当我设置Azure AD Connect时,最初将单点登录方法设置为Password Synchronization。这将用户密码从内部部署AD同步到云(O365)。这工作得很好,用户可以使用域密码登录Office 365(https://login.microsoftonline.com)。Azure AD Connect -
我们现在正在转向第三方身份提供商的SSO。此SSO提供者不是ADFS。根据Microsoft的文档,我试图将单点登录方法设置为“不要配置”,但现在它变灰了。如何为第三方身份提供商的联合SSO禁用密码同步?
步骤:
你可以尝试通过PowerShell中禁用密码同步:
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $Local -TargetConnector $Remote -Enable $False
运行此脚本:(只是重新放置连接器名称)
$adConnector = "fabrikam.com"
$aadConnector = "aaddocteam.onmicrosoft.com - AAD"
Import-Module adsync
$c = Get-ADSyncConnector -Name $adConnector
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1
$c.GlobalParameters.Remove($p.Name)
$c.GlobalParameters.Add($p)
$c = Add-ADSyncConnector -Connector $c
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $aadConnector -Enable $false
什么做上面的步骤做的正是:
的命令是从力密码同步脚本如下所示(http://social.technet.microsoft.com/wiki/contents/articles/28433.how-to-use-powershell-to-trigger-a-full-password-sync-in-azure-ad-sync.aspx),从而引发全密码通过将其关闭然后再打开来进行同步。上面的那个是只为这是由开关指示的“关闭”命令(-Enable $假)
结果:
你会注意到密码同步服务将被禁用即使通过GUI(Azure AD Connect向导)可能会/可能不会显示它,但您可以肯定地信任几个PowerShell命令行程序的输出,这些命令行程序可指示以下验证步骤中给出的密码同步的状态。
验证:
你可以验证,如果密码同步完全关闭方式:在输出
1.Checking “PasswordSynchronizationEnabled” 的价值获取-Msol公司信息指令:
Get-MsolCompanyInformation
2.Changing用户的密码,然后监视“密码同步”是否被触发或不通过监控活动656 和657在同步 服务器的应用程序事件日志。
3.您可以尝试如下所示的“Heartbeat Script”:https://docs.microsoft.com/en-us/azure/active-directory/connect/active-directory-aadconnectsync-implement-password-synchronization 以获取密码同步的状态。