Konfiguracja selektywnej synchronizacji skrótów haseł dla Azure AD Connect

Synchronizacja skrótów haseł jest jedną z metod logowania używanych do realizacji tożsamości hybrydowej. Azure AD Connect synchronizuje skrót hasła użytkownika z wystąpienia usługi lokalna usługa Active Directory do wystąpienia usługi Azure AD opartego na chmurze. Domyślnie po zakończeniu konfiguracji synchronizacja skrótów haseł będzie mieć miejsce dla wszystkich synchronizowanych użytkowników.

Jeśli chcesz, aby podzestaw użytkowników był wykluczony z synchronizowania skrótów haseł z usługą Azure AD, możesz skonfigurować selektywną synchronizację skrótów haseł, korzystając z kroków z przewodnikiem podanych w tym artykule.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani obsługi synchronizacji Azure AD Connect poza konfiguracjami lub akcjami, które zostały formalnie udokumentowane. Każda z tych konfiguracji lub akcji może spowodować niespójny lub nieobsługiwany stan Azure AD Connect synchronizacji. W związku z tym firma Microsoft nie może zagwarantować, że będziemy mogli zapewnić efektywną pomoc techniczną dla takich wdrożeń.

Rozważ implementację

Aby zmniejszyć nakład pracy administracyjnej konfiguracji, należy najpierw wziąć pod uwagę liczbę obiektów użytkowników, które mają zostać wykluczone z synchronizacji skrótów haseł. Sprawdź, który z poniższych scenariuszy, które wzajemnie się wykluczają, jest dopasowany do Twoich wymagań, aby wybrać odpowiednią opcję konfiguracji.

  • Jeśli liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do dołączyć , wykonaj kroki opisane w tej sekcji.
  • Jeśli liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do dołączyć , wykonaj kroki opisane w tej sekcji.

Ważne

Po wybranej opcji konfiguracji wymagana synchronizacja początkowa (pełna synchronizacja) w celu zastosowania zmian zostanie wykonana automatycznie w następnym cyklu synchronizacji.

Ważne

Konfigurowanie selektywnej synchronizacji skrótów haseł bezpośrednio wpływa na funkcję zapisu zwrotnego haseł. Zmiany haseł lub resetowanie haseł inicjowane w programie Azure Active Directory zapisywać z powrotem lokalna usługa Active Directory tylko wtedy, gdy użytkownik znajduje się w zakresie synchronizacji skrótów haseł.

Atrybut adminDescription

Oba scenariusze polegają na ustawieniu atrybutu adminDescription użytkowników na określoną wartość. Dzięki temu reguły mogą być stosowane i to właśnie powoduje, że działa selektywna phs.

Scenariusz wartość adminDescription
Wykluczeni użytkownicy są mniejsi niż uwzględnioni użytkownicy PHSFiltered
Wykluczeni użytkownicy są większymi niż uwzględnioni użytkownicy PHSIncluded

Ten atrybut można ustawić:

  • korzystanie z interfejsu Użytkownicy i komputery usługi Active Directory użytkownika
  • za Set-ADUser pomocą polecenia cmdlet programu PowerShell. Aby uzyskać więcej informacji, zobacz Set-ADUser.

Wyłącz harmonogram synchronizacji:

Przed rozpoczęciem każdego z tych scenariuszy należy wyłączyć harmonogram synchronizacji podczas dokonywania zmian w zasadach synchronizacji.

  1. Uruchom program Windows PowerShell, wpisz .

    set-adsyncscheduler-synccycleenabled$false

  2. Upewnij się, że harmonogram jest wyłączony, uruchamiając następujące polecenie cmdlet:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Azure AD Connect harmonogramu synchronizacji.

Wykluczeni użytkownicy są mniejsi niż uwzględnioni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest mniejsza niż liczba użytkowników do dołączyć.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony, jak opisano powyżej.

  • Utwórz edytowacyjną kopię pliku In z usługi AD — Konto użytkownikaWłączyć z opcją włączenia synchronizacji skrótów haseł niewybraną i zdefiniuj jej filtr zakresu
  • Utwórz kolejną edytowacyjną kopię domyślnej wartości In z usługi AD — Konto użytkownikaWłączona z wybraną opcją włączenia synchronizacji skrótów haseł i zdefiniuj jej filtr zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut zakresu dla użytkowników, którym chcesz zezwolić w synchronizacji skrótów haseł.

