تنفيذ مزامنة بيانات تجزئة كلمة المرور باستخدام مزامنة Azure AD Connect

  • مقالة
  • قراءة خلال 13 دقائق

تقدم هذه المقالة المعلومات التي تحتاجها لمزامنة كلمات مرور المستخدم من مثيل Active Directory محلي إلى مثيل Azure Active Directory على السحابة (Azure AD).

كيفية عمل مزامنة تجزئة كلمة المرور

تخزن خدمة مجال Active Directory كلمات المرور في شكل تمثيل قيمة التجزئة لكلمة مرور المستخدم الفعلية. قيمة التجزئة هي نتيجة دالة رياضية أحادية الاتجاه (خوارزمية التجزئة). لا يوجد أسلوب لاسترجاع نتيجة دالة أحادية الاتجاه إلى إصدار النص العادي لكلمة مرور.

لمزامنة كلمة المرور الخاصة بك، تقوم مزامنة «Azure AD Connect» باستخراج تجزئة كلمة المرور الخاصة بك من مثيل «Active Directory المحلي». يتم تطبيق معالجة أمان إضافية على تجزئة كلمة المرور قبل أن تتم مزامنتها إلى خدمة مصادقة «Microsoft Azure Active Directory». تتم مزامنة كلمات المرور على أساس لكل مستخدم وفي ترتيب زمني.

تدفق البيانات الفعلي لعملية مزامنة تجزئة كلمة المرور مشابه لمزامنة بيانات المستخدم. ومع ذلك، تتم مزامنة كلمات المرور بشكل متكرر أكثر من نافذة مزامنة الدليل القياسي للسمات الأخرى. تعمل عملية مزامنة تجزئة كلمة المرور كل دقيقتين. لا يمكنك تعديل تردد هذه العملية. عند مزامنة أي كلمة مرور، فإنها تقوم بالكتابة فوق كلمة مرور السحابة الموجودة.

في المرة الأولى التي تمكن فيها ميزة مزامنة تجزئة كلمة المرور، تقوم بإجراء مزامنة أولية لكلمات المرور لكافة المستخدمين ضمن النطاق. لا يمكنك تعريف مجموعة فرعية من كلمات مرور المستخدم التي تريد مزامنتها بشكل صريح. ومع ذلك، إذا كان هناك موصلات متعددة، فمن الممكن تعطيل مزامنة تجزئة كلمة المرور لبعض الموصلات دون غيرها باستخدام Set-ADSyncAADPasswordSyncConfigurationcmdlet.

عند تغيير أي كلمة مرور محلية، تتم مزامنة كلمة المرور المحدثة، في أغلب الأحيان في غضون دقائق. تعيد ميزة مزامنة تجزئة كلمة المرور تلقائيًا محاولات مزامنة فاشلة. في حالة حدوث خطأ في أثناء في محاولة مزامنة أي كلمة مرور، يتم تسجيل خطأ في عارض الأحداث.

لا تؤثر مزامنة كلمة المرور على المستخدم الذي قام بتسجيل الدخول حالياً. لا تتأثر جلسة عمل خدمة السحابة الحالية على الفور بتغيير كلمة المرور المتزامن الذي يحدث في أثناء تسجيل الدخول إلى خدمة السحابة. ومع ذلك، عندما تطلب منك خدمة السحابة المصادقة مرة أخرى، فإنك تحتاج إلى تقديم كلمة مرورك الجديدة.

يجب على المستخدم إدخال بيانات اعتماد الشركة للمرة الثانية للمصادقة على Azure AD، بغض النظر عما إذا كان قد تم تسجيل دخوله إلى شبكة الشركة الخاصة به أو لا. يمكن تصغير هذا النمط، ولكن، إذا حدد المستخدم خانة الاختيار الاحتفاظ بتسجيل الدخول (KMSI) عند تسجيل الدخول. يعين هذا التحديد ملف تعريف ارتباط جلسة عمل يتجاوز المصادقة لمدة 180 يومًا. يمكن تمكين سلوك KMSI أو تعطيله بواسطة مسؤول Azure AD. بالإضافة إلى ذلك، يُمكنك تقليل مطالبات كلمة المرور عند طريق تشغيل تسجيل الدخول الأحادي السلس، والذي يسجل دخول المستخدمين تلقائيًا عندما يكونون على أجهزة الشركة المتصلة بشبكة شركتك.

