Udostępnij za pośrednictwem

Konfiguracja synchronizacji skrótów selektywnych haseł dla programu Microsoft Entra Connect

  • Artykuł

Synchronizacja skrótów haseł jest jedną z metod logowania używanych do realizacji tożsamości hybrydowej. Program Microsoft Entra Connect synchronizuje skrót hasła użytkownika z wystąpienia lokalna usługa Active Directory do wystąpienia firmy Microsoft Entra opartego na chmurze. Domyślnie po jego skonfigurowaniu synchronizacja skrótów haseł będzie wykonywana dla wszystkich użytkowników, którzy są synchronizowani.

Jeśli chcesz mieć podzbiór użytkowników wykluczonych z synchronizowania skrótu haseł z identyfikatorem Entra firmy Microsoft, możesz skonfigurować selektywną synchronizację skrótów haseł przy użyciu kroków z przewodnikiem podanych w tym artykule.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Connect Sync poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan programu Microsoft Entra Connect Sync. W związku z tym firma Microsoft nie może zagwarantować, że będziemy mogli zapewnić wydajną pomoc techniczną dla takich wdrożeń.

Rozważ wdrożenie

Aby zmniejszyć nakład pracy administracyjnej konfiguracji, należy najpierw rozważyć liczbę obiektów użytkownika, które chcesz wykluczyć z synchronizacji skrótów haseł. Sprawdź, które z poniższych scenariuszy, które wzajemnie się wykluczają, są zgodne z wymaganiami, aby wybrać odpowiednią opcję konfiguracji.

  • Jeśli liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.
  • Jeśli liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia, wykonaj kroki opisane w tej sekcji.

Ważne

Po wybraniu jednej z opcji konfiguracji wymagana synchronizacja początkowa (pełna synchronizacja) w celu zastosowania zmian zostanie wykonana automatycznie w następnym cyklu synchronizacji.

Ważne

Konfigurowanie selektywnej synchronizacji skrótów haseł bezpośrednio wpływa na zapisywanie zwrotne haseł. Zmiany haseł lub resetowanie haseł inicjowane w usłudze Microsoft Entra ID zapisu z powrotem do lokalna usługa Active Directory tylko wtedy, gdy użytkownik jest w zakresie synchronizacji skrótów haseł.

Ważne

Selektywna synchronizacja skrótów haseł jest obsługiwana w programie Microsoft Entra Connect 1.6.2.4 lub nowszym. Jeśli używasz starszej wersji, przeprowadź uaktualnienie do najnowszej wersji.

Atrybut adminDescription

Oba scenariusze polegają na ustawieniu atrybutu adminDescription użytkowników na określoną wartość. Dzięki temu reguły mogą być stosowane i co sprawia, że selektywne phS działają.

Scenariusz wartość adminDescription
Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy PHSFiltered
Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy PHSIncluded

Ten atrybut można ustawić jedną z następujących opcji:

  • korzystanie z interfejsu użytkownika Użytkownicy i komputery usługi Active Directory
  • przy użyciu Set-ADUser polecenia cmdlet programu PowerShell. Aby uzyskać więcej informacji, zobacz Set-ADUser.

Wyłącz harmonogram synchronizacji:

Przed rozpoczęciem dowolnego scenariusza należy wyłączyć harmonogram synchronizacji podczas wprowadzania zmian w regułach synchronizacji.

  1. Uruchom program Windows PowerShell i wprowadź polecenie .

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Upewnij się, że harmonogram jest wyłączony, uruchamiając następujące polecenie cmdlet:

    Get-ADSyncScheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram synchronizacji programu Microsoft Entra Connect.

