A jelszókivonat-szinkronizálás implementálása Azure AD Connect-szinkronizálássalImplement password hash synchronization with Azure AD Connect sync

Ez a cikk azokat az információkat tartalmazza, amelyekkel szinkronizálhatja a felhasználói jelszavakat egy helyszíni Active Directory-példányról egy felhőalapú Azure Active Directory-(Azure AD-) példányra.This article provides information that you need to synchronize your user passwords from an on-premises Active Directory instance to a cloud-based Azure Active Directory (Azure AD) instance.

A jelszókivonat-szinkronizálás működéseHow password hash synchronization works

A Active Directory tartományi szolgáltatás a jelszavakat a tényleges felhasználói jelszó kivonatoló értékének ábrázolási formájában tárolja.The Active Directory domain service stores passwords in the form of a hash value representation, of the actual user password. A kivonatoló érték egy egyirányú matematikai függvény (a kivonatoló algoritmus) eredménye.A hash value is a result of a one-way mathematical function (the hashing algorithm). Az egyirányú függvény eredménye semmilyen módszerrel nem fejthető vissza a jelszó egyszerű szöveges verziójára.There is no method to revert the result of a one-way function to the plain text version of a password.

A jelszó szinkronizálásához Azure AD Connect Sync kivonja a jelszó kivonatát a helyszíni Active Directory példányból.To synchronize your password, Azure AD Connect sync extracts your password hash from the on-premises Active Directory instance. A rendszer további biztonsági feldolgozást alkalmaz a jelszó-kivonatra, mielőtt szinkronizálja azt a Azure Active Directory hitelesítési szolgáltatással.Extra security processing is applied to the password hash before it is synchronized to the Azure Active Directory authentication service. A jelszavak felhasználónkénti és időrendi sorrendben lesznek szinkronizálva.Passwords are synchronized on a per-user basis and in chronological order.

A jelszó-kivonat szinkronizációs folyamatának tényleges adatfolyama hasonló a felhasználói adatok szinkronizálásához.The actual data flow of the password hash synchronization process is similar to the synchronization of user data. A jelszavak azonban gyakrabban vannak szinkronizálva, mint a szabványos címtár-szinkronizálási ablak más attribútumok esetében.However, passwords are synchronized more frequently than the standard directory synchronization window for other attributes. A jelszó-kivonat szinkronizációs folyamata 2 percenként fut.The password hash synchronization process runs every 2 minutes. A folyamat gyakorisága nem módosítható.You cannot modify the frequency of this process. Amikor szinkronizál egy jelszót, felülírja a meglévő Felhőbeli jelszót.When you synchronize a password, it overwrites the existing cloud password.

Amikor első alkalommal engedélyezi a jelszó-kivonatolási szinkronizálási funkciót, az végrehajtja az összes hatókörrel rendelkező felhasználó jelszavának kezdeti szinkronizálását.The first time you enable the password hash synchronization feature, it performs an initial synchronization of the passwords of all in-scope users. Explicit módon nem határozhatja meg a szinkronizálni kívánt felhasználói jelszavak részhalmazát.You cannot explicitly define a subset of user passwords that you want to synchronize. Ha azonban több összekötő is van, akkor letilthatja a jelszó-kivonatok szinkronizálását egyes összekötők esetében, de a set-ADSyncAADPasswordSyncConfiguration parancsmag használatával nem.However, if there are multiple connectors, it is possible to disable password hash sync for some connectors but not others using the Set-ADSyncAADPasswordSyncConfiguration cmdlet.

Amikor módosít egy helyszíni jelszót, a frissített jelszó szinkronizálva lesz, a leggyakrabban percek alatt.When you change an on-premises password, the updated password is synchronized, most often in a matter of minutes. A jelszó-kivonat szinkronizációs funkciója automatikusan újrapróbálkozik a sikertelen szinkronizálási kísérletekkel.The password hash synchronization feature automatically retries failed synchronization attempts. Ha egy jelszó szinkronizálására tett kísérlet során hiba lép fel, a rendszer hibát naplóz az eseménynaplóban.If an error occurs during an attempt to synchronize a password, an error is logged in your event viewer.

A jelszó szinkronizálása nincs hatással a jelenleg bejelentkezett felhasználóra.The synchronization of a password has no impact on the user who is currently signed in. A jelenlegi Cloud Service-munkamenetet nem érinti azonnal a szinkronizált jelszó módosítása, amely a bejelentkezéskor egy felhőalapú szolgáltatásba kerül.Your current cloud service session is not immediately affected by a synchronized password change that occurs, while you are signed in, to a cloud service. Ha azonban a Cloud Service-nek újra kell hitelesítenie magát, meg kell adnia az új jelszót.However, when the cloud service requires you to authenticate again, you need to provide your new password.

