Konfiguration av synkronisering av selektiv lösenordshash för Microsoft Entra Anslut

  • Artikel

Synkronisering av lösenordshash är en av de inloggningsmetoder som används för att åstadkomma hybrididentitet. Microsoft Entra Anslut synkroniserar en hash, av hashen, av en användares lösenord från en lokal Active Directory-instans till en molnbaserad Microsoft Entra-instans. När den har konfigurerats sker som standard synkronisering av lösenordshash på alla användare som du synkroniserar.

Om du vill att en delmängd av användare ska undantas från synkronisering av lösenordshash till Microsoft Entra-ID kan du konfigurera selektiv synkronisering av lösenordshash med hjälp av de guidade stegen i den här artikeln.

Viktigt!

Microsoft stöder inte ändring eller drift av Microsoft Entra Anslut Sync utanför de konfigurationer eller åtgärder som formellt dokumenteras. Någon av dessa konfigurationer eller åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Anslut Sync. Därför kan Microsoft inte garantera att vi kommer att kunna tillhandahålla effektiv teknisk support för sådana distributioner.

Överväg implementeringen

För att minska den administrativa konfigurationen bör du först överväga antalet användarobjekt som du vill undanta från synkronisering av lösenordshash. Kontrollera vilket av scenarierna nedan, som är ömsesidigt uteslutande, överensstämmer med dina krav för att välja rätt konfigurationsalternativ åt dig.

  • Om antalet användare som ska undantas är mindre än antalet användare som ska inkluderas följer du stegen i det här avsnittet.
  • Om antalet användare som ska undantas är större än antalet användare som ska inkluderas följer du stegen i det här avsnittet.

Viktigt!

Med något av konfigurationsalternativen valt utförs en nödvändig inledande synkronisering (fullständig synkronisering) för att tillämpa ändringarna automatiskt under nästa synkroniseringscykel.

Viktigt!

Att konfigurera synkronisering av selektiv lösenordshash påverkar direkt tillbakaskrivning av lösenord. Lösenordsändringar eller lösenordsåterställningar som initieras i Microsoft Entra-ID skrivs tillbaka till lokal Active Directory endast om användaren är i omfånget för synkronisering av lösenordshash.

Viktigt!

Selektiv synkronisering av lösenordshash stöds i Microsoft Entra Anslut 1.6.2.4 eller senare. Om du använder en lägre version än så uppgraderar du till den senaste versionen.

Attributet adminDescription

Båda scenarierna förlitar sig på att ange adminDescription-attributet för användare till ett specifikt värde. Detta gör att reglerna kan tillämpas och är det som gör att selektiv PHS fungerar.

Scenario adminDescription-värde
Exkluderade användare är mindre än inkluderade användare PHSFiltered
Exkluderade användare är större än inkluderade användare PHSIncluded

Det här attributet kan anges antingen:

  • använda användargränssnittet för Active Directory - användare och datorer
  • med hjälp av Set-ADUser PowerShell-cmdleten. Mer information finns i Set-ADUser.

Inaktivera synkroniseringsschemaläggaren:

Innan du startar något av scenariot måste du inaktivera synkroniseringsschemaläggaren när du gör ändringar i synkroniseringsreglerna.

  1. Starta Windows PowerShell och ange.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Bekräfta att schemaläggaren är inaktiverad genom att köra följande cmdlet:

    Get-ADSyncScheduler

Mer information om schemaläggaren finns i Microsoft Entra Anslut Sync Scheduler.

Exkluderade användare är mindre än inkluderade användare

I följande avsnitt beskrivs hur du aktiverar synkronisering av selektiv lösenordshash när antalet användare som ska undantas är mindre än antalet användare som ska inkluderas.

Viktigt!

Innan du fortsätter kontrollerar du att synkroniseringsschemaläggaren är inaktiverad enligt beskrivningen ovan.

  • Skapa en redigerbar kopia av In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash ovald och definiera dess omfångsfilter
  • Skapa en annan redigerbar kopia av standardvärdet In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash valt och definiera dess omfångsfilter
  • Återaktivera synkroniseringsschemaläggaren
  • Ange attributvärdet i Active Directory som definierades som omfångsattribut för de användare som du vill tillåta i synkronisering av lösenordshash.

Viktigt!

