Hoe objecten en referenties worden gesynchroniseerd in een Azure Active Directory Domain Services beheerd domeinHow objects and credentials are synchronized in an Azure Active Directory Domain Services managed domain

Objecten en referenties in een door Azure Active Directory Domain Services (Azure AD DS) beheerd domein kunnen lokaal in het domein worden gemaakt of worden gesynchroniseerd vanuit een Azure Active Directory-Tenant (Azure AD).Objects and credentials in an Azure Active Directory Domain Services (Azure AD DS) managed domain can either be created locally within the domain, or synchronized from an Azure Active Directory (Azure AD) tenant. Wanneer u Azure AD DS voor het eerst implementeert, wordt een automatische eenrichtings synchronisatie geconfigureerd en gestart om de objecten te repliceren vanuit Azure AD.When you first deploy Azure AD DS, an automatic one-way synchronization is configured and started to replicate the objects from Azure AD. Deze eenrichtings synchronisatie blijft actief op de achtergrond om de Azure AD DS beheerde domein up-to-date te houden met eventuele wijzigingen van Azure AD.This one-way synchronization continues to run in the background to keep the Azure AD DS managed domain up-to-date with any changes from Azure AD. Er wordt geen synchronisatie uitgevoerd vanuit Azure AD DS terug naar Azure AD.No synchronization occurs from Azure AD DS back to Azure AD.

In een hybride omgeving kunnen objecten en referenties van een on-premises AD DS domein worden gesynchroniseerd met Azure AD met behulp van Azure AD Connect.In a hybrid environment, objects and credentials from an on-premises AD DS domain can be synchronized to Azure AD using Azure AD Connect. Zodra deze objecten zijn gesynchroniseerd met Azure AD, maakt de automatische achtergrond synchronisatie deze objecten en referenties beschikbaar voor toepassingen die gebruikmaken van het beheerde domein.Once those objects are successfully synchronized to Azure AD, the automatic background sync then makes those objects and credentials available to applications using the managed domain.

In het volgende diagram ziet u hoe synchronisatie werkt tussen Azure AD DS, Azure AD en een optionele on-premises AD DS omgeving:The following diagram illustrates how synchronization works between Azure AD DS, Azure AD, and an optional on-premises AD DS environment:

Synchronisatie-overzicht voor een Azure AD Domain Services beheerd domein

Synchronisatie van Azure AD naar Azure AD DSSynchronization from Azure AD to Azure AD DS

Gebruikers accounts, groepslid maatschappen en referentie-hashes worden op één manier gesynchroniseerd vanuit Azure AD naar Azure AD DS.User accounts, group memberships, and credential hashes are synchronized one way from Azure AD to Azure AD DS. Dit synchronisatie proces wordt automatisch uitgevoerd.This synchronization process is automatic. U hoeft dit synchronisatie proces niet te configureren, te controleren of te beheren.You don't need to configure, monitor, or manage this synchronization process. Het kan enkele uren duren voordat de initiële synchronisatie is uitgevoerd, afhankelijk van het aantal objecten in de Azure AD-adres lijst.The initial synchronization may take a few hours to a couple of days, depending on the number of objects in the Azure AD directory. Wanneer de initiële synchronisatie is voltooid, worden wijzigingen die zijn aangebracht in azure AD, zoals het wijzigen van wacht woorden of kenmerken, automatisch gesynchroniseerd met Azure AD DS.After the initial synchronization is complete, changes that are made in Azure AD, such as password or attribute changes, are then automatically synchronized to Azure AD DS.

Wanneer een gebruiker wordt gemaakt in azure AD, worden ze niet gesynchroniseerd met Azure AD DS totdat ze hun wacht woord in azure AD wijzigen.When a user is created in Azure AD, they're not synchronized to Azure AD DS until they change their password in Azure AD. Door deze wachtwoordwijziging worden de wachtwoordhashes voor Kerberos- en NTLM-verificatie gegenereerd en opgeslagen in Azure AD.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. De wacht woord-hashes zijn vereist voor het verifiëren van een gebruiker in azure AD DS.The password hashes are needed to successfully authenticate a user in Azure AD DS.