A felhasználóknak Másodszor kell megadniuk a vállalati hitelesítő adataikat az Azure AD-ben való hitelesítéshez, függetlenül attól, hogy be vannak-e jelentkezve a vállalati hálózatba.A user must enter their corporate credentials a second time to authenticate to Azure AD, regardless of whether they're signed in to their corporate network. Ez a minta a lehető legkisebbre csökkenthető, ha azonban a felhasználó a bejelentkezéskor bejelöli a Keep Me bejelentkezve (KMSI) jelölőnégyzetet.This pattern can be minimized, however, if the user selects the Keep me signed in (KMSI) check box at sign-in. Ez a beállítás olyan munkamenet-cookie-t állít be, amely 180 napig megkerüli a hitelesítést.This selection sets a session cookie that bypasses authentication for 180 days. Az Azure AD rendszergazdája engedélyezheti vagy letilthatja a KMSI viselkedését.KMSI behavior can be enabled or disabled by the Azure AD administrator. Emellett a zökkenőmentes SSObekapcsolásával csökkentheti a jelszó kéréseit, amely automatikusan aláírja a felhasználókat a vállalati hálózathoz csatlakozó vállalati eszközökön.In addition, you can reduce password prompts by turning on Seamless SSO, which automatically signs users in when they are on their corporate devices connected to your corporate network.

Megjegyzés

A jelszó-szinkronizálás csak az Objektumtípus felhasználója számára támogatott Active Directoryban.Password sync is only supported for the object type user in Active Directory. Az iNetOrgPerson objektum típusa nem támogatott.It is not supported for the iNetOrgPerson object type.

A jelszó-kivonatoló szinkronizálás működésének részletes leírásaDetailed description of how password hash synchronization works

A következő szakasz részletesen ismerteti, hogyan működik a jelszó-kivonatok szinkronizálása Active Directory és az Azure AD között.The following section describes, in-depth, how password hash synchronization works between Active Directory and Azure AD.

Részletes jelszavas folyamat

  1. Az AD összekapcsolási kiszolgáló jelszavas kivonat-szinkronizálási ügynöke két percenként kér tárolt jelszó-kivonatokat (a unicodePwd attribútumot) egy TARTOMÁNYVEZÉRLŐről.Every two minutes, the password hash synchronization agent on the AD Connect server requests stored password hashes (the unicodePwd attribute) from a DC. Ez a kérelem a tartományvezérlők közötti adatszinkronizáláshoz használt szabványos MS-drsr blokkméretéhez replikációs protokollon keresztül történik.This request is via the standard MS-DRSR replication protocol used to synchronize data between DCs. A szolgáltatási fióknak replikálnia kell a címtár-módosításokat, és replikálnia kell a címtárat a jelszó-kivonatok beszerzéséhez szükséges összes AD-engedély (a telepítéskor alapértelmezés szerint megadva).The service account must have Replicate Directory Changes and Replicate Directory Changes All AD permissions (granted by default on installation) to obtain the password hashes.
  2. A küldés előtt a tartományvezérlő titkosítja a MD4-jelszó kivonatát egy olyan kulccsal, amely az RPC-munkamenet kulcsának MD5 kivonata és egy só.Before sending, the DC encrypts the MD4 password hash by using a key that is a MD5 hash of the RPC session key and a salt. Ezután elküldi az eredményt a jelszó-kivonatoló szinkronizációs ügynöknek az RPC protokollon keresztül.It then sends the result to the password hash synchronization agent over RPC. A tartományvezérlő a tartományvezérlő replikációs protokolljának használatával is átadja a sót a szinkronizációs ügynöknek, így az ügynök visszafejtheti a borítékot.The DC also passes the salt to the synchronization agent by using the DC replication protocol, so the agent will be able to decrypt the envelope.
  3. Miután a jelszó-kivonat szinkronizációs ügynöke titkosított borítékot tartalmaz, a MD5CryptoServiceProvider és a só használatával generált egy kulcsot, amely visszafejti a kapott adatokat az eredeti MD4 formátumával.After the password hash synchronization agent has the encrypted envelope, it uses MD5CryptoServiceProvider and the salt to generate a key to decrypt the received data back to its original MD4 format. A jelszó-kivonat szinkronizációs ügynöke soha nem fér hozzá a tiszta szöveges jelszóhoz.The password hash synchronization agent never has access to the clear text password. A jelszó-kivonat szinkronizációs ügynökének MD5-használata szigorúan a DC-vel való kompatibilitást biztosító replikációs protokollal történik, és csak a tartományvezérlő és a jelszó-kivonat szinkronizációs ügynöke közötti helyen használható.The password hash synchronization agent’s use of MD5 is strictly for replication protocol compatibility with the DC, and it is only used on premises between the DC and the password hash synchronization agent.
  4. A jelszó-kivonatoló szinkronizációs ügynök kibontja a 16 bájtos bináris jelszó kivonatát 64 bájtra, először konvertálja a kivonatot egy 32 bájtos hexadecimális karakterláncra, majd átalakítja a karakterláncot a binárisba UTF-16 kódolással.The password hash synchronization agent expands the 16-byte binary password hash to 64 bytes by first converting the hash to a 32-byte hexadecimal string, then converting this string back into binary with UTF-16 encoding.
  5. A jelszó-kivonatoló szinkronizálási ügynök egy 10 bájtos hosszúságú, a 64 bájtos bináris értékkel rendelkező felhasználónkénti sót hoz létre az eredeti kivonat további védelemmel való ellátása érdekében.The password hash synchronization agent adds a per user salt, consisting of a 10-byte length salt, to the 64-byte binary to further protect the original hash.
  6. A Password hash szinkronizációs ügynök ezután egyesíti a MD4-kivonatot és a felhasználónkénti sót, és beírja azt a PBKDF2 függvénybe.The password hash synchronization agent then combines the MD4 hash plus the per user salt, and inputs it into the PBKDF2 function. 1000 az HMAC-sha256 kulcsos kivonatoló algoritmust használó iterációk.1000 iterations of the HMAC-SHA256 keyed hashing algorithm are used.
  7. A jelszó-kivonat szinkronizációs ügynöke az eredményül kapott 32 bájtos kivonatot, a felhasználónkénti sót és a hozzá tartozó SHA256-iterációk számát (az Azure AD általi használatra) a karakterláncot a Azure AD Connectról az Azure AD-be a TLS protokollon keresztül továbbítja.The password hash synchronization agent takes the resulting 32-byte hash, concatenates both the per user salt and the number of SHA256 iterations to it (for use by Azure AD), then transmits the string from Azure AD Connect to Azure AD over TLS.
  8. Amikor egy felhasználó megpróbál bejelentkezni az Azure AD-be, és megadja a jelszavát, a jelszó ugyanazon MD4 + Salt + PBKDF2 + HMAC-SHA256 folyamaton keresztül fut.When a user attempts to sign in to Azure AD and enters their password, the password is run through the same MD4+salt+PBKDF2+HMAC-SHA256 process. Ha az eredményül kapott kivonat megegyezik az Azure AD-ben tárolt kivonattal, a felhasználó megadta a megfelelő jelszót, és hitelesítve van.If the resulting hash matches the hash stored in Azure AD, the user has entered the correct password and is authenticated.

