Hoe objecten en referenties worden gesynchroniseerd in een Azure Active Directory door Domain Services beheerd domein
Objecten en referenties in een Azure Active Directory Domain Services (Azure AD DS) beheerd domein kunnen lokaal binnen het domein worden gemaakt of worden gesynchroniseerd vanuit een Azure Active Directory-tenant (Azure AD). Wanneer u de Azure AD DS implementeert, wordt een automatische synchronisatie in één keer geconfigureerd en wordt begonnen met het repliceren van de objecten vanuit Azure AD. Deze synchronisatie in één keer blijft op de achtergrond worden uitgevoerd om de Azure AD DS beheerd domein up-to-date te houden met eventuele wijzigingen van Azure AD. Er vindt geen synchronisatie plaats van Azure AD DS naar Azure AD.
In een hybride omgeving kunnen objecten en referenties van een on-premises AD DS-domein worden gesynchroniseerd met Azure AD met behulp van Azure AD Verbinding maken. Zodra deze objecten zijn gesynchroniseerd met Azure AD, maakt de automatische achtergrondsynchronisatie deze objecten en referenties beschikbaar voor toepassingen die gebruikmaken van het beheerde domein.
Als on-premises AD DS en Azure AD zijn geconfigureerd voor federatieve verificatie met ADFS, is er geen (huidige/geldige) wachtwoord-hash beschikbaar in Azure DS. Azure AD-gebruikersaccounts die zijn gemaakt voordat federatieve verificatie werd uitgevoerd, hebben mogelijk een oude wachtwoord-hash, die waarschijnlijk niet overeenkomt met een hash van het on-premises wachtwoord. Daarom Azure AD DS gebruikersreferenties niet valideren.
In het volgende diagram ziet u hoe synchronisatie tussen Azure AD DS, Azure AD en een optionele on-premises AD DS werkt:
Synchronisatie van Azure AD naar Azure AD DS
Gebruikersaccounts, groepslidmaatschap en referentiehashes worden op één manier gesynchroniseerd van Azure AD naar Azure AD DS. Dit synchronisatieproces is automatisch. U hoeft dit synchronisatieproces niet te configureren, bewaken of beheren. De initiële synchronisatie kan enkele uren tot enkele dagen duren, afhankelijk van het aantal objecten in de Azure AD-directory. Nadat de initiële synchronisatie is voltooid, worden wijzigingen die zijn aangebracht in Azure AD, zoals wachtwoord- of kenmerkwijzigingen, automatisch gesynchroniseerd met Azure AD DS.
Wanneer een gebruiker wordt gemaakt in Azure AD, wordt deze pas gesynchroniseerd met Azure AD DS ze hun wachtwoord in Azure AD wijzigen. Door deze wachtwoordwijziging worden de wachtwoordhashes voor Kerberos- en NTLM-verificatie gegenereerd en opgeslagen in Azure AD. De wachtwoordhashes zijn nodig om een gebruiker te verifiëren in Azure AD DS.
Het synchronisatieproces is standaard in één richting/unidirectioneel. Er is geen omgekeerde synchronisatie van wijzigingen van Azure AD DS naar Azure AD. Een beheerd domein is grotendeels alleen-lezen, met uitzondering van aangepaste OE's die u kunt maken. U kunt geen wijzigingen aanbrengen in gebruikerskenmerken, gebruikerswachtwoorden of groepslidmaatschap binnen een beheerd domein.
