Abilitare la sincronizzazione password con Azure Active Directory Domain ServicesEnable password synchronization to Azure Active Directory Domain Services

Nelle attività precedenti è stato abilitato Azure Active Directory Domain Services per il tenant di Azure Active Directory (Azure AD).In preceding tasks, you enabled Azure Active Directory Domain Services for your Azure Active Directory (Azure AD) tenant. L'attività successiva prevede l'abilitazione della sincronizzazione degli hash delle credenziali necessari per l'autenticazione NTLM (NT LAN Manager) e Kerberos con Azure AD Domain Services.The next task is to enable synchronization of credential hashes required for NT LAN Manager (NTLM) and Kerberos authentication to Azure AD Domain Services. Al termine della configurazione della sincronizzazione delle credenziali, gli utenti potranno accedere al dominio gestito con le credenziali aziendali.After you've set up credential synchronization, users can sign in to the managed domain with their corporate credentials.

La procedura da eseguire è diversa per gli account utente solo cloud rispetto agli account utente sincronizzati dalla directory locale tramite Azure AD Connect.The steps involved are different for cloud-only user accounts vs user accounts that are synchronized from your on-premises directory using Azure AD Connect.


Tipo di account utenteType of user account Passaggi da eseguireSteps to perform
Account utente sincronizzati da una directory localeUser accounts synchronized from an on-premises directory Seguire le istruzioni in questo articolo Follow the instructions in this article
Account utente cloud creati in Azure ADCloud user accounts created in Azure AD Sincronizzare le password per gli account utente solo cloud con il dominio gestito Synchronize passwords for cloud-only user accounts to your managed domain


Suggerimento

Potrebbe essere necessario completare entrambi i set di passaggi.You may need to complete both sets of steps. Se il tenant di Azure AD include una combinazione di utenti solo cloud e utenti dell'istanza locale di AD, è necessario eseguire entrambi i set di passaggi.If your Azure AD tenant has a combination of cloud only users and users from your on-premises AD, you need to complete both sets of steps.

Attività 5: Abilitare la sincronizzazione password nel dominio gestito per gli account utente sincronizzati con l'istanza locale di ADTask 5: enable password synchronization to your managed domain for user accounts synced with your on-premises AD

Un tenant di Azure AD viene impostato per la sincronizzazione con la directory locale dell'organizzazione con Azure AD Connect.A synced Azure AD tenant is set to synchronize with your organization's on-premises directory using Azure AD Connect. Per impostazione predefinita, Azure AD Connect non sincronizza gli hash delle credenziali NTLM e Kerberos con Azure AD.By default, Azure AD Connect does not synchronize NTLM and Kerberos credential hashes to Azure AD. Per usare Servizi di dominio Azure AD, è necessario configurare Azure AD Connect per sincronizzare gli hash delle credenziali necessari per l'autenticazione NTLM e Kerberos.To use Azure AD Domain Services, you need to configure Azure AD Connect to synchronize credential hashes required for NTLM and Kerberos authentication. I passaggi seguenti consentono di sincronizzare gli hash delle credenziali necessari dalla directory locale con il tenant di Azure AD.The following steps enable synchronization of the required credential hashes from your on-premises directory to your Azure AD tenant.

Nota

Se l'organizzazione include account utente sincronizzati dalla directory locale, è necessario abilitare la sincronizzazione degli hash NTLM e Kerberos per usare il dominio gestito.If your organization has user accounts that are synchronized from your on-premises directory, you must enable synchronization of NTLM and Kerberos hashes in order to use the managed domain. Un account utente sincronizzato è un account creato nella directory locale e viene sincronizzato con il tenant di Azure AD tramite Azure AD Connect.A synced user account is an account that was created in your on-premises directory and is synchronized to your Azure AD tenant using Azure AD Connect.

Installare o aggiornare Azure AD ConnectInstall or update Azure AD Connect

Installare l'ultima versione consigliata di Azure AD Connect in un computer aggiunto a un dominio.Install the latest recommended release of Azure AD Connect on a domain joined computer. Se esiste già un'istanza del programma di installazione di Azure AD Connect, è necessario aggiornarla per usare la versione più recente di Azure AD Connect.If you have an existing instance of Azure AD Connect setup, you need to update it to use the latest version of Azure AD Connect. Per evitare problemi o bug noti che potrebbero essere già stati corretti, usare sempre la versione più recente di Azure AD Connect.To avoid known issues/bugs that may have already been fixed, always use the latest version of Azure AD Connect.

Scaricare Azure AD ConnectDownload Azure AD Connect

Versione consigliata: 1.1.614.0 - pubblicata il 5 settembre 2017.Recommended version: 1.1.614.0 - published on September 5, 2017.

Avviso

L'installazione dell'ultima versione consigliata di Azure AD Connect è NECESSARIA per abilitare le credenziali di password legacy (obbligatorio per l'autenticazione NTLM e Kerberos) da sincronizzare nel tenant di Azure AD.You MUST install the latest recommended release of Azure AD Connect to enable the legacy password credentials (required for NTLM and Kerberos authentication) to synchronize to your Azure AD tenant. Questa funzionalità non è disponibile nelle versioni precedenti di Azure AD Connect o con lo strumento DirSync legacy.This functionality is not available in prior releases of Azure AD Connect or with the legacy DirSync tool.

Le istruzioni per l'installazione di Azure AD Connect sono disponibili nell'articolo Introduzione ad Azure AD ConnectInstallation instructions for Azure AD Connect are available in the following article - Getting started with Azure AD Connect

Abilitare la sincronizzazione di hash di credenziali NTLM e Kerberos in Azure ADEnable synchronization of NTLM and Kerberos credential hashes to Azure AD

Eseguire lo script di PowerShell seguente in ogni foresta di AD.Execute the following PowerShell script on each AD forest. Lo script consente la sincronizzazione degli hash delle password NTLM e Kerberos di tutti gli utenti locali con il tenant di Azure AD.The script enables all on-premises users' NTLM and Kerberos password hashes to be synchronized to your Azure AD tenant. Lo script avvia anche una sincronizzazione completa in Azure AD Connect.The script also initiates a full synchronization in Azure AD Connect.

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"  
$azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"  
Import-Module adsync  
$c = Get-ADSyncConnector -Name $adConnector  
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1  
$c.GlobalParameters.Remove($p.Name)  
$c.GlobalParameters.Add($p)  
$c = Add-ADSyncConnector -Connector $c  
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false   
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true  

A seconda delle dimensioni della directory (numero di utenti, gruppi e così via), la sincronizzazione degli hash delle credenziali con Azure AD richiede tempo.Depending on the size of your directory (number of users, groups etc.), synchronization of credential hashes to Azure AD takes time. Le password saranno utilizzabili nel dominio gestito dei servizi di dominio Azure Active Directory non appena le hash di credenziali saranno sincronizzate con Azure.The passwords will be usable on the Azure AD Domain Services managed domain shortly after the credential hashes have synchronized to Azure AD.