Het synchronisatie proces is een manier/unidirectioneel.The synchronization process is one way / unidirectional by design. Er is geen omgekeerde synchronisatie van wijzigingen van Azure AD DS terug naar Azure AD.There's no reverse synchronization of changes from Azure AD DS back to Azure AD. Een beheerd domein heeft grotendeels het kenmerk alleen-lezen, met uitzonde ring van aangepaste organisatie-eenheden die u kunt maken.A managed domain is largely read-only except for custom OUs that you can create. U kunt geen wijzigingen aanbrengen in gebruikers kenmerken, gebruikers wachtwoorden of groepslid maatschappen binnen een beheerd domein.You can't make changes to user attributes, user passwords, or group memberships within a managed domain.

Kenmerk synchronisatie en toewijzing aan Azure AD DSAttribute synchronization and mapping to Azure AD DS

De volgende tabel bevat enkele algemene kenmerken en hoe deze worden gesynchroniseerd met Azure AD DS.The following table lists some common attributes and how they're synchronized to Azure AD DS.

Kenmerk in azure AD DSAttribute in Azure AD DS BronSource OpmerkingenNotes
UPNUPN Het UPN -kenmerk van de gebruiker in de Azure AD-TenantUser's UPN attribute in Azure AD tenant Het UPN-kenmerk van de Azure AD-Tenant wordt gesynchroniseerd naar Azure AD DS.The UPN attribute from the Azure AD tenant is synchronized as-is to Azure AD DS. De meest betrouw bare manier om u aan te melden bij een beheerd domein, is het gebruik van de UPN.The most reliable way to sign in to a managed domain is using the UPN.
SAMAccountNameSAMAccountName Het mailNickname -kenmerk van de gebruiker in azure AD-Tenant of automatisch gegenereerdUser's mailNickname attribute in Azure AD tenant or autogenerated Het kenmerk SAMAccountName wordt afgeleid van het kenmerk mailNickname in de Azure AD-Tenant.The SAMAccountName attribute is sourced from the mailNickname attribute in the Azure AD tenant. Als meerdere gebruikers accounts hetzelfde mailNickname -kenmerk hebben, wordt de SAMAccountName automatisch gegenereerd.If multiple user accounts have the same mailNickname attribute, the SAMAccountName is autogenerated. Als de mailNickname of het UPN -voor voegsel van de gebruiker langer is dan 20 tekens, wordt de SAMAccountName automatisch gegenereerd om te voldoen aan de limiet van 20 tekens voor SAMAccountName -kenmerken.If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is autogenerated to meet the 20 character limit on SAMAccountName attributes.
WachtwoordenPasswords Het wacht woord van de gebruiker van de Azure AD-TenantUser's password from the Azure AD tenant Verouderde wacht woord-hashes die zijn vereist voor NTLM-of Kerberos-verificatie, worden gesynchroniseerd vanuit de Azure AD-Tenant.Legacy password hashes required for NTLM or Kerberos authentication are synchronized from the Azure AD tenant. Als de Azure AD-Tenant is geconfigureerd voor hybride synchronisatie met Azure AD Connect, worden deze wacht woord-hashes afgeleid van de on-premises AD DS omgeving.If the Azure AD tenant is configured for hybrid synchronization using Azure AD Connect, these password hashes are sourced from the on-premises AD DS environment.
Primaire gebruikers-en groeps-SIDPrimary user/group SID Automatisch gegenereerdeAutogenerated De primaire SID voor gebruikers-en groeps accounts wordt automatisch gegenereerd in azure AD DS.The primary SID for user/group accounts is autogenerated in Azure AD DS. Dit kenmerk komt niet overeen met de primaire gebruiker/groeps-SID van het object in een on-premises AD DS omgeving.This attribute doesn't match the primary user/group SID of the object in an on-premises AD DS environment. Dit komt niet overeen omdat het beheerde domein een andere SID-naam ruimte heeft dan de on-premises AD DS domein.This mismatch is because the managed domain has a different SID namespace than the on-premises AD DS domain.
SID-geschiedenis voor gebruikers en groepenSID history for users and groups On-premises primaire gebruikers-en groeps-SIDOn-premises primary user and group SID Het kenmerk SidHistory voor gebruikers en groepen in azure AD DS is zo ingesteld dat het overeenkomt met de overeenkomstige primaire gebruiker of groeps-sid in een on-premises AD DS omgeving.The SidHistory attribute for users and groups in Azure AD DS is set to match the corresponding primary user or group SID in an on-premises AD DS environment. Deze functie helpt bij het opheffen van lift-en Shift-locaties naar Azure AD DS eenvoudiger, omdat u resources niet opnieuw moet gebruiken.This feature helps make lift-and-shift of on-premises applications to Azure AD DS easier as you don't need to re-ACL resources.

