Implementieren der Kennworthashsynchronisierung mit der Azure AD Connect-SynchronisierungImplement password hash synchronization with Azure AD Connect sync

In diesem Artikel finden Sie alle Informationen, die Sie benötigen, um Benutzerkennwörter aus einer lokalen Active Directory-Instanz mit einer cloudbasierten Azure Active Directory-Instanz (Azure AD) zu synchronisieren.This article provides information that you need to synchronize your user passwords from an on-premises Active Directory instance to a cloud-based Azure Active Directory (Azure AD) instance.

So funktioniert die KennworthashsynchronisierungHow password hash synchronization works

Der Active Directory-Domänendienst speichert Kennwörter in Form einer Hashwertdarstellung des tatsächlichen Benutzerkennworts.The Active Directory domain service stores passwords in the form of a hash value representation, of the actual user password. Ein Hashwert ist das Ergebnis einer unidirektionalen mathematischen Funktion (des „Hashalgorithmus“).A hash value is a result of a one-way mathematical function (the hashing algorithm). Es ist nicht möglich, das Ergebnis einer unidirektionalen Funktion in die Nur-Text-Version eines Kennworts umzukehren.There is no method to revert the result of a one-way function to the plain text version of a password.

Um Ihr Kennwort zu synchronisieren, extrahiert die Azure AD Connect-Synchronisierung den Kennworthash aus der lokalen Active Directory-Instanz.To synchronize your password, Azure AD Connect sync extracts your password hash from the on-premises Active Directory instance. Vor der Synchronisierung mit dem Azure Active Directory-Authentifizierungsdienst wird der Kennworthash einer zusätzlichen Sicherheitsverarbeitung unterzogen.Extra security processing is applied to the password hash before it is synchronized to the Azure Active Directory authentication service. Kennwörter werden pro Benutzer und in chronologischer Reihenfolge synchronisiert.Passwords are synchronized on a per-user basis and in chronological order.

Der tatsächliche Datenfluss des Kennworthashsynchronisierungs-Vorgangs ähnelt der Synchronisierung von Benutzerdaten.The actual data flow of the password hash synchronization process is similar to the synchronization of user data. Kennwörter werden jedoch häufiger synchronisiert als vom Standardzeitfenster für die Verzeichnissynchronisierung für andere Attribute vorgesehen.However, passwords are synchronized more frequently than the standard directory synchronization window for other attributes. Der Prozess der Kennworthashsynchronisierung wird alle zwei Minuten ausgeführt.The password hash synchronization process runs every 2 minutes. Sie können die Häufigkeit der Ausführung nicht ändern.You cannot modify the frequency of this process. Wenn Sie ein Kennwort synchronisieren, wird das vorhandene Cloudkennwort überschrieben.When you synchronize a password, it overwrites the existing cloud password.

Bei der ersten Aktivierung der Kennworthashsynchronisierung wird eine anfängliche Synchronisierung der Kennwörter aller im Bereich befindlichen Benutzer durchgeführt.The first time you enable the password hash synchronization feature, it performs an initial synchronization of the passwords of all in-scope users. Es ist nicht möglich, explizit eine Teilmenge der Benutzerkennwörter zu definieren, die Sie synchronisieren möchten.You cannot explicitly define a subset of user passwords that you want to synchronize. Wenn jedoch mehrere Connectors vorhanden sind, ist es möglich, die Kennworthash-Synchronisierung für einige Connectors selektiv mit dem Cmdlet Set-ADSyncAADPasswordSyncConfiguration zu deaktivieren.However, if there are multiple connectors, it is possible to disable password hash sync for some connectors but not others using the Set-ADSyncAADPasswordSyncConfiguration cmdlet.

Wenn Sie ein lokales Kennwort ändern, wird das aktualisierte Kennwort synchronisiert. Dies dauert meist nur wenige Minuten.When you change an on-premises password, the updated password is synchronized, most often in a matter of minutes. Das Feature der Kennworthashsynchronisierung versucht automatisch, fehlerhafte Synchronisierungsversuche erneut auszuführen.The password hash synchronization feature automatically retries failed synchronization attempts. Wenn beim Versuch, ein Kennwort zu synchronisieren, ein Fehler auftritt, wird der Fehler in der Ereignisanzeige protokolliert.If an error occurs during an attempt to synchronize a password, an error is logged in your event viewer.

Die Synchronisierung eines Kennworts hat keinen Einfluss auf den derzeit angemeldeten Benutzer.The synchronization of a password has no impact on the user who is currently signed in. Wenn eine synchronisierte Kennwortänderung durchgeführt wird, während Sie an einem Clouddienst angemeldet sind, wirkt sich dies nicht direkt auf Ihre aktuelle Clouddienstsitzung aus.Your current cloud service session is not immediately affected by a synchronized password change that occurs, while you are signed in, to a cloud service. Wenn aber für den Clouddienst eine erneute Authentifizierung erforderlich ist, müssen Sie Ihr neues Kennwort angeben.However, when the cloud service requires you to authenticate again, you need to provide your new password.