Stegen för att konfigurera synkronisering av selektiv lösenordshash påverkar endast användarobjekt som har attributet adminDescription i Active Directory med värdet PHSFiltered. Om det här attributet inte är ifyllt eller om värdet är något annat än PHSFiltered tillämpas inte dessa regler på användarobjekten.

Konfigurera de nödvändiga synkroniseringsreglerna:

  1. Starta redigeraren för synkroniseringsregler och ange filtren Lösenordssynkronisering till och Regeltyp till Standard. Start sync rules editor
  2. Välj regeln In från AD – User AccountEnabled för Active Directory-skogen Anslut eller du vill konfigurera selektivt lösenord med hashsynkronisering på och klicka på Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln. Select rule
  3. Den första regeln inaktiverar synkronisering av lösenordshash. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Filtrera användare från PHS. Ändra prioritetsvärdet till ett tal som är lägre än 100 (till exempel 90 eller beroende på vilket som är det lägsta tillgängliga värdet i din miljö). Kontrollera att kryssrutorna Aktivera lösenordssynkronisering och Inaktiverad är avmarkerade. Klicka på Nästa. Edit inbound
  4. I Omfångsfilter klickar du på Lägg till sats. Välj adminDescription i attributkolumnen EQUAL i kolumnen Operator och ange PHSFiltered som värde. Scoping filter
  5. Inga ytterligare ändringar krävs. Kopplingsregler och omvandlingar bör lämnas med standardinställningarna för kopierade inställningar så att du kan klicka på Spara nu. Klicka på OK i varningsdialogrutan om att en fullständig synkronisering ska köras i nästa synkroniseringscykel för anslutningsappen. Save rule
  6. Skapa sedan en annan anpassad regel med synkronisering av lösenordshash aktiverat. Välj återigen standardregeln In från AD – User AccountEnabled för Den Active Directory-skog som du vill konfigurera selektivt lösenord hade synkronisering på och klicka på Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln. Custom rule
  7. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Användare som ingår i PHS. Ändra prioritetsvärdet till ett tal som är lägre än regeln som skapades tidigare (I det här exemplet blir det 89). Kontrollera att kryssrutan Aktivera lösenordssynkronisering är markerad och att kryssrutan Inaktiverad är avmarkerad. Klicka på Nästa.
    Edit new rule
  8. I Omfångsfilter klickar du på Lägg till sats. Välj adminDescription i attributkolumnen, NOTEQUAL i kolumnen Operator och ange PHSFiltered som värde. Scope rule
  9. Inga ytterligare ändringar krävs. Kopplingsregler och omvandlingar bör lämnas med standardinställningarna för kopierade inställningar så att du kan klicka på Spara nu. Klicka på OK i varningsdialogrutan om att en fullständig synkronisering ska köras i nästa synkroniseringscykel för anslutningsappen. Join rules
  10. Bekräfta att reglerna har skapats. Ta bort filtren Lösenordssynkronisering och Standard för regeltyp. Och du bör se båda de nya reglerna som du nyss skapade. Confirm rules

Återaktivera synkroniseringsschemaläggare:

När du har slutfört stegen för att konfigurera de nödvändiga synkroniseringsreglerna aktiverar du synkroniseringsschemaläggaren igen med följande steg:

  1. I Windows PowerShell kör du:

    set-adsyncscheduler -synccycleenabled:$true

  2. Bekräfta sedan att det har aktiverats genom att köra:

    get-adsyncscheduler

Mer information om schemaläggaren finns i Microsoft Entra Anslut Sync Scheduler.

Redigera användare adminDescription-attribut :

När alla konfigurationer är klara behöver du redigera attributet adminDescription för alla användare som du vill exkludera från synkronisering av lösenordshash i Active Directory och lägga till strängen som används i omfångsfiltret: PHSFiltered.

Edit attribute

Du kan också använda följande PowerShell-kommando för att redigera en användares adminDescription-attribut :

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Exkluderade användare är större än inkluderade användare

I följande avsnitt beskrivs hur du aktiverar synkronisering av selektiv lösenordshash när antalet användare som ska undantas är större än antalet användare som ska inkluderas.

Viktigt!

Innan du fortsätter kontrollerar du att synkroniseringsschemaläggaren är inaktiverad enligt beskrivningen ovan.

