Hoe objecten en referenties worden gesynchroniseerd in een beheerd domein van Azure Active Directory Domain Services

Objecten en referenties in een met Azure Active Directory Domain Services (Azure AD DS) beheerd domein kunnen lokaal binnen het domein worden gemaakt of worden gesynchroniseerd vanuit een Azure Active Directory-tenant (Azure AD). Wanneer u Azure AD DS voor de eerste keer implementeert, wordt een synchronisatie in één richting geconfigureerd en wordt begonnen met het repliceren van de objecten vanuit Azure AD. Deze synchronisatie in één richting wordt voortdurend op de achtergrond uitgevoerd om het met Azure AD DS beheerde domein up-to-date te houden met eventuele wijzigingen van Azure AD. Er vindt geen synchronisatie plaats van Azure AD DS terug naar Azure AD.

In een hybride omgeving kunnen objecten en referenties van een on-premises AD DS-domein worden gesynchroniseerd met Azure AD met behulp van Azure AD Verbinding maken. Zodra deze objecten zijn gesynchroniseerd met Azure AD, maakt de automatische achtergrondsynchronisatie deze objecten en referenties beschikbaar voor toepassingen met behulp van het beheerde domein.

Als on-premises AD DS en Azure AD zijn geconfigureerd voor federatieve verificatie met behulp van ADFS zonder wachtwoordhashsynchronisatie, of als identiteitsbeveiligingsproducten van derden en Azure AD zijn geconfigureerd voor federatieve verificatie zonder wachtwoord-hashsynchronisatie, is er geen (huidige/geldige) wachtwoord-hash beschikbaar in Azure DS. Azure AD-gebruikersaccounts die zijn gemaakt voordat fed-verificatie is geïmplementeerd, hebben mogelijk een oude wachtwoord-hash, maar dit komt waarschijnlijk niet overeen met een hash van hun on-premises wachtwoord. Daarom kan Azure AD DS de referenties van een gebruiker niet valideren.

In het volgende diagram ziet u hoe synchronisatie werkt tussen Azure AD DS, Azure AD en een optionele on-premises AD DS-omgeving:

Synchronization overview for an Azure AD Domain Services managed domain

Synchronisatie van Azure AD naar Azure AD DS

Gebruikersaccounts, groepslidmaatschappen en referentie-hashes worden één manier gesynchroniseerd van Azure AD naar Azure AD DS. Dit synchronisatieproces is automatisch. U hoeft dit synchronisatieproces niet te configureren, bewaken of beheren. De initiële synchronisatie kan enkele uren tot een paar dagen duren, afhankelijk van het aantal objecten in de Azure AD-directory. Nadat de initiële synchronisatie is voltooid, worden wijzigingen die zijn aangebracht in Azure AD, zoals wachtwoord- of kenmerkwijzigingen, automatisch gesynchroniseerd met Azure AD DS.

Wanneer een gebruiker wordt gemaakt in Azure AD, worden ze pas gesynchroniseerd met Azure AD DS als ze hun wachtwoord in Azure AD wijzigen. Door deze wachtwoordwijziging worden de wachtwoordhashes voor Kerberos- en NTLM-verificatie gegenereerd en opgeslagen in Azure AD. De wachtwoordhashes zijn nodig om een gebruiker in Azure AD DS te verifiëren.

Het synchronisatieproces is één manier/unidirectioneel per ontwerp. Er is geen omgekeerde synchronisatie van wijzigingen van Azure AD DS terug naar Azure AD. Een beheerd domein is grotendeels alleen-lezen, met uitzondering van aangepaste OE's die u kunt maken. U kunt geen wijzigingen aanbrengen in gebruikerskenmerken, gebruikerswachtwoorden of groepslidmaatschappen binnen een beheerd domein.

Kenmerksynchronisatie en toewijzing aan Azure AD DS

De volgende tabel bevat enkele algemene kenmerken en hoe ze worden gesynchroniseerd met Azure AD DS.