Ein Benutzer muss seine Unternehmensanmeldeinformationen ein zweites Mal eingeben, um sich bei Azure AD zu authentifizieren, und zwar unabhängig davon, ob er bei seinem Unternehmensnetzwerk angemeldet ist.A user must enter their corporate credentials a second time to authenticate to Azure AD, regardless of whether they're signed in to their corporate network. Dieses Verhalten kann aber auf ein Mindestmaß beschränkt werden, indem der Benutzer bei der Anmeldung das Kontrollkästchen „Angemeldet bleiben“ aktiviert.This pattern can be minimized, however, if the user selects the Keep me signed in (KMSI) check box at sign-in. Dadurch wird ein Sitzungscookie festgelegt, das die Authentifizierung 180 Tage lang umgeht.This selection sets a session cookie that bypasses authentication for 180 days. Die Einstellung „Angemeldet bleiben“ kann vom Azure AD-Administrator aktiviert oder deaktiviert werden.KMSI behavior can be enabled or disabled by the Azure AD administrator. Darüber hinaus können Sie die Kennworteingabeaufforderungen reduzieren, indem Sie nahtloses einmaliges Anmelden aktivieren. Dabei werden Benutzer automatisch angemeldet, wenn sie mit ihren Unternehmensgeräten mit dem Unternehmensnetzwerk verbunden sind.In addition, you can reduce password prompts by turning on Seamless SSO, which automatically signs users in when they are on their corporate devices connected to your corporate network.

Hinweis

Die Kennwortsynchronisierung wird nur für Objekttyp-Benutzer in Active Directory unterstützt.Password sync is only supported for the object type user in Active Directory. Sie wird vom iNetOrgPerson-Objektyp nicht unterstützt.It is not supported for the iNetOrgPerson object type.

Ausführliche Beschreibung der Funktionsweise der KennworthashsynchronisierungDetailed description of how password hash synchronization works

Im folgenden Abschnitt wird ausführlich beschrieben, wie die Kennworthashsynchronisierung zwischen Active Directory und Azure AD funktioniert.The following section describes, in-depth, how password hash synchronization works between Active Directory and Azure AD.