Följande är en sammanfattning av de åtgärder som kommer att vidtas i stegen nedan:

  • Skapa en redigerbar kopia av In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash ovald och definiera dess omfångsfilter
  • Skapa en annan redigerbar kopia av standardvärdet In från AD – User AccountEnabled med alternativet att aktivera synkronisering av lösenordshash valt och definiera dess omfångsfilter
  • Återaktivera synkroniseringsschemaläggaren
  • Ange attributvärdet i Active Directory som definierades som omfångsattribut för de användare som du vill tillåta i synkronisering av lösenordshash.

Viktigt!

Stegen för att konfigurera synkronisering av selektiv lösenordshash påverkar endast användarobjekt som har attributet adminDescription i Active Directory med värdet PHSIncluded. Om det här attributet inte är ifyllt eller om värdet är något annat än PHSIncluded tillämpas inte dessa regler på användarobjekten.

Konfigurera de nödvändiga synkroniseringsreglerna:

  1. Starta redigeraren för synkroniseringsregler och ange filtren Lösenordssynkronisering och Standard för regeltyp. Rule type
  2. Välj regeln In från AD – User AccountEnabled för den Active Directory-skog som du vill konfigurera selektivt lösenord hade synkronisering på och klicka på Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln. In from AD
  3. Den första regeln inaktiverar synkronisering av lösenordshash. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Filtrera användare från PHS. Ändra prioritetsvärdet till ett tal som är lägre än 100 (till exempel 90 eller beroende på vilket som är det lägsta tillgängliga värdet i din miljö). Kontrollera att kryssrutorna Aktivera lösenordssynkronisering och Inaktiverad är avmarkerade. Klicka på Nästa. Set precedence
  4. I Omfångsfilter klickar du på Lägg till sats. Välj adminDescription i attributkolumnen, NOTEQUAL i kolumnen Operator och ange PHSIncluded som värde. Add clause
  5. Inga ytterligare ändringar krävs. Kopplingsregler och omvandlingar bör lämnas med standardinställningarna för kopierade inställningar så att du kan klicka på Spara nu. Klicka på OK i varningsdialogrutan om att en fullständig synkronisering ska köras i nästa synkroniseringscykel för anslutningsappen. Transformation
  6. Skapa sedan en annan anpassad regel med synkronisering av lösenordshash aktiverat. Välj återigen standardregeln In från AD – User AccountEnabled för Den Active Directory-skog som du vill konfigurera selektivt lösenord hade synkronisering på och klicka på Redigera. Välj Ja i nästa dialogruta för att skapa en redigerbar kopia av den ursprungliga regeln. User AccountEnabled
  7. Ange följande namn till den nya anpassade regeln: I från AD – User AccountEnabled – Användare som ingår i PHS. Ändra prioritetsvärdet till ett tal som är lägre än regeln som skapades tidigare (I det här exemplet blir det 89). Kontrollera att kryssrutan Aktivera lösenordssynkronisering är markerad och att kryssrutan Inaktiverad är avmarkerad. Klicka på Nästa. Enable Password Sync
  8. I Omfångsfilter klickar du på Lägg till sats. Välj adminDescription i attributkolumnen EQUAL i kolumnen Operator och ange PHSIncluded som värde. PHSIncluded
  9. Inga ytterligare ändringar krävs. Kopplingsregler och omvandlingar bör lämnas med standardinställningarna för kopierade inställningar så att du kan klicka på Spara nu. Klicka på OK i varningsdialogrutan om att en fullständig synkronisering ska köras i nästa synkroniseringscykel för anslutningsappen. Save now
  10. Bekräfta att reglerna har skapats. Ta bort filtren Lösenordssynkronisering och Standard för regeltyp. Och du bör se båda de nya reglerna som du nyss skapade. Sync on

Återaktivera synkroniseringsschemaläggare:

När du har slutfört stegen för att konfigurera de nödvändiga synkroniseringsreglerna aktiverar du synkroniseringsschemaläggaren igen med följande steg:

  1. Kör i Windows PowerShell:

    set-adsyncscheduler-synccycleenabled$true

  2. Bekräfta sedan att det har aktiverats genom att köra:

    get-adsyncscheduler

Mer information om schemaläggaren finns i Microsoft Entra Anslut Sync Scheduler.

Redigera användare adminDescription-attribut :

När alla konfigurationer har slutförts behöver du redigera attributet adminDescription för alla användare som du vill inkludera för synkronisering av lösenordshash i Active Directory och lägga till strängen som används i omfångsfiltret: PHSIncluded.

Edit attributes

Du kan också använda följande PowerShell-kommando för att redigera en användares adminDescription-attribut :

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Nästa steg