Sinkronisasi hash kata sandi selektif untuk Azure AD Connect

Sinkronisasi hash kata sandi adalah salah satu metode masuk yang digunakan untuk mencapai identitas hibrid. Azure AD Connect menyinkronkan hash, dari hash, kata sandi pengguna dari instans Direktori Aktif lokal ke instans Azure AD berbasis cloud. Secara default, setelah disiapkan, sinkronisasi hash kata sandi akan terjadi pada semua pengguna yang Anda sinkronkan.

Jika Anda ingin mengecualikan subset pengguna dari penyinkronan hash kata sandi ke Azure AD, Anda dapat mengonfigurasi sinkronisasi hash kata sandi selektif menggunakan panduan yang disediakan dalam artikel ini.

Penting

Microsoft tidak mendukung perubahan atau pengoperasian sinkronisasi Azure AD Connect di luar konfigurasi atau tindakan yang didokumentasikan secara resmi. Salah satu konfigurasi atau tindakan ini dapat mengakibatkan status sinkronisasi Azure AD Connect yang tidak konsisten atau tidak didukung. Akibatnya, Microsoft tidak dapat menjamin bahwa kami akan dapat memberikan dukungan teknis yang efisien untuk penyebaran tersebut.

Mempertimbangan penerapan Anda

Untuk mengurangi upaya administratif konfigurasi, Anda harus terlebih dahulu mempertimbangkan jumlah objek pengguna yang ingin dikecualikan dari sinkronisasi hash kata sandi. Verifikasi skenario mana di bawah ini, yang sama-sama eksklusif, sesuai dengan persyaratan Anda untuk memilih opsi konfigurasi yang tepat bagi Anda.

  • Jika jumlah pengguna yang dikecualikan lebih kecil dari jumlah pengguna yang disertakan, ikuti langkah di bagian ini.
  • Jika jumlah pengguna yang dikecualikan lebih besar dari jumlah pengguna yang disertakan, ikuti langkah di bagian ini.

Penting

Dengan salah satu opsi konfigurasi yang dipilih, sinkronisasi awal yang diperlukan (Sinkronisasi Penuh) untuk menerapkan perubahan, akan dilakukan secara otomatis selama siklus sinkronisasi berikutnya.

Penting

Mengonfigurasi sinkronisasi hash kata sandi selektif langsung memengaruhi penulisan balik kata sandi. Perubahan kata sandi atau reset kata sandi yang dimulai di Azure Active Directory menulis balik ke Direktori Aktif lokal hanya jika pengguna berada dalam cakupan untuk sinkronisasi hash kata sandi.

Atribut adminDescription

Kedua skenario mengandalkan pengaturan atribut adminDescription pengguna ke nilai tertentu. Ini memungkinkan aturan diterapkan dan itulah yang membuat PHS selektif bekerja.

Skenario Nilai adminDescription
Pengguna yang dikecualikan lebih kecil dari pengguna yang disertakan PHSFiltered
Pengguna yang dikecualikan lebih besar dari pengguna yang disertakan PHSIncluded

Atribut ini dapat disetel:

  • menggunakan Pengguna dan UI Komputer Direktori Aktif
  • menggunakan Set-ADUser PowerShell cmdlet. Untuk mengetahui informasi selengkapnya, lihat Set-ADUser.

Nonaktifkan penjadwal sinkronisasi:

Sebelum memulai salah satu skenario, Anda harus menonaktifkan penjadwal sinkronisasi saat membuat perubahan pada aturan sinkronisasi.

  1. Mulai masuk Windows PowerShell.

    set-adsyncscheduler-synccycleenabled$false

  2. Konfirmasi penjadwal dinonaktifkan dengan menjalankan cmdlet berikut:

    get-adsyncscheduler

Untuk mengetahui informasi selengkapnya tentang penjadwal, lihat penjadwal sinkronisasi Azure AD Connect.

Pengguna yang dikecualikan lebih kecil dari pengguna yang disertakan

Bagian berikut menjelaskan cara mengaktifkan sinkronisasi hash kata sandi selektif saat jumlah pengguna yang dikecualikan lebih kecil dari jumlah pengguna yang disertakan.

