Поделиться через

Выборочная конфигурация синхронизации хэша паролей для Microsoft Entra Connect

  • Статья

Синхронизация хэша паролей является одним из методов входа, используемых для реализации гибридной идентификации. Microsoft Entra Connect синхронизирует хэш(хэш) пароля пользователя из локальная служба Active Directory экземпляра в облачный экземпляр Microsoft Entra. По умолчанию после установки синхронизация хэша паролей выполняется для всех синхронизируемых пользователей.

Если вы хотите использовать подмножество пользователей, исключенных из синхронизации хэша паролей с идентификатором Microsoft Entra ID, можно настроить выборочную синхронизацию хэша паролей, выполнив описанные в этой статье действия.

Внимание

Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами конфигураций или действий, которые официально документированы. Любая из этих конфигураций или действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может гарантировать, что мы сможем обеспечить эффективную техническую поддержку таких развертываний.

Планирование реализации

Чтобы сократить административную трудоемкость, необходимо сначала определить количество объектов-пользователей, которые вы хотите исключить из синхронизации хэшей паролей. Чтобы определить подходящий вариант конфигурации, из приведенных ниже взаимоисключающих сценариев выберите наиболее подходящий вашим требованиям.

  • Если число исключаемых пользователей меньше числа включаемых пользователей, выполните действия, описанные в этом разделе.
  • Если число исключаемых пользователей больше числа включаемых пользователей, выполните действия, описанные в этом разделе.

Внимание

Независимо от выбранного варианта конфигурации, обязательная начальная синхронизация (полная синхронизация) для применения изменений будет выполнена автоматически при следующем цикле синхронизации.

Внимание

Конфигурация выборочной синхронизации хэша паролей напрямую влияет на компонент обратной записи паролей. Изменения пароля или сбросы паролей, инициируемые в идентификаторе Microsoft Entra ID, записываются обратно в локальная служба Active Directory только в том случае, если пользователь находится в области синхронизации хэша паролей.

Внимание

Выборочная синхронизация хэша паролей поддерживается в Microsoft Entra Connect 1.6.2.4 или более поздней версии. Если вы используете более низкую версию, обновите ее до последней версии.

Атрибут The adminDescription

Оба сценария зависят от определенного значения атрибута adminDescription пользователей. Это позволяет применять правила, на основании которых работает выборочная синхронизация хэша паролей.

Сценарий Значение adminDescription
Исключенных пользователей меньше, чем включенных пользователей PHSFiltered
Исключенных пользователей больше, чем включенных пользователей PHSIncluded

Этот атрибут можно задать:

  • с помощью интерфейса "Пользователи и компьютеры Active Directory";
  • с помощью команды Set-ADUser в PowerShell. Дополнительные сведения см. в статье Set-ADUser.

Отключение планировщика синхронизации:

Перед запуском любого сценария необходимо отключить планировщик синхронизации на время внесения изменений в правила синхронизации.

  1. Запустите Windows PowerShell и введите.

    Set-ADSyncScheduler -SyncCycleEnabled $false

  2. Убедитесь, что планировщик отключен, выполнив следующий командлет:

    Get-ADSyncScheduler

Дополнительные сведения о планировщике см. в разделе планировщика синхронизации Microsoft Entra Connect.

Исключенных пользователей меньше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей меньше числа включаемых пользователей.

Внимание

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

  • Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
  • Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
  • Повторное включение планировщика синхронизации
  • Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Данные действия по настройке выборочной синхронизации хэша паролей повлияют только на те объекты-пользователи, у которых атрибут adminDescription заполнен в Active Directory со значением PHSFiltered. Если этот атрибут не заполнен или значение отличается от PHSFiltered, то эти правила не будут применены к таким объектам-пользователям.

Настройте необходимые правила синхронизации:

  1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное). Запуск редактора правил синхронизации
  2. Выберите правило In from AD – User AccountEnabled для соединителя леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Выбор правила
  3. Первое правило отключит синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Filter Users from PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Нажмите кнопку Далее. Начало изменений
  4. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" (Оператор) выберите EQUAL (РАВНО) и введите значение PHSFiltered. Область действия фильтра
  5. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя. Сохранить правило
  6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. Настраиваемое правило
  7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере оно будет составлять 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Нажмите кнопку Далее.
    Изменение нового правила
  8. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSFiltered. Область действия правила
  9. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя. Объединение правил
  10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали. Подтверждение правил

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

  1. В Windows PowerShell выполните команду:

    set-adsyncscheduler -synccycleenabled:$true

  2. Затем убедитесь, что планировщик включен, выполнив команду:

    get-adsyncscheduler

Дополнительные сведения о планировщике см. в разделе планировщика синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите исключить из синхронизации хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSFiltered.

