Abilitare la sincronizzazione password con Azure Active Directory Domain Services

Nelle attività precedenti è stato abilitato Azure Active Directory Domain Services per il tenant di Azure Active Directory (Azure AD). L'attività successiva prevede l'abilitazione della sincronizzazione degli hash delle credenziali necessari per l'autenticazione NTLM (NT LAN Manager) e Kerberos con Azure AD Domain Services. Al termine della configurazione della sincronizzazione delle credenziali, gli utenti potranno accedere al dominio gestito con le credenziali aziendali.

La procedura da eseguire è diversa per gli account utente solo cloud rispetto agli account utente sincronizzati dalla directory locale tramite Azure AD Connect. Se il tenant di Azure AD include una combinazione di utenti solo cloud e utenti dell'istanza locale di AD, è necessario eseguire entrambe le procedure.



Attività 5: Abilitare la sincronizzazione password nel dominio gestito per gli account utente solo cloud

Per autenticare gli utenti nel dominio gestito, Azure Active Directory Domain Services necessita di hash delle credenziali in un formato idoneo per l'autenticazione NTLM e Kerberos. Azure AD genera e archivia gli hash delle credenziali nel formato necessario per l'autenticazione NTLM o Kerberos solo dopo l'abilitazione di Azure Active Directory Domain Services per il tenant. Per ovvi motivi di sicurezza, Azure AD non archivia nemmeno le credenziali di tipo password in un formato non crittografato. Azure AD quindi non può generare automaticamente questi hash delle credenziali NTLM o Kerberos in base alle credenziali esistenti degli utenti.

Nota

Se l'organizzazione include account utente solo cloud, gli utenti che devono usare Azure Active Directory Domain Services devono cambiare le proprie password. Un account utente solo cloud è un account creato nella directory di Azure AD tramite il portale di Azure o i cmdlet di Azure AD PowerShell. Questi account utente non vengono sincronizzati da una directory locale.

Questo processo di modifica delle password determina la generazione in Azure AD degli hash delle credenziali richiesti da Azure Active Directory Domain Services per l'autenticazione Kerberos e NTLM. È possibile impostare come scadute le password per tutti gli utenti del tenant che devono usare Azure Active Directory Domain Services oppure richiedere a tali utenti di cambiare le proprie password.

Abilitare la generazione di hash di credenziali NTLM e Kerberos per account utente solo cloud

Di seguito sono riportate le istruzioni che è necessario fornire agli utenti finali affinché possano cambiare le proprie password:

  1. Andare alla pagina del pannello di accesso di Azure AD per l'organizzazione.

    Avviare il pannello di accesso di Azure AD

  2. Nell'angolo superiore destro fare clic sul nome e scegliere Profilo dal menu.

    Selezionare un profilo

  3. Nella pagina Profilo fare clic su Cambia password.

    Fare clic su "Cambia password"

    Nota

    Se l'opzione Cambia password non è visualizzata nella finestra del pannello di accesso, verificare che l'organizzazione abbia configurato la gestione delle password in Azure AD.

  4. Nella pagina Cambia password digitare la password esistente (precedente) e quindi digitare e confermare una nuova password.

    Creare una rete virtuale per Servizi di dominio Azure AD.

  5. Fare clic su invia.

Dopo alcuni minuti dalla modifica, la nuova password è utilizzabile in Azure Active Directory Domain Services. Dopo alcuni minuti aggiuntivi (in genere circa 20), è possibile accedere ai computer aggiunti al dominio gestito usando la password appena cambiata.