Detaillierter Kennwortfluss

  1. Alle zwei Minuten fordert der Kennworthashsynchronisierungs-Agent auf dem AD Connect-Server gespeicherte Kennworthashes (unicodePwd-Attribut) von einem DC an.Every two minutes, the password hash synchronization agent on the AD Connect server requests stored password hashes (the unicodePwd attribute) from a DC. Diese Anforderung erfolgt über das MS-DRSR-Standardreplikationsprotokoll, das zum Synchronisieren von Daten zwischen DCs verwendet wird.This request is via the standard MS-DRSR replication protocol used to synchronize data between DCs. Das Dienstkonto muss die AD-Berechtigungen „Verzeichnisänderungen replizieren“ und „Verzeichnisänderungen replizieren: Alle“ haben (die bei der Installation standardmäßig erteilt werden), um die Kennworthashes abzurufen.The service account must have Replicate Directory Changes and Replicate Directory Changes All AD permissions (granted by default on installation) to obtain the password hashes.
  2. Vor dem Senden verschlüsselt der Domänencontroller den MD4-Kennworthash mithilfe eines Schlüssels, bei dem es sich um einen MD5-Hash des RPC-Sitzungsschlüssel und einen Salt-Wert handelt.Before sending, the DC encrypts the MD4 password hash by using a key that is a MD5 hash of the RPC session key and a salt. Anschließend wird das Ergebnis über RPC an den Kennworthashsynchronisierungs-Agent gesendet.It then sends the result to the password hash synchronization agent over RPC. Der Domänencontroller übergibt auch mithilfe des Replikationsprotokolls des Domänencontrollers den Salt-Wert an den Synchronisierungs-Agent, damit der Agent den Umschlag entschlüsseln kann.The DC also passes the salt to the synchronization agent by using the DC replication protocol, so the agent will be able to decrypt the envelope.
  3. Sobald der Kennworthashsynchronisierungs-Agent über den verschlüsselten Umschlag verfügt, verwendet er MD5CryptoServiceProvider und den Salt-Wert, um einen Schlüssel zum Rückentschlüsseln der empfangenen Daten in ihr ursprüngliches MD4-Format zu generieren.After the password hash synchronization agent has the encrypted envelope, it uses MD5CryptoServiceProvider and the salt to generate a key to decrypt the received data back to its original MD4 format. Der Kennworthashsynchronisierungs-Agent verfügt niemals über Zugriff auf das unverschlüsselte Kennwort.The password hash synchronization agent never has access to the clear text password. Die Nutzung von MD5 durch den Kennworthashsynchronisierungs-Agent dient ausschließlich zur Kompatibilität des Replikationsprotokolls mit dem Domänencontroller und erfolgt nur lokal zwischen dem Domänencontroller und dem Kennworthashsynchronisierungs-Agent.The password hash synchronization agent’s use of MD5 is strictly for replication protocol compatibility with the DC, and it is only used on premises between the DC and the password hash synchronization agent.
  4. Der Kennworthashsynchronisierungs-Agent erweitert den binären 16-Byte-Kennworthash auf 64 Bytes, indem zunächst der Hash in eine hexadezimale 32-Byte-Zeichenfolge umgewandelt wird, die anschließend mithilfe der UTF-16-Codierung wieder in das Binärformat konvertiert wird.The password hash synchronization agent expands the 16-byte binary password hash to 64 bytes by first converting the hash to a 32-byte hexadecimal string, then converting this string back into binary with UTF-16 encoding.
  5. Der Kennworthashsynchronisierungs-Agent fügt der 64-Byte-Binärdatei einen benutzerspezifischen Salt-Wert mit einer Länge von zehn Bytes hinzu, um den ursprünglichen Hash noch besser zu schützen.The password hash synchronization agent adds a per user salt, consisting of a 10-byte length salt, to the 64-byte binary to further protect the original hash.
  6. Anschließend kombiniert der Kennworthashsynchronisierungs-Agent den MD4-Hash mit dem benutzerspezifischen Salt-Wert und gibt das Ergebnis in die Funktion PBKDF2 ein.The password hash synchronization agent then combines the MD4 hash plus the per user salt, and inputs it into the PBKDF2 function. Hierzu werden 1.000 Iterationen des mit HMAC-SHA256 verschlüsselten Hashalgorithmus verwendet.1000 iterations of the HMAC-SHA256 keyed hashing algorithm are used.
  7. Der Kennworthashsynchronisierungs-Agent verwendet den resultierenden 32-Byte-Hash, verkettet sowohl den benutzerspezifischen Salt-Wert als auch die Anzahl von SHA256-Iterationen damit (für die Verwendung durch Azure AD) und überträgt die Zeichenfolge anschließend von Azure AD Connect per TLS an Azure AD.The password hash synchronization agent takes the resulting 32-byte hash, concatenates both the per user salt and the number of SHA256 iterations to it (for use by Azure AD), then transmits the string from Azure AD Connect to Azure AD over TLS.
  8. Wenn ein Benutzer sich bei Azure AD anzumelden versucht und sein Kennwort eingibt, durchläuft das Kennwort denselben aus MD4+Salt+PBKDF2+HMAC-SHA256 bestehenden Prozess.When a user attempts to sign in to Azure AD and enters their password, the password is run through the same MD4+salt+PBKDF2+HMAC-SHA256 process. Wenn der resultierende Hash dem in Azure AD gespeicherten Hash entspricht, hat der Benutzer das richtige Kennwort eingegeben, woraufhin er authentifiziert wird.If the resulting hash matches the hash stored in Azure AD, the user has entered the correct password and is authenticated.

Hinweis

Der ursprüngliche MD4-Hash wird nicht an Azure AD übertragen.The original MD4 hash is not transmitted to Azure AD. Stattdessen wird der SHA256-Hash des ursprünglichen MD4-Hashs übertragen.Instead, the SHA256 hash of the original MD4 hash is transmitted. Daher kann der Hash, wenn er in Azure AD gespeichert ist, nicht für einen lokalen Pass-the-Hash-Angriff verwendet werden.As a result, if the hash stored in Azure AD is obtained, it cannot be used in an on-premises pass-the-hash attack.

SicherheitshinweiseSecurity considerations

Beim Synchronisieren von Kennwörtern wird die Nur-Text-Version Ihres Kennworts gegenüber dem Kennworthashsynchronisierungs-Feature, Azure AD oder einem der zugehörigen Dienste nicht offengelegt.When synchronizing passwords, the plain-text version of your password is not exposed to the password hash synchronization feature, to Azure AD, or any of the associated services.

Die Authentifizierung von Benutzern erfolgt im Abgleich mit Azure AD und nicht mit der organisationseigenen Active Directory-Instanz.User authentication takes place against Azure AD rather than against the organization's own Active Directory instance. Die in Azure AD gespeicherten SHA256-Kennwortdaten – ein Hash des ursprünglichen MD4-Hashs – sind sicherer als die in Active Directory gespeicherten Daten.The SHA256 password data stored in Azure AD--a hash of the original MD4 hash--is more secure than what is stored in Active Directory. Da dieser SHA256-Hash darüber hinaus nicht entschlüsselt werden kann, lässt er sich nicht in die Active Directory-Umgebung der Organisation zurückübertragen, um in einem Pass-the-Hash-Angriff als gültiges Benutzerkennwort vorgelegt zu werden.Further, because this SHA256 hash cannot be decrypted, it cannot be brought back to the organization's Active Directory environment and presented as a valid user password in a pass-the-hash attack.