Megjegyzés

Az eredeti MD4-kivonatot a rendszer nem továbbítja az Azure AD-nek.The original MD4 hash is not transmitted to Azure AD. Ehelyett a rendszer az eredeti MD4 kivonat SHA256 kivonatát továbbítja.Instead, the SHA256 hash of the original MD4 hash is transmitted. Ennek eredményeképpen, ha az Azure AD-ben tárolt kivonatot beszerezték, nem használható helyszíni pass-The-hash típusú támadásban.As a result, if the hash stored in Azure AD is obtained, it cannot be used in an on-premises pass-the-hash attack.

Biztonsági szempontokSecurity considerations

A jelszavak szinkronizálásakor a jelszó egyszerű szöveges verziója nem érhető el a jelszó-kivonat szinkronizálási szolgáltatásához, az Azure AD-hez vagy a társított szolgáltatásokhoz.When synchronizing passwords, the plain-text version of your password is not exposed to the password hash synchronization feature, to Azure AD, or any of the associated services.

A felhasználó hitelesítése a szervezet saját Active Directory példánya helyett az Azure AD-vel történik.User authentication takes place against Azure AD rather than against the organization's own Active Directory instance. A SHA256 az Azure AD-ben tárolt jelszavas adatokat – az eredeti MD4-kivonat kivonata – biztonságosabb, mint amit a Active Directory tárol.The SHA256 password data stored in Azure AD--a hash of the original MD4 hash--is more secure than what is stored in Active Directory. Továbbá, mivel ez a SHA256-kivonat nem fejthető vissza, nem állítható vissza a szervezet Active Directory környezetére, és érvényes felhasználói jelszóként jelenik meg egy pass-The-hash típusú támadásban.Further, because this SHA256 hash cannot be decrypted, it cannot be brought back to the organization's Active Directory environment and presented as a valid user password in a pass-the-hash attack.

Jelszóházirend-megfontolásokPassword policy considerations

A jelszó-kivonat szinkronizálásának engedélyezéséhez két típusú jelszóházirend vonatkozik:There are two types of password policies that are affected by enabling password hash synchronization:

  • Jelszó-összetettségi szabályzatPassword complexity policy
  • Jelszó elévülési szabályzataPassword expiration policy

Jelszó-összetettségi szabályzatPassword complexity policy

Ha engedélyezve van a jelszó-kivonatolási szinkronizálás, a helyszíni Active Directory-példány jelszavas bonyolultsági szabályzatai felülbírálják a Felhőbeli összetettségi szabályzatokat a szinkronizált felhasználók számára.When password hash synchronization is enabled, the password complexity policies in your on-premises Active Directory instance override complexity policies in the cloud for synchronized users. Az Azure AD-szolgáltatások eléréséhez használhatja a helyszíni Active Directory-példány összes érvényes jelszavát.You can use all of the valid passwords from your on-premises Active Directory instance to access Azure AD services.