Изменение атрибута

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

set-adusermyuser-replace@{adminDescription="PHSFiltered"}

Исключенных пользователей больше, чем включенных пользователей

В следующем разделе описано, как включить выборочную синхронизацию хэша паролей, если число исключаемых пользователей больше числа включаемых пользователей.

Внимание

Прежде чем продолжать, убедитесь, что планировщик синхронизации отключен, как описано выше.

Ниже приведена сводка действий, которые будут выполнены в последующих шагах:

  • Создайте редактируемую копию правила In from AD – User AccountEnabled с выключенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
  • Создайте еще одну редактируемую копию стандартного правила In from AD – User AccountEnabled с включенным параметром enable password hash sync (включить синхронизацию хэша паролей) и определите область действия фильтра
  • Повторное включение планировщика синхронизации
  • Задайте значение атрибута в Active Directory, которое было определено как атрибут выбора области пользователей, которым вы хотите разрешить синхронизацию хэша паролей.

Внимание

Данные действия по настройке выборочной синхронизации хэша паролей повлияют только на те объекты-пользователи, у которых атрибут adminDescription заполнен в Active Directory со значением PHSIncluded. Если этот атрибут не заполнен или значение отличается от PHSIncluded, то эти правила не будут применены к таким объектам-пользователям.

Настройте необходимые правила синхронизации:

  1. Запустите Synchronization Rules Editor и установите фильтры Password Sync (Синхронизация паролей) в значение On (Вкл.) и Rule Type (Тип правила) в значение Standard (Стандартное). Тип правила
  2. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. In from AD
  3. Первое правило отключит синхронизацию хэша паролей. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Filter Users from PHS. Измените значение "Precedence" (Приоритет) на число меньше 100 (например, 90 или любое значение меньше, доступное для вашей среды). Убедитесь, что сняты флажки Enable Password Sync (Включить синхронизацию пароля) и Disabled (Выключить). Нажмите кнопку Далее. Настройка приоритета
  4. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите NOTEQUAL (НЕРАВНО) и введите значение PHSIncluded. Добавить предложение
  5. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя. Преобразование
  6. Теперь создайте еще одно настраиваемое правило, в котором будет включена синхронизация хэша паролей. Выберите правило In from AD – User AccountEnabled для леса Active Directory, для которого требуется настроить выборочную синхронизацию хэша паролей, и нажмите Edit (Изменить). Нажмите Yes (Да) в следующем диалоговом окне, чтобы создать редактируемую копию исходного правила. AccountEnabled пользователя
  7. Укажите следующее имя для нового настраиваемого правила: In from AD - User AccountEnabled - Users included for PHS. Измените значение приоритета на число ниже, чем ранее созданное правило (в этом примере оно будет составлять 89). Убедитесь, что установлен флажок Enable Password Sync (Включить синхронизацию пароля) и снят флажок Disabled (Выключить). Нажмите кнопку Далее. Включение синхронизации пароля
  8. В Scoping filter (Область действия фильтра) нажмите Add clause (Добавить условие). В столбце "Attribute" (Атрибут) выберите adminDescription, в столбце "Operator" выберите EQUAL (РАВНО) и введите значение PHSIncluded. PHSIncluded
  9. Другие изменения не требуются. В Join rules (Объединить правила) и Transformations (Преобразования) остаются значения по умолчанию, поэтому нажмите Save (Сохранить). Нажмите ОК в диалоговом окне предупреждения, чтобы выполнить полную синхронизацию в следующем цикле синхронизации соединителя. Сохранить сейчас
  10. Подтвердите создание правил. Удалите фильтры Password Sync (Синхронизация пароля) On (Вкл.) и Rule Type (Тип правила) Standard (Стандартное). Должны отобразиться оба правила, которые вы только что создали. Синхронизация включена

Повторное включение планировщика синхронизации:

После завершения действий по настройке необходимых правил синхронизации повторно включите планировщик синхронизации, выполнив следующие действия:

  1. В Windows PowerShell запустите:

    set-adsyncscheduler-synccycleenabled$true

  2. Затем убедитесь, что планировщик включен, выполнив команду:

    get-adsyncscheduler

Дополнительные сведения о планировщике см. в разделе планировщика синхронизации Microsoft Entra Connect.

Изменение атрибута adminDescription пользователя:

После завершения всех конфигураций необходимо изменить атрибут adminDescription для всех пользователей, которые вы хотите включить в синхронизацию хэшей паролей в Active Directory, и добавить строку, определяющую область действия фильтра: PHSIncluded.

Изменение атрибутов

Для изменения атрибута adminDescription пользователя можно также использовать следующую команду в PowerShell:

Set-ADUser myuser -Replace @{adminDescription="PHSIncluded"}

Next Steps