Überlegungen zur KennwortrichtliniePassword policy considerations

Es gibt zwei Arten von Kennwortrichtlinien, die von der Aktivierung der Kennworthashsynchronisierung betroffen sind:There are two types of password policies that are affected by enabling password hash synchronization:

  • KennwortkomplexitätsrichtliniePassword complexity policy
  • KennwortablaufrichtliniePassword expiration policy

KennwortkomplexitätsrichtliniePassword complexity policy

Wenn die Kennworthashsynchronisierung aktiviert wird, setzen die Kennwortkomplexitätsrichtlinien in Ihrer lokalen Active Directory-Instanz die Komplexitätsrichtlinien in der Cloud für synchronisierte Benutzer außer Kraft.When password hash synchronization is enabled, the password complexity policies in your on-premises Active Directory instance override complexity policies in the cloud for synchronized users. Sie können alle gültigen Kennwörter Ihrer lokalen Active Directory-Instanz für den Zugriff auf Azure AD-Dienste verwenden.You can use all of the valid passwords from your on-premises Active Directory instance to access Azure AD services.

Hinweis

Kennwörter für Benutzer, die direkt in der Cloud erstellt werden, unterliegen auch weiterhin in der Cloud definierten Kennwortrichtlinien.Passwords for users that are created directly in the cloud are still subject to password policies as defined in the cloud.

KennwortablaufrichtliniePassword expiration policy

Wenn sich ein Benutzer im Bereich der Kennworthashsynchronisierung befindet, wird das Cloudkontokennwort standardmäßig auf Läuft nie ab festgelegt.If a user is in the scope of password hash synchronization, by default the cloud account password is set to Never Expire.

Sie können sich mit einem synchronisierten Kennwort, das in der lokalen Umgebung abgelaufen ist, weiterhin bei Ihren Clouddiensten anmelden.You can continue to sign in to your cloud services by using a synchronized password that is expired in your on-premises environment. Ihr Cloudkennwort wird aktualisiert, wenn Sie das Kennwort in der lokalen Umgebung das nächste Mal ändern.Your cloud password is updated the next time you change the password in the on-premises environment.

EnforceCloudPasswordPolicyForPasswordSyncedUsersEnforceCloudPasswordPolicyForPasswordSyncedUsers

Wenn synchronisierte Benutzer vorhanden sind, die nur mit integrierten Azure AD-Diensten interagieren und auch eine Kennwortablaufrichtlinie einhalten müssen, können Sie die Einhaltung Ihrer Azure AD-Kennwortablaufrichtlinie erzwingen, indem Sie das EnforceCloudPasswordPolicyForPasswordSyncedUsers-Feature aktivieren.If there are synchronized users that only interact with Azure AD integrated services and must also comply with a password expiration policy, you can force them to comply with your Azure AD password expiration policy by enabling the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature.

WennEnforceCloudPasswordPolicyForPasswordSyncedUsers deaktiviert ist (Standardeinstellung), legt Azure AD Connect das „PasswordPolicies“-Attribut von synchronisierten Benutzern auf „DisablePasswordExpiration“ fest.When EnforceCloudPasswordPolicyForPasswordSyncedUsers is disabled (which is the default setting), Azure AD Connect sets the PasswordPolicies attribute of synchronized users to "DisablePasswordExpiration". Dies erfolgt jedes Mal, wenn das Kennwort eines Benutzers synchronisiert wird, und weist Azure AD an, die Cloudkennwort-Ablaufrichtlinie für diesen Benutzer zu ignorieren.This is done every time a user's password is synchronized and instructs Azure AD to ignore the cloud password expiration policy for that user. Sie können den Wert des Attributs mithilfe des Azure AD PowerShell-Moduls mit dem folgenden Befehl überprüfen:You can check the value of the attribute using the Azure AD PowerShell module with the following command:

(Get-AzureADUser -objectID <User Object ID>).passwordpolicies

Führen Sie den folgenden Befehl mit dem MSOnline PowerShell-Modul aus, um das EnforceCloudPasswordPolicyForPasswordSyncedUsers-Feature wie nachstehend gezeigt zu aktivieren.To enable the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature, run the following command using the MSOnline PowerShell module as shown below. Geben Sie „Yes“ für den Parameter „Enable“ ein, wie unten dargestellt:You would have to type yes for the Enable parameter as shown below :

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers
cmdlet Set-MsolDirSyncFeature at command pipeline position 1
Supply values for the following parameters:
Enable: yes
Confirm
Continue with this operation?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

Nach der Aktivierung des Features wechselt Azure AD nicht zu jedem synchronisierten Benutzer, um den DisablePasswordExpiration-Wert aus dem „PasswordPolicies“-Attribut zu entfernen.Once enabled, Azure AD does not go to each synchronized user to remove the DisablePasswordExpiration value from the PasswordPolicies attribute. Stattdessen wird der Wert während der nächsten Kennwortsynchronisierung für jeden Benutzer auf None festgelegt, wenn das Kennwort beim nächsten Mal in der lokalen AD-Instanz geändert wird.Instead, the value is set to None during the next password sync for each user when they next change their password in on-premises AD.