ملاحظة

يتم دعم مزامنة كلمة المرور فقط لمستخدم نوع الكائن في Active Directory. إنه غير مدعوم لنوع الكائن iNetOrgPerson.

وصف مفصل لكيفية عمل مزامنة تجزئة كلمة المرور

يصف المقطع التالي، بشكل مفصل، كيفية عمل مزامنة تجزئة كلمة المرور بين Active Directory و Azure AD.

Detailed password flow

  1. كل دقيقتين، يطلب عامل مزامنة تجزئة كلمة المرور على خادم AD Connect تجزئة كلمة المرور المخزنة (سمة unicodePwd) من وحدة تحكم المجال DC. يستخدم هذا الطلب عبر بروتوكول النسخ المتماثل القياسي لـ MS-DRSR لمزامنة البيانات بين وحدات تحكم المجال. يجب أن يحتوي حساب الخدمة على أذونات تغييرات دليل النسخ المتماثل وأذونات جميع تغييرات دليل النسخ المتماثل على AD (يتم منحها افتراضيًا عند التثبيت) للحصول على تجزئات كلمة المرور.
  2. قبل الإرسال، تُشفر وحدة تحكم المجال تجزئة كلمة مرور MD4 باستخدام مفتاح يكون تجزئة MD5 لمفتاح جلسة RPC و salt. ثم يرسل النتيجة إلى عامل مزامنة تجزئة كلمة المرور عبر RPC. تُمرر أيضًا وحدة تحكم المجال salt إلى عامل المزامنة باستخدام بروتوكول النسخ المتماثل لوحدة تحكم المجال، لذا سيكون الوكيل قادرًا على فك تشفير المغلف.
  3. بعد أن يحتوي عامل مزامنة تجزئة كلمة المرور على المغلف المشفر، يستخدم MD5CryptoServiceProvider و salt لإنشاء مفتاح لفك تشفير البيانات المستلمة مرة أخرى إلى تنسيق MD4 الأصلي الخاص به. لم يكن لدى عامل مزامنة تجزئة كلمة المرور حق الوصول مُطلقًا إلى كلمة مرور النص الواضحة. يستخدم عامل مزامنة تجزئة كلمة المرور لـ MD5 بشكل صارم لتوافق بروتوكول النسخ المتماثل مع وحدة تحكم المجال، ولا يتم استخدامه إلا داخليًا بين وحدة تحكم المجال وعامل مزامنة تجزئة كلمة المرور.
  4. يعمل عامل مزامنة تجزئة كلمة المرور على توسيع تجزئة كلمة المرور الثنائية المكونة من 16 بايت إلى 64 بايت عن طريق تحويل التجزئة أولاً إلى سلسلة سداسية عشرية من 32 بايت، ثم تحويل هذه السلسلة مرة أخرى إلى ثنائي بترميز UTF-16.
  5. يضيف عامل مزامنة تجزئة كلمة المرور لكل salt مستخدم، يتكون من satl 10 بايت، إلى الثنائي 64 بايت لحماية التجزئة الأصلية بشكل أكبر.
  6. ثم يُجمع عامل مزامنة تجزئة كلمة المرور تجزئة MD4 بالإضافة إلى salt لكل مستخدم، وإدخاله في الوظيفة PBKDF2. يتم استخدام 1000 تكرار لخوارزمية تجزئة مفتاح HMAC-SHA256.
  7. يأخذ عامل مزامنة تجزئة كلمة المرور تجزئة 32 بايت الناتجة، ويُسلسل كل من الملح لكل مستخدم وعدد مرات تكرار SHA256 له (للاستخدام بواسطة Azure AD)، ثم ينقل السلسلة من Azure AD Connect إلى Azure AD عبر TLS.
  8. عندما يحاول المستخدم تسجيل الدخول إلى Azure AD وإدخال كلمة المرور الخاصة به، يتم تشغيل كلمة المرور من خلال نفس عملية MD4 + salt + PBKDF2 + HMAC-SHA256. إذا تطابقت التجزئة الناتجة مع التجزئة المخزنة في Azure AD، فإن المستخدم قد أدخل كلمة المرور الصحيحة وتمت مصادقته.