Synchronisatie van kenmerken en toewijzing aan Azure AD DS
De volgende tabel bevat enkele algemene kenmerken en hoe deze worden gesynchroniseerd met Azure AD DS.
| Kenmerk in Azure AD DS | Bron | Notities |
|---|---|---|
| UPN | UPN-kenmerk van gebruiker in Azure AD-tenant | Het UPN-kenmerk van de Azure AD-tenant wordt gelijk gesynchroniseerd om Azure AD DS. De betrouwbaarste manier om u aan te melden bij een beheerd domein is het gebruik van de UPN. |
| Samaccountname | Het kenmerk mailNickname van de gebruiker in de Azure AD-tenant of automatisch gegenereerd | Het kenmerk SAMAccountName is afkomstig uit het kenmerk mailNickname in de Azure AD-tenant. Als meerdere gebruikersaccounts hetzelfde kenmerk mailNickname hebben, wordt de SAMAccountName automatisch gegenereerd. Als het voorvoegsel mailNickname of UPN van de gebruiker langer is dan 20 tekens, wordt de SAMAccountName automatisch gegenereerd om te voldoen aan de limiet van 20 tekens voor SAMAccountName-kenmerken. |
| Wachtwoorden | Het wachtwoord van de gebruiker uit de Azure AD-tenant | Verouderde wachtwoordhashes die zijn vereist voor NTLM- of Kerberos-verificatie, worden gesynchroniseerd vanuit de Azure AD-tenant. Als de Azure AD-tenant is geconfigureerd voor hybride synchronisatie met behulp van Azure AD Verbinding maken, worden deze wachtwoordhashes afkomstig uit de on-premises AD DS omgeving. |
| Primaire gebruiker/groeps-SID | Automatisch gegenereerd | De primaire SID voor gebruikers-/groepsaccounts wordt automatisch gegenereerd in Azure AD DS. Dit kenmerk komt niet overeen met de primaire gebruikers-/groeps-SID van het object in een on-premises AD DS omgeving. Dit komt niet overeen omdat het beheerde domein een andere SID-naamruimte heeft dan het on-premises AD DS domein. |
| SID-geschiedenis voor gebruikers en groepen | On-premises primaire gebruiker en groeps-SID | Het SidHistory-kenmerk voor gebruikers en groepen in Azure AD DS is ingesteld op overeenkomst met de bijbehorende primaire gebruiker of groeps-SID in een on-premises AD DS omgeving. Deze functie maakt lift-and-shift van on-premises toepassingen eenvoudiger Azure AD DS u geen resources opnieuw hoeft te gebruiken. |
Tip
Aanmelden bij het beheerde domein met de UPN-indeling Het kenmerk SAMAccountName, zoals , kan automatisch worden gegenereerd AADDSCONTOSO\driley voor sommige gebruikersaccounts in een beheerd domein. De automatisch gegenereerde SAMAccountName van gebruikers kan afwijken van hun UPN-voorvoegsel, dus is niet altijd een betrouwbare manier om u aan te melden.
Als meerdere gebruikers bijvoorbeeld hetzelfde kenmerk mailNickname hebben of als gebruikers te lange UPN-voorvoegsels hebben, wordt de SAMAccountName voor deze gebruikers mogelijk automatisch gegenereerd. Gebruik de UPN-indeling, zoals , om u betrouwbaar aan te melden driley@aaddscontoso.com bij een beheerd domein.
Kenmerktoewijzing voor gebruikersaccounts
In de volgende tabel ziet u hoe specifieke kenmerken voor gebruikersobjecten in Azure AD worden gesynchroniseerd met de bijbehorende kenmerken in Azure AD DS.
| Gebruikerskenmerk in Azure AD | Gebruikerskenmerk in Azure AD DS |
|---|---|
| accountEnabled | userAccountControl (stelt de bit in of ACCOUNT_DISABLED bit) |
| city | l |
| companyName | companyName |
| country | co |
| department | department |
| displayName | displayName |
| employeeId | employeeId |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| givenName | givenName |
| jobTitle | titel |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (kan soms automatisch worden gegenereerd) |
| manager | manager |
| mobiel | mobiel |
| objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | Sidhistory |
| passwordPolicies | userAccountControl (stelt de bit in of DONT_EXPIRE_PASSWORD bit) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| staat | st |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Kenmerktoewijzing voor groepen
In de volgende tabel ziet u hoe specifieke kenmerken voor groepsobjecten in Azure AD worden gesynchroniseerd met de bijbehorende kenmerken in Azure AD DS.
