Configuração seletiva de sincronização de hash de senha para o Microsoft Entra Connect

  • Artigo

A Sincronização do hash de palavras-passe é um dos métodos de início de sessão utilizados para obter a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância do Ative Directory local para uma instância do Microsoft Entra baseada em nuvem. Por predefinição, uma vez configurada, a sincronização do hash de palavras-passe ocorrerá em todos os utilizadores que está a sincronizar.

Se você quiser ter um subconjunto de usuários excluídos da sincronização de seu hash de senha com o ID do Microsoft Entra, poderá configurar a sincronização seletiva de hash de senha usando as etapas guiadas fornecidas neste artigo.

Importante

A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect Sync fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode garantir que seremos capazes de fornecer suporte técnico eficiente para tais implantações.

Considere a sua implementação

Para reduzir o esforço administrativo da configuração, deve primeiro considerar o número de objetos de utilizador que quer excluir da sincronização do hash de palavras-passe. Verifique qual dos cenários abaixo, que são mutuamente exclusivos, está alinhado com seus requisitos para selecionar a opção de configuração certa para você.

  • Se o número de usuários a serem excluídos for menor do que o número de usuários a serem incluídos, siga as etapas nesta seção.
  • Se o número de usuários a serem excluídos for maior do que o número de usuários a serem incluídos, siga as etapas nesta seção.

Importante

Com qualquer uma das opções de configuração escolhidas, uma sincronização inicial necessária (Full Sync) para aplicar as alterações será executada automaticamente ao longo do próximo ciclo de sincronização.

Importante

Configurar a sincronização seletiva do hash de palavras-passe influencia diretamente a repetição de escrita de palavras-passe. As alterações de senha ou redefinições de senha iniciadas no Microsoft Entra ID gravam novamente no Ative Directory local somente se o usuário estiver no escopo para sincronização de hash de senha.

Importante

A sincronização seletiva de hash de senha é suportada no Microsoft Entra Connect 1.6.2.4 ou posterior. Se você estiver usando uma versão inferior a essa, atualize para a versão mais recente.

O atributo adminDescription

Ambos os cenários dependem da definição do atributo adminDescription dos usuários para um valor específico. Isso permite que as regras sejam aplicadas e é o que faz com que o PHS seletivo funcione.

Scenario valor adminDescription
Os usuários excluídos são menores do que os usuários incluídos PHSFiltered
Os usuários excluídos são maiores do que os usuários incluídos PHSIncluded

Este atributo pode ser definido:

  • usando a interface do usuário Usuários e Computadores do Ative Directory
  • usando o Set-ADUser cmdlet do PowerShell. Para obter mais informações, consulte Set-ADUser.

Desative o agendador de sincronização:

Antes de iniciar qualquer cenário, você deve desabilitar o agendador de sincronização ao fazer alterações nas regras de sincronização.

  1. Inicie o Windows PowerShell e digite.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Confirme se o agendador está desabilitado executando o seguinte cmdlet:

    Get-ADSyncScheduler

Para obter mais informações sobre o agendador, consulte Microsoft Entra Connect Sync scheduler.

Os usuários excluídos são menores do que os usuários incluídos

A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é menor do que o número de utilizadores a incluir.

Importante

Antes de prosseguir, verifique se o agendador de sincronização está desativado, conforme descrito acima.

  • Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
  • Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
  • Reativar o agendador de sincronização
  • Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.

Importante

Os passos indicados para configurar a sincronização seletiva do hash de palavras-passe só afeta os objetos de utilizador com o atributo adminDescription preenchido no Active Directory com o valor PHSFiltered. Se esse atributo não for preenchido ou se o valor for algo diferente de PHSFiltered , essas regras não serão aplicadas aos objetos do usuário.

Configure as regras de sincronização necessárias:

  1. Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de Senha como Ativado e Tipo de Regra como Padrão. Start sync rules editor
  2. Selecione a regra Entrada a partir do AD – AccountEnabled do Utilizador para o Conector de florestas do Ative Directory para o qual quer configurar a sincronização seletiva do hash de palavras-passe e clique em Editar. Selecione Sim na próxima caixa de diálogo para criar uma cópia editável da regra original. Select rule
  3. A primeira regra desativará a sincronização do hash de palavras-passe. Atribua o seguinte nome à nova regra personalizada: Entrada a partir do AD – AccountEnabled do Utilizador – Filtrar Utilizadores no PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o que for o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Ativar sincronização de senha e Desativado estão desmarcadas. Clique em Next. Edit inbound
  4. No filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna de atributo, EQUAL na coluna Operador e insira PHSFiltered como o valor. Scoping filter
  5. Não são necessárias mais alterações. As regras de associação e as transformações devem ser deixadas com as configurações copiadas padrão para que você possa clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Save rule
  6. Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Selecione novamente a regra padrão In from AD – User AccountEnabled para a floresta do Ative Directory que você deseja configurar a senha seletiva que teve sincronização e clique em Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. Custom rule
  7. Forneça o seguinte nome para a nova regra personalizada: In from AD - User AccountEnabled - Users included for PHS. Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89). Verifique se a caixa de seleção Ativar sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Clique em Next.
    Edit new rule
  8. No filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna de atributo, NOTAQUAL na coluna Operador e digite PHSFiltered como o valor. Scope rule
  9. Não são necessárias mais alterações. As regras de associação e as transformações devem ser deixadas com as configurações copiadas padrão para que você possa clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Join rules
  10. Confirme a criação das regras. Remova os filtros Password SyncOn e Rule TypeStandard. E você deve ver as duas novas regras que acabou de criar. Confirm rules