ملاحظة

لا يتم إرسال تجزئة MD4 الأصلية إلى Azure AD. بدلًا من ذلك، يتم إرسال تجزئة SHA256 من تجزئة MD4 الأصلي. ونتيجة لذلك، إذا تم الحصول على التجزئة المخزنة في Azure AD، لا يمكن استخدامها في هجوم pass-the-hash داخلي.

اعتبارات الأمان

عند مزامنة كلمات المرور، لا يتم عرض إصدار النص العادي لكلمة المرور الخاصة بك لميزة مزامنة تجزئة كلمة المرور أو Azure AD أو أي من الخدمات المرتبطة.

تتم مصادقة المستخدم مقابل Azure AD بدلًا من مثيل Active Directory الخاص بالمؤسسة. تكون بيانات كلمة المرور SHA256 المخزنة في Azure AD--التجزئة لتجزئة MD4 الأصلية--أكثر أمانًا مما يتم تخزينه في Active Directory. علاوة على ذلك، لأنه لا يمكن فك تشفير تجزئة SHA256 هذه، لا يمكن إعادتها إلى بيئة Active Directory للمؤسسة وتقديمها ككلمة مرور مستخدم صالحة في هجوم pass-the-hash.

اعتبارات نهج كلمة المرور

يوجد نوعان من نهج كلمة المرور التي تتأثر بتمكين مزامنة تجزئة كلمة المرور:

  • نهج تعقيد كلمة المرور
  • نهج انتهاء صلاحية كلمة المرور

نهج تعقيد كلمة المرور

عند تمكين مزامنة تجزئة كلمة المرور، تتجاوز نهج تعقيد كلمة المرور في مثيل Active Directory الداخلي نُهج التعقيد في السحابة للمستخدمين الذين تمت مزامنتهم. يمكنك استخدام كافة كلمات المرور الصالحة من مثيل Active Directory الداخلي للوصول إلى خدمات Azure AD.

ملاحظة

لا تزال كلمات المرور للمستخدمين التي يتم إنشاؤها مباشرة في السحابة تخضع لسياسات كلمة المرور كما هو محدد في السحابة.

نهج انتهاء صلاحية كلمة المرور

إذا كان مستخدم في نطاق مزامنة تجزئة كلمة المرور، يتم تعيين كلمة مرور حساب السحابة تلقائيًا إلى Never Expire.

يمكنك متابعة تسجيل الدخول إلى خدمات السحابة باستخدام كلمة مرور متزامنة انتهت صلاحيتها في البيئة الداخلية. يتم تحديث كلمة مرور السحابة في المرة التالية التي تقوم فيها بتغيير كلمة المرور في البيئة الداخلية.

EnforceCloudPasswordPolicyForPasswordSyncedUsers

إذا كان هناك مستخدمين متزامنين يتفاعلون فقط مع الخدمات المتكاملة لـ Azure AD ويجب أن يمتثلوا أيضًا لنهج انتهاء صلاحية كلمة المرور، يمكنك إجبارهم على الامتثال لنهج انتهاء صلاحية كلمة مرور Azure AD الخاصة بك عن طريق تمكين ميزة EnforceCloudPasswordPolicyForPasswordSyncedUsers.

