Tutorial: Habilitación de la sincronización de contraseñas en Azure Active Directory Domain Services para entornos híbridosTutorial: Enable password synchronization in Azure Active Directory Domain Services for hybrid environments

En entornos híbridos, se puede configurar un inquilino de Azure Active Directory (Azure AD) para que se sincronice con un entorno de Active Directory Domain Services (AD DS) en el entorno local mediante Azure AD Connect.For hybrid environments, an Azure Active Directory (Azure AD) tenant can be configured to synchronize with an on-premises Active Directory Domain Services (AD DS) environment using Azure AD Connect. De forma predeterminada, Azure AD Connect no sincroniza los valores hash de contraseñas de NT LAN Manager (NTLM) y Kerberos heredados que son necesarios para Azure Active Directory Domain Services (Azure AD DS).By default, Azure AD Connect doesn't synchronize legacy NT LAN Manager (NTLM) and Kerberos password hashes that are needed for Azure Active Directory Domain Services (Azure AD DS).

Para usar Azure AD DS con cuentas sincronizadas desde un entorno de AD DS local, debe configurar Azure AD Connect para sincronizar los valores hash de contraseñas necesarios para la autenticación NTLM y Kerberos.To use Azure AD DS with accounts synchronized from an on-premises AD DS environment, you need to configure Azure AD Connect to synchronize those password hashes required for NTLM and Kerberos authentication. Una vez configurado Azure AD Connect, un evento de cambio de contraseña o de creación de una cuenta en un entorno local también sincroniza los valores hash de contraseñas heredados con Azure AD.After Azure AD Connect is configured, an on-premises account creation or password change event also then synchronizes the legacy password hashes to Azure AD.

Si usa cuentas solo en la nube sin un entorno de AD DS local, o si usa un bosque de recursos, no es necesario realizar estos pasos.You don't need to perform these steps if you use cloud-only accounts with no on-premises AD DS environment, or if you use a resource forest. En el caso de dominios administrados que usan un bosque de recursos, los hashes de contraseña locales nunca se sincronizan.For managed domains that use a resource forest, on-premises password hashes are never synchronized. Para la autenticación de las cuentas locales, se usan las confianzas de bosque devueltas a los propios controladores de dominio de AD DS.Authentication for on-premises accounts use the forest trust(s) back to your own AD DS domain controllers.

En este tutorial, aprenderá:In this tutorial, you learn:

  • Por qué se necesitan los valores hash de contraseñas de Kerberos y NTLM heredadosWhy legacy NTLM and Kerberos password hashes are needed
  • Procedimiento para configurar la sincronización de hash de contraseñas heredadas para Azure AD ConnectHow to configure legacy password hash synchronization for Azure AD Connect

Si no tiene una suscripción a Azure, cree una cuenta antes de empezar.If you don't have an Azure subscription, create an account before you begin.

Requisitos previosPrerequisites

Para completar este tutorial, necesitará los siguientes recursos:To complete this tutorial, you need the following resources:

Sincronización de los valores hash de contraseñas con Azure AD ConnectPassword hash synchronization using Azure AD Connect

Azure AD Connect se utiliza para sincronizar objetos como cuentas de usuario y grupos desde un entorno de AD DS local en un inquilino de Azure AD.Azure AD Connect is used to synchronize objects like user accounts and groups from an on-premises AD DS environment into an Azure AD tenant. Como parte del proceso, la sincronización de hash de contraseñas permite a las cuentas usar la misma contraseña en el entorno de AD DS local y Azure AD.As part of the process, password hash synchronization enables accounts to use the same password in the on-prem AD DS environment and Azure AD.

Para autenticar a los usuarios en el dominio administrado, Azure AD DS necesita los valores hash de contraseñas en un formato adecuado para la autenticación de NTLM y Kerberos.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NTLM and Kerberos authentication. A menos que habilite Azure AD DS para el inquilino, Azure AD no almacena los valores hash de contraseñas en el formato necesario para la autenticación NTLM o Kerberos.Azure AD doesn't store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Por motivos de seguridad, Azure AD tampoco almacena las credenciales de contraseñas en forma de texto sin cifrar.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Por consiguiente, Azure AD no tiene forma de generar automáticamente estos hash de las contraseñas de NTLM o Kerberos basándose en las credenciales existentes de los usuarios.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Azure AD Connect se puede configurar para sincronizar los valores hash de contraseñas NTLM o Kerberos necesarios para Azure AD DS.Azure AD Connect can be configured to synchronize the required NTLM or Kerberos password hashes for Azure AD DS. Asegúrese de que ha completado los pasos para habilitar Azure AD Connect para la sincronización de valores hash de contraseñas.Make sure that you have completed the steps to enable Azure AD Connect for password hash synchronization. Si tiene una instancia existente de Azure AD Connect, descargue y actualice a la versión más reciente para asegurarse de que puede sincronizar los valores hash de contraseñas heredados para NTLM y Kerberos.If you had an existing instance of Azure AD Connect, download and update to the latest version to make sure you can synchronize the legacy password hashes for NTLM and Kerberos. Esta funcionalidad no está disponible en las primeras versiones de Azure AD Connect ni con la herramienta DirSync heredada.This functionality isn't available in early releases of Azure AD Connect or with the legacy DirSync tool. Se requiere Azure AD Connect versión 1.1.614.0 o posterior.Azure AD Connect version 1.1.614.0 or later is required.

