Oktatóanyag: Jelszó-szinkronizálás engedélyezése Azure Active Directory tartományi szolgáltatásokban hibrid környezetekben

Hibrid környezetek Azure Active Directory (Azure AD) bérlője konfigurálható úgy, hogy az Azure AD helyi Active Directory Domain Services ( AD DS) környezettel szinkronizálja a Csatlakozás. Alapértelmezés szerint az Azure AD Csatlakozás nem szinkronizálja az Azure Active Directory Domain Serviceshez (Azure AD DS) szükséges régi NT LAN Manager- (NTLM-) és Kerberos-jelszó-Azure AD DS.

A Azure AD DS helyszíni AD DS-környezetből szinkronizált fiókokkal való használathoz konfigurálnia kell az Azure AD Csatlakozás-t az NTLM- és Kerberos-hitelesítéshez szükséges jelszó-hashek szinkronizálására. Az Azure AD Csatlakozás konfigurálása után egy helyszíni fiók létrehozása vagy jelszóváltozási esemény is szinkronizálja az örökölt jelszó-hasheket az Azure AD-be.

Ezeket a lépéseket nem kell végrehajtania, ha csak felhőalapú fiókokat használ helyszíni AD DS környezet nélkül, vagy ha erőforráserdőt használ. Az erőforráserdőt felhasználó felügyelt tartományok esetén a helyszíni jelszó-hashek soha nem lesznek szinkronizálva. A helyszíni fiókok hitelesítése az erdőszintű megbízhatóság(ak)t használja vissza a saját AD DS tartományvezérlőire.

Ebben az oktatóanyagban a következővel fog ismerkedni:

  • Miért van szükség régi NTLM- és Kerberos-jelszó-hashekre?
  • Régi jelszó kivonatszinkronizálásának konfigurálása Azure AD-Csatlakozás

Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy fiókot a kezdés előtt.

Előfeltételek

Az oktatóanyag befejezéséhez a következő erőforrásokra lesz szüksége:

Jelszó kivonatszinkronizálása Azure AD-Csatlakozás

Az Azure AD Csatlakozás segítségével szinkronizálhatók az objektumok, például a felhasználói fiókok és csoportok egy helyszíni AD DS környezetből egy Azure AD-bérlőbe. A folyamat részeként a jelszó kivonatszinkronizálása lehetővé teszi, hogy a fiókok ugyanazt a jelszót használják a AD DS Azure AD-ban.

A felhasználók felügyelt tartományon való hitelesítéséhez a Azure AD DS NTLM- és Kerberos-hitelesítéshez megfelelő formátumú jelszó-Azure AD DS van szüksége. Az Azure AD nem az NTLM- vagy Kerberos-hitelesítéshez szükséges formátumban tárolja a jelszó-Azure AD DS a bérlő számára. Biztonsági okokból az Azure AD nem tiszta szöveges formában tárolja a jelszóhoz szükséges hitelesítő adatokat. Ezért az Azure AD nem tudja automatikusan létrehozni ezeket az NTLM- vagy Kerberos-jelszókat a felhasználók meglévő hitelesítő adatai alapján.

Az Azure AD Csatlakozás konfigurálható úgy, hogy szinkronizálja a szükséges NTLM- vagy Kerberos-jelszó-Azure AD DS. Győződjön meg arról, hogy befejezte az Azure AD Csatlakozás jelszó-kivonat szinkronizálásának engedélyezéséhez szükséges lépéseket. Ha már rendelkezik Azure AD Csatlakozás-példányával, töltse le és frissítsen a legújabb verzióra, hogy biztosan szinkronizálni tudja az NTLM és a Kerberos örökölt jelszó-előjelszavát. Ez a funkció nem érhető el az Azure AD-szolgáltatás korai Csatlakozás az örökölt DirSync eszközzel. Az Azure AD Csatlakozás 1.1.614.0-s vagy újabb verziója szükséges.

Fontos

Az Azure AD Csatlakozás csak helyszíni virtuális környezetekkel való szinkronizáláshoz telepíthető és konfigurálható AD DS konfigurálható. Nem támogatott az Azure AD-Csatlakozás telepítése egy felügyelt Azure AD DS az objektumok Azure AD-be való szinkronizálásához.

Jelszó-hashek szinkronizálásának engedélyezése

Most, hogy az Azure AD Csatlakozás van telepítve és konfigurálva az Azure AD-val való szinkronizáláshoz, konfigurálja az NTLM és a Kerberos örökölt jelszó-kivonatszinkronizálását. A rendszer egy PowerShell-szkripttel konfigurálja a szükséges beállításokat, majd elindítja a teljes jelszó-szinkronizálást az Azure AD-be. Ha az Azure AD Csatlakozás jelszó kivonatszinkronizálási folyamata befejeződött, a felhasználók régi NTLM- vagy Kerberos-jelszó-kivonatokat használó Azure AD DS-n keresztül jelentkeznek be az alkalmazásokba.

  1. Az Azure AD-Csatlakozás telepített számítógépen a Start menü nyissa meg az Azure AD Csatlakozás Synchronization Service szolgáltatást.

  2. Válassza az Összekötők lapot. Itt megjelenik a helyszíni virtuális környezet és az Azure AD AD DS szinkronizálásának létrehozására használt kapcsolati adatok listája.

    A Type (Típus) Windows Azure Active Directory (Microsoft) az Azure AD-összekötőhöz, vagy Active Directory Domain Services helyszíni AD DS összekötőhöz. Jegyezze fel a következő lépésben a PowerShell-szkriptben használható összekötőneveket.

    List the connector names in Sync Service Manager

    Ebben a példaként használt képernyőképen a következő összekötők vannak használva:

    • Az Azure AD-összekötő neve contoso.onmicrosoft.com – AAD
    • A helyszíni AD DS összekötő neve onprem.contoso.com
  3. Másolja és illessze be az alábbi PowerShell-szkriptet arra a számítógépre, Csatlakozás Azure AD-t. A szkript elindít egy teljes jelszó-szinkronizálást, amely tartalmazza az örökölt jelszó-hasheket. Frissítse a $azureadConnector és $adConnector a változót az előző lépés összekötőinek nevével.

    Futtassa ezt a szkriptet minden AD-erdőn a helyszíni fiók NTLM- és Kerberos-jelszó-hasheinek Azure AD-be való szinkronizálásához.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    A címtár fiók- és csoportszámban megadott méretétől függően az örökölt jelszó-hashek Azure AD-be való szinkronizálása némi időt is eltelhet. A jelszavak ezután szinkronizálódnak a felügyelt tartománnyal az Azure AD-be való szinkronizálás után.

Következő lépések

Ebben az oktatóanyagban a következőt tanulta meg:

  • Miért van szükség régi NTLM- és Kerberos-jelszó-hashekre?
  • Régi jelszó kivonatszinkronizálásának konfigurálása Azure AD-Csatlakozás