Kenmerk in Azure AD DS Bron Notities
UPN Upn-kenmerk van gebruiker in Azure AD-tenant Het UPN-kenmerk van de Azure AD-tenant wordt gesynchroniseerd met Azure AD DS. De meest betrouwbare manier om u aan te melden bij een beheerd domein is het gebruik van de UPN.
Samaccountname Het kenmerk mailNickname van de gebruiker in de Azure AD-tenant of automatisch gegenereerd Het kenmerk SAMAccountName is afkomstig van het kenmerk mailNickname in de Azure AD-tenant. Als meerdere gebruikersaccounts hetzelfde kenmerk mailNickname hebben, wordt de SAMAccountName automatisch gegenereerd. Als het mailNickname - of UPN-voorvoegsel van de gebruiker langer is dan 20 tekens, wordt de SAMAccountName automatisch gegenereerd om te voldoen aan de limiet van 20 tekens voor SAMAccountName-kenmerken .
Wachtwoorden Het wachtwoord van de gebruiker van de Azure AD-tenant Verouderde wachtwoordhashes die vereist zijn voor NTLM- of Kerberos-verificatie, worden gesynchroniseerd vanuit de Azure AD-tenant. Als de Azure AD-tenant is geconfigureerd voor hybride synchronisatie met behulp van Azure AD Verbinding maken, worden deze wachtwoordhashes afkomstig uit de on-premises AD DS-omgeving.
Primaire sid van gebruiker/groep Automatisch gegenereerd De primaire SID voor gebruikers-/groepsaccounts wordt automatisch gegenereerd in Azure AD DS. Dit kenmerk komt niet overeen met de primaire sid van de gebruiker/groep van het object in een on-premises AD DS-omgeving. Dit komt niet overeen omdat het beheerde domein een andere SID-naamruimte heeft dan het on-premises AD DS-domein.
SID-geschiedenis voor gebruikers en groepen On-premises primaire gebruikers- en groeps-SID Het sidhistory-kenmerk voor gebruikers en groepen in Azure AD DS is ingesteld op overeenstemming met de bijbehorende primaire gebruiker of groeps-SID in een on-premises AD DS-omgeving. Met deze functie kunt u de lift-and-shift van on-premises toepassingen naar Azure AD DS eenvoudiger maken, omdat u geen ACL-resources opnieuw hoeft te maken.

Tip

Aanmelden bij het beheerde domein met behulp van de UPN-indeling Het kenmerk SAMAccountName , zoals AADDSCONTOSO\driley, kan automatisch worden gegenereerd voor sommige gebruikersaccounts in een beheerd domein. De automatisch gegenereerde SAMAccountName van gebruikers kan afwijken van hun UPN-voorvoegsel, dus is niet altijd een betrouwbare manier om u aan te melden.

Als meerdere gebruikers bijvoorbeeld hetzelfde kenmerk mailNickname hebben of als gebruikers te lang UPN-voorvoegsels hebben, worden de SAMAccountName voor deze gebruikers mogelijk automatisch gegenereerd. Gebruik de UPN-indeling, zoals driley@aaddscontoso.com, om u betrouwbaar aan te melden bij een beheerd domein.

Kenmerktoewijzing voor gebruikersaccounts

In de volgende tabel ziet u hoe specifieke kenmerken voor gebruikersobjecten in Azure AD worden gesynchroniseerd met overeenkomende kenmerken in Azure AD DS.

Gebruikerskenmerk in Azure AD Gebruikerskenmerk in Azure AD DS
accountEnabled userAccountControl (hiermee wordt de ACCOUNT_DISABLED bit ingesteld of gewist)
city l
companyName companyName
country co
department department
displayName displayName
employeeId employeeId
facsimileTelephoneNumber facsimileTelephoneNumber
givenName givenName
jobTitle titel
mail mail
mailNickname msDS-AzureADMailNickname
mailNickname SAMAccountName (soms automatisch gegenereerd)
manager manager
mobiel mobiel
objectid msDS-aadObjectId
onPremiseSecurityIdentifier Sidhistory
passwordPolicies userAccountControl (hiermee wordt de DONT_EXPIRE_PASSWORD bit ingesteld of gewist)
physicalDeliveryOfficeName physicalDeliveryOfficeName
postalCode postalCode
preferredLanguage preferredLanguage
proxyAddresses proxyAddresses
staat st
streetAddress streetAddress
surname sn
telephoneNumber telephoneNumber
userPrincipalName userPrincipalName

Kenmerktoewijzing voor groepen

In de volgende tabel ziet u hoe specifieke kenmerken voor groepsobjecten in Azure AD worden gesynchroniseerd met overeenkomende kenmerken in Azure AD DS.