عند تعطيل EnforceCloudPasswordPolicyForPasswordSyncedUsers (وهو الإعداد الافتراضي)، يقوم Microsoft Azure Active Directory Connect بتعيين سمة PasswordPolicies للمستخدمين المتزامنين على "DisablePasswordExpiration". ويتم ذلك في كل مرة تتم مزامنة كلمة مرور المستخدم، كما يُصدر Azure AD تعليماته بتجاهل نهج انتهاء صلاحية كلمة مرور السحابة لهذا المستخدم. يمكنك التحقق من قيمة السمة باستخدام وحدة Microsoft Azure Active Directory PowerShell باستخدام الأمر التالي:

(Get-AzureADUser -objectID <User Object ID>).passwordpolicies

لتمكين ميزة EnforceCloudPasswordPolicyForPasswordSyncedUsers، قم بتشغيل الأمر التالي باستخدام وحدة MSOnline PowerShell النمطية كما هو موضح أدناه. يجب عليك كتابة نعم لمعلمة التمكين كما هو موضح أدناه :

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers
cmdlet Set-MsolDirSyncFeature at command pipeline position 1
Supply values for the following parameters:
Enable: yes
Confirm
Continue with this operation?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

بمجرد التمكين، لا ينتقل Microsoft Azure Active Directory إلى كل مستخدم متزامن لإزالة القيمة DisablePasswordExpiration من السمة PasswordPolicies. بدلاً من ذلك، تتم إزالة القيمة DisablePasswordExpiration من PasswordPolicies أثناء مزامنة تجزئة كلمة المرور التالية لكل مستخدم، عند التغيير التالي لكلمة المرور في AD الداخلي.

بعد تمكين ميزة EnforceCloudPasswordPolicyForPasswordSyncedUsers تتكوّن إعدادات تشغيل الخدمة للمستخدمين الجدد دون قيمة PasswordPolicies.

من المستحسن تمكين EnforceCloudPasswordPolicyForPasswordSyncedUsers، قبل تمكين مزامنة تجزئة كلمة المرور، بحيث لا تضيف المزامنة الأولية من التجزئة كلمة المرور DisablePasswordExpirationالقيمة إلى سمة PasswordPolicies للمستخدمين.

يتطلب نهج كلمة مرور Azure AD الافتراضي من المستخدمين تغيير كلمات المرور الخاصة بهم كل 90 يومًا. إذا كان نهجك في AD هي 90 يوماً أيضاً، فيجب أن يتطابق النهجان. ومع ذلك، إذا لم يكن نهج AD 90 يوماً، فيمكنك تحديث نهج كلمة مرور Microsoft Azure Active Directory لتتطابق باستخدام الأمر Set-MsolPasswordPolicy PowerShell.

يدعم Azure AD نهج انتهاء صلاحية كلمة مرور منفصل لكل مجال مسجل.

تحذير: إذا كانت هناك حسابات متزامنة تحتاج إلى كلمات مرور غير منتهية الصلاحية في Azure AD، فيجب عليك صراحة إضافة القيمة DisablePasswordExpiration إلى سمة PasswordPolicies الخاصة بكائن المستخدم في Azure AD. يمكنك القيام بذلك عن طريق تنفيذ الأمر التالي.

Set-AzureADUser -ObjectID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

ملاحظة

بالنسبة للمستخدمين المختلطين الذين لديهم قيمة PasswordPolicies معينة إلى DisablePasswordExpiration، هذه القيمة بالتبديل None بعد تنفيذ تغيير كلمة مرور داخلية.

ملاحظة

لن يعمل الأمر Set-MsolPasswordPolicy PowerShell على المجالات الموحدة.

مزامنة كلمات المرور المؤقتة و "فرض تغيير كلمة المرور عند تسجيل الدخول التالي»

من المعتاد إجبار المستخدم على تغيير كلمة المرور الخاصة به أثناء تسجيل الدخول الأول، ولا سيما بعد حدوث إعادة تعيين كلمة مرور المسؤول. يُعرف باسم تعيين كلمة مرور "مؤقتة" ويتم إكماله عن طريق التحقق من علامة "يجب على المستخدم تغيير كلمة المرور عند تسجيل الدخول التالي" على كائن مستخدم في Active Directory (AD).