Wykluczeni użytkownicy są mniejsza niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

  • Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
  • Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane do skonfigurowania selektywnej synchronizacji skrótów haseł będą miały wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełniony w usłudze Active Directory z wartością PHSFiltered. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSFiltered , te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł na Włączone i Typ reguły na Standardowa. Uruchamianie edytora reguł synchronizacji
  2. Wybierz regułę W usłudze AD — konto użytkownikaWłączanie dla łącznika lasu usługi Active Directory, dla którego chcesz skonfigurować synchronizację skrótów selektywnego hasła, a następnie kliknij przycisk Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Wybierz regułę
  3. Pierwsza reguła wyłączy synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — Konto użytkownikaWłąd — filtruj użytkowników z phS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Kliknij przycisk Dalej. Edytowanie ruchu przychodzącego
  4. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość. Filtr określania zakresu
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz regułę
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Wybierz ponownie regułę domyślną W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Reguła niestandardowa
  7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Kliknij przycisk Dalej.
    Edytuj nową regułę
  8. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSFiltered jako wartość. Reguła zakresu
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika. Reguły dołączania
  10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typ reguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone. Potwierdzanie reguł

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler -synccycleenabled:$true

  2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram synchronizacji programu Microsoft Entra Connect.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, których chcesz wykluczyć z synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSFiltered.

Edytuj atrybut

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Wykluczeni użytkownicy są więksi niż uwzględnieni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do uwzględnienia.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony zgodnie z powyższym opisem.

Poniżej przedstawiono podsumowanie akcji, które zostaną wykonane w poniższych krokach:

  • Utwórz edytowalną kopię elementu w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł bez zaznaczenia i zdefiniuj filtr określania zakresu
  • Utwórz kolejną edytowalną kopię domyślnej w usłudze AD — konto użytkownikaWłącz opcję włączenia synchronizacji skrótów haseł i zdefiniuj filtr określania zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut określania zakresu dla użytkowników, których chcesz zezwolić na synchronizację skrótów haseł.

Ważne

Kroki podane do skonfigurowania selektywnej synchronizacji skrótów haseł będą miały wpływ tylko na obiekty użytkownika, które mają atrybut adminDescription wypełniony w usłudze Active Directory z wartością PHSIncluded. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSIncluded , te reguły nie zostaną zastosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł włączone i Typ reguły w warstwie Standardowa. Typ reguły
  2. Wybierz regułę W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. W usłudze AD
  3. Pierwsza reguła wyłączy synchronizację skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — Konto użytkownikaWłąd — filtruj użytkowników z phS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub w zależności od tego, która wartość jest najniższa dostępna w danym środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone są niezaznaczone. Kliknij przycisk Dalej. Ustaw pierwszeństwo
  4. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu NOTEQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość. Dodaj klauzulę
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika. Przekształcenie
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Wybierz ponownie regułę domyślną W usłudze AD — konto użytkownikaWłączanie lasu usługi Active Directory, na którym chcesz skonfigurować synchronizację selektywnego hasła, a następnie kliknij pozycję Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowalną kopię oryginalnej reguły. Konto użytkownikaWłąd
  7. Podaj następującą nazwę nowej reguły niestandardowej: W usłudze AD — User AccountEnabled — Użytkownicy dołączeni do phS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone jest niezaznaczone. Kliknij przycisk Dalej. Włączanie synchronizacji haseł
  8. W filtrze określania zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź frazę PHSIncluded jako wartość. PHSIncluded
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny pozostać z domyślnymi skopiowanymi ustawieniami , aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informującym o pełnej synchronizacji zostanie uruchomiona w następnym cyklu synchronizacji łącznika. Zapisz teraz
  10. Potwierdź tworzenie reguł. Usuń filtry Synchronizacja haseł włączone i Typ reguły w warstwie Standardowa. Powinny zostać wyświetlone nowe reguły, które zostały właśnie utworzone. Synchronizacja przy

Włącz ponownie harmonogram synchronizacji:

Po wykonaniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, wykonując następujące czynności:

  1. W programie Windows PowerShell uruchom polecenie:

    set-adsyncscheduler-synccycleenabled$true

  2. Następnie upewnij się, że została pomyślnie włączona, uruchamiając polecenie:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Harmonogram synchronizacji programu Microsoft Entra Connect.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji musisz edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają zostać uwzględnieni na potrzeby synchronizacji skrótów haseł w usłudze Active Directory i dodać ciąg używany w filtrze określania zakresu: PHSIncluded.

Edytuj atrybuty

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Następne kroki