Configuração da sincronização seletiva do hash de palavras-passe do Azure AD Connect
A Sincronização do hash de palavras-passe é um dos métodos de início de sessão utilizados para obter a identidade híbrida. O Azure AD Connect sincroniza um hash do hash da palavra-passe de um utilizador a partir de uma instância do Active Directory no local para uma instância do Azure Active Directory na cloud. Por predefinição, uma vez configurada, a sincronização do hash de palavras-passe ocorrerá em todos os utilizadores que está a sincronizar.
Se quiser excluir um subconjunto de utilizadores da sincronização do hash de palavras-passe com o Azure Active Directory, poderá configurar a sincronização seletiva do hash de palavras-passe com os passos descritos neste artigo.
Importante
A Microsoft não suporta modificar ou operar Azure AD Sincronização do Connect fora das configurações ou ações que estão formalmente documentadas. Qualquer uma destas configurações ou ações pode resultar num estado inconsistente ou não suportado da sincronização do Azure AD Connect. Como resultado, a Microsoft não pode garantir que poderemos fornecer suporte técnico eficiente para essas implementações.
Considere a sua implementação
Para reduzir o esforço administrativo da configuração, deve primeiro considerar o número de objetos de utilizador que quer excluir da sincronização do hash de palavras-passe. Verifique quais dos cenários abaixo, que são mutuamente exclusivos, estão alinhados com os seus requisitos para selecionar a opção de configuração certa para si.
- Se o número de utilizadores a excluir for menor do que o número de utilizadores a incluir, siga os passos nesta secção.
- Se o número de utilizadores a excluir for superior ao número de utilizadores a incluir, siga os passos nesta secção.
Importante
Com a opção de configuração escolhida, será efetuada automaticamente uma sincronização inicial necessária (Sincronização Completa) para aplicar as alterações ao longo do próximo ciclo de sincronização.
Importante
Configurar a sincronização seletiva do hash de palavras-passe influencia diretamente a repetição de escrita de palavras-passe. As alterações ou reposições de palavras-passe iniciadas no Azure Active Directory só terão a repetição de escrita no Active Directory no local se o utilizador estiver no âmbito da sincronização do hash de palavras-passe.
Importante
A sincronização seletiva do hash de palavras-passe é suportada no Azure AD Connect 1.6.2.4 ou posterior. Se estiver a utilizar uma versão inferior a essa, atualize para a versão mais recente.
O atributo adminDescription
Ambos os cenários dependem da definição do atributo adminDescription dos utilizadores para um valor específico. Isto permite que as regras sejam aplicadas e é o que faz com que o PHS seletivo funcione.
| Scenario | valor adminDescription |
|---|---|
| Os utilizadores excluídos são menores do que os utilizadores incluídos | PHSFiltered |
| Os utilizadores excluídos são maiores do que os utilizadores incluídos | PHSIncluded |
Este atributo pode ser definido:
- utilizar a IU do Utilizadores e Computadores do Active Directory
- com o
Set-ADUsercmdlet do PowerShell. Para obter mais informações, veja Set-ADUser.
Desative o agendador de sincronização:
Antes de iniciar qualquer um dos cenários, tem de desativar o agendador de sincronização enquanto faz alterações às regras de sincronização.
Inicie Windows PowerShell e introduza.
Set-ADSyncScheduler -SyncCycleEnabled $falseConfirme que o agendador está desativado ao executar o seguinte cmdlet:
Get-ADSyncScheduler
Para obter mais informações sobre o agendador, veja Azure AD Scheduler de sincronização do Connect.
Os utilizadores excluídos são menores do que os utilizadores incluídos
A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é menor do que o número de utilizadores a incluir.
Importante
Antes de continuar, certifique-se de que o agendador de sincronização está desativado conforme descrito acima.
- Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
- Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
- Reativar o agendador de sincronização
- Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.