Es wird empfohlen, „EnforceCloudPasswordPolicyForPasswordSyncedUsers“ vor dem Aktivieren der Kennworthashsynchronisierung zu aktivieren, damit bei der Erstsynchronisierung von Kennworthashes dem „PasswordPolicies“-Attribut für die Benutzer nicht der DisablePasswordExpiration-Wert hinzugefügt wird.It is recommended to enable EnforceCloudPasswordPolicyForPasswordSyncedUsers, prior to enabling password hash sync, so that the initial sync of password hashes does not add the DisablePasswordExpiration value to the PasswordPolicies attribute for the users.

Die Azure AD-Standardkennwortrichtlinie erfordert, dass Benutzer ihre Kennwörter alle 90 Tage ändern.The default Azure AD password policy requires users to change their passwords every 90 days. Wenn Ihre Richtlinie in AD auch 90 Tage vorgibt, sollten die beiden Richtlinien übereinstimmen.If your policy in AD is also 90 days, the two policies should match. Wenn die AD-Richtlinie jedoch nicht 90 Tage vorgibt, können Sie die Azure AD-Kennwortrichtlinie mit dem PowerShell-Befehl „Set-MsolPasswordPolicy“ entsprechend aktualisieren.However, if the AD policy is not 90 days, you can update the Azure AD password policy to match by using the Set-MsolPasswordPolicy PowerShell command.

Azure AD unterstützt eine separate Kennwortablaufrichtlinie pro registrierter Domäne.Azure AD supports a separate password expiration policy per registered domain.

Nachteil: Wenn synchronisierte Konten vorhanden sind, die in Azure AD nicht ablaufende Kennwörter erfordern, müssen Sie dem „PasswordPolicies“-Attribut des Benutzerobjekts in Azure AD den DisablePasswordExpiration-Wert explizit hinzufügen.Caveat: If there are synchronized accounts that need to have non-expiring passwords in Azure AD, you must explicitly add the DisablePasswordExpiration value to the PasswordPolicies attribute of the user object in Azure AD. Führen Sie dazu den folgenden Befehl aus.You can do this by running the following command.

Set-AzureADUser -ObjectID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Hinweis

Der PowerShell-Befehl „Set-MsolPasswordPolicy“ funktioniert nicht in Verbunddomänen.The Set-MsolPasswordPolicy PowerShell command will not work on federated domains.

Synchronisieren von temporären Kennwörtern und Erzwingen der Kennwortänderung bei der nächsten AnmeldungSynchronizing temporary passwords and "Force Password Change on Next Logon"

Normalerweise wird ein Benutzer gezwungen, sein Kennwort bei der ersten Anmeldung zu ändern, insbesondere nachdem das Administratorkennwort zurückgesetzt wurde.It is typical to force a user to change their password during their first logon, especially after an admin password reset occurs. Dies wird häufig als Festlegen eines „temporären“ Kennworts bezeichnet und durch Aktivieren des Flags „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ für ein Benutzerobjekt in Active Directory (AD) vollzogen.It is commonly known as setting a "temporary" password and is completed by checking the "User must change password at next logon" flag on a user object in Active Directory (AD).

Mit der Funktion für das temporäre Kennwort können Sie sicherstellen, dass die Übertragung des Besitzes der Anmeldeinformationen bei der ersten Verwendung abgeschlossen wird, um die Zeitspanne zu minimieren, in der diese Anmeldeinformationen mehr als einer Person bekannt sind.The temporary password functionality helps to ensure that the transfer of ownership of the credential is completed on first use, to minimize the duration of time in which more than one individual has knowledge of that credential.

Wenn Sie in Azure AD temporäre Kennwörter für synchronisierte Benutzer unterstützen möchten, können Sie das Feature ForcePasswordChangeOnLogOn aktivieren, indem Sie auf Ihrem Azure AD Connect-Server den folgenden Befehl ausführen:To support temporary passwords in Azure AD for synchronized users, you can enable the ForcePasswordChangeOnLogOn feature, by running the following command on your Azure AD Connect server:

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

Hinweis

Wenn ein Benutzer gezwungen wird, sein Kennwort bei der nächsten Anmeldung zu ändern, muss gleichzeitig eine Kennwortänderung vorgenommen werden.Forcing a user to change their password on next logon requires a password change at the same time. Azure AD Connect wählt das Flag zum Erzwingen der Kennwortänderung nicht selbst aus. Es ist eine Ergänzung zur erkannten Kennwortänderung, die bei der Kennworthashsynchronisierung erfolgt.Azure AD Connect will not pick up the force password change flag by itself; it is supplemental to the detected password change that occurs during password hash sync.

Achtung

Sie sollten dieses Feature nur verwenden, wenn SSPR und Kennwortrückschreiben für den Mandanten aktiviert sind.You should only use this feature when SSPR and Password Writeback are enabled on the tenant. Auf diese Weise wird ein Benutzer, der sein Kennwort über SSPR ändert, mit Active Directory synchronisiert.This is so that if a user changes their password via SSPR, it will be synchronized to Active Directory.