Reative o agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, reative o agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler -synccycleenabled:$true

  2. Em seguida, confirme se foi ativado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte Microsoft Entra Connect Sync scheduler.

Editar atributos adminDescription de usuários:

Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer excluir da sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSFiltered.

Edit attribute

Você também pode usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Os usuários excluídos são maiores do que os usuários incluídos

A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é superior ao número de utilizadores a incluir.

Importante

Antes de prosseguir, verifique se o agendador de sincronização está desativado, conforme descrito acima.

Segue-se um resumo das ações que serão tomadas nos passos abaixo:

  • Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
  • Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
  • Reativar o agendador de sincronização
  • Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.

Importante

Os passos indicados para configurar a sincronização seletiva do hash de palavras-passe só afeta os objetos de utilizador com o atributo adminDescription preenchido no Active Directory com o valor PHSIncluded. Se esse atributo não for preenchido ou se o valor for algo diferente de PHSIncluded , essas regras não serão aplicadas aos objetos do usuário.

Configure as regras de sincronização necessárias:

  1. Inicie o Editor de regras de sincronização e defina os filtros Password SyncOn e Rule TypeStandard. Rule type
  2. Selecione a regra In de AD – User AccountEnabled para a floresta do Ative Directory que você deseja configurar a senha seletiva com sincronização ativada e clique em Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. In from AD
  3. A primeira regra desativará a sincronização do hash de palavras-passe. Atribua o seguinte nome à nova regra personalizada: Entrada a partir do AD – AccountEnabled do Utilizador – Filtrar Utilizadores no PHS. Altere o valor de precedência para um número inferior a 100 (por exemplo, 90 ou o que for o menor valor disponível em seu ambiente). Verifique se as caixas de seleção Ativar sincronização de senha e Desativado estão desmarcadas. Clique em Next. Set precedence
  4. No filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna de atributo, NOTAQUAL na coluna Operador e insira PHSIncluded como o valor. Add clause
  5. Não são necessárias mais alterações. As regras de associação e as transformações devem ser deixadas com as configurações copiadas padrão para que você possa clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Transformation
  6. Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Selecione novamente a regra padrão In from AD – User AccountEnabled para a floresta do Ative Directory que você deseja configurar a senha seletiva que teve sincronização e clique em Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original. User AccountEnabled
  7. Forneça o seguinte nome para a nova regra personalizada: In from AD - User AccountEnabled - Users included for PHS. Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89). Verifique se a caixa de seleção Ativar sincronização de senha está marcada e se a caixa de seleção Desabilitado está desmarcada. Clique em Next. Enable Password Sync
  8. No filtro de escopo, clique em Adicionar cláusula. Selecione adminDescription na coluna de atributo, EQUAL na coluna Operador e insira PHSIncluded como o valor. PHSIncluded
  9. Não são necessárias mais alterações. As regras de associação e as transformações devem ser deixadas com as configurações copiadas padrão para que você possa clicar em Salvar agora. Clique em OK na caixa de diálogo de aviso informando que uma sincronização completa será executada no próximo ciclo de sincronização do conector. Save now
  10. Confirme a criação das regras. Remova os filtros Password SyncOn e Rule TypeStandard. E você deve ver as duas novas regras que acabou de criar. Sync on

Reative o agendador de sincronização:

Depois de concluir as etapas para configurar as regras de sincronização necessárias, reative o agendador de sincronização com as seguintes etapas:

  1. No Windows PowerShell, execute:

    set-adsyncscheduler-synccycleenabled$true

  2. Em seguida, confirme se foi ativado com êxito executando:

    get-adsyncscheduler

Para obter mais informações sobre o agendador, consulte Microsoft Entra Connect Sync scheduler.

Editar atributos adminDescription de usuários:

Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer incluir na sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSIncluded.

Edit attributes

Você também pode usar o seguinte comando do PowerShell para editar o atributo adminDescription de um usuário:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Passos Seguintes