Ważne

Kroki podane w celu skonfigurowania selektywnej synchronizacji skrótów haseł będą mieć wpływ tylko na obiekty użytkowników z atrybutem adminDescription wypełnionym w usłudze Active Directory przy użyciu wartości PHSFiltered. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest inna niż PHSFiltered, te reguły nie będą stosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł na Wł., a Typ reguły na Wartość Standardowa. Uruchamianie edytora reguł synchronizacji
  2. Wybierz regułę W usłudze AD — Konto użytkownikaWczytaj dla łącznika lasu usługi Active Directory, dla którego chcesz skonfigurować synchronizację skrótów haseł, a następnie kliknij przycisk Edytuj. Wybierz pozycję Tak w następnym oknie dialogowym, aby utworzyć edytowacyjną kopię oryginalnej reguły. Wybieranie reguły
  3. Pierwsza reguła spowoduje wyłączenie synchronizacji skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: In from AD - User AccountEnabled - Filter Users from PHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub najniższą wartość dostępną w środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone nie są zaznaczone. Kliknij przycisk Dalej. Edytowanie ruchu przychodzącego
  4. W filtrze zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź wartość PHSFiltered jako wartość. Filtr zakresu
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny zostać pozostawione z domyślnymi ustawieniami skopiowanych, aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia z komunikatem, że pełna synchronizacja zostanie uruchamiana w następnym cyklu synchronizacji łącznika. Zapisywanie reguły
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz regułę domyślną In from AD — User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on (W usłudze AD — Konto użytkownikaWłączona dla lasu usługi Active Directory), dla którego chcesz skonfigurować synchronizację haseł selektywnych, a następnie kliknij pozycję Edytuj. Wybierz pozycję tak w następnym oknie dialogowym, aby utworzyć edytowacyjną kopię oryginalnej reguły. Reguła niestandardowa
  7. Podaj następującą nazwę nowej reguły niestandardowej: In from AD - User AccountEnabled - Users included for PHS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone nie jest zaznaczone. Kliknij przycisk Dalej.
    Edytowanie nowej reguły
  8. W filtrze zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu, a następnie pozycję NOTEQUAL w kolumnie Operator i wprowadź wartość PHSFiltered. Reguła zakresu
  9. Nie są wymagane żadne dalsze zmiany. Reguły sprzężenia i przekształcenia powinny zostać pozostawione z domyślnymi ustawieniami skopiowanych, aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia informując o pełnej synchronizacji, która będzie uruchamiana w następnym cyklu synchronizacji łącznika. Reguły sprzężenia
  10. Potwierdź utworzenie reguł. Usuń filtry Synchronizacja haseł wł. i Typ reguły w standardowych . Powinny zostać również wyświetlony obie nowo utworzone reguły. Potwierdzanie reguł

Włącz ponownie harmonogram synchronizacji:

Po ukończeniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, aby wykonać następujące czynności:

  1. W Windows PowerShell uruchom:

    set-adsyncscheduler-synccycleenabled$true

  2. Następnie upewnij się, że została ona pomyślnie włączona, uruchamiając:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Azure AD Connect harmonogramu synchronizacji.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji należy edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają być wykluczani z synchronizacji skrótów haseł w usłudze Active Directory, i dodać ciąg używany w filtrze zakresu: PHSFiltered.

Edytowanie atrybutu

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Wykluczeni użytkownicy są większymi niż uwzględnioni użytkownicy

W poniższej sekcji opisano sposób włączania selektywnej synchronizacji skrótów haseł, gdy liczba użytkowników do wykluczenia jest większa niż liczba użytkowników do dołączyć.

Ważne

Przed kontynuowaniem upewnij się, że harmonogram synchronizacji jest wyłączony, jak opisano powyżej.

Poniżej przedstawiono podsumowanie akcji, które zostaną wykonane w poniższych krokach:

  • Utwórz edytowacyjną kopię pliku In z usługi AD — Konto użytkownikaWłączyć z opcją włączenia synchronizacji skrótów haseł niewybraną i zdefiniuj jej filtr zakresu
  • Utwórz kolejną edytowacyjną kopię domyślnej wartości In z usługi AD — Konto użytkownikaWłączona z wybraną opcją włączenia synchronizacji skrótów haseł i zdefiniuj jej filtr zakresu
  • Ponowne włączanie harmonogramu synchronizacji
  • Ustaw wartość atrybutu w usłudze Active Directory, która została zdefiniowana jako atrybut zakresu dla użytkowników, którym chcesz zezwolić w synchronizacji skrótów haseł.

Ważne

Kroki podane w celu skonfigurowania selektywnej synchronizacji skrótów haseł będą mieć wpływ tylko na obiekty użytkowników z atrybutem adminDescription wypełnionym w usłudze Active Directory wartością PHSIncluded. Jeśli ten atrybut nie zostanie wypełniony lub wartość jest czymś innym niż PHSIncluded, te reguły nie będą stosowane do obiektów użytkownika.