KontoablaufAccount expiration

Wenn Ihre Organisation im Rahmen der Verwaltung von Benutzerkonten das accountExpires-Attribut verwendet, wird dieses Attribut nicht mit Azure AD synchronisiert.If your organization uses the accountExpires attribute as part of user account management, this attribute is not synchronized to Azure AD. Deshalb bleibt ein abgelaufenes Active Directory-Konto in einer für die Kennworthashsynchronisierung konfigurierten Umgebung in Azure AD weiter aktiv.As a result, an expired Active Directory account in an environment configured for password hash synchronization will still be active in Azure AD. Wenn das Konto abgelaufen ist, wird eine Workflowaktion empfohlen, die ein PowerShell-Skript zum Deaktivieren des Azure AD-Kontos des Benutzers auslöst (verwenden Sie das Cmdlet Set-AzureADUser).We recommend that if the account is expired, a workflow action should trigger a PowerShell script that disables the user's Azure AD account (use the Set-AzureADUser cmdlet). Umgekehrt sollte die Azure AD-Instanz aktiviert sein, wenn das Konto aktiviert ist.Conversely, when the account is turned on, the Azure AD instance should be turned on.

Überschreiben synchronisierter KennwörterOverwrite synchronized passwords

Ein Administrator kann Ihr Kennwort mithilfe von Windows PowerShell manuell zurücksetzen.An administrator can manually reset your password by using Windows PowerShell.

In diesem Fall überschreibt das neue Kennwort Ihr synchronisiertes Kennwort, und alle in der Cloud definierten Kennwortrichtlinien gelten für das neue Kennwort.In this case, the new password overrides your synchronized password, and all password policies defined in the cloud are applied to the new password.

Wenn Sie das lokale Kennwort erneut ändern, wird das neue Kennwort mit der Cloud synchronisiert, und das manuell aktualisierte Kennwort wird überschrieben.If you change your on-premises password again, the new password is synchronized to the cloud, and it overrides the manually updated password.

Die Synchronisierung eines Kennworts hat keinen Einfluss auf den angemeldeten Azure-Benutzer.The synchronization of a password has no impact on the Azure user who is signed in. Wenn eine synchronisierte Kennwortänderung durchgeführt wird, während Sie bei einem Clouddienst angemeldet sind, wirkt sich dies nicht direkt auf Ihre aktuelle Clouddienstsitzung aus.Your current cloud service session is not immediately affected by a synchronized password change that occurs while you're signed in to a cloud service. Durch die Einstellung „Angemeldet bleiben“ wird die Dauer dieser Differenz verlängert.KMSI extends the duration of this difference. Wenn für den Clouddienst eine erneute Authentifizierung erforderlich ist, müssen Sie Ihr neues Kennwort angeben.When the cloud service requires you to authenticate again, you need to provide your new password.

Zusätzliche VorteileAdditional advantages

  • Im Allgemeinen ist die Kennworthashsynchronisierung einfacher zu implementieren als ein Verbunddienst.Generally, password hash synchronization is simpler to implement than a federation service. Sie erfordert keine zusätzliche Server und beseitigt die Abhängigkeit von einem hoch verfügbaren Verbunddienst zum Authentifizieren von Benutzern.It doesn't require any additional servers, and eliminates dependence on a highly available federation service to authenticate users.
  • Die Kennworthashsynchronisierung kann auch zusätzlich zum Verbund aktiviert werden.Password hash synchronization can also be enabled in addition to federation. Sie kann als Fallback dienen, wenn der Verbunddienst ausfällt.It may be used as a fallback if your federation service experiences an outage.

Der Prozess der Kennworthashsynchronisierung für Azure AD Domain ServicesPassword hash sync process for Azure AD Domain Services

Wenn Sie Azure AD Domain Services verwenden, um die Legacyauthentifizierung für Anwendungen und Dienste bereitzustellen, die Kerberos, LDAP oder NTLM verwenden müssen, umfasst der Kennworthash-Synchronisierungsfluss einige zusätzliche Prozesse.If you use Azure AD Domain Services to provide legacy authentication for applications and services that need to use Kerberos, LDAP, or NTLM, some additional processes are part of the password hash synchronization flow. Azure AD Connect verwendet den folgenden zusätzlichen Prozess, um Kennworthashes mit Azure AD zur Verwendung in Azure AD Domain Services zu synchronisieren:Azure AD Connect uses the additional following process to synchronize password hashes to Azure AD for use in Azure AD Domain Services:

Wichtig

Azure AD Connect sollte nur für die Synchronisierung mit lokalen AD DS-Umgebungen installiert und konfiguriert werden.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. Die Installation von Azure AD Connect in einer verwalteten Azure AD DS-Domäne zur erneuten Synchronisierung von Objekten mit Azure AD wird nicht unterstützt.It's not supported to install Azure AD Connect in an Azure AD DS managed domain to synchronize objects back to Azure AD.

