Microsoft Entra Connect için seçmeli parola karması eşitleme yapılandırması
Parola karması eşitlemesi , karma kimliği gerçekleştirmek için kullanılan oturum açma yöntemlerinden biridir. Microsoft Entra Connect, bir şirket içi Active Directory örneğindeki kullanıcı parolasının karma değerini bulut tabanlı bir Microsoft Entra örneğine eşitler. Varsayılan olarak, ayarlandıktan sonra, eşitlediğiniz tüm kullanıcılarda parola karması eşitlemesi gerçekleşir.
Parola karmalarını Microsoft Entra Id ile eşitlemenin dışında tutulan bir kullanıcı alt kümesine sahip olmak istiyorsanız, bu makalede sağlanan kılavuzlu adımları kullanarak seçmeli parola karması eşitlemesini yapılandırabilirsiniz.
Önemli
Microsoft, Microsoft Entra Connect Sync'in resmi olarak belgelenen yapılandırmaların veya eylemlerin dışında değiştirilmesini veya çalıştırılmasını desteklemez. Bu yapılandırmalardan veya eylemlerden herhangi biri Microsoft Entra Connect Sync'in tutarsız veya desteklenmeyen durumuna neden olabilir. Sonuç olarak, Microsoft bu tür dağıtımlar için verimli teknik destek sağlayamayacağımızı garanti edemez.
Uygulamanızı göz önünde bulundurun
Yapılandırma yönetim çabasını azaltmak için, önce parola karması eşitlemesinin dışında tutmak istediğiniz kullanıcı nesnelerinin sayısını göz önünde bulundurmanız gerekir. Aşağıdaki senaryolardan hangilerinin birbirini dışladığı, sizin için doğru yapılandırma seçeneğini seçmek için gereksinimlerinizle uyumlu olduğunu doğrulayın.
- Dışlanması gereken kullanıcı sayısı, eklenecek kullanıcı sayısından küçükse, bu bölümdeki adımları izleyin.
- Dışlanması gereken kullanıcı sayısı, eklenecek kullanıcı sayısından fazlaysa, bu bölümdeki adımları izleyin.
Önemli
Her iki yapılandırma seçeneği de seçildiğinde, değişiklikleri uygulamak için gerekli bir ilk eşitleme (Tam Eşitleme) bir sonraki eşitleme döngüsünde otomatik olarak gerçekleştirilir.
Önemli
Seçmeli parola karması eşitlemesini yapılandırmak, parola geri yazmayı doğrudan etkiler. Microsoft Entra Id'de başlatılan parola değişiklikleri veya parola sıfırlamaları, yalnızca kullanıcı parola karması eşitleme kapsamındaysa şirket içi Active Directory geri yazar.
Önemli
Seçmeli parola karması eşitlemesi Microsoft Entra Connect 1.6.2.4 veya sonraki sürümlerinde desteklenir. Bundan daha düşük bir sürüm kullanıyorsanız en son sürüme yükseltin.
adminDescription özniteliği
Her iki senaryo da kullanıcıların adminDescription özniteliğini belirli bir değere ayarlamayı temel alır. Bu, kuralların uygulanmasını sağlar ve seçmeli PHS'nin çalışmasını sağlayan budur.
Senaryo | adminDescription değeri |
---|---|
Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük | PHSFiltered |
Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük | PHSIncluded |
Bu öznitelik aşağıdakilerden biri ayarlanabilir:
- Active Directory Kullanıcıları ve Bilgisayarları kullanıcı arabirimini kullanma
- PowerShell cmdlet'ini kullanarak
Set-ADUser
. Daha fazla bilgi için bkz. Set-ADUser.
Eşitleme zamanlayıcısını devre dışı bırakın:
Her iki senaryoyu da başlatmadan önce, eşitleme kurallarında değişiklik yaparken eşitleme zamanlayıcısını devre dışı bırakmanız gerekir.
Windows PowerShell'i başlatın ve girin.
Set-ADSyncScheduler -SyncCycleEnabled $false
Aşağıdaki cmdlet'i çalıştırarak zamanlayıcının devre dışı bırakıldığını onaylayın:
Get-ADSyncScheduler
Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.
Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük
Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından küçük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.
Önemli
Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.
- Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
- AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
- Eşitleme zamanlayıcısını yeniden etkinleştirme
- Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.
Önemli
Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSFiltered değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSFiltered dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.
Gerekli eşitleme kurallarını yapılandırın:
- Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola Eşitleme filtrelerini Açık ve Kural Türü'nü Standart olarak ayarlayın.
- Seçmeli parolanın karma eşitlemesi açık olarak yapılandırmak istediğiniz Active Directory orman Bağlayıcısı için AD – Kullanıcı HesabıHakkında kuralını seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin.
- İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın.
- Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütunundaki EQUAL özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın.
- Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın.
- Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin.
- Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar.
Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır).
Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun.
İleri'ye tıklayın.
- Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın.
- Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın.
- Kuralların oluşturulmasını onaylayın. Parola Eşitleme Açık ve Kural Türü Standart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir.
Eşitleme zamanlayıcısını yeniden etkinleştirin:
Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:
Windows PowerShell'de şu komutu çalıştırın:
set-adsyncscheduler -synccycleenabled:$true
Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:
get-adsyncscheduler
Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.
Kullanıcıları düzenle adminDescription özniteliği:
Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesinin dışında tutmak istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSFiltered.
Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:
set-adusermyuser-replace@{adminDescription="PHSFiltered"}
Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük
Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından büyük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.
Önemli
Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.
Aşağıdaki adımlarda gerçekleştirilecek eylemlerin özeti aşağıdadır:
- Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
- AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
- Eşitleme zamanlayıcısını yeniden etkinleştirme
- Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.
Önemli
Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSIncluded değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSIncluded dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.
Gerekli eşitleme kurallarını yapılandırın:
- Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola Eşitleme Açık ve Kural Türü Standart filtrelerini ayarlayın.
- Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'ndan In kuralını seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin.
- İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın.
- Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin.
- Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın.
- Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin.
- Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar. Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır). Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun. İleri'ye tıklayın.
- Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda equal özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin.
- Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın.
- Kuralların oluşturulmasını onaylayın. Parola Eşitleme Açık ve Kural Türü Standart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir.
Eşitleme zamanlayıcısını yeniden etkinleştirin:
Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:
Windows PowerShell'de şunu çalıştırın:
set-adsyncscheduler-synccycleenabled$true
Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:
get-adsyncscheduler
Zamanlayıcı hakkında daha fazla bilgi için bkz . Microsoft Entra Connect Sync zamanlayıcı.
Kullanıcıları düzenle adminDescription özniteliği:
Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesi için eklemek istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSIncluded.
Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:
Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}