當我設置Azure AD Connect時,最初將單點登錄方法設置爲Password Synchronization。這將用戶密碼從內部部署AD同步到雲(O365)。這工作得很好,用戶可以使用域密碼登錄Office 365(https://login.microsoftonline.com)。Azure AD Connect -
我們現在正在轉向第三方身份提供商的SSO。此SSO提供者不是ADFS。根據Microsoft的文檔,我試圖將單點登錄方法設置爲「不要配置」,但現在它變灰了。如何爲第三方身份提供商的聯合SSO禁用密碼同步?
步驟:
你可以嘗試通過PowerShell中禁用密碼同步:
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $Local -TargetConnector $Remote -Enable $False
運行此腳本:(只是重新放置連接器名稱)
$adConnector = "fabrikam.com"
$aadConnector = "aaddocteam.onmicrosoft.com - AAD"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
什麼做上面的步驟做的正是:
的命令是從力密碼同步腳本如下所示(http://social.technet.microsoft.com/wiki/contents/articles/28433.how-to-use-powershell-to-trigger-a-full-password-sync-in-azure-ad-sync.aspx),從而引發全密碼通過將其關閉然後再打開來進行同步。上面的那個是隻爲這是由開關指示的「關閉」命令(-Enable $假)
結果:
你會注意到密碼同步服務將被禁用即使通過GUI(Azure AD Connect嚮導)可能會/可能不會顯示它,但您可以肯定地信任幾個PowerShell命令行程序的輸出,這些命令行程序可指示以下驗證步驟中給出的密碼同步的狀態。
驗證:
你可以驗證,如果密碼同步完全關閉方式:在輸出
1.Checking 「PasswordSynchronizationEnabled」 的價值獲取-Msol公司信息指令:
Get-MsolCompanyInformation
2.Changing用戶的密碼,然後監視「密碼同步」是否被觸發或不通過監控活動656 和657在同步 服務器的應用程序事件日誌。
3.您可以嘗試如下所示的「Heartbeat Script」:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization 以獲取密碼同步的狀態。