Penting

Sebelum melanjutkan, pastikan penjadwal sinkronisasi dinonaktifkan seperti yang diuraikan di atas.

  • Membuat salinan In from AD – User AccountEnabled yang dapat diedit dengan opsi untuk mengaktifkan sinkronisasi hash kata sandi yang tidak dipilih dan menentukan filter cakupannya
  • Membuat salinan In from AD – User AccountEnabled default yang dapat diedit lainnya dengan opsi untuk mengaktifkan sinkronisasi hash kata sandi yang tidak dipilih dan menentukan filter cakupannya
  • Mengaktifkan kembali penjadwal sinkronisasi
  • Tetapkan nilai atribut, dalam direktori aktif, yang ditetapkan sebagai atribut cakupan di pengguna yang ingin Anda izinkan dalam sinkronisasi hash kata sandi.

Penting

Langkah yang disediakan untuk mengonfigurasi sinkronisasi hash kata sandi selektif hanya akan memengaruhi objek pengguna yang memiliki atribut adminDescription yang diisi di Direktori Aktif dengan nilai PHSFiltered. Jika atribut ini tidak diisi atau nilainya adalah sesuatu selain PHSFiltered, aturan ini tidak akan diterapkan ke objek pengguna.

Konfigurasikan aturan sinkronisasi yang diperlukan:

  1. Mulai Editor Aturan Sinkronisasi dan atur filter Sinkronisasi Kata Sandi ke Aktif dan Jenis Aturan ke Standar. Memulai editor aturan sinkronisasi
  2. Pilih aturan In from AD – User AccountEnabled untuk Konektor forest Direktori Aktif yang ingin Anda konfigurasikan kata sandi selektifnya yang telah mengaktifkan sinkronisasi hash lalu klik Edit. Pilih Ya di kotak dialog berikutnya untuk membuat salinan aturan asli yang dapat diedit. Memilih aturan
  3. Aturan pertama akan menonaktifkan sinkronisasi hash kata sandi. Berikan nama berikut ke aturan kustom baru: In from AD - User AccountEnabled - Filter Users from PHS. Ubah nilai prioritas menjadi angka yang lebih rendah dari 100 (misalnya 90 atau yang merupakan nilai terendah yang tersedia di lingkungan Anda). Pastikan kotak centang Aktifkan Sinkronisasi Kata Sandi dan Dinonaktifkan dihapus centangnya. Klik Selanjutnya. Mengedit masuk
  4. Di Filter cakupan, klik Tambahkan klausul. Pilih adminDescription di kolom atribut, EQUAL di kolom Operator, dan masukkan PHSFiltered sebagai nilai. Filter cakupan
  5. Tidak diperlukan perubahan lebih lanjut. Aturan gabung dan Transformasi harus dibiarkan dengan pengaturan default yang disalin sehingga Anda dapat mengklik Simpan sekarang. Klik OK di kotak dialog peringatan yang menginformasikan sinkronisasi penuh akan dijalankan pada siklus sinkronisasi konektor berikutnya. Aturan penyimpanan
  6. Selanjutnya, buat aturan kustom lain dengan mengaktifkan sinkronisasi hash kata sandi. Pilih lagi aturan default In from AD – User AccountEnabled untuk forest Direktori Aktif yang ingin Anda konfigurasikan kata sandi selektifnya yang telah mengaktifkan sinkronisasi lalu klik Edit. Pilih Ya di kotak dialog berikutnya untuk membuat salinan aturan asli yang dapat diedit. Aturan kustom
  7. Berikan nama berikut ke aturan kustom baru: In from AD - User AccountEnabled - Users included for PHS. Ubah nilai prioritas menjadi angka yang lebih rendah dari aturan yang sebelumnya dibuat (Dalam contoh ini yaitu 89). Pastikan kotak centang Aktifkan Sinkronisasi Kata Sandi dicentang dan kotak centang Dinonaktifkan dibatalkan centangnya. Klik Selanjutnya.
    Mengedit aturan baru
  8. Di Filter cakupan, klik Tambahkan klausul. Pilih adminDescription di kolom atribut, NOTEQUAL di kolom Operator, dan masukkan PHSFiltered sebagai nilai. Aturan cakupan
  9. Tidak diperlukan perubahan lebih lanjut. Aturan gabung dan Transformasi harus dibiarkan dengan pengaturan default yang disalin sehingga Anda dapat mengklik Simpan sekarang. Klik OK di kotak dialog peringatan yang menginformasikan sinkronisasi penuh akan dijalankan pada siklus sinkronisasi konektor berikutnya. Aturan gabung
  10. Konfirmasikan pembuatan aturan. Hapus filter Sinkronisasi Kata Sandi Aktif dan Jenis Aturan Standar. Dan Anda akan melihat kedua aturan baru yang baru saja Anda buat. Aturan konfirmasi