Skonfiguruj niezbędne reguły synchronizacji:

  1. Uruchom Edytor reguł synchronizacji i ustaw filtry Synchronizacja haseł wł. i Standardowa typ reguły. Typ reguły
  2. Wybierz regułę W usłudze AD — Konto użytkownikaWczytaj dla lasu usługi Active Directory, dla którego chcesz skonfigurować synchronizację haseł selektywnych, a następnie kliknij przycisk Edytuj. Wybierz pozycję tak w następnym oknie dialogowym, aby utworzyć edytowacyjną kopię oryginalnej reguły. In z usługi AD
  3. Pierwsza reguła spowoduje wyłączenie synchronizacji skrótów haseł. Podaj następującą nazwę nowej reguły niestandardowej: In from AD - User AccountEnabled - Filter Users from PHS. Zmień wartość pierwszeństwa na liczbę niższą niż 100 (na przykład 90 lub najniższą wartość dostępną w środowisku). Upewnij się, że pola wyboru Włącz synchronizację haseł i Wyłączone nie są zaznaczone. Kliknij przycisk Dalej. Ustawianie pierwszeństwa
  4. W filtrze zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu, a następnie pozycję NOTEQUAL w kolumnie Operator i wprowadź wartość PHSIncluded. Add, klauzula
  5. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny zostać pozostawione z domyślnymi ustawieniami skopiowanych, aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia z komunikatem, że pełna synchronizacja zostanie uruchamiana w następnym cyklu synchronizacji łącznika. Przekształcenia
  6. Następnie utwórz kolejną regułę niestandardową z włączoną synchronizacją skrótów haseł. Ponownie wybierz regułę domyślną In from AD — User AccountEnabled for the Active Directory forest you want to configure selective password had synchronization on (W usłudze AD — Konto użytkownikaWłączona dla lasu usługi Active Directory), dla którego chcesz skonfigurować synchronizację haseł selektywnych, a następnie kliknij pozycję Edytuj. Wybierz pozycję tak w następnym oknie dialogowym, aby utworzyć edytowacyjną kopię oryginalnej reguły. User AccountEnabled
  7. Podaj następującą nazwę nowej reguły niestandardowej: In from AD - User AccountEnabled - Users included for PHS. Zmień wartość pierwszeństwa na liczbę niższą niż wcześniej utworzona reguła (w tym przykładzie będzie to 89). Upewnij się, że pole wyboru Włącz synchronizację haseł jest zaznaczone, a pole wyboru Wyłączone nie jest zaznaczone. Kliknij przycisk Dalej. Włączanie synchronizacji haseł
  8. W filtrze zakresu kliknij pozycję Dodaj klauzulę. Wybierz pozycję adminDescription w kolumnie atrybutu EQUAL w kolumnie Operator i wprowadź wartość PHSIncluded jako wartość. PHSIncluded
  9. Nie są wymagane żadne dalsze zmiany. Reguły dołączania i przekształcenia powinny zostać pozostawione z domyślnymi ustawieniami skopiowanych, aby można było kliknąć pozycję Zapisz teraz. Kliknij przycisk OK w oknie dialogowym ostrzeżenia z komunikatem, że pełna synchronizacja zostanie uruchamiana w następnym cyklu synchronizacji łącznika. Zapisz teraz
  10. Potwierdź utworzenie reguł. Usuń filtry Synchronizacja haseł wł. i Typ reguły w standardowych . Powinny zostać również wyświetlony obie nowo utworzone reguły. Synchronizacja w dniu

Włącz ponownie harmonogram synchronizacji:

Po ukończeniu kroków konfigurowania niezbędnych reguł synchronizacji ponownie włącz harmonogram synchronizacji, aby wykonać następujące czynności:

  1. W Windows PowerShell uruchom:

    set-adsyncscheduler-synccycleenabled$true

  2. Następnie upewnij się, że została ona pomyślnie włączona, uruchamiając:

    get-adsyncscheduler

Aby uzyskać więcej informacji na temat harmonogramu, zobacz Azure AD Connect harmonogramu synchronizacji.

Edytuj atrybut adminDescription użytkowników:

Po zakończeniu wszystkich konfiguracji należy edytować atrybut adminDescription dla wszystkich użytkowników, którzy mają być dołączoną do synchronizacji skrótów haseł w usłudze Active Directory, i dodać ciąg używany w filtrze zakresu: PHSIncluded.

Edytowanie atrybutów

Możesz również użyć następującego polecenia programu PowerShell, aby edytować atrybut adminDescription użytkownika:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Następne kroki