Megjegyzés

A felhőben közvetlenül létrehozott felhasználók jelszavai a felhőben definiált jelszavas szabályzatoknak is érvényesek.Passwords for users that are created directly in the cloud are still subject to password policies as defined in the cloud.

Jelszó elévülési szabályzataPassword expiration policy

Ha a felhasználó a jelszó-kivonatolási szinkronizálás hatókörében van, alapértelmezés szerint a Cloud Account jelszó értéke soha nem jár le.If a user is in the scope of password hash synchronization, by default the cloud account password is set to Never Expire.

Továbbra is bejelentkezhet a Cloud servicesbe egy szinkronizált jelszó használatával, amely a helyszíni környezetben lejárt.You can continue to sign in to your cloud services by using a synchronized password that is expired in your on-premises environment. A felhő jelszava frissül, amikor legközelebb megváltoztatja a jelszót a helyszíni környezetben.Your cloud password is updated the next time you change the password in the on-premises environment.

EnforceCloudPasswordPolicyForPasswordSyncedUsersEnforceCloudPasswordPolicyForPasswordSyncedUsers

Ha olyan szinkronizált felhasználók vannak, akik csak az Azure AD integrált szolgáltatásaival működnek együtt, és meg kell felelniük a jelszó lejárati házirendjének, akkor a EnforceCloudPasswordPolicyForPasswordSyncedUsers funkció engedélyezésével kényszerítheti az Azure ad-jelszó lejárati szabályzatának betartását.If there are synchronized users that only interact with Azure AD integrated services and must also comply with a password expiration policy, you can force them to comply with your Azure AD password expiration policy by enabling the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature.

Ha a EnforceCloudPasswordPolicyForPasswordSyncedUsers le van tiltva (ez az alapértelmezett beállítás), Azure ad Connect a szinkronizált felhasználók PasswordPolicies attribútumát a "DisablePasswordExpiration" értékre állítja.When EnforceCloudPasswordPolicyForPasswordSyncedUsers is disabled (which is the default setting), Azure AD Connect sets the PasswordPolicies attribute of synchronized users to "DisablePasswordExpiration". Ez minden alkalommal megtörténik, amikor a felhasználó jelszava szinkronizálva van, és arra utasítja az Azure AD-t, hogy figyelmen kívül hagyja az adott felhasználóhoz tartozó Felhőbeli jelszó lejárati szabályzatát.This is done every time a user's password is synchronized and instructs Azure AD to ignore the cloud password expiration policy for that user. Az attribútum értékét a következő paranccsal tekintheti meg az Azure AD PowerShell-modul használatával:You can check the value of the attribute using the Azure AD PowerShell module with the following command:

(Get-AzureADUser -objectID <User Object ID>).passwordpolicies

A EnforceCloudPasswordPolicyForPasswordSyncedUsers funkció engedélyezéséhez futtassa a következő parancsot a MSOnline PowerShell-modullal az alább látható módon.To enable the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature, run the following command using the MSOnline PowerShell module as shown below. Az engedélyezés paraméternél az Igen értéket kell beírnia az alábbi módon:You would have to type yes for the Enable parameter as shown below :

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers
cmdlet Set-MsolDirSyncFeature at command pipeline position 1
Supply values for the following parameters:
Enable: yes
Confirm
Continue with this operation?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

Ha engedélyezve van, az Azure AD nem minden szinkronizált felhasználóhoz csatlakozik, hogy eltávolítsa az DisablePasswordExpiration értéket a PasswordPolicies attribútumból.Once enabled, Azure AD does not go to each synchronized user to remove the DisablePasswordExpiration value from the PasswordPolicies attribute. Ehelyett a DisablePasswordExpiration rendszer eltávolítja az értéket a PasswordPolicies az egyes felhasználók következő jelszavas kivonatának szinkronizálásakor, a helyi ad-ben a következő jelszó megváltozása után.Instead, the DisablePasswordExpiration value is removed from PasswordPolicies during the next password hash sync for each user, upon their next password change in on-premises AD.

Javasoljuk, hogy engedélyezze a EnforceCloudPasswordPolicyForPasswordSyncedUsers a jelszó-kivonat szinkronizálásának engedélyezése előtt, hogy a jelszó-kivonatok kezdeti szinkronizálása ne adja hozzá az DisablePasswordExpiration értéket a felhasználók PasswordPolicies attribútumához.It is recommended to enable EnforceCloudPasswordPolicyForPasswordSyncedUsers, prior to enabling password hash sync, so that the initial sync of password hashes does not add the DisablePasswordExpiration value to the PasswordPolicies attribute for the users.