تساعد وظيفة كلمة المرور المؤقتة على ضمان إتمام نقل ملكية بيانات الاعتماد عند الاستخدام الأول لتقليل مدة الوقت التي يكون فيها أكثر من فرد على علم ببيانات الاعتماد هذه.

لدعم كلمات المرور المؤقتة في Azure AD للمستخدمين المتزامنين، يمكنك تمكين ميزة ForcePasswordChangeOnLogOn، عن طريق تشغيل الأمر التالي على خادم Azure AD Connect.

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

ملاحظة

يتطلب إجبار المستخدم على تغيير كلمة المرور الخاصة به في تسجيل الدخول التالي تغيير كلمة المرور في نفس الوقت. لن يلتقط Azure AD Connect علامة فرض تغيير كلمة المرور من تلقاء نفسه؛ إنه مكمل لتغيير كلمة المرور المكتشفة والذي يحدث أثناء مزامنة تجزئة كلمة المرور.

إذا كان لدى المستخدم خيار "كلمة المرور لا تنتهي صلاحيتها أبداً" المعين في Active Directory (AD)، فلن يتم تعيين علامة فرض تغيير كلمة المرور في Active Directory (AD)، لذلك لن يُطلب من المستخدم تغيير كلمة المرور أثناء تسجيل الدخول التالي.

تنبيه

يجب عليك استخدام هذه الميزة فقط عند تمكين SSPR وحفظ كلمة المرور مع تحديثها على المستأجر. هذا بحيث إذا قام مستخدم بتغيير كلمة المرور الخاصة به من خلال ميزة إعادة تعيين كلمة مرور الخدمة الذاتية، سيتم مزامنتها إلى Active Directory.

انتهاء صلاحية الحساب

إذا كانت مؤسستك تستخدم السمة accountExpires كجزء من إدارة حساب المستخدم، لا تتم مزامنة هذه السمة إلى Azure AD. ونتيجة لذلك، سوف يظل حساب Active Directory منتهية منتهي الصلاحية في بيئة تم تكوينها لمزامنة تجزئة كلمة المرور نشطًا في Azure AD. نوصي باستخدام برنامج نصي PowerShell مجدول يقوم بتعطيل حسابات AD للمستخدمين، بمجرد انتهاء صلاحيتها (استخدم cmdlet Set-ADUser). على العكس من ذلك، أثناء عملية إزالة انتهاء الصلاحية من حساب AD، يجب إعادة تمكين الحساب.

الكتابة فوق كلمات المرور المتزامنة

يمكن للمسؤول إعادة تعيين كلمة المرور يدويًا باستخدام Windows PowerShell.

في هذه الحالة، تتجاوز كلمة المرور الجديدة كلمة المرور المتزامنة، ويتم تطبيق كافة نهج كلمة المرور المعرفة في السحابة على كلمة المرور الجديدة.

إذا قمت بتغيير كلمة المرور الداخلية مرة أخرى، تتم مزامنة كلمة المرور الجديدة مع السحابة، وتتجاوز كلمة المرور المحدثة يدويًا.

لا تؤثر مزامنة كلمة المرور على مستخدم Azure الذي سجّل الدخول. لا تتأثر على الفور جلسة خدمة السحابة الحالية بتغيير كلمة المرور المتزامن الذي يحدث في أثناء تسجيل الدخول إلى خدمة السحابة. توسع KMSI مُدة هذا الاختلاف. عندما تطلب منك خدمة السحابة المصادقة مرة أخرى، فإنك تحتاج إلى تقديم كلمة مرورك الجديدة.

مزايا إضافية

  • بشكل عام، تكون مزامنة تجزئة كلمة المرور أبسط لتنفيذها من الخدمة الموحدة. لا يتطلب أي خوادم إضافية، ويلغي الاعتماد على خدمة اتحاد عالية التوفر لمصادقة المستخدمين.
  • يمكن أيضًا تمكين مزامنة تجزئة كلمة المرور بالإضافة إلى الاتحاد. يمكن استخدامه كإجراء احتياطي إذا واجهت خدمة الاتحاد لديك انقطاعًا.

