如何卸载本地 Microsoft Entra 密码保护

该组织已为本地配置了 Microsoft Entra 密码保护。但是，它正在完全迁移到云端，您必须从本地卸载 Microsoft Entra 密码保护软件。在本文中，您将了解如何卸载本地 Microsoft Entra 密码保护。

如何卸载本地 Microsoft Entra 密码保护

要卸载本地 Microsoft Entra 密码保护并清理相关配置和文件，您必须执行如下所示的确切步骤：

步骤1.查找所有代理软件机器

在 PowerShell 中运行以下命令来查找安装了代理软件的计算机。

$scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

输出在 DistinguishedName 属性中显示计算机。在我们的示例中，它是机器 FS01-2019。

DistinguishedName                                                                                      Name                           ObjectClass            ObjectGUID
-----------------                                                                                      ----                           -----------            ----------
CN=AzureADPasswordProtectionProxy,CN=FS01-2019,OU=FileServer,OU=Computers,OU=Company,DC=exoip,DC=local AzureADPasswordProtectionProxy serviceConnectionPoint d8eb5e49-8793-4302-a0ea-e2e2918706e0

步骤 2. 从所有计算机上卸载代理软件

从安装了代理软件的所有计算机上卸载该软件：

• Microsoft Azure AD Connect 代理更新程序
• Azure AD 密码保护代理
• Azure AD 密码保护代理捆绑包

卸载完成后无需重新启动计算机。

步骤 3. 查找所有 DG Agent 软件机器

运行以下 PowerShell 命令来查找安装了 DC Agent 软件的计算机。它很可能安装在所有域控制器上。

$scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords }

输出在 DistinguishedName 属性中显示计算机。在我们的示例中，它是机器 DC01-2022。

DistinguishedName                                                                        Name                             ObjectClass            ObjectGUID
-----------------                                                                        ----                             -----------            ----------
CN=AzureADPasswordProtectionDCAgent,CN=DC01-2022,OU=Domain Controllers,DC=exoip,DC=local AzureADPasswordProtectionDCAgent serviceConnectionPoint 6e92924d-db7f-4775-9ef7-9dcf5bae0053

步骤 4. 从所有域控制器卸载 DC Agent 软件

从安装了 DC Agent 软件的所有计算机（域控制器）中卸载该软件。

卸载完成后，单击是重新启动域控制器。

步骤 5. 删除所有代理服务连接点

从每个域命名上下文中删除所有代理服务连接点。按 Y 确认并按 Enter。

$scp = "serviceConnectionPoint"
$keywords = "{ebefb703-6113-413d-9167-9f8dd4d24468}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords } | Remove-ADObject 

步骤 6. 删除所有 DC 代理连接点

从每个域命名上下文中删除所有 DC Agent 连接点。按 Y 确认并按 Enter。

$scp = "serviceConnectionPoint"
$keywords = "{2bac71e6-a293-4d5b-ba3b-50b995237946}*"
Get-ADObject -SearchScope Subtree -Filter { objectClass -eq $scp -and keywords -like $keywords } | Remove-ADObject 

步骤 7. 删除林级配置状态

删除林级配置状态。按 Y 确认并按 Enter。

$passwordProtectionConfigContainer = "CN=Azure AD Password Protection,CN=Services," + (Get-ADRootDSE).configurationNamingContext
Remove-ADObject -Recursive $passwordProtectionConfigContainer

步骤 6. 删除所有 sysvol 相关文件夹

启动文件资源管理器并转到 sysvol 目录。删除 sysvol 中的 AzureADPasswordProtection 文件夹。

\<domain>\sysvol\<domain fqdn>

您还可以在域控制器上本地访问 sysvol 文件夹。

%windir%\SYSVOL\domain

就是这样！您已成功卸载并清理所有相关的 Microsoft Entra 密码保护配置和文件。

了解更多：如何配置 Microsoft Entra 特权身份管理 (PIM) »

结论

您了解了如何卸载本地 Microsoft Entra 密码保护。这不仅仅是从程序和功能中卸载软件并认为您已经完成了。您还必须清理一些额外的配置和文件，以从本地环境中完全删除 Microsoft Entra 密码保护。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 从 CSV 创建 Microsoft Entra ID 用户。不要忘记关注我们并分享这篇文章。