Configuratie van selectieve wachtwoord-hashsynchronisatie voor Microsoft Entra-Verbinding maken

Wachtwoord-hashsynchronisatie is een van de aanmeldingsmethoden die worden gebruikt om een hybride identiteit uit te voeren. Microsoft Entra Verbinding maken synchroniseert een hash, van de hash, van het wachtwoord van een gebruiker van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud. Wanneer deze is ingesteld, vindt de synchronisatie van wachtwoord-hashs standaard plaats voor alle gebruikers die u synchroniseert.

Als u een subset van gebruikers wilt uitsluiten van het synchroniseren van hun wachtwoordhash naar Microsoft Entra-id, kunt u selectieve wachtwoord-hashsynchronisatie configureren met behulp van de begeleide stappen in dit artikel.

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Microsoft Entra Verbinding maken Sync buiten de configuraties of acties die formeel worden gedocumenteerd. Een van deze configuraties of acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Verbinding maken Sync. Als gevolg hiervan kan Microsoft niet garanderen dat we efficiënte technische ondersteuning kunnen bieden voor dergelijke implementaties.

Overweeg uw implementatie

Als u de beheertaken voor de configuratie wilt verminderen, moet u eerst rekening houden met het aantal gebruikersobjecten dat u wilt uitsluiten van wachtwoord-hashsynchronisatie. Controleer welke van de onderstaande scenario's, die elkaar wederzijds uitsluiten, overeenkomt met uw vereisten om de juiste configuratieoptie voor u te selecteren.

  • Als het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.
  • Als het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen, volgt u de stappen in deze sectie.

Belangrijk

Als u een van beide configuratieopties hebt gekozen, wordt een vereiste initiële synchronisatie (volledige synchronisatie) om de wijzigingen toe te passen, automatisch uitgevoerd tijdens de volgende synchronisatiecyclus.

Belangrijk

Het configureren van selectieve wachtwoord-hashsynchronisatie heeft rechtstreeks invloed op het terugschrijven van wachtwoorden. Wachtwoordwijzigingen of wachtwoordherstel die in Microsoft Entra ID worden geïnitieerd, schrijven alleen terug naar on-premises Active Directory als de gebruiker binnen het bereik van wachtwoord-hashsynchronisatie valt.

Belangrijk

Selectieve wachtwoord-hashsynchronisatie wordt ondersteund in Microsoft Entra Verbinding maken 1.6.2.4 of hoger. Als u een versie lager gebruikt dan die, voert u een upgrade uit naar de nieuwste versie.

Het kenmerk adminDescription

Beide scenario's zijn afhankelijk van het instellen van het adminDescription-kenmerk van gebruikers op een specifieke waarde. Hierdoor kunnen de regels worden toegepast en wordt selectief PHS-werk.

Scenario adminDescription-waarde
Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers PHSFiltered
Uitgesloten gebruikers zijn groter dan opgenomen gebruikers PHSIncluded

Dit kenmerk kan worden ingesteld:

  • de gebruikersinterface van Active Directory gebruiken
  • met behulp van Set-ADUser PowerShell-cmdlet. Zie Set-ADUser voor meer informatie.

Schakel de synchronisatieplanner uit:

Voordat u een van beide scenario's start, moet u de synchronisatieplanner uitschakelen terwijl u wijzigingen aanbrengt in de synchronisatieregels.

  1. Start Windows PowerShell en voer het in.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Controleer of de scheduler is uitgeschakeld door de volgende cmdlet uit te voeren:

    Get-ADSyncScheduler

Zie Microsoft Entra Verbinding maken Sync scheduler voor meer informatie over de scheduler.

Uitgesloten gebruikers zijn kleiner dan opgenomen gebruikers

In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten kleiner is dan het aantal gebruikers dat moet worden opgenomen.

Belangrijk

Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals hierboven wordt beschreven.

  • Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
  • Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
  • De synchronisatieplanner opnieuw inschakelen
  • Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.

Belangrijk

De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten waarvoor de kenmerk adminDescription is ingevuld in Active Directory met de waarde PHSFiltered. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSFiltered , worden deze regels niet toegepast op de gebruikersobjecten.

Configureer de benodigde synchronisatieregels:

  1. Start de editor voor synchronisatieregels en stel de filters Wachtwoordsynchronisatie in op Aan en regeltype op Standaard. Start sync rules editor
  2. Selecteer de regel In in AD : GebruikersaccountEnabled voor het Active Directory-forest Verbinding maken or u selectief wachtwoord wilt configureren, hashsynchronisatie had en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken. Select rule
  3. Met de eerste regel wordt wachtwoord-hashsynchronisatie uitgeschakeld. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Filter Users from PHS. Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving). Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld. Klik op Volgende. Edit inbound
  4. Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSFiltered in als de waarde. Scoping filter
  5. Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector. Save rule
  6. Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel In van AD: GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken. Custom rule
  7. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS. Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld is dat 89). Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld. Klik op Volgende.
    Edit new rule
  8. Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSFiltered in als de waarde. Scope rule
  9. Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector. Join rules
  10. Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatieop en regeltypestandaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt. Confirm rules

Synchronisatieplanner opnieuw inschakelen:

Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:

  1. Voer in Windows PowerShell de volgende opdracht uit:

    set-adsyncscheduler -synccycleenabled:$true

  2. Controleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:

    get-adsyncscheduler

Zie Microsoft Entra Verbinding maken Sync scheduler voor meer informatie over de scheduler.