عمليات مزامنة تجزئة كلمة مرور لخدمات مجال Azure Domain

إذا كنت تستخدم خدمات المجال Azure AD لتوفير المصادقة القديمة للتطبيقات والخدمات التي تحتاج إلى استخدام Kerberos أو LDAP أو NTLM، فمن ثم تمثل بعض العمليات الإضافية جزءًا من تدفق مزامنة تجزئة كلمة المرور. يستخدم Azure AD Connect العمليات الإضافية التالية لمزامنة بيانات تجزئة كلمة المرور إلى Azure AD لاستخدامها في خدمات مجال Azure AD.

هام

ينبغي تثبيت اتصال Azure AD وتكوينه فقط للتزامن مع بيئات AD DS المحلية. لا يتم دعم تثبيت Azure AD Connect في مجال مُدار من Azure AD DS لمزامنة الكائنات مرة أخرى إلى Azure AD.

يقوم Microsoft Azure Active Directory Connect بمزامنة تجزئة كلمة المرور القديمة فقط عند تمكين Azure خدمات مجال Active Directory لمستأجر Microsoft Azure Active Directory. لا يتم استخدام الخطوات التالية إذا كنت تستخدم Azure AD Connect فقط لمزامنة بيئة AD DS داخلية مع Azure AD.

إذا لم تستخدم التطبيقات القديمة مصادقة NTLM أو LDAP ربط بسيطة، نوصي بتعطيل مزامنة تجزئة كلمة مرور NTLM الخاصة بـ خدمات مجال Active Directory Microsoft Azure AD. للمزيد من المعلومات، راجع تعطيل مجموعات التشفير الضعيفة ومزامنة تجزئة بيانات اعتماد NTLM.

  1. يسترد Azure AD Connect المفتاح العام لمثيل المستأجر لخدمات نطاق Azure AD.
  2. عندما يغير المستخدم كلمة المرور الخاصة به، تخزن وحدة التحكم بالمجال الداخلية نتيجة تغيير كلمة المرور (التجزئة) في سمتين:
    • unicodePwd لتجزئة كلمة مرور NTLM.
    • supplementalCredentialsلتجزئة كلمة مرور Kerberos.
  3. يكشف Azure AD Connect تغييرات كلمة المرور من خلال قناة النسخ المتماثل للدليل (تحتاج تغييرات السمة إلى نسخ متماثل لوحدات تحكم مجال أخرى).
  4. لكل مستخدم قام بتغيير كلمة المرور الخاصة به، يقوم Azure AD Connect بتنفيذ الخطوات التالية:
    • ينشئ مفتاح AES 256 بت متماثل عشوائي.
    • ينشئ خط متجه تهيئة عشوائي مطلوب للجولة الأولى من التشفير.
    • استخرج تجزئة كلمة مرور Kerberos من سمات supplementalCredentials.
    • يتحقق من إعداد تكوين خدمات نطاق Azure AD SyncNtlmPasswords.
      • إذا تم تعطيل هذا الإعداد، فسيتم إنشاء تجزئة NTLM عشوائية عالية الانتروبيا (تختلف عن كلمة مرور المستخدم). ثم يتم دمج هذه التجزئة مع تجزئة كلمة مرور Kerberos الدقيقة من السمة supplementalCrendetialsإلى بنية بيانات واحدة.
      • إذا تم تمكينها، يجمع بين قيمة السمة unicodePwd مع تجزئة كلمة مرور Kerberos المستخرجة من السمة supplementalCredentials في بنية بيانات واحدة.
    • يشفر بنية البيانات المفردة باستخدام المفتاح المتماثل AES.
    • يشفر المفتاح المتماثل AES باستخدام المفتاح العمومي لخدمات المجال Azure AD الخاص بالمستأجر.
  5. ينقل Azure AD Connect المفتاح المتماثل AES المشفر وبنية البيانات المشفرة التي تحتوي على تجزئات كلمة المرور ومتجه التهيئة إلى Azure AD.
  6. يقوم Azure AD بتخزين المفتاح AES المتماثل المشفر وبنية البيانات المشفرة ومتجه التهيئة للمستخدم.
  7. يدفع Azure AD المفتاح AES المتماثل المشفر بنية البيانات المشفرة و متجه التهيئة باستخدام آلية مزامنة داخلية عبر جلسة عمل HTTP مشفرة إلى خدمات مجال Azure AD.
  8. يسترد Azure AD Connect المفتاح العام لمثيل المستأجر من مخزن Azure الرئيسي.
  9. لكل مجموعة بيانات مشفرة (تمثل تغيير كلمة مرور مستخدم واحد)، تقوم خدمات مجال Azure AD بتنفيذ الخطوات التالية:
    • تستخدم المفتاح الخاص بها لفك تشفير مفتاح AES المتماثل.
    • يستخدم مفتاح AES المتماثل مع متجه التهيئة لفك تشفير بنية البيانات المشفرة التي تحتوي على تجزئات كلمة المرور.
    • يكتب تجزئات كلمة المرور Kerberos التي يتلقاها إلى وحدة تحكم المجال Azure AD Domain Services. يتم حفظ التجزئات في سمة كائن المستخدم supplementalCredentials التي تم تشفيرها إلى المفتاح العام لوحدة تحكم Azure AD Domain Services.
    • تكتب تجزئات Azure Domain Services تجزئة كلمة مرور NTLM التي تتلقاها إلى وحدة التحكم بالمجال Azure AD Domain Services. يتم حفظ التجزئة إلى سمة كائن المستخدم unicodePwd التي تم تشفيرها إلى المفتاح العام لوحدة التحكم بالمجال Azure AD Domain Services.