Tip

Aanmelden bij het beheerde domein met de UPN-indeling Het kenmerk SAMAccountName , zoals AADDSCONTOSO\driley , kan automatisch worden gegenereerd voor sommige gebruikers accounts in een beheerd domein.Sign in to the managed domain using the UPN format The SAMAccountName attribute, such as AADDSCONTOSO\driley, may be auto-generated for some user accounts in a managed domain. Automatische gegenereerde SAMAccountName van gebruikers kan afwijken van het UPN-voor voegsel, dus is niet altijd een betrouw bare manier om u aan te melden.Users' auto-generated SAMAccountName may differ from their UPN prefix, so isn't always a reliable way to sign in.

Als meerdere gebruikers bijvoorbeeld hetzelfde mailNickname -kenmerk hebben of gebruikers over lange UPN-voor voegsels beschikken, kunnen de SAMAccountName voor deze gebruikers automatisch worden gegenereerd.For example, if multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. Gebruik de UPN-indeling, zoals driley@aaddscontoso.com , om u op een betrouw bare manier aan te melden bij een beheerd domein.Use the UPN format, such as driley@aaddscontoso.com, to reliably sign in to a managed domain.

Kenmerk toewijzing voor gebruikers accountsAttribute mapping for user accounts

In de volgende tabel ziet u hoe specifieke kenmerken voor gebruikers objecten in azure AD worden gesynchroniseerd met de bijbehorende kenmerken in azure AD DS.The following table illustrates how specific attributes for user objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Gebruikers kenmerk in azure ADUser attribute in Azure AD Gebruikers kenmerk in azure AD DSUser attribute in Azure AD DS
accountEnabledaccountEnabled userAccountControl (Hiermee wordt de ACCOUNT_DISABLED bit ingesteld of gewist)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ll
countrycountry coco
departmentdepartment departmentdepartment
displayNamedisplayName displayNamedisplayName
employeedIdemployeedId employeeIdemployeeId
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
jobTitlejobTitle titeltitle
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNicknamemailNickname SAMAccountName (kan soms automatisch worden gegenereerd)SAMAccountName (may sometimes be autogenerated)
managermanager managermanager
mobielmobile mobielmobile
idobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier SidsidHistory
passwordPoliciespasswordPolicies userAccountControl (Hiermee wordt de DONT_EXPIRE_PASSWORD bit ingesteld of gewist)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
postalCodepostalCode postalCodepostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
staatstate stst
streetAddressstreetAddress streetAddressstreetAddress
surnamesurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

Kenmerk toewijzing voor groepenAttribute mapping for groups

In de volgende tabel ziet u hoe specifieke kenmerken voor groeps objecten in azure AD worden gesynchroniseerd met de bijbehorende kenmerken in azure AD DS.The following table illustrates how specific attributes for group objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Groeps kenmerk in azure ADGroup attribute in Azure AD Groeps kenmerk in azure AD DSGroup attribute in Azure AD DS
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (kan soms automatisch worden gegenereerd)SAMAccountName (may sometimes be autogenerated)
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
idobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier SidsidHistory
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
securityEnabledsecurityEnabled groupTypegroupType