Azure AD Connect synchronisiert Legacykennworthashes nur, wenn Sie Azure AD DS für Ihren Azure AD-Mandanten aktivieren.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. Die folgenden Schritte werden nicht ausgeführt, wenn Sie Azure AD Connect nur zum Synchronisieren einer lokalen AD DS-Umgebung mit Azure AD verwenden.The following steps aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Wenn Ihre Legacyanwendungen keine NTLM-Authentifizierung oder einfachen LDAP-Bindungen verwenden, empfiehlt es sich, die NTLM-Kennworthashsynchronisierung für Azure AD DS zu deaktivieren.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. Weitere Informationen finden Sie unter Deaktivieren von schwachen Verschlüsselungssammlungen und der Synchronisierung von NTLM-Anmeldeinformationshashes.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

  1. Azure AD Connect ruft den öffentlichen Schlüssel für die Azure AD Domain Services-Instanz des Mandanten ab.Azure AD Connect retrieves the public key for the tenant's instance of Azure AD Domain Services.
  2. Wenn ein Benutzer sein Kennwort ändert, speichert der lokale Domänencontroller das Ergebnis der Kennwortänderung (Hashes) in zwei Attributen:When a user changes their password, the on-premises domain controller stores the result of the password change (hashes) in two attributes:
    • unicodePwd für den NTLM-Kennworthash.unicodePwd for the NTLM password hash.
    • supplementalCredentials für den Kerberos-Kennworthash.supplementalCredentials for the Kerberos password hash.
  3. Azure AD Connect erkennt Kennwortänderungen über den Verzeichnisreplikationskanal (Attributänderungen, die auf anderen Domänencontrollern repliziert werden müssen).Azure AD Connect detects password changes through the directory replication channel (attribute changes needing to replicate to other domain controllers).
  4. Für jeden Benutzer, dessen Kennwort geändert wurde, führt Azure AD Connect die folgenden Schritte aus:For each user whose password has changed, Azure AD Connect performs the following steps:
    • Generiert einen zufälligen symmetrischen AES-256-Bit-Schlüssel.Generates a random AES 256-bit symmetric key.
    • Generiert einen zufälligen Initialisierungsvektor, der für die erste Verschlüsselungsrunde erforderlich ist.Generates a random initialization vector needed for the first round of encryption.
    • Extrahiert Kerberos-Kennworthashes aus den supplementalCredentials-Attributen.Extracts Kerberos password hashes from the supplementalCredentials attributes.
    • Überprüft die Einstellung SyncNtlmPasswords der Azure AD Domain Services-Sicherheitskonfiguration.Checks the Azure AD Domain Services security configuration SyncNtlmPasswords setting.
      • Wenn diese Einstellung deaktiviert ist, wird ein zufälliger NTLM-Hash mit hoher Entropie generiert (der sich vom Kennwort des Benutzers unterscheidet).If this setting is disabled, generates a random, high-entropy NTLM hash (different from the user's password). Dieser Hash wird dann mit den extrahierten Kerberos-Kennworthashes aus dem supplementalCrendetials-Attribut in einer Datenstruktur kombiniert.This hash is then combined with the exacted Kerberos password hashes from the supplementalCrendetials attribute into one data structure.
      • Wenn diese Einstellung aktiviert ist, wird der Wert des unicodePwd-Attributs mit den extrahierten Kerberos-Kennworthashes aus dem supplementalCredentials-Attribut in einer Datenstruktur kombiniert.If enabled, combines the value of the unicodePwd attribute with the extracted Kerberos password hashes from the supplementalCredentials attribute into one data structure.
    • Verschlüsselt die einzelne Datenstruktur mit dem symmetrischen AES-Schlüssel.Encrypts the single data structure using the AES symmetric key.
    • Verschlüsselt den symmetrischen AES-Schlüssel mit dem öffentlichen Azure AD Domain Services-Schlüssel des Mandanten.Encrypts the AES symmetric key using the tenant's Azure AD Domain Services public key.
  5. Azure AD Connect überträgt den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur mit den Kennworthashes und den Initialisierungsvektor an Azure AD.Azure AD Connect transmits the encrypted AES symmetric key, the encrypted data structure containing the password hashes, and the initialization vector to Azure AD.
  6. Azure AD speichert den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur und den Initialisierungsvektor für den Benutzer.Azure AD stores the encrypted AES symmetric key, the encrypted data structure, and the initialization vector for the user.
  7. Azure AD überträgt (per Push) den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur und den Initialisierungsvektor mithilfe eines internen Synchronisierungsmechanismus über eine verschlüsselte HTTP-Sitzung an Azure AD Domain Services.Azure AD pushes the encrypted AES symmetric key, the encrypted data structure, and the initialization vector using an internal synchronization mechanism over an encrypted HTTP session to Azure AD Domain Services.
  8. Azure AD Domain Services ruft den privaten Schlüssel für die Instanz des Mandanten von Azure Key Vault ab.Azure AD Domain Services retrieves the private key for the tenant's instance from Azure Key vault.
  9. Für jeden verschlüsselten Datensatz (der die Kennwortänderung eines einzelnen Benutzers darstellt) führt Azure AD Domain Services dann die folgenden Schritte aus:For each encrypted set of data (representing a single user's password change), Azure AD Domain Services then performs the following steps:
    • Verwendet den privaten Schlüssel zum Entschlüsseln des symmetrischen AES-Schlüssels.Uses its private key to decrypt the AES symmetric key.
    • Verwendet den symmetrischen AES-Schlüssel mit dem Initialisierungsvektor zum Entschlüsseln der verschlüsselten Datenstruktur, die die Kennworthashes enthält.Uses the AES symmetric key with the initialization vector to decrypt the encrypted data structure that contains the password hashes.
    • Schreibt die empfangenen Kerberos-Kennworthashes auf den Azure AD Domain Services-Domänencontroller.Writes the Kerberos password hashes it receives to the Azure AD Domain Services domain controller. Die Hashes werden im supplementalCredentials-Attribut des Benutzerobjekts gespeichert, das in den öffentlichen Schlüssel des Azure AD Domain Services-Domänencontrollers verschlüsselt wird.The hashes are saved into the user object's supplementalCredentials attribute that is encrypted to the Azure AD Domain Services domain controller's public key.
    • Azure AD Domain Services schreibt den empfangenen NTLM-Kennworthash auf den Azure AD Domain Services-Domänencontroller.Azure AD Domain Services writes the NTLM password hash it received to the Azure AD Domain Services domain controller. Der Hash wird im unicodePwd-Attribut des Benutzerobjekts gespeichert, das in den öffentlichen Schlüssel des Azure AD Domain Services-Domänencontrollers verschlüsselt wird.The hash is saved into the user object's unicodePwd attribute that is encrypted to the Azure AD Domain Services domain controller's public key.