Importante
Os passos indicados para configurar a sincronização seletiva do hash de palavras-passe só afeta os objetos de utilizador com o atributo adminDescription preenchido no Active Directory com o valor PHSFiltered. Se este atributo não for preenchido ou o valor for algo diferente de PHSFiltered , estas regras não serão aplicadas aos objetos de utilizador.
Configure as regras de sincronização necessárias:
- Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de Palavras-passe como Ativado e Tipo de Regra como Standard.
- Selecione a regra Entrada a partir do AD – AccountEnabled do Utilizador para o Conector de florestas do Ative Directory para o qual quer configurar a sincronização seletiva do hash de palavras-passe e clique em Editar. Selecione Sim na caixa de diálogo seguinte para criar uma cópia editável da regra original.
- A primeira regra desativará a sincronização do hash de palavras-passe. Atribua o seguinte nome à nova regra personalizada: Entrada a partir do AD – AccountEnabled do Utilizador – Filtrar Utilizadores no PHS.
Altere o valor de precedência para um número inferior a 100 (por exemplo , 90 ou o valor mais baixo disponível no seu ambiente).
Certifique-se de que as caixas de verificação Ativar Sincronização de Palavras-passe e Desativado estão desmarcadas.
Clique em Seguinte.
- No filtro Âmbito, clique em Adicionar cláusula.
Selecione adminDescription na coluna atributo, EQUAL na coluna Operador e introduza PHSFiltered como o valor.
- Não são necessárias mais alterações. As regras de associação e Transformações devem ficar com as predefinições copiadas para que possa clicar em Guardar agora.
Clique em OK na caixa de diálogo de aviso informando que será executada uma sincronização completa no próximo ciclo de sincronização do conector.
- Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Selecione novamente a regra predefinida In from AD – User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on and click Edit . Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original.
- Indique o seguinte nome para a nova regra personalizada: A partir do AD – Conta de UtilizadorEnabled – Utilizadores incluídos para PHS.
Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89).
Certifique-se de que a caixa de verificação Ativar Sincronização de Palavras-passe está selecionada e a caixa de verificação Desativada está desmarcada.
Clique em Seguinte.
- No filtro Âmbito, clique em Adicionar cláusula.
Selecione adminDescription na coluna de atributos NOTEQUAL na coluna Operador e introduza PHSFiltered como o valor.
- Não são necessárias mais alterações. As regras de associação e Transformações devem ficar com as predefinições copiadas para que possa clicar em Guardar agora.
Clique em OK na caixa de diálogo de aviso informando que será executada uma sincronização completa no próximo ciclo de sincronização do conector.
- Confirme a criação das regras. Remova os filtros Sincronização de Palavras-passeAtivada e Tipo de RegraPadrão. E deverá ver ambas as novas regras que acabou de criar.
Reativar o agendador de sincronização:
Depois de concluir os passos para configurar as regras de sincronização necessárias, reativar o agendador de sincronização com os seguintes passos:
Em execução Windows PowerShell:
set-adsyncscheduler -synccycleenabled:$trueEm seguida, confirme que foi ativado com êxito ao executar:
get-adsyncscheduler
Para obter mais informações sobre o agendador, veja Azure AD Scheduler de sincronização do Connect.
Editar o atributo adminDescription dos utilizadores:
Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer excluir da sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSFiltered.
Também pode utilizar o seguinte comando do PowerShell para editar o atributo adminDescription de um utilizador:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Os utilizadores excluídos são maiores do que os utilizadores incluídos
A secção seguinte descreve como ativar a sincronização seletiva do hash de palavras-passe quando o número de utilizadores a excluir é superior ao número de utilizadores a incluir.
Importante
Antes de continuar, certifique-se de que o agendador de sincronização está desativado conforme descrito acima.
Segue-se um resumo das ações que serão efetuadas nos passos abaixo:
- Crie uma cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador sem selecionar a opção para ativar a sincronização do hash de palavras-passe e defina o filtro de âmbito
- Crie outra cópia editável da Entrada a partir do AD – AccountEnabled do Utilizador predefinida com a opção para ativar a sincronização do hash de palavras-passe selecionada e defina o filtro de âmbito
- Reativar o agendador de sincronização
- Defina o valor do atributo, no Active Directory, definido como atributo de âmbito para os utilizadores que quer autorizar na sincronização do hash de palavras-passe.
