługi Active Directory
• przy użyciu Set-ADUser polecenia cmdlet programu PowerShell. Aby uzyskać więcej informacji, zobacz Set-ADUser.

Wyłącz harmonogram synchronizacji:

Przed rozpoczęciem dowolnego scenariusza należy wyłączyć harmonogram synchronizacji podczas wprowadzania zmian w regułach synchronizacji.

1. Uruchom program Windows PowerShell i wprowadź polecenie .

   Set-ADSyncScheduler -SyncCycleEnabled $false

2. Upewnij się, że harmonogram jest wyłączony, uruchamiając następujące polecenie cmdlet:

   Get-ADSyncScheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram usługi Microsoft Entra Połączenie Sync.

Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

• Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
• Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
• Ponowne włączanie harmonogramu synchronizacji
• Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane do skonfigurowania selektywnej synchronizacji skrótów haseł będą miały wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełniony w usłudze Active Directory z wartością PHSFiltered. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSFiltered , te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł na Włączone i Typ reguły na Standardowa.
2. Wybierz regułę W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory Połączenie or, na którym chcesz skonfigurować synchronizację skrótów selektywnego hasła, a następnie kliknij przycisk Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły.
3. Pierwsza reguła wyłączy synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — Konto użytkownikaWłąd — filtruj użytkowników z phS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Kliknij przycisk Dalej.
4. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość.
5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika.
6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Wybierz ponownie regułę domyślną W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły.
7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Kliknij przycisk Dalej.
   
8. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość.
9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika.
10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typreguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone.

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

1. W programie Windows PowerShell uruchom polecenie:

   set-adsyncscheduler -synccycleenabled:$true

2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

   get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram usługi Microsoft Entra Połączenie Sync.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, których chcesz wykluczyćz synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSFiltered.

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

Poniżej przedstawiono podsumowanie akcji, które zostaną wykonane w poniższych krokach:

• Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
• Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
• Ponowne włączanie harmonogramu synchronizacji
• Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane do skonfigurowania selektywnej synchronizacji skrótów haseł będą miały wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełniony w usłudze Active Directory z wartością PHSIncluded. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSIncluded , te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacjahaseł włączone i Typreguły w warstwie Standardowa.
2. Wybierz regułę W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły.
3. Pierwsza reguła wyłączy synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — Konto użytkownikaWłąd — filtruj użytkowników z phS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Kliknij przycisk Dalej.
4. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość.
5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika.
6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Wybierz ponownie regułę domyślną W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły.
7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Kliknij przycisk Dalej.
8. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość.
9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika.
10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typreguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone.

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

1. W programie Windows PowerShell uruchom polecenie:

   set-adsyncscheduler-synccycleenabled$true

2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

   get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram usługi Microsoft Entra Połączenie Sync.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają zostać uwzględnieni na potrzeby synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSIncluded.

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Następne kroki

• Co to jest synchronizacja skrótów haseł?
• Jak działa synchronizacja skrótów haseł