Aktivieren der KennworthashsynchronisierungEnable password hash synchronization

Wichtig

Wenn Sie von AD FS (oder anderen Verbundtechnologien) zur Kennworthashsynchronisierung migrieren, wird dringend empfohlen, dem ausführlichen Leitfaden zur Bereitstellung zu folgen.If you are migrating from AD FS (or other federation technologies) to Password Hash Synchronization, we highly recommend that you follow our detailed deployment guide published here.

Wenn Sie Azure AD Connect mit den Expresseinstellungen installieren, wird die Kennworthashsynchronisierung automatisch aktiviert.When you install Azure AD Connect by using the Express Settings option, password hash synchronization is automatically enabled. Weitere Informationen finden Sie unter Erste Schritte mit Azure AD Connect mit Expresseinstellungen.For more information, see Getting started with Azure AD Connect using express settings.

Wenn Sie beim Installieren von Azure AD Connect benutzerdefinierte Einstellungen verwenden, steht die Kennworthashsynchronisierung auf der Seite „Benutzeranmeldung“ zur Verfügung.If you use custom settings when you install Azure AD Connect, password hash synchronization is available on the user sign-in page. Weitere Informationen finden Sie unter Benutzerdefinierte Installation von Azure AD Connect.For more information, see Custom installation of Azure AD Connect.

Aktivieren der Kennworthashsynchronisierung

Kennworthashsynchronisierung und FIPSPassword hash synchronization and FIPS

Wenn Ihr Server wegen FIPS (Federal Information Processing Standard) gesperrt wurde, ist MD5 deaktiviert.If your server has been locked down according to Federal Information Processing Standard (FIPS), then MD5 is disabled.

Führen Sie zum Aktivieren von MD5 für die Kennworthashsynchronisierung die folgenden Schritte aus:To enable MD5 for password hash synchronization, perform the following steps:

  1. Wechseln Sie zu „%programfiles%\Azure AD Sync\Bin“.Go to %programfiles%\Azure AD Sync\Bin.
  2. Öffnen Sie „miiserver.exe.config“.Open miiserver.exe.config.
  3. Wechseln Sie zum Knoten „configuration/runtime“ (am Ende der Datei).Go to the configuration/runtime node at the end of the file.
  4. Fügen Sie den folgenden Knoten hinzu: <enforceFIPSPolicy enabled="false"/>Add the following node: <enforceFIPSPolicy enabled="false"/>
  5. Speichern Sie die Änderungen.Save your changes.

Der folgende Codeausschnitt zeigt, wie dies aussehen sollte:For reference, this snippet is what it should look like:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Informationen zu Sicherheitsfragen und FIPS finden Sie im Blogbeitrag AAD Password Sync, Encryption and FIPS compliance (AAD-Kennwortsynchronisierung, Verschlüsselung und FIPS-Konformität).For information about security and FIPS, see Azure AD password hash sync, encryption, and FIPS compliance.

Problembehandlung bei der KennworthashsynchronisierungTroubleshoot password hash synchronization

Wenn bei der Kennworthashsynchronisierung Probleme auftreten, finden Sie weitere Informationen unter Problembehandlung bei der Kennworthashsynchronisierung.If you have problems with password hash synchronization, see Troubleshoot password hash synchronization.

Nächste SchritteNext steps