Importante
Os passos indicados para configurar a sincronização seletiva do hash de palavras-passe só afeta os objetos de utilizador com o atributo adminDescription preenchido no Active Directory com o valor PHSIncluded. Se este atributo não for preenchido ou o valor for algo diferente de PHSIncluded , estas regras não serão aplicadas aos objetos de utilizador.
Configure as regras de sincronização necessárias:
- Inicie o Editor de Regras de Sincronização e defina os filtros Sincronização de Palavras-passeAtivada e Tipo de RegraPadrão.
- Selecione a regra In from AD – User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on and clique em Editar. Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original.
- A primeira regra desativará a sincronização do hash de palavras-passe. Atribua o seguinte nome à nova regra personalizada: Entrada a partir do AD – AccountEnabled do Utilizador – Filtrar Utilizadores no PHS.
Altere o valor de precedência para um número inferior a 100 (por exemplo , 90 ou o valor mais baixo disponível no seu ambiente).
Certifique-se de que as caixas de verificação Ativar Sincronização de Palavras-passe e Desativado estão desmarcadas.
Clique em Seguinte.
- No filtro Âmbito, clique em Adicionar cláusula.
Selecione adminDescription na coluna de atributo, NOTEQUAL na coluna Operador e introduza PHSIncluded como o valor.
- Não são necessárias mais alterações. As regras de associação e Transformações devem ficar com as predefinições copiadas para que possa clicar em Guardar agora.
Clique em OK na caixa de diálogo de aviso informando que será executada uma sincronização completa no próximo ciclo de sincronização do conector.
- Em seguida, crie outra regra personalizada com a sincronização do hash de palavras-passe ativada. Selecione novamente a regra predefinida In from AD – User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on and click Edit . Selecione sim na caixa de diálogo seguinte para criar uma cópia editável da regra original.
- Indique o seguinte nome para a nova regra personalizada: A partir do AD – Conta de UtilizadorEnabled – Utilizadores incluídos para PHS.
Altere o valor de precedência para um número inferior à regra criada anteriormente (neste exemplo, será 89).
Certifique-se de que a caixa de verificação Ativar Sincronização de Palavras-passe está selecionada e a caixa de verificação Desativada está desmarcada.
Clique em Seguinte.
- No filtro Âmbito, clique em Adicionar cláusula.
Selecione adminDescription na coluna de atributos EQUAL na coluna Operador e introduza PHSIncluded como o valor.
- Não são necessárias mais alterações. As regras de associação e Transformações devem ficar com as predefinições copiadas para que possa clicar em Guardar agora.
Clique em OK na caixa de diálogo de aviso informando que será executada uma sincronização completa no próximo ciclo de sincronização do conector.
- Confirme a criação das regras. Remova os filtros Sincronização de Palavras-passeAtivada e Tipo de RegraPadrão. E deverá ver ambas as novas regras que acabou de criar.
Reativar o agendador de sincronização:
Depois de concluir os passos para configurar as regras de sincronização necessárias, reativar o agendador de sincronização com os seguintes passos:
Em Windows PowerShell, execute:
set-adsyncscheduler-synccycleenabled$trueEm seguida, confirme que foi ativado com êxito ao executar:
get-adsyncscheduler
Para obter mais informações sobre o agendador, veja Azure AD Scheduler de sincronização do Connect.
Editar o atributo adminDescription dos utilizadores:
Uma vez concluídas todas as configurações, precisará de editar o atributo adminDescription para todos os utilizadores que quer incluir na sincronização do hash de palavras-passe no Ative Directory e de adicionar a cadeia de carateres utilizada no filtro de âmbito: PHSIncluded.
Também pode utilizar o seguinte comando do PowerShell para editar o atributo adminDescription de um utilizador:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}