Groepskenmerk in Azure AD Groepskenmerk in Azure AD DS
displayName displayName
displayName SAMAccountName (soms automatisch gegenereerd)
mail mail
mailNickname msDS-AzureADMailNickname
objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier Sidhistory
proxyAddresses proxyAddresses
securityEnabled groupType

Synchronisatie van on-premises AD DS naar Azure AD en Azure AD DS

Azure AD-Verbinding maken wordt gebruikt voor het synchroniseren van gebruikersaccounts, groepslidmaatschappen en referentie-hashes van een on-premises AD DS-omgeving naar Azure AD. Kenmerken van gebruikersaccounts, zoals de UPN en de on-premises beveiligings-id (SID), worden gesynchroniseerd. Als u zich wilt aanmelden met Behulp van Azure AD DS, worden verouderde wachtwoordhashes die vereist zijn voor NTLM- en Kerberos-verificatie ook gesynchroniseerd met Azure AD.

Belangrijk

Azure AD Connect moet alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het installeren van Azure AD Connect in een beheerd domein om objecten weer naar Azure AD te synchroniseren, wordt niet ondersteund.

Als u write-back configureert, worden wijzigingen van Azure AD gesynchroniseerd met de on-premises AD DS-omgeving. Als een gebruiker bijvoorbeeld het wachtwoord wijzigt met behulp van selfservicewachtwoordbeheer van Azure AD, wordt het wachtwoord weer bijgewerkt in de on-premises AD DS-omgeving.

Notitie

Gebruik altijd de nieuwste versie van Azure AD Verbinding maken om ervoor te zorgen dat u oplossingen hebt voor alle bekende bugs.

Synchronisatie vanuit een on-premises omgeving met meerdere forests

Veel organisaties hebben een vrij complexe on-premises AD DS-omgeving met meerdere forests. Azure AD-Verbinding maken ondersteunt het synchroniseren van gebruikers, groepen en referentie-hashes van omgevingen met meerdere forests naar Azure AD.

Azure AD heeft een veel eenvoudigere en platte naamruimte. Om gebruikers in staat te stellen op betrouwbare wijze toegang te krijgen tot toepassingen die worden beveiligd door Azure AD, lost u UPN-conflicten op tussen gebruikersaccounts in verschillende forests. Beheerde domeinen maken gebruik van een platte OE-structuur, vergelijkbaar met Azure AD. Alle gebruikersaccounts en -groepen worden opgeslagen in de AADDC-gebruikerscontainer , ondanks dat ze worden gesynchroniseerd vanuit verschillende on-premises domeinen of forests, zelfs als u een hiërarchische organisatie-eenheidsstructuur on-premises hebt geconfigureerd. Het beheerde domein platt eventuele hiërarchische organisatie-eenheidsstructuren af.

Zoals eerder beschreven, is er geen synchronisatie van Azure AD DS naar Azure AD. U kunt een aangepaste organisatie-eenheid (OE) maken in Azure AD DS en vervolgens gebruikers, groepen of serviceaccounts binnen deze aangepaste organisatie-eenheden. Geen van de objecten die in aangepaste OE's zijn gemaakt, worden gesynchroniseerd met Azure AD. Deze objecten zijn alleen beschikbaar binnen het beheerde domein en zijn niet zichtbaar met Behulp van Azure AD PowerShell-cmdlets, Microsoft Graph API of met behulp van de gebruikersinterface van Azure AD-beheer.