Az alapértelmezett Azure AD-jelszóházirend megköveteli, hogy a felhasználók 90 naponta megváltoztassák a jelszavukat.The default Azure AD password policy requires users to change their passwords every 90 days. Ha az AD-szabályzat 90 nap is, a két házirendnek egyeznie kell.If your policy in AD is also 90 days, the two policies should match. Ha azonban az AD-házirend nem 90 nap, akkor a Set-MsolPasswordPolicy PowerShell-paranccsal módosíthatja az Azure AD-jelszó házirendjét.However, if the AD policy is not 90 days, you can update the Azure AD password policy to match by using the Set-MsolPasswordPolicy PowerShell command.

Az Azure AD egy regisztrált tartományon belüli külön jelszó-elévülési szabályzatot támogat.Azure AD supports a separate password expiration policy per registered domain.

Figyelmeztetés: ha vannak olyan szinkronizált fiókok, amelyeknek az Azure AD-ben nem lejáró jelszavakkal kell rendelkezniük, explicit módon hozzá kell adnia az DisablePasswordExpiration értéket az Azure ad felhasználói objektumának PasswordPolicies attribútumához.Caveat: If there are synchronized accounts that need to have non-expiring passwords in Azure AD, you must explicitly add the DisablePasswordExpiration value to the PasswordPolicies attribute of the user object in Azure AD. Ezt a következő parancs futtatásával teheti meg.You can do this by running the following command.

Set-AzureADUser -ObjectID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Megjegyzés

Az Set-MsolPasswordPolicy PowerShell-parancs összevont tartományokon nem fog működni.The Set-MsolPasswordPolicy PowerShell command will not work on federated domains.

Ideiglenes jelszavak szinkronizálása és a "jelszó módosítása a következő bejelentkezéskor"Synchronizing temporary passwords and "Force Password Change on Next Logon"

Általában arra kényszeríti a felhasználót, hogy az első bejelentkezéskor változtassa meg a jelszavát, különösen a rendszergazdai jelszó alaphelyzetbe állítása után.It is typical to force a user to change their password during their first logon, especially after an admin password reset occurs. Ezt általában "ideiglenes" jelszóként kell beállítani, és a rendszer azt ellenőrzi, hogy a "felhasználónak meg kell-e változtatni a jelszót a következő bejelentkezéskor" jelzőn a Active Directory (AD) felhasználói objektumán.It is commonly known as setting a "temporary" password and is completed by checking the "User must change password at next logon" flag on a user object in Active Directory (AD).

Az ideiglenes jelszó funkció segítségével biztosítható, hogy a hitelesítő adatok tulajdonjogának átruházása az első használatnál legyen elvégezve, hogy minimálisra csökkentse azt az időtartamot, ameddig több személy ismeri a hitelesítő adatokat.The temporary password functionality helps to ensure that the transfer of ownership of the credential is completed on first use, to minimize the duration of time in which more than one individual has knowledge of that credential.

Az Azure AD-ben a szinkronizált felhasználók számára az ideiglenes jelszavak támogatásához engedélyezheti a ForcePasswordChangeOnLogOn szolgáltatást a következő parancs futtatásával a Azure ad Connect-kiszolgálón:To support temporary passwords in Azure AD for synchronized users, you can enable the ForcePasswordChangeOnLogOn feature, by running the following command on your Azure AD Connect server:

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

Megjegyzés

Ha arra kényszeríti a felhasználót, hogy a következő bejelentkezéskor megváltoztassa a jelszavát, a jelszó módosítására is szükség van.Forcing a user to change their password on next logon requires a password change at the same time. A Azure AD Connect nem fogja önállóan felvenni a kényszerített jelszó-módosítási jelzőt. Ez a jelszó-kivonat szinkronizálásakor megjelenő észlelt jelszóval kiegészítve történik.Azure AD Connect will not pick up the force password change flag by itself; it is supplemental to the detected password change that occurs during password hash sync.

Figyelemfelhívás

Ezt a funkciót csak akkor használja, ha a SSPR és a jelszó visszaírási engedélyezve vannak a bérlőn.You should only use this feature when SSPR and Password Writeback are enabled on the tenant. Ez azért van így, hogy ha a felhasználó a SSPR-n keresztül módosítja a jelszavát, a rendszer szinkronizálja Active Directory.This is so that if a user changes their password via SSPR, it will be synchronized to Active Directory.

