Выборочная настройка синхронизации хэша паролей для Microsoft Entra Подключение

Синхронизация хэша паролей является одним из методов входа, используемых для реализации гибридной идентификации. Microsoft Entra Подключение синхронизирует хэш(хэш) пароля пользователя из локальная служба Active Directory экземпляра в облачный экземпляр Microsoft Entra. По умолчанию после установки синхронизация хэша паролей выполняется для всех синхронизируемых пользователей.

Если вы хотите использовать подмножество пользователей, исключенных из синхронизации хэша паролей с идентификатором Microsoft Entra ID, можно настроить выборочную синхронизацию хэша паролей, выполнив описанные в этой статье действия.

Важно!

Корпорация Майкрософт не поддерживает изменение или эксплуатацию Microsoft Entra Подключение Sync за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Подключение. В результате корпорация Майкрософт не может гарантировать, что мы сможем обеспечить эффективную техническую поддержку таких развертываний.

Планирование реализации

Чтобы сократить административную трудоемкость, необходимо сначала определить количество объектов-пользователей, которые вы хотите исключить из синхронизации хэшей паролей. Чтобы определить подходящий вариант конфигурации, из приведенных ниже взаимоисключающих сценариев выберите наиболее подходящий вашим требованиям.

• Если число исключаемых пользователей меньше числа включаемых пользователей, выполните действия, описанные в этом разделе.
• Если число исключаемых пользователей больше числа включаемых пользователей, выполните действия, описанные в этом разделе.

Важно!

Независимо от выбранного варианта конфигурации, обязательная начальная синхронизация (полная синхронизация) для применения изменений будет выполнена автоматически при следующем цикле синхронизации.

Важно!

Конфигурация выборочной синхронизации хэша паролей напрямую влияет на компонент обратной записи паролей. Изменения паролей или сбросы паролей, инициируемые в идентификаторе Microsoft Entra ID, записываются обратно в локальная служба Active Directory только в том случае, если пользователь находится в область для синхронизации хэша паролей.

Важно!

Выборочная синхронизация хэша паролей поддерживается в Microsoft Entra Подключение 1.6.2.4 или более поздней версии. Если вы используете более низкую версию, обновите ее до последней версии.

Атрибут The adminDescription

Оба сценария зависят от определенного значения атрибута adminDescription пользователей. Это позволяет применять правила, на основании которых работает выборочная синхронизация хэша паролей.

Сценарий	Значение adminDescription
Исключенных пользователей меньше, чем включенных пользователей	PHSFiltered
Исключенных пользователей больше, чем включенных пользователей	PHSIncluded

Этот атрибут можно задать:

• с помощью интерфейса "Пользователи и компьютеры Active Directory";
• с помощью команды Set-ADUser в PowerShell. Дополнительные сведения см. в статье Set-ADUser.

Отключение планировщика синхронизации:

Перед запуском любого сценария необходимо отключить планировщик синхронизации на время внесения изменений в правила синхронизации.

1. Запустите Windows PowerShell и введите.

   Set-ADSyncScheduler -SyncCycleEnabled $false

2. Убедитесь, что планировщик отключен, выполнив следующий командлет:

   Get-ADSyncScheduler

Дополнительные сведения о планировщике см. в разделе Microsoft Entra Подключение Планировщик синхронизации.

Исключенных пользователей меньше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей меньше числа включаемых пользователей.

Важно!

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

• Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Повторное включение планировщика синхронизации
• Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Важно!

Данные действия по настройке выборочной синхронизации хэша паролей повлияют только на те объекты-пользователи, у которых атрибут adminDescription заполнен в Active Directory со значением PHSFiltered. Если этот атрибут не заполнен или значение отличается от PHSFiltered, то эти правила не будут применены к таким объектам-пользователям.

Настройте необходимые правила синхронизации:

1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное).
2. Выберите правило In from AD – User AccountEnabled для соединителя леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
3. Первое правило отключит синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Filter Users from PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Нажмите кнопку Далее.
4. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" (Оператор) выберите EQUAL (РАВНО) и введите значение PHSFiltered.
5. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя.
6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере оно будет составлять 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Нажмите кнопку Далее.
   
8. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSFiltered.
9. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя.
10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали.

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

1. В Windows PowerShell выполните команду:

   set-adsyncscheduler -synccycleenabled:$true

2. Затем убедитесь, что планировщик включен, выполнив команду:

   get-adsyncscheduler

Дополнительные сведения о планировщике см. в разделе Microsoft Entra Подключение Планировщик синхронизации.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите исключить из синхронизации хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSFiltered.

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Исключенных пользователей больше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей больше числа включаемых пользователей.

Важно!

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

Ниже приведена сводка действий, которые будут выполнены в последующих шагах:

• Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
• Повторное включение планировщика синхронизации
• Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Важно!

Данные действия по настройке выборочной синхронизации хэша паролей повлияют только на те объекты-пользователи, у которых атрибут adminDescription заполнен в Active Directory со значением PHSIncluded. Если этот атрибут не заполнен или значение отличается от PHSIncluded, то эти правила не будут применены к таким объектам-пользователям.

Настройте необходимые правила синхронизации:

1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное).
2. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
3. Первое правило отключит синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Filter Users from PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Нажмите кнопку Далее.
4. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSIncluded.
5. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя.
6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила.
7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере оно будет составлять 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Нажмите кнопку Далее.
8. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите EQUAL (РАВНО) и введите значение PHSIncluded.
9. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя.
10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали.

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

1. В Windows PowerShell запустите:

   set-adsyncscheduler-synccycleenabled$true

2. Затем убедитесь, что планировщик включен, выполнив команду:

   get-adsyncscheduler

Дополнительные сведения о планировщике см. в разделе Microsoft Entra Подключение Планировщик синхронизации.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите включить в синхронизацию хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSIncluded.

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Next Steps

• Что такое синхронизация хэша паролей
• Как работает синхронизация хэша паролей