Выборочная конфигурация синхронизации хэша паролей для Microsoft Entra Connect

Синхронизация хэша паролей является одним из методов входа, используемых для реализации гибридной идентификации. Microsoft Entra Connect синхронизирует хэш хэша пароля пользователя из локального экземпляра Active Directory в облачный экземпляр Microsoft Entra. По умолчанию после настройки синхронизация хэша паролей выполняется для всех пользователей, которые вы синхронизируете.

Если вы хотите исключить подмножество пользователей из синхронизации хэша паролей с идентификатором Microsoft Entra ID, можно настроить выборочную синхронизацию хэша паролей, выполнив действия, описанные в этой статье.

Внимание

Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может гарантировать возможность эффективной технической поддержки таких развертываний.

Рассмотрите свою реализацию

Чтобы сократить административную трудоемкость, необходимо сначала определить количество объектов-пользователей, которые вы хотите исключить из синхронизации хэшей паролей. Проверьте следующие сценарии, которые являются взаимоисключающими, соответствуют вашим требованиям, чтобы выбрать правильный вариант конфигурации.

  • Если число исключаемых пользователей меньше числа включаемых пользователей, выполните действия, описанные в этом разделе.
  • Если число исключаемых пользователей больше числа включаемых пользователей, выполните действия, описанные в этом разделе.

Внимание

При выборе любого варианта конфигурации для применения изменений требуется начальная синхронизация (полная синхронизация), которая выполняется автоматически в течение следующего цикла синхронизации.

Внимание

Настройка селективной синхронизации хэша паролей напрямую влияет на обратную запись паролей. Изменения пароля или сбросы паролей, инициируемые в Microsoft Entra ID, записываются обратно в локальной службе Active Directory только в том случае, если пользователь находится в области синхронизации хэша паролей.

Внимание

Выборочная синхронизация хэша паролей поддерживается в Microsoft Entra Connect 1.6.2.4 или более поздней версии. Если вы используете более низкую версию, обновите ее до последней версии.

Атрибут adminDescription

Оба сценария зависят от определенного значения атрибута adminDescription пользователей. Это позволяет применять правила и делает возможной выборочную синхронизацию хэша паролей (PHS).

Сценарий Значение "adminDescription"
Исключенных пользователей меньше, чем включенных пользователей PHSFiltered
Исключенных пользователей больше, чем включенных пользователей PHSIncluded

Этот атрибут можно задать или так:

  • с помощью интерфейса Active Directory "Пользователи и компьютеры"
  • с помощью команды Set-ADUser в PowerShell. Дополнительные сведения см. в Set-ADUser.

Отключите планировщик синхронизации:

Перед запуском любого сценария необходимо отключить планировщик синхронизации на время внесения изменений в правила синхронизации.

  1. Запустите Windows PowerShell и введите.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Убедитесь, что планировщик отключен, выполнив следующий командлет:

    Get-ADSyncScheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Исключенных пользователей меньше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей меньше числа включаемых пользователей.

Внимание

Прежде чем продолжить, убедитесь, что планировщик синхронизации отключен, как описано ранее.

  • Создайте редактируемую копию правила In from AD – User AccountEnabled с параметром enable password hash sync, оставленным невыбранным, и определите область действия фильтра.
  • Создайте другую редактируемую копию стандартного In from AD – User AccountEnabled с выбранным параметром enable password hash sync и определите область действия фильтра.
  • Повторное включение планировщика синхронизации
  • Задайте значение атрибута в Active Directory, который определён как атрибут, ограничивающий пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Действия, описанные для настройки выборочной синхронизации хэша паролей, влияют только на объекты пользователей, у которых атрибут adminDescription заполнен в Active Directory со значением PHSFiltered. Если этот атрибут не заполнен или значение не является чем-то другим, кроме PHSFiltered, эти правила не будут применяться к объектам пользователя.