Fiók lejárataAccount expiration

Ha a szervezet a accountExpires attribútumot használja a felhasználói fiókok felügyelete részeként, ez az attribútum nincs szinkronizálva az Azure AD-vel.If your organization uses the accountExpires attribute as part of user account management, this attribute is not synchronized to Azure AD. Ennek eredményeképpen a jelszó-kivonat szinkronizálására konfigurált környezet lejárt Active Directory fiókja továbbra is aktív lesz az Azure AD-ben.As a result, an expired Active Directory account in an environment configured for password hash synchronization will still be active in Azure AD. Javasoljuk, hogy ha a fiók lejárt, egy munkafolyamat-műveletnek aktiválnia kell egy PowerShell-parancsfájlt, amely letiltja a felhasználó Azure AD-fiókját (használja a set-AzureADUser parancsmagot).We recommend that if the account is expired, a workflow action should trigger a PowerShell script that disables the user's Azure AD account (use the Set-AzureADUser cmdlet). Ezzel szemben a fiók bekapcsolásakor az Azure AD-példányt be kell kapcsolni.Conversely, when the account is turned on, the Azure AD instance should be turned on.

Szinkronizált jelszavak felülírásaOverwrite synchronized passwords

A rendszergazdák a Windows PowerShell használatával manuálisan állíthatják alaphelyzetbe a jelszót.An administrator can manually reset your password by using Windows PowerShell.

Ebben az esetben az új jelszó felülbírálja a szinkronizált jelszót, a felhőben definiált összes jelszóházirend pedig az új jelszóra lesz alkalmazva.In this case, the new password overrides your synchronized password, and all password policies defined in the cloud are applied to the new password.

Ha ismét módosítja a helyszíni jelszót, az új jelszó szinkronizálva lesz a felhőbe, és felülbírálja a manuálisan frissített jelszót.If you change your on-premises password again, the new password is synchronized to the cloud, and it overrides the manually updated password.

A jelszó szinkronizálása nincs hatással a bejelentkezett Azure-felhasználóra.The synchronization of a password has no impact on the Azure user who is signed in. A jelenlegi Cloud Service-munkamenetet nem érinti azonnal a szinkronizált jelszó módosítása, amely akkor jelentkezik, amikor bejelentkezett egy felhőalapú szolgáltatásba.Your current cloud service session is not immediately affected by a synchronized password change that occurs while you're signed in to a cloud service. A KMSI kiterjeszti a különbség időtartamát.KMSI extends the duration of this difference. Ha a Cloud Service-nek újra kell hitelesítenie magát, meg kell adnia az új jelszót.When the cloud service requires you to authenticate again, you need to provide your new password.

További előnyökAdditional advantages

  • Általánosságban elmondható, hogy a jelszó-kivonat szinkronizálása egyszerűbben megvalósítható, mint az összevonási szolgáltatás.Generally, password hash synchronization is simpler to implement than a federation service. Nem igényel további kiszolgálókat, és a felhasználók hitelesítéséhez kizárja a nagyfokú rendelkezésre állású összevonási szolgáltatástól való függőséget.It doesn't require any additional servers, and eliminates dependence on a highly available federation service to authenticate users.
  • A jelszó-kivonat szinkronizálása az összevonás mellett is engedélyezhető.Password hash synchronization can also be enabled in addition to federation. Tartalékként használható, ha az összevonási szolgáltatás leállás miatt leáll.It may be used as a fallback if your federation service experiences an outage.

Jelszó-kivonat szinkronizálási folyamata Azure AD Domain ServicesPassword hash sync process for Azure AD Domain Services

Ha a Azure AD Domain Services segítségével örökölt hitelesítést biztosít a Kerberos, az LDAP vagy az NTLM protokollt használó alkalmazásokhoz és szolgáltatásokhoz, néhány további folyamat a jelszó-kivonat szinkronizációs folyamatának részét képezi.If you use Azure AD Domain Services to provide legacy authentication for applications and services that need to use Kerberos, LDAP, or NTLM, some additional processes are part of the password hash synchronization flow. Azure AD Connect a következő folyamattal szinkronizálja a jelszó-kivonatokat az Azure AD-be a Azure AD Domain Servicesban való használathoz:Azure AD Connect uses the additional following process to synchronize password hashes to Azure AD for use in Azure AD Domain Services:

Fontos

A Azure AD Connect csak a helyszíni AD DS környezetekkel való szinkronizálásra kell telepíteni és konfigurálni.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. Nem támogatott Azure AD Connect telepítése Azure AD DS felügyelt tartományba az objektumok Azure AD-be való visszaszinkronizálásához.It's not supported to install Azure AD Connect in an Azure AD DS managed domain to synchronize objects back to Azure AD.