Synchronisatie van on-premises AD DS naar Azure AD en Azure AD DSSynchronization from on-premises AD DS to Azure AD and Azure AD DS

Azure AD Connect wordt gebruikt voor het synchroniseren van gebruikers accounts, groepslid maatschappen en referentie-hashes van een on-premises AD DS omgeving naar Azure AD.Azure AD Connect is used to synchronize user accounts, group memberships, and credential hashes from an on-premises AD DS environment to Azure AD. Kenmerken van gebruikers accounts, zoals de UPN-en on-premises beveiligings-id (SID), worden gesynchroniseerd.Attributes of user accounts such as the UPN and on-premises security identifier (SID) are synchronized. Als u zich wilt aanmelden met Azure AD DS, worden verouderde wachtwoord-hashes die zijn vereist voor NTLM-en Kerberos-verificatie ook gesynchroniseerd met Azure AD.To sign in using Azure AD DS, legacy password hashes required for NTLM and Kerberos authentication are also synchronized to Azure AD.

Belangrijk

Azure AD Connect moet alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. Het installeren van Azure AD Connect in een beheerd domein om objecten weer naar Azure AD te synchroniseren, wordt niet ondersteund.It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

Als u write-back configureert, worden wijzigingen van Azure AD weer gesynchroniseerd naar de on-premises AD DS omgeving.If you configure write-back, changes from Azure AD are synchronized back to the on-premises AD DS environment. Als een gebruiker bijvoorbeeld het wacht woord wijzigt met behulp van Azure AD selfservice voor wachtwoord beheer, wordt het wacht woord opnieuw in de on-premises AD DS omgeving bijgewerkt.For example, if a user changes their password using Azure AD self-service password management, the password is updated back in the on-premises AD DS environment.

Notitie

Gebruik altijd de nieuwste versie van Azure AD Connect om ervoor te zorgen dat u oplossingen hebt voor alle bekende bugs.Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

Synchronisatie vanuit een on-premises omgeving met meerdere forestsSynchronization from a multi-forest on-premises environment

Veel organisaties hebben een tamelijk complexe on-premises AD DS omgeving die meerdere forests bevat.Many organizations have a fairly complex on-premises AD DS environment that includes multiple forests. Azure AD Connect ondersteunt het synchroniseren van gebruikers, groepen en referentie-hashes van omgevingen met meerdere forests naar Azure AD.Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to Azure AD.

Azure AD heeft een veel eenvoudiger en platte naam ruimte.Azure AD has a much simpler and flat namespace. Om gebruikers in staat te stellen om op betrouw bare wijze toegang te krijgen tot toepassingen die door Azure AD worden beveiligd, lost u UPN-conflicten op tussen gebruikers accounts inTo enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. Beheerde domeinen gebruiken een platte OE-structuur, vergelijkbaar met Azure AD.Managed domains use a flat OU structure, similar to Azure AD. Alle gebruikers accounts en-groepen worden opgeslagen in de container AADDC-gebruikers , ondanks dat ze worden gesynchroniseerd vanuit verschillende on-premises domeinen of forests, zelfs als u on-premises een hiërarchische OE-structuur hebt geconfigureerd.All user accounts and groups are stored in the AADDC Users container, despite being synchronized from different on-premises domains or forests, even if you've configured a hierarchical OU structure on-premises. Het beheerde domein Platt alle hiërarchische OU-structuren samen.The managed domain flattens any hierarchical OU structures.

