Selektivní konfigurace synchronizace hodnot hash hesel pro Microsoft Entra Připojení

  • Článek

Synchronizace hodnot hash hesel je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Připojení synchronizuje hodnotu hash hesla uživatele z instance místní Active Directory do cloudové instance Microsoft Entra. Po nastavení bude synchronizace hodnot hash hesel ve výchozím nastavení probíhat u všech uživatelů, které synchronizujete.

Pokud chcete mít podmnožinu uživatelů vyloučených z synchronizace hodnoty hash hesel s ID Microsoft Entra, můžete nakonfigurovat selektivní synchronizaci hodnot hash hesel pomocí kroků s asistencí uvedených v tomto článku.

Důležité

Microsoft nepodporuje úpravy ani provoz služby Microsoft Entra Připojení Sync mimo konfigurace nebo akce, které jsou formálně zdokumentované. Jakákoli z těchto konfigurací nebo akcí může vést k nekonzistentnímu nebo nepodporovanému stavu služby Microsoft Entra Připojení Sync. Společnost Microsoft proto nemůže zaručit, že budeme schopni poskytovat efektivní technickou podporu pro taková nasazení.

Zvažte implementaci

Pokud chcete snížit administrativní úsilí konfigurace, měli byste nejprve zvážit počet uživatelských objektů, které chcete vyloučit ze synchronizace hodnot hash hesel. Ověřte, které z níže uvedených scénářů, které se vzájemně vylučují, odpovídají vašim požadavkům a vyberte pro vás správnou možnost konfigurace.

  • Pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.
  • Pokud je počet uživatelů, které chcete vyloučit, větší než počet uživatelů, které chcete zahrnout, postupujte podle kroků v této části.

Důležité

Když zvolíte některou z možností konfigurace, provede se při dalším cyklu synchronizace automaticky požadovaná počáteční synchronizace (úplná synchronizace).

Důležité

Konfigurace selektivní synchronizace hodnot hash hesel přímo ovlivňuje zpětný zápis hesla. Změny hesla nebo resetování hesla, které jsou inicializovány v Microsoft Entra ID zpětný zápis do místní Active Directory pouze v případě, že je uživatel v oboru synchronizace hodnot hash hesel.

Důležité

Selektivní synchronizace hodnot hash hesel je podporována v microsoft Entra Připojení 1.6.2.4 nebo novější. Pokud používáte nižší verzi, upgradujte na nejnovější verzi.

Atribut adminDescription

Oba scénáře se spoléhají na nastavení atributu adminDescription uživatelů na konkrétní hodnotu. To umožňuje použít pravidla a je to, co dělá selektivní phS práce.

Scénář hodnota adminDescription
Vyloučení uživatelé jsou menší než zahrnutí uživatelé. PhSFiltered
Vyloučení uživatelé jsou větší než zahrnutí uživatelé. PhSIncluded

Tento atribut lze nastavit buď:

  • pomocí uživatelského rozhraní Uživatelé a počítače služby Active Directory
  • pomocí Set-ADUser rutiny PowerShellu. Další informace naleznete v tématu Set-ADUser.

Zakažte plánovač synchronizace:

Než začnete s některým scénářem, musíte plánovač synchronizace zakázat při provádění změn pravidel synchronizace.

  1. Spusťte Windows PowerShell a zadejte.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Spuštěním následující rutiny ověřte, že je plánovač zakázaný:

    Get-ADSyncScheduler

Další informace o plánovači naleznete v tématu Microsoft Entra Připojení Sync scheduler.

Vyloučení uživatelé jsou menší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, menší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel ovlivní pouze objekty uživatelů s vyplněným popisem adminDescription atributu ve službě Active Directory s hodnotou PHSFiltered. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSFiltered , nebudou tato pravidla použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte synchronizaci hesel na Zapnuto a Typ pravidla na Standardní. Start sync rules editor
  2. Vyberte pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory Připojení or chcete nakonfigurovat selektivní heslo má synchronizaci hodnot hash a klepněte na tlačítko Upravit. Výběrem možnosti Ano v dalším dialogovém okně vytvoříte upravitelnou kopii původního pravidla. Select rule
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrovat uživatele z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Klikněte na tlačítko Další. Edit inbound
  4. Ve filtru oborů klikněte na přidat klauzuli. Ve sloupci atributu vyberte adminDescription , EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Scoping filter
  5. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Save rule
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. Custom rule
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Klikněte na tlačítko Další.
    Edit new rule
  8. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSFiltered . Scope rule
  9. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Join rules
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizaci hesel a typpravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Confirm rules

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler -synccycleenabled:$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači naleznete v tématu Microsoft Entra Připojení Sync scheduler.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací je potřeba upravit popis adminDescription atributu pro všechny uživatele, které chcete vyloučit ze synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSFiltered.