Azure AD Connect csak a régi jelszavakat szinkronizálja, amikor engedélyezi az Azure AD DSt az Azure AD-bérlő számára.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. A következő lépések nem használhatók, ha a helyszíni AD DS-környezet Azure AD-vel való szinkronizálásához csak Azure AD Connect használ.The following steps aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Ha az örökölt alkalmazásai nem használnak NTLM-hitelesítést vagy LDAP egyszerű kötéseket, javasoljuk, hogy tiltsa le az NTLM-jelszó kivonatának szinkronizálását az Azure AD DS.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. További információ: a gyenge titkosítási csomagok letiltása és az NTLM hitelesítő adatok kivonatának szinkronizálása.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

  1. Azure AD Connect lekéri a bérlő Azure AD Domain Services példányának nyilvános kulcsát.Azure AD Connect retrieves the public key for the tenant's instance of Azure AD Domain Services.
  2. Amikor egy felhasználó megváltoztatja a jelszavát, a helyszíni tartományvezérlő két attribútumban tárolja a jelszó-módosítás (kivonatok) eredményét:When a user changes their password, the on-premises domain controller stores the result of the password change (hashes) in two attributes:
    • unicodePwd az NTLM-jelszó kivonatához.unicodePwd for the NTLM password hash.
    • supplementalCredentials a Kerberos-jelszó kivonatához.supplementalCredentials for the Kerberos password hash.
  3. Azure AD Connect észleli a jelszó-módosításokat a címtár-replikációs csatornán keresztül (az attribútum módosításait más tartományvezérlőkre kell replikálni).Azure AD Connect detects password changes through the directory replication channel (attribute changes needing to replicate to other domain controllers).
  4. A Azure AD Connect a következő lépéseket hajtja végre minden olyan felhasználónál, akinek a jelszava módosult:For each user whose password has changed, Azure AD Connect performs the following steps:
    • Véletlenszerűen generált AES 256-bites szimmetrikus kulcsot hoz létre.Generates a random AES 256-bit symmetric key.
    • Létrehoz egy véletlenszerű inicializálási vektort, amely az első kör titkosításához szükséges.Generates a random initialization vector needed for the first round of encryption.
    • A supplementalCredentials attribútumaiból Kinyeri a Kerberos-jelszó kivonatait.Extracts Kerberos password hashes from the supplementalCredentials attributes.
    • Ellenőrzi a Azure AD Domain Services biztonsági konfiguráció SyncNtlmPasswords -beállítását.Checks the Azure AD Domain Services security configuration SyncNtlmPasswords setting.
      • Ha ez a beállítás le van tiltva, a létrehoz egy véletlenszerű, nagy entrópia-alapú NTLM-kivonatot (amely eltér a felhasználó jelszavával).If this setting is disabled, generates a random, high-entropy NTLM hash (different from the user's password). Ezt a kivonatot ezután a supplementalCrendetials attribútum által a pontosan megadott Kerberos-jelszó kivonatokkal kombinálva egyetlen adatstruktúrába.This hash is then combined with the exacted Kerberos password hashes from the supplementalCrendetials attribute into one data structure.
      • Ha engedélyezve van, a a unicodePwd attribútum értékét kombinálja a kinyert Kerberos-jelszó kivonatokkal a supplementalCredentials attribútumból egy adatstruktúrába.If enabled, combines the value of the unicodePwd attribute with the extracted Kerberos password hashes from the supplementalCredentials attribute into one data structure.
    • Titkosítja az egyetlen adatszerkezetet az AES szimmetrikus kulcs használatával.Encrypts the single data structure using the AES symmetric key.
    • Titkosítja az AES szimmetrikus kulcsot a bérlő Azure AD Domain Services nyilvános kulcsa alapján.Encrypts the AES symmetric key using the tenant's Azure AD Domain Services public key.
  5. Azure AD Connect továbbítja a titkosított AES szimmetrikus kulcsot, a jelszó-kivonatokat tartalmazó titkosított adatstruktúrát, valamint az inicializálási vektort az Azure AD-nek.Azure AD Connect transmits the encrypted AES symmetric key, the encrypted data structure containing the password hashes, and the initialization vector to Azure AD.
  6. Az Azure AD tárolja a titkosított AES szimmetrikus kulcsot, a titkosított adatstruktúrát és a felhasználó inicializálási vektorát.Azure AD stores the encrypted AES symmetric key, the encrypted data structure, and the initialization vector for the user.
  7. Az Azure AD leküldi a titkosított AES szimmetrikus kulcsot, a titkosított adatstruktúrát és az inicializálási vektort egy belső szinkronizálási mechanizmus használatával, amely egy titkosított HTTP-munkameneten keresztül Azure AD Domain Services.Azure AD pushes the encrypted AES symmetric key, the encrypted data structure, and the initialization vector using an internal synchronization mechanism over an encrypted HTTP session to Azure AD Domain Services.
  8. Azure AD Domain Services lekéri a bérlő példányának titkos kulcsát az Azure Key vaultból.Azure AD Domain Services retrieves the private key for the tenant's instance from Azure Key vault.
  9. Az egyes titkosított adatkészletek esetében (amely az egyetlen felhasználó jelszavainak módosítását jelenti) Azure AD Domain Services ezután végrehajtja a következő lépéseket:For each encrypted set of data (representing a single user's password change), Azure AD Domain Services then performs the following steps:
    • A titkos kulcsát használja az AES szimmetrikus kulcs visszafejtéséhez.Uses its private key to decrypt the AES symmetric key.
    • Az AES szimmetrikus kulcsot használja az inicializálási vektor használatával a jelszó-kivonatokat tartalmazó titkosított adatstruktúra visszafejtéséhez.Uses the AES symmetric key with the initialization vector to decrypt the encrypted data structure that contains the password hashes.
    • A Kerberos-jelszó kivonatait írja a Azure AD Domain Services tartományvezérlőnek.Writes the Kerberos password hashes it receives to the Azure AD Domain Services domain controller. A rendszer menti a kivonatokat a felhasználói objektum supplementalCredentials attribútumában, amely a Azure ad Domain Services tartományvezérlő nyilvános kulcsára van titkosítva.The hashes are saved into the user object's supplementalCredentials attribute that is encrypted to the Azure AD Domain Services domain controller's public key.
    • Azure AD Domain Services írja be a Azure AD Domain Services tartományvezérlőnek fogadott NTLM-jelszó kivonatát.Azure AD Domain Services writes the NTLM password hash it received to the Azure AD Domain Services domain controller. A rendszer menti a kivonatot a felhasználói objektum unicodePwd attribútumában, amely a Azure ad Domain Services tartományvezérlő nyilvános kulcsához van titkosítva.The hash is saved into the user object's unicodePwd attribute that is encrypted to the Azure AD Domain Services domain controller's public key.