| Groepskenmerk in Azure AD | Groepskenmerk in Azure AD DS |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (soms automatisch gegenereerd) |
| mailNickname | msDS-AzureADMailNickname |
| objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | Sidhistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | groupType |
Synchronisatie van on-premises AD DS naar Azure AD en Azure AD DS
Azure AD Verbinding maken wordt gebruikt om gebruikersaccounts, groepslidmaatschap en referentiehashes van een on-premises AD DS te synchroniseren met Azure AD. Kenmerken van gebruikersaccounts, zoals de UPN en de on-premises beveiligings-id (SID), worden gesynchroniseerd. Als u zich wilt aanmelden Azure AD DS, worden verouderde wachtwoordhashes die vereist zijn voor NTLM- en Kerberos-verificatie ook gesynchroniseerd met Azure AD.
Belangrijk
Azure AD Connect moet alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het installeren van Azure AD Connect in een beheerd domein om objecten weer naar Azure AD te synchroniseren, wordt niet ondersteund.
Als u write-back configureert, worden wijzigingen van Azure AD terug gesynchroniseerd naar de on-premises AD DS omgeving. Als een gebruiker bijvoorbeeld het wachtwoord wijzigt met behulp van selfservice voor wachtwoordbeheer van Azure AD, wordt het wachtwoord weer bijgewerkt in de on-premises AD DS omgeving.
Notitie
Gebruik altijd de nieuwste versie van Azure AD Verbinding maken om ervoor te zorgen dat u oplossingen hebt voor alle bekende fouten.
Synchronisatie vanuit een on-premises omgeving met meerdere forests
Veel organisaties hebben een redelijk complexe on-premises AD DS omgeving met meerdere forests. Azure AD Verbinding maken synchronisatie van gebruikers, groepen en referentiehashes vanuit omgevingen met meerdere forests naar Azure AD.
Azure AD heeft een veel eenvoudigere en platte naamruimte. Als u wilt dat gebruikers op betrouwbare wijze toegang kunnen krijgen tot toepassingen die worden beveiligd door Azure AD, lost u UPN-conflicten op tussen gebruikersaccounts in verschillende forests. Beheerde domeinen gebruiken een platte OE-structuur, vergelijkbaar met Azure AD. Alle gebruikersaccounts en -groepen worden opgeslagen in de container AADDC-gebruikers, ondanks dat ze zijn gesynchroniseerd vanuit verschillende on-premises domeinen of forests, zelfs als u een hiërarchische OE-structuur on-premises hebt geconfigureerd. Het beheerde domein vlakt hiërarchische OE-structuren af.
Zoals eerder beschreven, is er geen synchronisatie van Azure AD DS naar Azure AD. U kunt een aangepaste organisatie-eenheid (OE) maken in Azure AD DS en vervolgens gebruikers, groepen of serviceaccounts binnen deze aangepaste organisatie-eenheden. Geen van de objecten die in aangepaste OE's zijn gemaakt, worden terug gesynchroniseerd naar Azure AD. Deze objecten zijn alleen beschikbaar binnen het beheerde domein en zijn niet zichtbaar met Azure AD PowerShell-cmdlets, Microsoft Graph API of met behulp van de beheer-UI van Azure AD.
Wat is er niet gesynchroniseerd met Azure AD DS
De volgende objecten of kenmerken worden niet vanuit een on-premises AD DS gesynchroniseerd met Azure AD of Azure AD DS:
- Uitgesloten kenmerken: U kunt ervoor kiezen om bepaalde kenmerken uit te sluiten van synchronisatie met Azure AD van een on-premises AD DS omgeving met behulp van Azure AD Verbinding maken. Deze uitgesloten kenmerken zijn vervolgens niet beschikbaar in Azure AD DS.
