Abilitare la sincronizzazione password con Azure Active Directory Domain Services

Nelle attività precedenti è stato abilitato Azure Active Directory Domain Services per il tenant di Azure Active Directory (Azure AD). L'attività successiva prevede l'abilitazione della sincronizzazione degli hash delle credenziali necessari per l'autenticazione NTLM (NT LAN Manager) e Kerberos con Azure AD Domain Services. Al termine della configurazione della sincronizzazione delle credenziali, gli utenti potranno accedere al dominio gestito con le credenziali aziendali.

La procedura da eseguire è diversa per gli account utente solo cloud rispetto agli account utente sincronizzati dalla directory locale tramite Azure AD Connect.


Tipo di account utente Passaggi da eseguire
Account utente sincronizzati da una directory locale Seguire le istruzioni in questo articolo
Account utente cloud creati in Azure AD Sincronizzare le password per gli account utente solo cloud con il dominio gestito


Suggerimento

Potrebbe essere necessario completare entrambi i set di passaggi. Se il tenant di Azure AD include una combinazione di utenti solo cloud e utenti dell'istanza locale di AD, è necessario eseguire entrambi i set di passaggi.

Attività 5: Abilitare la sincronizzazione password nel dominio gestito per gli account utente sincronizzati con l'istanza locale di AD

Un tenant di Azure AD viene impostato per la sincronizzazione con la directory locale dell'organizzazione con Azure AD Connect. Per impostazione predefinita, Azure AD Connect non sincronizza gli hash delle credenziali NTLM e Kerberos con Azure AD. Per usare Servizi di dominio Azure AD, è necessario configurare Azure AD Connect per sincronizzare gli hash delle credenziali necessari per l'autenticazione NTLM e Kerberos. I passaggi seguenti consentono di sincronizzare gli hash delle credenziali necessari dalla directory locale con il tenant di Azure AD.

Nota

Se l'organizzazione include account utente sincronizzati dalla directory locale, è necessario abilitare la sincronizzazione degli hash NTLM e Kerberos per usare il dominio gestito. Un account utente sincronizzato è un account creato nella directory locale e viene sincronizzato con il tenant di Azure AD tramite Azure AD Connect.

Installare o aggiornare Azure AD Connect

Installare l'ultima versione consigliata di Azure AD Connect in un computer aggiunto a un dominio. Se esiste già un'istanza del programma di installazione di Azure AD Connect, è necessario aggiornarla per usare la versione più recente di Azure AD Connect. Per evitare problemi o bug noti che potrebbero essere già stati corretti, usare sempre la versione più recente di Azure AD Connect.

Scaricare Azure AD Connect

Versione consigliata: 1.1.614.0 - pubblicata il 5 settembre 2017.

Avviso

L'installazione dell'ultima versione consigliata di Azure AD Connect è NECESSARIA per abilitare le credenziali di password legacy (obbligatorio per l'autenticazione NTLM e Kerberos) da sincronizzare nel tenant di Azure AD. Questa funzionalità non è disponibile nelle versioni precedenti di Azure AD Connect o con lo strumento DirSync legacy.

Le istruzioni per l'installazione di Azure AD Connect sono disponibili nell'articolo Introduzione ad Azure AD Connect

Abilitare la sincronizzazione di hash di credenziali NTLM e Kerberos in Azure AD

Eseguire lo script di PowerShell seguente in ogni foresta di AD. Lo script consente la sincronizzazione degli hash delle password NTLM e Kerberos di tutti gli utenti locali con il tenant di Azure AD. Lo script avvia anche una sincronizzazione completa in Azure AD Connect.

$adConnector = "<CASE SENSITIVE AD CONNECTOR NAME>"  
$azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"  
Import-Module adsync  
$c = Get-ADSyncConnector -Name $adConnector  
$p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
$p.Value = 1  
$c.GlobalParameters.Remove($p.Name)  
$c.GlobalParameters.Add($p)  
$c = Add-ADSyncConnector -Connector $c  
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false   
Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true  

A seconda delle dimensioni della directory (numero di utenti, gruppi e così via), la sincronizzazione degli hash delle credenziali con Azure AD richiede tempo. Le password saranno utilizzabili nel dominio gestito dei servizi di dominio Azure Active Directory non appena le hash di credenziali saranno sincronizzate con Azure.