Настройте необходимые правила синхронизации:

  1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное). Запуск редактора правил синхронизации
  2. Выберите правило «Учетная запись включена» в AD для соединителя леса Active Directory, для которого вы хотите настроить выборочную синхронизацию хэша пароля, и выберите «Изменить». Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Выбор правила
  3. Первое правило отключает синхронизацию хэша паролей. Назначьте следующее имя для нового настраиваемого правила: вход из AD - Учетная запись пользователя включена - Фильтрация пользователей из PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Выберите Далее. Редактировать входящие
  4. В фильтр проверки областивыберите добавить условие. Выберите adminDescription в столбце "Attribute", EQUAL в столбце "Operator" и введите значение PHSFiltered. Диапазонный фильтр
  5. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о том, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя. Сохранить правило
  6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Снова выберите правило по умолчанию Вход из AD — Учетная запись включена для леса Active Directory, для которого вы хотите настроить выборочную синхронизацию паролей, и выберите Изменить. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Настраиваемое правило
  7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере будет 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Выберите Далее.
    Изменение нового правила
  8. В фильтр проверки областивыберите добавить условие. В столбце "Attribute" выберите adminDescription, в столбце "Operator" выберите NOTEQUAL и введите значение PHSFiltered. Область действия правила
  9. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о том, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя. Правила присоединения
  10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали. Подтверждение правил

Включите заново планировщик синхронизации.

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

  1. В Windows PowerShell выполните команду:

    set-adsyncscheduler -synccycleenabled:$true

  2. Затем убедитесь, что она успешно активирована, выполнив команду:

    get-adsyncscheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите исключить из синхронизации хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSFiltered.

Изменение атрибута

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Исключенных пользователей больше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей больше числа включаемых пользователей.

Внимание

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

Ниже приведены краткие сведения о действиях, которые необходимо выполнить:

  • Создайте редактируемую копию правила In from AD – User AccountEnabled с параметром enable password hash sync, оставленным невыбранным, и определите область действия фильтра.
  • Создайте другую редактируемую копию стандартного In from AD – User AccountEnabled с выбранным параметром enable password hash sync и определите область действия фильтра.
  • Повторное включение планировщика синхронизации
  • Задайте значение атрибута в Active Directory, который определён как атрибут, ограничивающий пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Шаги, предоставленные для настройки выборочной синхронизации хэша паролей, затрагивают только пользовательские объекты, атрибут adminDescription которых заполнен в Active Directory значением PHSIncluded. Если этот атрибут не заполнен или значение не является чем-то другим, кроме PHSIncluded эти правила не применяются к объектам пользователя.

Настройте необходимые правила синхронизации:

  1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное). Тип правила
  2. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого вы хотите настроить выборочную синхронизацию паролей, и выберите Редактировать. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Вход из AD
  3. Первое правило отключает синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: из AD — User AccountEnabled — фильтрация пользователей из PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Выберите Далее. Настройка приоритета
  4. В фильтр проверки областивыберите добавить условие. В столбце Attribute выберите adminDescription, в столбце Operator выберите NOTEQUAL и введите значение PHSIncluded. Добавить предложение
  5. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о том, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя. Преобразование
  6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Снова выберите правило по умолчанию Вход из AD — Учетная запись включена для леса Active Directory, для которого вы хотите настроить выборочную синхронизацию паролей, и выберите Изменить. Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Аккаунт пользователя включен
  7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере будет 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Выберите Далее. Включение синхронизации пароля
  8. В фильтр проверки областивыберите добавить условие. В столбце "Атрибут" выберите adminDescription, в столбце "Оператор" выберите EQUAL и введите значение PHSIncluded. Включено PHS
  9. Другие изменения не требуются. Правила присоединения и преобразования должны оставаться с скопированными по умолчанию параметрами, чтобы можно было выбрать сохранить. Нажмите кнопку ОК в диалоговом окне предупреждения, информирующем о том, что полная синхронизация будет выполнена в следующем цикле синхронизации соединителя. Сохранить сейчас
  10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали. Синхронизация включена

Включите заново планировщик синхронизации.

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

  1. В Windows PowerShell запустите:

    set-adsyncscheduler-synccycleenabled$true

  2. Затем убедитесь, что она успешно активирована, выполнив команду:

    get-adsyncscheduler

Дополнительные сведения о планировщике см. в планировщике синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите включить в синхронизацию хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSIncluded.

Изменение атрибутов

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Следующие шаги

  • Last updated on