Aktifkan kembali penjadwal sinkronisasi:

Setelah Anda menyelesaikan langkah untuk mengonfigurasi aturan sinkronisasi yang diperlukan, aktifkan kembali penjadwal sinkronisasi dengan langkah berikut:

  1. Di Windows PowerShell yang berjalan:

    set-adsyncscheduler-synccycleenabled$true

  2. Lalu konfirmasikan telah berhasil diaktifkan dengan menjalankan:

    get-adsyncscheduler

Untuk mengetahui informasi selengkapnya tentang penjadwal, lihat penjadwal sinkronisasi Azure AD Connect.

Edit atribut adminDescription pengguna:

Setelah semua konfigurasi selesai, Anda perlu mengedit adminDescription atribut untuk semua pengguna yang ingin dikecualikan dari sinkronisasi hash kata sandi di Direktori Aktif dan menambahkan string yang digunakan dalam filter cakupan: PHSFiltered.

Mengedit atribut

Anda juga dapat menggunakan perintah PowerShell berikut untuk mengedit atribut adminDescription pengguna:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Pengguna yang dikecualikan lebih besar dari pengguna yang disertakan

Bagian berikut menjelaskan cara mengaktifkan sinkronisasi hash kata sandi selektif saat jumlah pengguna yang dikecualikan lebih besar dari jumlah pengguna yang disertakan.

Penting

Sebelum melanjutkan, pastikan penjadwal sinkronisasi dinonaktifkan seperti yang diuraikan di atas.

Berikut adalah ringkasan tindakan yang akan diambil dalam langkah di bawah:

  • Membuat salinan In from AD – User AccountEnabled yang dapat diedit dengan opsi untuk mengaktifkan sinkronisasi hash kata sandi yang tidak dipilih dan menentukan filter cakupannya
  • Membuat salinan In from AD – User AccountEnabled default yang dapat diedit lainnya dengan opsi untuk mengaktifkan sinkronisasi hash kata sandi yang tidak dipilih dan menentukan filter cakupannya
  • Mengaktifkan kembali penjadwal sinkronisasi
  • Tetapkan nilai atribut, dalam direktori aktif, yang ditetapkan sebagai atribut cakupan di pengguna yang ingin Anda izinkan dalam sinkronisasi hash kata sandi.

Penting

Langkah yang disediakan untuk mengonfigurasi sinkronisasi hash kata sandi selektif hanya akan memengaruhi objek pengguna yang memiliki atribut adminDescription yang diisi di Direktori Aktif dengan nilai PHSFiltered. Jika atribut ini tidak diisi atau nilainya adalah sesuatu selain PHSIncluded, aturan ini tidak akan diterapkan ke objek pengguna.