Wat is niet gesynchroniseerd met Azure AD DS

De volgende objecten of kenmerken worden niet gesynchroniseerd vanuit een on-premises AD DS-omgeving naar Azure AD of Azure AD DS:

  • Uitgesloten kenmerken: U kunt ervoor kiezen om bepaalde kenmerken uit te sluiten van synchronisatie naar Azure AD vanuit een on-premises AD DS-omgeving met behulp van Azure AD Verbinding maken. Deze uitgesloten kenmerken zijn dan niet beschikbaar in Azure AD DS.
  • Groepsbeleid: Groepsbeleid dat is geconfigureerd in een on-premises AD DS-omgeving, wordt niet gesynchroniseerd met Azure AD DS.
  • Sysvol-map: De inhoud van de map Sysvol in een on-premises AD DS-omgeving wordt niet gesynchroniseerd met Azure AD DS.
  • Computerobjecten: Computerobjecten voor computers die zijn gekoppeld aan een on-premises AD DS-omgeving, worden niet gesynchroniseerd met Azure AD DS. Deze computers hebben geen vertrouwensrelatie met het beheerde domein en behoren alleen tot de on-premises AD DS-omgeving. In Azure AD DS worden alleen computerobjecten weergegeven voor computers die expliciet lid zijn van een domein aan het beheerde domein.
  • SidHistory-kenmerken voor gebruikers en groepen: De primaire gebruikers- en primaire groeps-SID's uit een on-premises AD DS-omgeving worden gesynchroniseerd met Azure AD DS. Bestaande SidHistory-kenmerken voor gebruikers en groepen worden echter niet gesynchroniseerd vanuit de on-premises AD DS-omgeving naar Azure AD DS.
  • Organisatie-eenheden (OE)-structuren: Organisatie-eenheden die zijn gedefinieerd in een on-premises AD DS-omgeving, worden niet gesynchroniseerd met Azure AD DS. Er zijn twee ingebouwde OE's in Azure AD DS: één voor gebruikers en één voor computers. Het beheerde domein heeft een platte OE-structuur. U kunt ervoor kiezen om een aangepaste organisatie-eenheid te maken in uw beheerde domein.

Synchronisatie- en beveiligingsoverwegingen voor wachtwoord-hash

Wanneer u Azure AD DS inschakelt, zijn verouderde wachtwoordhashes voor NTLM + Kerberos-verificatie vereist. In Azure AD worden geen duidelijke wachtwoorden opgeslagen, zodat deze hashes niet automatisch kunnen worden gegenereerd voor bestaande gebruikersaccounts. Zodra deze zijn gegenereerd en opgeslagen, worden NTLM- en Kerberos-compatibele wachtwoordhashes altijd versleuteld opgeslagen in Azure AD.

De versleutelingssleutels zijn uniek voor elke Azure AD-tenant. Deze hashes worden versleuteld, zodat alleen Azure AD DS toegang heeft tot de ontsleutelingssleutels. Geen andere service of onderdeel in Azure AD heeft toegang tot de ontsleutelingssleutels.

Verouderde wachtwoordhashes worden vervolgens vanuit Azure AD gesynchroniseerd met de domeincontrollers voor een beheerd domein. De schijven voor deze beheerde domeincontrollers in Azure AD DS worden in rust versleuteld. Deze wachtwoordhashes worden opgeslagen en beveiligd op deze domeincontrollers, vergelijkbaar met de manier waarop wachtwoorden worden opgeslagen en beveiligd in een on-premises AD DS-omgeving.

Voor azure AD-omgevingen in de cloud moeten gebruikers hun wachtwoord opnieuw instellen/wijzigen om ervoor te zorgen dat de vereiste wachtwoordhashes worden gegenereerd en opgeslagen in Azure AD. Voor elk cloudgebruikersaccount dat is gemaakt in Azure AD nadat Azure AD Domain Services is ingeschakeld, worden de wachtwoordhashes gegenereerd en opgeslagen in de compatibele indelingen NTLM en Kerberos. Alle cloudgebruikersaccounts moeten hun wachtwoord wijzigen voordat ze worden gesynchroniseerd met Azure AD DS.

Voor hybride gebruikersaccounts die zijn gesynchroniseerd vanuit een on-premises AD DS-omgeving met behulp van Azure AD Verbinding maken, moet u Azure AD-Verbinding maken configureren om wachtwoordhashes te synchroniseren in de compatibele NTLM- en Kerberos-indelingen.

Volgende stappen

Zie Hoe wachtwoord-hashsynchronisatie werkt met Azure AD Verbinding maken voor meer informatie over de specifieke kenmerken van wachtwoordsynchronisatie.

Maak een beheerd domein om aan de slag te gaan met Azure AD DS.