Zoals eerder is beschreven, is er geen synchronisatie van Azure AD DS terug naar Azure AD.As previously detailed, there's no synchronization from Azure AD DS back to Azure AD. U kunt een aangepaste organisatie-eenheid (OE) maken in azure AD DS en vervolgens gebruikers, groepen of service accounts binnen die aangepaste organisatie-eenheden.You can create a custom Organizational Unit (OU) in Azure AD DS and then users, groups, or service accounts within those custom OUs. Geen van de objecten die zijn gemaakt in aangepaste organisatie-eenheden, worden weer gesynchroniseerd met Azure AD.None of the objects created in custom OUs are synchronized back to Azure AD. Deze objecten zijn alleen beschikbaar in het beheerde domein en zijn niet zichtbaar met behulp van Azure AD Power shell-cmdlets, Microsoft Graph-API of met de Azure AD-beheer interface.These objects are available only within the managed domain, and aren't visible using Azure AD PowerShell cmdlets, Microsoft Graph API, or using the Azure AD management UI.

Wat is niet gesynchroniseerd met Azure AD DSWhat isn't synchronized to Azure AD DS

De volgende objecten of kenmerken worden niet gesynchroniseerd van een on-premises AD DS omgeving naar Azure AD of Azure AD DS:The following objects or attributes aren't synchronized from an on-premises AD DS environment to Azure AD or Azure AD DS:

  • Uitgesloten kenmerken: U kunt ervoor kiezen om bepaalde kenmerken uit te sluiten van synchronisatie met Azure AD vanuit een on-premises AD DS omgeving met behulp van Azure AD Connect.Excluded attributes: You can choose to exclude certain attributes from synchronizing to Azure AD from an on-premises AD DS environment using Azure AD Connect. Deze uitgesloten kenmerken zijn niet beschikbaar in azure AD DS.These excluded attributes aren't then available in Azure AD DS.
  • Groeps beleid: Groeps beleid dat is geconfigureerd in een on-premises AD DS omgeving, wordt niet gesynchroniseerd met Azure AD DS.Group Policies: Group Policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Map SYSVOL: De inhoud van de map SYSVOL in een on-premises AD DS omgeving wordt niet gesynchroniseerd met Azure AD DS.Sysvol folder: The contents of the Sysvol folder in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Computer objecten: Computer objecten voor computers die zijn gekoppeld aan een on-premises AD DS omgeving worden niet gesynchroniseerd met Azure AD DS.Computer objects: Computer objects for computers joined to an on-premises AD DS environment aren't synchronized to Azure AD DS. Deze computers hebben geen vertrouwens relatie met het beheerde domein en behoren alleen tot de on-premises AD DS omgeving.These computers don't have a trust relationship with the managed domain and only belong to the on-premises AD DS environment. In azure AD DS worden alleen computer objecten weer gegeven voor computers die expliciet zijn toegevoegd aan het beheerde domein.In Azure AD DS, only computer objects for computers that have explicitly domain-joined to the managed domain are shown.
  • SidHistory-kenmerken voor gebruikers en groepen: De primaire gebruikers-en primaire groeps-Sid's van een on-premises AD DS omgeving worden gesynchroniseerd met Azure AD DS.SidHistory attributes for users and groups: The primary user and primary group SIDs from an on-premises AD DS environment are synchronized to Azure AD DS. Bestaande SidHistory -kenmerken voor gebruikers en groepen worden echter niet gesynchroniseerd van de on-premises AD DS omgeving naar Azure AD DS.However, existing SidHistory attributes for users and groups aren't synchronized from the on-premises AD DS environment to Azure AD DS.
  • Structuren van organisatie-eenheden (OE): Organisatie-eenheden gedefinieerd in een on-premises AD DS omgeving worden niet gesynchroniseerd met Azure AD DS.Organization Units (OU) structures: Organizational Units defined in an on-premises AD DS environment don't synchronize to Azure AD DS. Er zijn twee ingebouwde organisatie-eenheden in azure AD DS: een voor gebruikers, en één voor computers.There are two built-in OUs in Azure AD DS - one for users, and one for computers. Het beheerde domein heeft een platte OE-structuur.The managed domain has a flat OU structure. U kunt ervoor kiezen om een aangepaste OE in uw beheerde domein te maken.You can choose to create a custom OU in your managed domain.