تمكين مزامنة تجزئة كلمة المرور

هام

إذا كنت تقوم بالترحيل من AD FS (أو تقنيات اتحادية أخرى) إلى Password Hash Synchronization فإننا نوصي بشدة باتباع دليل النشر التفصيلي المنشور هنا.

عند تثبيت Azure AD Connect باستخدام الخيار "Express Settings"، يتم تمكين مزامنة تجزئة كلمة المرور تلقائياً. للحصول على مزيد من المعلومات، راجع بدء تشغيل Azure AD Connect باستخدام إعدادات سريعة.

إذا كنت تستخدم إعدادات مخصصة عند تثبيت «Azure AD Connect»، تتوفر مزامنة تجزئة كلمة المرور على صفحة تسجيل دخول المستخدم. لمزيد من المعلومات، راجع تثبيت متخصص لـ Azure AD Connect.

Enabling password hash synchronization

مزامنة تجزئة كلمة المرور و FIPS

إذا تم إيقاف الخادم الخاص بك استنادًا إلى «معيار معالجة المعلومات الموحدة (FIPS)»، يتم تعطيل «MD5».

لتمكين MD5 لمزامنة تجزئة كلمة المرور، نفذ الخطوات التالية:

  1. انتقل إلى %programfiles%\Microsoft Azure AD Sync\Bin.
  2. فتح «miiserver.exe.config».
  3. الانتقال إلى عقدة التكوين/وقت التشغيل في نهاية الملف.
  4. أضف العقدة التالية: <enforceFIPSPolicy enabled="false"/>
  5. احفظ التغييرات التي قمت بإجرائها.

للرجوع إليها، هذه القصاصة البرمجية هي ما ينبغي أن تبدو عليه:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

للحصول على معلومات حول الأمان و FIPS، راجع مزامنة تجزئة كلمة مرور Azure AD والتشفير والامتثال لـ FIPS.

استكشاف أخطاء مزامنة تجزئة كلمة المرور وإصلاحها

إذا كان لديك مشاكل مع مزامنة تجزئة كلمة المرور، راجع استكشاف أخطاء مزامنة تجزئة كلمة المرور وإصلاحها.

الخطوات التالية