Aracılığıyla paylaş

Microsoft Entra Connect için seçmeli parola karması eşitleme yapılandırması

  • Makale

Parola karması eşitlemesi , karma kimliği gerçekleştirmek için kullanılan oturum açma yöntemlerinden biridir. Microsoft Entra Connect, bir şirket içi Active Directory örneğindeki kullanıcı parolasının karma değerini bulut tabanlı bir Microsoft Entra örneğine eşitler. Varsayılan olarak, ayarlandıktan sonra, eşitlediğiniz tüm kullanıcılarda parola karması eşitlemesi gerçekleşir.

Parola karmalarını Microsoft Entra Id ile eşitlemenin dışında tutulan bir kullanıcı alt kümesine sahip olmak istiyorsanız, bu makalede sağlanan kılavuzlu adımları kullanarak seçmeli parola karması eşitlemesini yapılandırabilirsiniz.

Önemli

Microsoft, Microsoft Entra Connect Sync'in resmi olarak belgelenen yapılandırmaların veya eylemlerin dışında değiştirilmesini veya çalıştırılmasını desteklemez. Bu yapılandırmalardan veya eylemlerden herhangi biri Microsoft Entra Connect Sync'in tutarsız veya desteklenmeyen durumuna neden olabilir. Sonuç olarak, Microsoft bu tür dağıtımlar için verimli teknik destek sağlayamayacağımızı garanti edemez.

Uygulamanızı göz önünde bulundurun

Yapılandırma yönetim çabasını azaltmak için, önce parola karması eşitlemesinin dışında tutmak istediğiniz kullanıcı nesnelerinin sayısını göz önünde bulundurmanız gerekir. Aşağıdaki senaryolardan hangilerinin birbirini dışladığı, sizin için doğru yapılandırma seçeneğini seçmek için gereksinimlerinizle uyumlu olduğunu doğrulayın.

  • Dışlanması gereken kullanıcı sayısı, eklenecek kullanıcı sayısından küçükse, bu bölümdeki adımları izleyin.
  • Dışlanması gereken kullanıcı sayısı, eklenecek kullanıcı sayısından fazlaysa, bu bölümdeki adımları izleyin.

Önemli

Her iki yapılandırma seçeneği de seçildiğinde, değişiklikleri uygulamak için gerekli bir ilk eşitleme (Tam Eşitleme) bir sonraki eşitleme döngüsünde otomatik olarak gerçekleştirilir.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak, parola geri yazmayı doğrudan etkiler. Microsoft Entra Id'de başlatılan parola değişiklikleri veya parola sıfırlamaları, yalnızca kullanıcı parola karması eşitleme kapsamındaysa şirket içi Active Directory geri yazar.

Önemli

Seçmeli parola karması eşitlemesi Microsoft Entra Connect 1.6.2.4 veya sonraki sürümlerinde desteklenir. Bundan daha düşük bir sürüm kullanıyorsanız en son sürüme yükseltin.

adminDescription özniteliği

Her iki senaryo da kullanıcıların adminDescription özniteliğini belirli bir değere ayarlamayı temel alır. Bu, kuralların uygulanmasını sağlar ve seçmeli PHS'nin çalışmasını sağlayan budur.

Senaryo adminDescription değeri
Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük PHSFiltered
Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük PHSIncluded

Bu öznitelik aşağıdakilerden biri ayarlanabilir:

  • Active Directory Kullanıcıları ve Bilgisayarları kullanıcı arabirimini kullanma
  • PowerShell cmdlet'ini kullanarak Set-ADUser . Daha fazla bilgi için bkz. Set-ADUser.

Eşitleme zamanlayıcısını devre dışı bırakın:

Her iki senaryoyu da başlatmadan önce, eşitleme kurallarında değişiklik yaparken eşitleme zamanlayıcısını devre dışı bırakmanız gerekir.

  1. Windows PowerShell'i başlatın ve girin.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Aşağıdaki cmdlet'i çalıştırarak zamanlayıcının devre dışı bırakıldığını onaylayın:

    Get-ADSyncScheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.

Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük

Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından küçük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.

Önemli

Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.

  • Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
  • AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
  • Eşitleme zamanlayıcısını yeniden etkinleştirme
  • Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSFiltered değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSFiltered dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.

Gerekli eşitleme kurallarını yapılandırın:

  1. Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola Eşitleme filtrelerini Açık ve Kural Türü'nü Standart olarak ayarlayın. Eşitleme kuralları düzenleyicisini başlatma
  2. Seçmeli parolanın karma eşitlemesi açık olarak yapılandırmak istediğiniz Active Directory orman Bağlayıcısı için AD – Kullanıcı HesabıHakkında kuralını seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. Kural seçin
  3. İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın. Gelenleri düzenle
  4. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütunundaki EQUAL özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın. Kapsam filtresi
  5. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Kuralı kaydet
  6. Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. Özel kural
  7. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar. Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır). Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun. İleri'ye tıklayın.
    Yeni kuralı düzenle
  8. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın. Kapsam kuralı
  9. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Katılma kuralları
  10. Kuralların oluşturulmasını onaylayın. Parola Eşitleme Açık ve Kural Türü Standart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir. Kuralları onaylama

Eşitleme zamanlayıcısını yeniden etkinleştirin:

Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:

  1. Windows PowerShell'de şu komutu çalıştırın:

    set-adsyncscheduler -synccycleenabled:$true

  2. Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:

    get-adsyncscheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.

Kullanıcıları düzenle adminDescription özniteliği:

Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesinin dışında tutmak istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSFiltered.

Özniteliği düzenle

Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük

Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından büyük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.

Önemli

Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.

Aşağıdaki adımlarda gerçekleştirilecek eylemlerin özeti aşağıdadır:

  • Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
  • AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
  • Eşitleme zamanlayıcısını yeniden etkinleştirme
  • Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSIncluded değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSIncluded dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.

Gerekli eşitleme kurallarını yapılandırın:

  1. Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola Eşitleme Açık ve Kural Türü Standart filtrelerini ayarlayın. Kural türü
  2. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'ndan In kuralını seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. AD'den gelen
  3. İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın. Önceliği ayarla
  4. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin. Add yan tümcesi
  5. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Dönüşüm
  6. Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. Kullanıcı HesabıEnabled
  7. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar. Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır). Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun. İleri'ye tıklayın. Parola Eşitlemeyi Etkinleştir
  8. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda equal özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin. PHSIncluded
  9. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Şimdi kaydet
  10. Kuralların oluşturulmasını onaylayın. Parola Eşitleme Açık ve Kural Türü Standart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir. Eşitle

Eşitleme zamanlayıcısını yeniden etkinleştirin:

Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:

  1. Windows PowerShell'de şunu çalıştırın:

    set-adsyncscheduler-synccycleenabled$true

  2. Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:

    get-adsyncscheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.

Kullanıcıları düzenle adminDescription özniteliği:

Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesi için eklemek istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSIncluded.

Öznitelikleri düzenleme

Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Sonraki Adımlar