Share via

Microsoft Entra Bağlan için seçmeli parola karması eşitleme yapılandırması

  • Makale

Parola karması eşitlemesi , karma kimliği gerçekleştirmek için kullanılan oturum açma yöntemlerinden biridir. Microsoft Entra Bağlan, bir şirket içi Active Directory örneğindeki kullanıcı parolasının karma değerini bulut tabanlı bir Microsoft Entra örneğine eşitler. Varsayılan olarak, ayarlandıktan sonra, eşitlediğiniz tüm kullanıcılarda parola karması eşitlemesi gerçekleşir.

Parola karmalarını Microsoft Entra Id ile eşitlemenin dışında tutulan bir kullanıcı alt kümesine sahip olmak istiyorsanız, bu makalede sağlanan kılavuzlu adımları kullanarak seçmeli parola karması eşitlemesini yapılandırabilirsiniz.

Önemli

Microsoft, Microsoft Entra Bağlan Sync'in resmi olarak belgelenen yapılandırmaların veya eylemlerin dışında değiştirilmesini veya çalıştırılmasını desteklemez. Bu yapılandırmalardan veya eylemlerden herhangi biri Microsoft Entra Bağlan Sync'in tutarsız veya desteklenmeyen durumuna neden olabilir. Sonuç olarak, Microsoft bu tür dağıtımlar için verimli teknik destek sağlayamayacağımızı garanti edemez.

Uygulamanızı göz önünde bulundurun

Yapılandırma yönetim çabasını azaltmak için, önce parola karması eşitlemesinin dışında tutmak istediğiniz kullanıcı nesnelerinin sayısını göz önünde bulundurmanız gerekir. Aşağıdaki senaryolardan hangilerinin birbirini dışladığı, sizin için doğru yapılandırma seçeneğini seçmek için gereksinimlerinizle uyumlu olduğunu doğrulayın.

  • Dışlanmasıgereken kullanıcı sayısı, eklenecek kullanıcı sayısından küçükse, bu bölümdeki adımları izleyin.
  • Dışlanmasıgereken kullanıcı sayısı, eklenecek kullanıcı sayısından fazlaysa, bu bölümdeki adımları izleyin.

Önemli

Her iki yapılandırma seçeneği de seçildiğinde, değişiklikleri uygulamak için gerekli bir ilk eşitleme (Tam Eşitleme) bir sonraki eşitleme döngüsünde otomatik olarak gerçekleştirilir.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak, parola geri yazmayı doğrudan etkiler. Microsoft Entra Id'de başlatılan parola değişiklikleri veya parola sıfırlamaları, yalnızca kullanıcı parola karması eşitleme kapsamındaysa şirket içi Active Directory geri yazar.

Önemli

Seçmeli parola karması eşitlemesi Microsoft Entra Bağlan 1.6.2.4 veya sonraki sürümlerinde desteklenir. Bundan daha düşük bir sürüm kullanıyorsanız en son sürüme yükseltin.

adminDescription özniteliği

Her iki senaryo da kullanıcıların adminDescription özniteliğini belirli bir değere ayarlamayı temel alır. Bu, kuralların uygulanmasını sağlar ve seçmeli PHS'nin çalışmasını sağlayan budur.

Senaryo adminDescription değeri
Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük PHSFiltered
Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük PHSIncluded

Bu öznitelik aşağıdakilerden biri ayarlanabilir:

  • Active Directory Kullanıcıları ve Bilgisayarları kullanıcı arabirimini kullanma
  • PowerShell cmdlet'ini kullanarak Set-ADUser . Daha fazla bilgi için bkz. Set-ADUser.

Eşitleme zamanlayıcısını devre dışı bırakın:

Her iki senaryoyu da başlatmadan önce, eşitleme kurallarında değişiklik yaparken eşitleme zamanlayıcısını devre dışı bırakmanız gerekir.

  1. Windows PowerShell'i başlatın ve girin.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Aşağıdaki cmdlet'i çalıştırarak zamanlayıcının devre dışı bırakıldığını onaylayın:

    Get-ADSyncScheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync zamanlayıcı.

Dışlanan kullanıcılar, dahil edilen kullanıcılardan daha küçük

Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından küçük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.

Önemli

Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.

  • Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
  • AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
  • Eşitleme zamanlayıcısını yeniden etkinleştirme
  • Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSFiltered değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSFiltered dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.

Gerekli eşitleme kurallarını yapılandırın:

  1. Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola Eşitleme filtrelerini Açık ve Kural Türü'nü Standart olarak ayarlayın. Start sync rules editor
  2. AD – Kullanıcı Hesabı'ndan In kuralını seçin Active Directory ormanı Bağlan veya seçmeli parolayı yapılandırmak istediğiniz parolanın karma eşitlemesi açıktı ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. Select rule
  3. İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın. Edit inbound
  4. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütunundaki EQUAL özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın. Scoping filter
  5. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Save rule
  6. Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. Custom rule
  7. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar. Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır). Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun. İleri'ye tıklayın.
    Edit new rule
  8. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSFiltered yazın. Scope rule
  9. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Join rules
  10. Kuralların oluşturulmasını onaylayın. Parola EşitlemeAçık ve Kural TürüStandart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir. Confirm rules

Eşitleme zamanlayıcısını yeniden etkinleştirin:

Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:

  1. Windows PowerShell'de şu komutu çalıştırın:

    set-adsyncscheduler -synccycleenabled:$true

  2. Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:

    get-adsyncscheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync zamanlayıcı.

Kullanıcıları düzenle adminDescription özniteliği:

Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesinin dışında tutmak istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSFiltered.