Bewerk het kenmerk adminDescription van gebruikers:

Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt uitsluiten van wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSFiltered.

Edit attribute

U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Uitgesloten gebruikers zijn groter dan opgenomen gebruikers

In de volgende sectie wordt beschreven hoe u selectieve wachtwoord-hashsynchronisatie inschakelt wanneer het aantal gebruikers dat moet worden uitgesloten groter is dan het aantal gebruikers dat moet worden opgenomen.

Belangrijk

Voordat u verdergaat, moet u ervoor zorgen dat de synchronisatieplanner is uitgeschakeld zoals hierboven wordt beschreven.

Hier volgt een overzicht van de acties die worden uitgevoerd in de onderstaande stappen:

  • Maak een bewerkbare kopie van de In vanuit AD : GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie niet-geselecteerd in te schakelen en het bereikfilter ervan te definiëren
  • Maak een andere bewerkbare kopie van de standaardinstelling In vanuit AD: GebruikersaccountEnabled met de optie om wachtwoord-hashsynchronisatie in te schakelen en het bereikfilter te definiëren
  • De synchronisatieplanner opnieuw inschakelen
  • Stel de kenmerkwaarde in Active Directory in die is gedefinieerd als bereikkenmerk voor de gebruikers die u wilt toestaan in wachtwoord-hashsynchronisatie.

Belangrijk

De stappen voor het configureren van selectieve wachtwoord-hashsynchronisatie zijn alleen van invloed op gebruikersobjecten waarvoor de kenmerk adminDescription is ingevuld in Active Directory met de waarde PHSIncluded. Als dit kenmerk niet is ingevuld of als de waarde iets anders is dan PHSIncluded , worden deze regels niet toegepast op de gebruikersobjecten.

Configureer de benodigde synchronisatieregels:

  1. Start de synchronisatieregelseditor en stel de filters Wachtwoordsynchronisatiein en RegeltypeStandard in. Rule type
  2. Selecteer de regel In in AD : GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken. In from AD
  3. Met de eerste regel wordt wachtwoord-hashsynchronisatie uitgeschakeld. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Filter Users from PHS. Wijzig de prioriteitswaarde in een getal lager dan 100 (bijvoorbeeld 90 of de laagste waarde die beschikbaar is in uw omgeving). Zorg ervoor dat de selectievakjes Wachtwoordsynchronisatie inschakelen en Uitgeschakeld zijn uitgeschakeld. Klik op Volgende. Set precedence
  4. Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, NOTEQUAL in de kolom Operator en voer PHSIncluded in als de waarde. Add clause
  5. Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector. Transformation
  6. Maak vervolgens een andere aangepaste regel waarvoor wachtwoord-hashsynchronisatie is ingeschakeld. Selecteer opnieuw de standaardregel In van AD: GebruikersaccountEnabled voor het Active Directory-forest waarop u selectieve wachtwoordsynchronisatie wilt configureren en klik op Bewerken. Selecteer Ja in het volgende dialoogvenster om een bewerkbare kopie van de oorspronkelijke regel te maken. User AccountEnabled
  7. Geef de volgende naam op voor de nieuwe aangepaste regel: In van AD - User AccountEnabled - Users included for PHS. Wijzig de prioriteitswaarde in een getal lager dan de regel die u eerder hebt gemaakt (in dit voorbeeld is dat 89). Zorg ervoor dat het selectievakje Wachtwoordsynchronisatie inschakelen is ingeschakeld en het selectievakje Uitgeschakeld is uitgeschakeld. Klik op Volgende. Enable Password Sync
  8. Klik in het bereikfilter op Component Toevoegen. Selecteer adminDescription in de kenmerkkolom, EQUAL in de kolom Operator en voer PHSIncluded in als de waarde. PHSIncluded
  9. Er zijn geen verdere wijzigingen vereist. Voeg regels en transformaties toe aan de standaard gekopieerde instellingen, zodat u nu op Opslaan kunt klikken. Klik op OK in het waarschuwingsdialoogvenster waarin wordt opgegeven dat een volledige synchronisatie wordt uitgevoerd tijdens de volgende synchronisatiecyclus van de connector. Save now
  10. Bevestig het maken van de regels. Verwijder de filters wachtwoordsynchronisatieop en regeltypestandaard. En u ziet nu beide nieuwe regels die u zojuist hebt gemaakt. Sync on

Synchronisatieplanner opnieuw inschakelen:

Nadat u de stappen voor het configureren van de benodigde synchronisatieregels hebt voltooid, schakelt u de synchronisatieplanner opnieuw in met de volgende stappen:

  1. Voer in Windows PowerShell het volgende uit:

    set-adsyncscheduler-synccycleenabled$true

  2. Controleer vervolgens of deze is ingeschakeld door het volgende uit te voeren:

    get-adsyncscheduler

Zie Microsoft Entra Verbinding maken Sync scheduler voor meer informatie over de scheduler.

Bewerk het kenmerk adminDescription van gebruikers:

Zodra alle configuraties zijn voltooid, moet u de kenmerk adminDescription bewerken voor alle gebruikers die u wilt opnemen voor wachtwoord-hashsynchronisatie in Active Directory en de tekenreeks toevoegen die wordt gebruikt in het bereikfilter: PHSIncluded.

Edit attributes

U kunt ook de volgende PowerShell-opdracht gebruiken om het kenmerk adminDescription van een gebruiker te bewerken:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Volgende stappen