Jelszókivonat szinkronizálásának engedélyezéseEnable password hash synchronization

Fontos

Ha AD FSról (vagy más összevonási technológiáról) végez áttelepítést jelszó-kivonatolási szinkronizálásra, javasoljuk, hogy kövesse az ittközzétett részletes telepítési útmutatót.If you are migrating from AD FS (or other federation technologies) to Password Hash Synchronization, we highly recommend that you follow our detailed deployment guide published here.

Ha az expressz beállítások lehetőséggel telepíti a Azure ad Connectt, a jelszó-kivonatolási szinkronizálás automatikusan engedélyezve lesz.When you install Azure AD Connect by using the Express Settings option, password hash synchronization is automatically enabled. További információ: az Azure ad Connect használatának első lépései az expressz beállítások használatával.For more information, see Getting started with Azure AD Connect using express settings.

Ha Azure AD Connect telepítésekor egyéni beállításokat használ, a jelszó-kivonatolási szinkronizálás elérhető a felhasználói bejelentkezési oldalon.If you use custom settings when you install Azure AD Connect, password hash synchronization is available on the user sign-in page. További információ: Azure ad Connect egyéni telepítése.For more information, see Custom installation of Azure AD Connect.

Jelszókivonat szinkronizálásának engedélyezése

Jelszó-kivonat szinkronizálása és FIPSPassword hash synchronization and FIPS

Ha a kiszolgálót a Federal Information Processing standard (FIPS) szerint zárolták, akkor az MD5 le van tiltva.If your server has been locked down according to Federal Information Processing Standard (FIPS), then MD5 is disabled.

A jelszó-kivonatok szinkronizálásához az MD5 engedélyezéséhez hajtsa végre a következő lépéseket:To enable MD5 for password hash synchronization, perform the following steps:

  1. Ugrás a%programfiles%\Azure AD Sync\Bin.Go to %programfiles%\Azure AD Sync\Bin.
  2. Nyissa meg miiserver.exe.config.Open miiserver.exe.config.
  3. Nyissa meg a fájl végén található Configuration/Runtime csomópontot.Go to the configuration/runtime node at the end of the file.
  4. Adja hozzá a következő csomópontot: <enforceFIPSPolicy enabled="false"/>Add the following node: <enforceFIPSPolicy enabled="false"/>
  5. Mentse a módosításokat.Save your changes.

Hivatkozásként ez a kódrészlet az alábbihoz hasonló:For reference, this snippet is what it should look like:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

A biztonsággal és az FIPS-vel kapcsolatos további információkért lásd: az Azure ad Password hash-szinkronizálás, a titkosítás és az FIPS megfelelősége.For information about security and FIPS, see Azure AD password hash sync, encryption, and FIPS compliance.

Jelszó-kivonatolási szinkronizálás hibáinak megoldásaTroubleshoot password hash synchronization

Ha problémái vannak a jelszó kivonatának szinkronizálásával kapcsolatban, olvassa el a jelszó-kivonat szinkronizálásának hibaelhárításacímű témakörtIf you have problems with password hash synchronization, see Troubleshoot password hash synchronization.

További lépésekNext steps