Importante

Azure AD Connect solo debe instalarse y configurarse para la sincronización con entornos de AD DS locales.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. No se admite la instalación de Azure AD Connect en un dominio administrado de Azure AD DS para volver a sincronizar los objetos con Azure AD.It's not supported to install Azure AD Connect in an Azure AD DS managed domain to synchronize objects back to Azure AD.

Habilitación de la sincronización de valores hash de contraseñasEnable synchronization of password hashes

Con Azure AD Connect instalado y configurado para sincronizarse con Azure AD, ahora configure la sincronización de hash de contraseñas heredada para NTLM y Kerberos.With Azure AD Connect installed and configured to synchronize with Azure AD, now configure the legacy password hash sync for NTLM and Kerberos. Se usa un script de PowerShell para configurar las opciones necesarias y, a continuación, iniciar una sincronización de contraseñas completa en Azure AD.A PowerShell script is used to configure the required settings and then start a full password synchronization to Azure AD. Cuando se haya completado el proceso de sincronización de valores hash de contraseñas de Azure AD Connect, los usuarios podrán iniciar sesión en las aplicaciones mediante Azure AD DS que usa valores hash de contraseñas Kerberos o NTLM heredados.When that Azure AD Connect password hash synchronization process is complete, users can sign in to applications through Azure AD DS that use legacy NTLM or Kerberos password hashes.

  1. En el equipo en el que se ha instalado Azure AD Connect, en el menú Inicio, abra Azure AD Connect > Servicio de sincronización.On the computer with Azure AD Connect installed, from the Start menu, open the Azure AD Connect > Synchronization Service.

  2. Seleccione la pestaña Conectores. Se enumera la información de conexión utilizada para establecer la sincronización entre el entorno de AD DS local y Azure AD.Select the Connectors tab. The connection information used to establish the synchronization between the on-premises AD DS environment and Azure AD are listed.

    El tipo indica o Windows Azure Active Directory (Microsoft) para el conector de Azure AD o Active Directory Domain Services para el conector de AD DS en el entorno local.The Type indicates either Windows Azure Active Directory (Microsoft) for the Azure AD connector or Active Directory Domain Services for the on-premises AD DS connector. Anote los nombres de los conectores que se van a usar en el script de PowerShell en el paso siguiente.Make a note of the connector names to use in the PowerShell script in the next step.

    Enumeración de los nombres de los conectores en Sync Service Manager

    En esta captura de pantalla de ejemplo, se utilizan los siguientes conectores:In this example screenshot, the following connectors are used:

    • El conector de Azure AD se denomina contoso.onmicrosoft.com - AADThe Azure AD connector is named contoso.onmicrosoft.com - AAD
    • El conector de AD DS local se denomina onprem.contoso.comThe on-premises AD DS connector is named onprem.contoso.com
  3. Copie y pegue el siguiente script de PowerShell en el equipo con Azure AD Connect instalado.Copy and paste the following PowerShell script to the computer with Azure AD Connect installed. El script desencadena una sincronización de contraseñas completa que incluye los valores hash de contraseñas heredados.The script triggers a full password sync that includes legacy password hashes. Actualice las variables $azureadConnector y $adConnector con los nombres de conector del paso anterior.Update the $azureadConnector and $adConnector variables with the connector names from the previous step.

    Ejecute este script en cada bosque de AD para sincronizar los valores hash de contraseñas Kerberos y NTLM de la cuenta en el entorno local con Azure AD.Run this script on each AD forest to synchronize on-premises account NTLM and Kerberos password hashes to Azure AD.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    En función del tamaño de su directorio en cuanto al número de cuentas y grupos, la sincronización de los valores hash de contraseñas heredados en Azure AD puede tardar algún tiempo.Depending on the size of your directory in terms of number of accounts and groups, synchronization of the legacy password hashes to Azure AD may take some time. Las contraseñas se sincronizan después con el dominio administrado una vez que se han sincronizado con Azure AD.The passwords are then synchronized to the managed domain after they've synchronized to Azure AD.

Pasos siguientesNext steps

En este tutorial, ha aprendido:In this tutorial, you learned:

  • Por qué se necesitan los valores hash de contraseñas de Kerberos y NTLM heredadosWhy legacy NTLM and Kerberos password hashes are needed
  • Procedimiento para configurar la sincronización de hash de contraseñas heredadas para Azure AD ConnectHow to configure legacy password hash synchronization for Azure AD Connect