Edit attribute

Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Dışlanan kullanıcılar dahil edilen kullanıcılardan daha büyük

Aşağıdaki bölümde, hariç tutulacak kullanıcı sayısı eklenecek kullanıcı sayısından büyük olduğunda seçmeli parola karması eşitlemesinin nasıl etkinleştirileceği açıklanmaktadır.

Önemli

Devam etmeden önce, eşitleme zamanlayıcısının yukarıda açıklandığı gibi devre dışı bırakıldığından emin olun.

Aşağıdaki adımlarda gerçekleştirilecek eylemlerin özeti aşağıdadır:

  • Ad ' den In ' in düzenlenebilir bir kopyasını oluşturma – Kullanıcı Hesabı Parola karması eşitlemesini seçilmemiş olarak etkinleştirme ve kapsam filtresini tanımlama seçeneğiyle Etkinleştir
  • AD' den varsayılan In ' in başka bir düzenlenebilir kopyasını oluşturun – Kullanıcı Hesabı Parola karması eşitlemesini etkinleştirme seçeneğinin seçili olduğu ve kapsam filtresinin tanımlanacağı Şekilde Etkinleştir
  • Eşitleme zamanlayıcısını yeniden etkinleştirme
  • Active Directory'de parola karması eşitlemesinde izin vermek istediğiniz kullanıcılarda kapsam özniteliği olarak tanımlanan öznitelik değerini ayarlayın.

Önemli

Seçmeli parola karması eşitlemesini yapılandırmak için sağlanan adımlar yalnızca Active Directory'de PHSIncluded değeriyle doldurulmuş adminDescription özniteliğine sahip kullanıcı nesnelerini etkiler. Bu öznitelik doldurulmazsa veya değer PHSIncluded dışında bir değerse, bu kurallar kullanıcı nesnelerine uygulanmaz.

Gerekli eşitleme kurallarını yapılandırın:

  1. Eşitleme Kuralları Düzenleyicisi'ni başlatın ve Parola EşitlemeAçık ve Kural TürüStandart filtrelerini ayarlayın. Rule type
  2. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'ndan In kuralını seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. In from AD
  3. İlk kural parola karması eşitlemesini devre dışı bırakır. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - Filter Users from PHS. Öncelik değerini 100'den küçük bir sayıyla değiştirin (örneğin , 90 veya ortamınızda kullanılabilen en düşük değer hangisiyse). Parola Eşitlemeyi Etkinleştir ve Devre Dışı onay kutularının işaretlenmemiş olduğundan emin olun. İleri'ye tıklayın. Set precedence
  4. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda NOTQUAL öznitelik sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin. Add clause
  5. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Transformation
  6. Ardından parola karması eşitlemesi etkinleştirilmiş başka bir özel kural oluşturun. Seçmeli parolanın eşitlemesi vardı olarak yapılandırmak istediğiniz Active Directory ormanı için AD – Kullanıcı Hesabı'nda varsayılan kuralı yeniden seçin ve Düzenle'ye tıklayın. Özgün kuralın düzenlenebilir bir kopyasını oluşturmak için sonraki iletişim kutusunda Evet'i seçin. User AccountEnabled
  7. Yeni özel kurala şu adı sağlayın: IN from AD - User AccountEnabled - PHS için dahil edilen kullanıcılar. Öncelik değerini daha önce oluşturulan kuraldan daha düşük bir sayıyla değiştirin (Bu örnekte 89 olacaktır). Parola Eşitlemeyi Etkinleştir onay kutusunun işaretli olduğundan ve Devre Dışı onay kutusunun işaretlenmediğinden emin olun. İleri'ye tıklayın. Enable Password Sync
  8. Kapsam filtresi'nde Yan tümce ekle'ye tıklayın. İşleç sütununda equal özniteliği sütununda adminDescription öğesini seçin ve değer olarak PHSIncluded girin. PHSIncluded
  9. Başka değişiklik yapılması gerekmez. Şimdi kaydet'e tıklayabilmeniz için birleştirme kuralları ve Dönüşümler varsayılan kopyalanan ayarlarla bırakılmalıdır. Bağlayıcının bir sonraki eşitleme döngüsünde tam eşitlemenin çalıştırılacağını bildiren uyarı iletişim kutusunda Tamam'a tıklayın. Save now
  10. Kuralların oluşturulmasını onaylayın. Parola EşitlemeAçık ve Kural TürüStandart filtrelerini kaldırın. Yeni oluşturduğunuz iki yeni kuralı da görmeniz gerekir. Sync on

Eşitleme zamanlayıcısını yeniden etkinleştirin:

Gerekli eşitleme kurallarını yapılandırma adımlarını tamamladıktan sonra, aşağıdaki adımlarla eşitleme zamanlayıcısını yeniden etkinleştirin:

  1. Windows PowerShell'de şunu çalıştırın:

    set-adsyncscheduler-synccycleenabled$true

  2. Ardından çalıştırarak başarıyla etkinleştirildiğini onaylayın:

    get-adsyncscheduler

Zamanlayıcı hakkında daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync zamanlayıcı.

Kullanıcıları düzenle adminDescription özniteliği:

Tüm yapılandırmalar tamamlandıktan sonra, Active Directory'de parola karması eşitlemesi için eklemek istediğiniz tüm kullanıcılar için adminDescription özniteliğini düzenlemeniz ve kapsam filtresinde kullanılan dizeyi eklemeniz gerekir: PHSIncluded.

Edit attributes

Kullanıcının adminDescription özniteliğini düzenlemek için aşağıdaki PowerShell komutunu da kullanabilirsiniz:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Sonraki Adımlar