Microsoft Entra 連線的選擇性密碼雜湊同步處理組態

  • 發行項

密碼雜湊同步 處理是用來完成混合式身分識別的其中一個登入方法。 Microsoft Entra Connect 將使用者密碼雜湊的雜湊碼從內部部署的 Active Directory 執行個體同步到雲端式 Microsoft Entra 執行個體。 根據預設,一旦設定密碼雜湊同步處理,您正在同步處理的所有使用者都會發生密碼雜湊同步處理。

如果您想要讓排除的使用者子集無法將其密碼雜湊同步處理至 Microsoft Entra ID,您可以使用本文中提供的引導式步驟來設定選擇性密碼雜湊同步處理。

重要

Microsoft 不支援在正式記載的設定或動作之外修改或操作 Microsoft Entra 連線 Sync。 上述任何組態或動作都可能導致 Microsoft Entra 連線 Sync 狀態不一致或不受支援。因此,Microsoft 無法保證我們能夠為這類部署提供有效率的技術支援。

考慮您的實作

若要減少設定系統管理工作,您應該先考慮您想要從密碼雜湊同步處理中排除的使用者物件數目。 確認下列哪一個案例互斥,符合您的需求,以為您選取正確的組態選項。

  • 如果要排除 的使用者數目小於 包含 的使用者數目,請遵循本節 中的步驟。
  • 如果要 排除 的使用者數目大於 包含 的使用者數目,請遵循本節 中的步驟。

重要

選擇任一組態選項時,套用變更所需的初始同步處理(完整同步處理)將會在下一個同步處理週期內自動執行。

重要

設定選擇性密碼雜湊同步處理直接影響密碼回寫。 只有在使用者位於密碼雜湊同步處理範圍時,Microsoft Entra ID 中起始的密碼變更或密碼重設才會回寫至內部部署的 Active Directory。

重要

Microsoft Entra 連線 1.6.2.4 或更新版本支援選擇性密碼雜湊同步處理。 如果您使用的版本低於該版本,請升級至最新版本。

adminDescription 屬性

這兩個案例都依賴將使用者的 adminDescription 屬性設定為特定值。 這可讓規則套用,並讓選擇性 PHS 能夠運作。

案例 adminDescription 值
排除的使用者小於包含的使用者 PHSFiltered
排除的使用者大於包含的使用者 PHSIncluded

您可以設定此屬性:

  • 使用 Active Directory 消費者和電腦 UI
  • 使用 Set-ADUser PowerShell Cmdlet。 如需詳細資訊,請參閱 Set-ADUser

停用同步處理排程器:

在啟動任一案例之前,您必須在變更同步處理規則時停用同步處理排程器。

  1. 啟動 Windows PowerShell 並輸入 。

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. 執行下列 Cmdlet 確認排程器已停用:

    Get-ADSyncScheduler

如需排程器的詳細資訊,請參閱 Microsoft Entra 連線 Sync scheduler

排除的使用者小於包含的使用者

下一節說明如何在要排除 的使用者數目小於 包含 的使用者數目時啟用選擇性密碼雜湊同步處理。

重要

繼續之前,請確定同步處理排程器已停用,如上所述。

  • 從 AD 建立 In 的 可編輯複本 – 使用者帳戶啟用 未選取 的密碼雜湊同步,並定義其範圍篩選
  • 從 AD 建立預設 In 的另一個可編輯複本 – 使用者帳戶啟用 選取 的密碼雜湊同步,並定義其範圍篩選
  • 重新啟用同步處理排程器
  • 在 Active Directory 中,將屬性值設定為您想要在密碼雜湊同步處理中允許的使用者範圍屬性。

重要

提供用來設定選擇性密碼雜湊同步處理的步驟只會影響在 Active Directory 中填入屬性 adminDescription 且值為 PHSFiltered 的使用者物件。 如果未填入此屬性,或值不是 PHSFiltered ,則這些規則將不會套用至使用者物件。

設定必要的同步處理規則:

  1. 啟動 [同步處理規則編輯器],並將 [密碼同步處理] 篩選 設定為 [開啟 ],並將 [規則類型 ] 設定為 [ 標準 ]。 Start sync rules editor
  2. 選取 [從 AD – 使用者帳戶][啟用 ] 規則 的 Active Directory 樹系連線或您想要設定選擇性密碼的雜湊同步處理,然後按一下 [ 編輯 ]。 在下一個對話方塊中選取 [是 ],以建立原始規則的可編輯複本。 Select rule
  3. 第一個規則會停用密碼雜湊同步處理。將下列名稱提供給新的自訂規則: 從 AD - 使用者帳戶啟用 - 篩選 PHS 中的使用者。 將優先順序值變更為小於 100 的數位(例如 90 或您環境中可用的最低值)。 請確定未核取 [啟用密碼同步 ] 和 [停用 ] 核取方塊 。 按一下 [下一步] 。 Edit inbound
  4. 在 [範圍篩選 ] 中 ,按一下 [ 新增子句 ]。 在 屬性資料行中選取 adminDescription 在 [運算子] 資料行中選取 EQUAL ,然後輸入 PHSFiltered 作為值。 Scoping filter
  5. 不需要進一步的變更。 聯結規則 轉換 應該保留預設複製的設定,因此您可以按一下 [立即儲存 ]。 按一下 警告對話方塊中的 [確定 ],通知連接器的下一個同步處理週期將會執行完整同步處理。 Save rule
  6. 接下來,建立另一個已啟用密碼雜湊同步處理的自訂規則。 針對您想要設定選擇性密碼的 Active Directory 樹系,再次選取 [從 AD – 使用者帳戶][啟用 ] 的預設規則 ,然後按一下 [ 編輯 ]。 在下一個對話方塊中選取 [是 ],以建立原始規則的可編輯複本。 Custom rule
  7. 為新的自訂規則提供下列名稱: 在 AD 中 - 使用者帳戶Enabled - PHS 隨附的使用者。 將優先順序值變更為比先前建立的規則低的數位(在此範例中為 89 )。 請確定已核取 [啟用密碼同步] 核取方塊 ,並 取消核取 [已 停用] 核取方塊。 按一下 [下一步] 。
    Edit new rule
  8. 在 [範圍篩選 ] 中 ,按一下 [ 新增子句 ]。 在 屬性資料行中選取 adminDescription 在 [運算子] 資料行中選取 NOTEQUAL ,然後輸入 PHSFiltered 作為值。 Scope rule
  9. 不需要進一步的變更。 聯結規則 轉換 應該保留預設複製的設定,因此您可以按一下 [立即儲存 ]。 按一下 警告對話方塊中的 [確定 ],通知連接器的下一個同步處理週期將會執行完整同步處理。 Join rules
  10. 確認規則的建立。 移除 [ 密碼同步 處理] [規則類型 標準 ]。 您應該會看到您剛才建立的兩個新規則。 Confirm rules

重新啟用同步處理排程器:

完成設定必要同步處理規則的步驟之後,請使用下列步驟重新啟用同步處理排程器:

  1. 在 Windows PowerShell 中執行:

    set-adsyncscheduler -synccycleenabled:$true

  2. 然後,執行下列命令來確認它已成功啟用:

    get-adsyncscheduler

如需排程器的詳細資訊,請參閱 Microsoft Entra 連線 Sync scheduler

編輯使用者 adminDescription 屬性:

完成所有設定之後,您需要編輯您想要 排除在 Active Directory 中密碼雜湊同步處理的所有使用者的屬性 adminDescription ,並新增範圍篩選器中使用的字串: PHSFiltered

Edit attribute

您也可以使用下列 PowerShell 命令來編輯使用者的 adminDescription 屬性:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

排除的使用者大於包含的使用者

下一節說明如何在要 排除 的使用者數目大於 包含 的使用者數目時啟用選擇性密碼雜湊同步處理。

重要

繼續之前,請確定同步處理排程器已停用,如上所述。

以下是將在下列步驟中採取的動作摘要:

  • 從 AD 建立 In 的 可編輯複本 – 使用者帳戶啟用 未選取 的密碼雜湊同步,並定義其範圍篩選
  • 從 AD 建立預設 In 的另一個可編輯複本 – 使用者帳戶啟用 選取 的密碼雜湊同步,並定義其範圍篩選
  • 重新啟用同步處理排程器
  • 在 Active Directory 中,將屬性值設定為您想要在密碼雜湊同步處理中允許的使用者範圍屬性。