Edit attribute

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Vyloučení uživatelé jsou větší než zahrnutí uživatelé.

Následující část popisuje, jak povolit selektivní synchronizaci hodnot hash hesel, pokud je počet uživatelů, kteří se mají vyloučit, větší než počet uživatelů, které mají zahrnout.

Důležité

Než budete pokračovat, ujistěte se, že je plánovač synchronizace zakázaný, jak je uvedeno výše.

Následuje souhrn akcí, které se budou provádět v následujících krocích:

  • Vytvoření upravitelné kopie in z AD – Uživatelský účetEnabled s možností povolit synchronizaci hodnot hash hesel, která není vybraná a definovat její filtr oborů
  • Vytvořte další upravitelnou kopii výchozího nastavení In z AD – User AccountEnabled s možností povolit synchronizaci hodnot hash hesel a definovat její filtr oborů.
  • Opětovné povolení plánovače synchronizace
  • Nastavte hodnotu atributu ve službě Active Directory, která byla definována jako atribut rozsahu pro uživatele, které chcete povolit při synchronizaci hodnot hash hesel.

Důležité

Kroky poskytnuté ke konfiguraci selektivní synchronizace hodnot hash hesel ovlivní pouze objekty uživatelů, které mají v Active Directory vyplněné popisy adminDescription atributu s hodnotou PHSIncluded. Pokud tento atribut není naplněn nebo hodnota je něco jiného než PHSIncluded , nebudou tato pravidla použita pro objekty uživatele.

Nakonfigurujte potřebná synchronizační pravidla:

  1. Spusťte Editor synchronizačních pravidel a nastavte filtry Synchronizacehesel podle standardu a typpravidla. Rule type
  2. V ad vyberte pravidlo In – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na Upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. In from AD
  3. První pravidlo zakáže synchronizaci hodnot hash hesel. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Filtrovat uživatele z PHS. Změňte hodnotu priority na číslo nižší než 100 (například 90 nebo která hodnota je nejnižší dostupná ve vašem prostředí). Ujistěte se, že zaškrtávací políčka Povolit synchronizaci hesel a Zakázáno není zaškrtnuto . Klikněte na tlačítko Další. Set precedence
  4. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu NOTEQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . Add clause
  5. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Transformation
  6. Dále vytvořte další vlastní pravidlo s povolenou synchronizací hodnot hash hesel. Znovu vyberte výchozí pravidlo In z AD – User AccountEnabled pro doménovou strukturu služby Active Directory, u které chcete nakonfigurovat selektivní synchronizaci hesel, a klikněte na upravit. V dalším dialogovém okně vyberte ano a vytvořte upravitelnou kopii původního pravidla. User AccountEnabled
  7. Do nového vlastního pravidla zadejte následující název: In z AD – User AccountEnabled – Users included for PHS. Změňte hodnotu priority na číslo nižší než dříve vytvořené pravidlo (v tomto příkladu bude 89). Ujistěte se, že je zaškrtnuté políčko Povolit synchronizaci hesel a políčko Zakázáno není zaškrtnuté . Klikněte na tlačítko Další. Enable Password Sync
  8. Ve filtru oborů klikněte na přidat klauzuli. Vyberte adminDescription ve sloupci atributu, EQUAL ve sloupci Operátor a jako hodnotu zadejte PHSIncluded . PHSIncluded
  9. Nejsou vyžadovány žádné další změny. Pravidla spojení a transformace by měly zůstat ve výchozím zkopírovaných nastaveních, abyste mohli kliknout na Uložit . Klepněte na tlačítko OK v dialogovém okně upozornění informující o úplné synchronizaci bude spuštěn v dalším cyklu synchronizace konektoru. Save now
  10. Potvrďte vytvoření pravidel. Odeberte filtry Pro synchronizaci hesel a typpravidla Standard. Měla by se zobrazit obě nová pravidla, která jste právě vytvořili. Sync on

Opětovné povolení plánovače synchronizace:

Po dokončení kroků pro konfiguraci nezbytných synchronizačních pravidel znovu povolte plánovač synchronizace pomocí následujících kroků:

  1. Ve Windows PowerShellu spusťte:

    set-adsyncscheduler-synccycleenabled$true

  2. Potom ověřte, že je úspěšně povolena spuštěním příkazu:

    get-adsyncscheduler

Další informace o plánovači naleznete v tématu Microsoft Entra Připojení Sync scheduler.

Upravit atribut adminDescription uživatele:

Po dokončení všech konfigurací musíte upravit popis adminDescription atributu pro všechny uživatele, které chcete zahrnout do synchronizace hodnot hash hesel ve službě Active Directory, a přidat řetězec použitý ve filtru oborů: PHSIncluded.

Edit attributes

K úpravě atributu adminDescription uživatele můžete použít také následující příkaz PowerShellu:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Další kroky