Synchronisatie van wacht woord-hash en beveiligings overwegingenPassword hash synchronization and security considerations

Wanneer u Azure AD DS inschakelt, zijn verouderde wachtwoord hashes voor NTLM + Kerberos-verificatie vereist.When you enable Azure AD DS, legacy password hashes for NTLM + Kerberos authentication are required. In azure AD worden geen wacht woorden met een lees bare tekst opgeslagen. deze hashes kunnen daarom niet automatisch worden gegenereerd voor bestaande gebruikers accounts.Azure AD doesn't store clear-text passwords, so these hashes can't be automatically generated for existing user accounts. Eenmaal gegenereerde en opgeslagen NTLM-wacht woord-hashes worden altijd op een versleutelde manier opgeslagen in azure AD.Once generated and stored, NTLM and Kerberos compatible password hashes are always stored in an encrypted manner in Azure AD.

De versleutelings sleutels zijn uniek voor elke Azure AD-Tenant.The encryption keys are unique to each Azure AD tenant. Deze hashes worden zodanig versleuteld dat alleen Azure AD DS toegang heeft tot de ontsleutelings sleutels.These hashes are encrypted such that only Azure AD DS has access to the decryption keys. Geen enkele andere service of een ander onderdeel in azure AD heeft toegang tot de versleutelings sleutels.No other service or component in Azure AD has access to the decryption keys.

Verouderde wacht woord-hashes worden vervolgens vanuit Azure AD gesynchroniseerd met de domein controllers voor een beheerd domein.Legacy password hashes are then synchronized from Azure AD into the domain controllers for a managed domain. De schijven voor deze beheerde domein controllers in azure AD DS worden op rest versleuteld.The disks for these managed domain controllers in Azure AD DS are encrypted at rest. Deze wacht woord-hashes worden opgeslagen en beveiligd op deze domein controllers, vergelijkbaar met de manier waarop wacht woorden worden opgeslagen en beveiligd in een on-premises AD DS omgeving.These password hashes are stored and secured on these domain controllers similar to how passwords are stored and secured in an on-premises AD DS environment.

Voor Azure AD-omgevingen in de Cloud moeten gebruikers hun wacht woord opnieuw instellen/wijzigen om ervoor te zorgen dat de vereiste wacht woord-hashes worden gegenereerd en opgeslagen in azure AD.For cloud-only Azure AD environments, users must reset/change their password in order for the required password hashes to be generated and stored in Azure AD. Voor alle Cloud gebruikers accounts die zijn gemaakt in azure AD na het inschakelen van Azure AD Domain Services, worden de wacht woord-hashes gegenereerd en opgeslagen in de NTLM-en Kerberos-compatibele indelingen.For any cloud user account created in Azure AD after enabling Azure AD Domain Services, the password hashes are generated and stored in the NTLM and Kerberos compatible formats. Alle Cloud gebruikers accounts moeten hun wacht woord wijzigen voordat ze worden gesynchroniseerd met Azure AD DS.All cloud user accounts must change their password before they're synchronized to Azure AD DS.

Voor hybride gebruikers accounts die zijn gesynchroniseerd vanuit een on-premises AD DS omgeving met Azure AD Connect, moet u Azure AD Connect configureren voor het synchroniseren van wacht woord-hashes in de indelingen NTLM en Kerberos-compatibel.For hybrid user accounts synced from on-premises AD DS environment using Azure AD Connect, you must configure Azure AD Connect to synchronize password hashes in the NTLM and Kerberos compatible formats.

Volgende stappenNext steps

Zie hoe wacht woord-hash synchronisatie werkt met Azure AD Connectvoor meer informatie over de details van wachtwoord synchronisatie.For more information on the specifics of password synchronization, see How password hash synchronization works with Azure AD Connect.

Maak een beheerd domeinom aan de slag te gaan met Azure AD DS.To get started with Azure AD DS, create a managed domain.