重要

提供用來設定選擇性密碼雜湊同步處理的步驟只會影響在 Active Directory 中填入屬性 adminDescription 且值為 PHSIncluded 的使用者物件。 如果未填入此屬性,或值不是 PHSIncluded ,則這些規則將不會套用至使用者物件。

設定必要的同步處理規則:

  1. 啟動同步處理規則編輯器,並設定 [ 密碼同步 處理] [規則類型 標準 ]。 Rule type
  2. 針對您想要設定選擇性密碼的 Active Directory 樹系選取 [從 AD – 使用者帳戶][啟用 ] 規則 ,然後按一下 [ 編輯 ]。 在下一個對話方塊中選取 [是 ],以建立原始規則的可編輯複本。 In from AD
  3. 第一個規則會停用密碼雜湊同步處理。將下列名稱提供給新的自訂規則: 從 AD - 使用者帳戶啟用 - 篩選 PHS 中的使用者。 將優先順序值變更為小於 100 的數位(例如 90 或您環境中可用的最低值)。 請確定未核取 [啟用密碼同步 ] 和 [停用 ] 核取方塊 。 按一下 [下一步] 。 Set precedence
  4. 在 [範圍篩選 ] 中 ,按一下 [ 新增子句 ]。 在 屬性資料行中選取 adminDescription 在 [運算子] 資料行中選取 NOTEQUAL ,然後輸入 PHSIncluded 作為值。 Add clause
  5. 不需要進一步的變更。 聯結規則 轉換 應該保留預設複製的設定,因此您可以按一下 [立即儲存 ]。 按一下 警告對話方塊中的 [確定 ],通知連接器的下一個同步處理週期將會執行完整同步處理。 Transformation
  6. 接下來,建立另一個已啟用密碼雜湊同步處理的自訂規則。 針對您想要設定選擇性密碼的 Active Directory 樹系,再次選取 [從 AD – 使用者帳戶][啟用 ] 的預設規則 ,然後按一下 [ 編輯 ]。 在下一個對話方塊中選取 [是 ],以建立原始規則的可編輯複本。 User AccountEnabled
  7. 為新的自訂規則提供下列名稱: 在 AD 中 - 使用者帳戶Enabled - PHS 隨附的使用者。 將優先順序值變更為比先前建立的規則低的數位(在此範例中為 89 )。 請確定已核取 [啟用密碼同步] 核取方塊 ,並 取消核取 [已 停用] 核取方塊。 按一下 [下一步] 。 Enable Password Sync
  8. 在 [範圍篩選 ] 中 ,按一下 [ 新增子句 ]。 在 屬性資料行中選取 adminDescription 在 [運算子] 資料行中選取 EQUAL ,然後輸入 PHSIncluded 作為值。 PHSIncluded
  9. 不需要進一步的變更。 聯結規則 轉換 應該保留預設複製的設定,因此您可以按一下 [立即儲存 ]。 按一下 警告對話方塊中的 [確定 ],通知連接器的下一個同步處理週期將會執行完整同步處理。 Save now
  10. 確認規則的建立。 移除 [ 密碼同步 處理] [規則類型 標準 ]。 您應該會看到您剛才建立的兩個新規則。 Sync on

重新啟用同步處理排程器:

完成設定必要同步處理規則的步驟之後,請使用下列步驟重新啟用同步處理排程器:

  1. 在 Windows PowerShell 中,執行:

    set-adsyncscheduler-synccycleenabled$true

  2. 然後,執行下列命令來確認它已成功啟用:

    get-adsyncscheduler

如需排程器的詳細資訊,請參閱 Microsoft Entra 連線 Sync scheduler

編輯使用者 adminDescription 屬性:

完成所有設定之後,您需要編輯您想要 在 Active Directory 中包含密碼雜湊同步處理的所有使用者的屬性 adminDescription ,並新增範圍篩選中使用的字串: PHSIncluded

Edit attributes

您也可以使用下列 PowerShell 命令來編輯使用者的 adminDescription 屬性:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

後續步驟