- Groepsbeleid: Groepsbeleidsregels die zijn geconfigureerd in een on-premises AD DS worden niet gesynchroniseerd met Azure AD DS.
- Map Sysvol: De inhoud van de map Sysvol in een on-premises AD DS omgeving wordt niet gesynchroniseerd met Azure AD DS.
- Computerobjecten: Computerobjecten voor computers die zijn verbonden met een on-premises AD DS worden niet gesynchroniseerd met Azure AD DS. Deze computers hebben geen vertrouwensrelatie met het beheerde domein en behoren alleen tot de on-premises AD DS omgeving. In Azure AD DS worden alleen computerobjecten weergegeven voor computers die expliciet lid zijn van een domein in het beheerde domein.
- SidHistory-kenmerken voor gebruikers en groepen: De primaire gebruikers- en primaire groeps-SID's van een on-premises AD DS worden gesynchroniseerd met Azure AD DS. Bestaande SidHistory-kenmerken voor gebruikers en groepen worden echter niet gesynchroniseerd vanuit de on-premises AD DS naar Azure AD DS.
- Organisatie-eenheden (OE)-structuren: Organisatie-eenheden die zijn gedefinieerd in een on-premises AD DS worden niet gesynchroniseerd met Azure AD DS. Er zijn twee ingebouwde OE's in Azure AD DS: één voor gebruikers en één voor computers. Het beheerde domein heeft een platte OE-structuur. U kunt ervoor kiezen om een aangepaste OE te maken in uw beheerde domein.
Wachtwoord-hashsynchronisatie en beveiligingsoverwegingen
Wanneer u deze Azure AD DS, zijn verouderde wachtwoordhashes voor NTLM- en Kerberos-verificatie vereist. In Azure AD worden geen wachtwoorden in duidelijke tekst opgeslagen, dus deze hashes kunnen niet automatisch worden gegenereerd voor bestaande gebruikersaccounts. Na het genereren en opslaan worden NTLM- en Kerberos-compatibele wachtwoordhashes altijd versleuteld opgeslagen in Azure AD.
De versleutelingssleutels zijn uniek voor elke Azure AD-tenant. Deze hashes zijn zodanig versleuteld dat alleen Azure AD DS toegang heeft tot de ontsleutelingssleutels. Geen enkele andere service of ander onderdeel in Azure AD heeft toegang tot de ontsleutelingssleutels.
Verouderde wachtwoordhashes worden vervolgens vanuit Azure AD gesynchroniseerd naar de domeincontrollers voor een beheerd domein. De schijven voor deze beheerde domeincontrollers in Azure AD DS worden in rust versleuteld. Deze wachtwoordhashes worden op deze domeincontrollers opgeslagen en beveiligd, vergelijkbaar met de manier waarop wachtwoorden worden opgeslagen en beveiligd in een on-premises AD DS omgeving.
Voor Cloud-Only Azure AD-omgevingen moeten gebruikers hun wachtwoord opnieuw instellen/wijzigen om de vereiste wachtwoordhashes te genereren en op te slaan in Azure AD. Voor elk cloudgebruikersaccount dat is gemaakt in Azure AD nadat u Azure AD Domain Services hebt ingesteld, worden de wachtwoordhashes gegenereerd en opgeslagen in de indelingen die compatibel zijn met NTLM en Kerberos. Alle cloudgebruikersaccounts moeten hun wachtwoord wijzigen voordat ze worden gesynchroniseerd met Azure AD DS.
Voor hybride gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met behulp van Azure AD Verbinding maken, moet u Azure AD Verbinding maken configureren om wachtwoordhashes te synchroniseren in de indelingen die compatibel zijn met NTLM en Kerberos.
Volgende stappen
Zie How password hash synchronization works with Azure AD Verbinding maken (Hoe wachtwoord-hashsynchronisatie werkt met Azure AD-Verbinding maken) voor meer informatie over de details van wachtwoordsynchronisatie.
Als u aan de slag wilt Azure AD DS, maakt u een beheerd domein.