Konfigurasikan aturan sinkronisasi yang diperlukan:

  1. Mulai Editor Aturan Sinkronisasi dan atur filter Sinkronisasi Kata Sandi Aktif dan Jenis Aturan Standar. Jenis aturan
  2. Pilih aturan In from AD – User AccountEnabled untuk forest Direktori Aktif yang ingin Anda konfigurasikan kata sandi selektifnya yang telah mengaktifkan sinkronisasi lalu klik Edit. Pilih Ya di kotak dialog berikutnya untuk membuat salinan aturan asli yang dapat diedit. In from AD
  3. Aturan pertama akan menonaktifkan sinkronisasi hash kata sandi. Berikan nama berikut ke aturan kustom baru: In from AD - User AccountEnabled - Filter Users from PHS. Ubah nilai prioritas menjadi angka yang lebih rendah dari 100 (misalnya 90 atau yang merupakan nilai terendah yang tersedia di lingkungan Anda). Pastikan kotak centang Aktifkan Sinkronisasi Kata Sandi dan Dinonaktifkan dihapus centangnya. Klik Selanjutnya. Mengatur prioritas
  4. Di Filter cakupan, klik Tambahkan klausul. Pilih adminDescription di kolom atribut, NOTEQUAL di kolom Operator, dan masukkan PHSIncluded sebagai nilai. Menambahkan klausul
  5. Tidak diperlukan perubahan lebih lanjut. Aturan gabung dan Transformasi harus dibiarkan dengan pengaturan default yang disalin sehingga Anda dapat mengklik Simpan sekarang. Klik OK di kotak dialog peringatan yang menginformasikan sinkronisasi penuh akan dijalankan pada siklus sinkronisasi konektor berikutnya. Transformasi
  6. Selanjutnya, buat aturan kustom lain dengan mengaktifkan sinkronisasi hash kata sandi. Pilih lagi aturan default In from AD – User AccountEnabled untuk forest Direktori Aktif yang ingin Anda konfigurasikan kata sandi selektifnya yang telah mengaktifkan sinkronisasi lalu klik Edit. Pilih Ya di kotak dialog berikutnya untuk membuat salinan aturan asli yang dapat diedit. User AccountEnabled
  7. Berikan nama berikut ke aturan kustom baru: In from AD - User AccountEnabled - Users included for PHS. Ubah nilai prioritas menjadi angka yang lebih rendah dari aturan yang sebelumnya dibuat (Dalam contoh ini yaitu 89). Pastikan kotak centang Aktifkan Sinkronisasi Kata Sandi dicentang dan kotak centang Dinonaktifkan dibatalkan centangnya. Klik Selanjutnya. Mengaktifkan Sinkronisasi Kata Sandi
  8. Di Filter cakupan, klik Tambahkan klausul. Pilih adminDescription di kolom atribut, EQUAL di kolom Operator, dan masukkan PHSIncluded sebagai nilai. PHSIncluded
  9. Tidak diperlukan perubahan lebih lanjut. Aturan gabung dan Transformasi harus dibiarkan dengan pengaturan default yang disalin sehingga Anda dapat mengklik Simpan sekarang. Klik OK di kotak dialog peringatan yang menginformasikan sinkronisasi penuh akan dijalankan pada siklus sinkronisasi konektor berikutnya. Menyimpan sekarang
  10. Konfirmasikan pembuatan aturan. Hapus filter Sinkronisasi Kata Sandi Aktif dan Jenis Aturan Standar. Dan Anda akan melihat kedua aturan baru yang baru saja Anda buat. Sinkronisasi aktif

Aktifkan kembali penjadwal sinkronisasi:

Setelah Anda menyelesaikan langkah untuk mengonfigurasi aturan sinkronisasi yang diperlukan, aktifkan kembali penjadwal sinkronisasi dengan langkah berikut:

  1. Di Windows PowerShell, jalankan:

    set-adsyncscheduler-synccycleenabled$true

  2. Lalu konfirmasikan telah berhasil diaktifkan dengan menjalankan:

    get-adsyncscheduler

Untuk mengetahui informasi selengkapnya tentang penjadwal, lihat penjadwal sinkronisasi Azure AD Connect.

Edit atribut adminDescription pengguna:

Setelah semua konfigurasi selesai, Anda perlu mengedit adminDescription atribut untuk semua pengguna yang ingin disertakan untuk sinkronisasi hash kata sandi di Direktori Aktif dan menambahkan string yang digunakan dalam filter cakupan: PHSIncluded.

Mengedit atribut

Anda juga dapat menggunakan perintah PowerShell berikut untuk mengedit atribut adminDescription pengguna:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Langkah berikutnya