Wachtwoord hash-synchronisatie implementeren met Azure AD Connect SyncImplement password hash synchronization with Azure AD Connect sync

In dit artikel vindt u informatie die u nodig hebt om uw gebruikers wachtwoorden te synchroniseren vanuit een on-premises Active Directory-exemplaar naar een op de cloud gebaseerde Azure Active Directory (Azure AD)-exemplaar.This article provides information that you need to synchronize your user passwords from an on-premises Active Directory instance to a cloud-based Azure Active Directory (Azure AD) instance.

Hoe synchronisatie van wachtwoord-hashes werktHow password hash synchronization works

De Active Directory domein service slaat wacht woorden op in de vorm van een hash-waarde weer geven, van het werkelijke gebruikers wachtwoord.The Active Directory domain service stores passwords in the form of a hash value representation, of the actual user password. Een hash-waarde is een resultaat van een reken kundige functie ( hash-algoritme).A hash value is a result of a one-way mathematical function (the hashing algorithm). Er bestaat geen methode het resultaat van een eenzijdige functie terug te draaien naar de versie in tekst zonder opmaak van een wachtwoord.There is no method to revert the result of a one-way function to the plain text version of a password.

Als u uw wacht woord wilt synchroniseren, haalt Azure AD Connect Sync uw wacht woord-hash uit het on-premises Active Directory exemplaar.To synchronize your password, Azure AD Connect sync extracts your password hash from the on-premises Active Directory instance. Er wordt extra beveiligings verwerking toegepast op de wacht woord-hash voordat deze wordt gesynchroniseerd met de Azure Active Directory Authentication-service.Extra security processing is applied to the password hash before it is synchronized to the Azure Active Directory authentication service. Wacht woorden worden op basis van elke gebruiker en in chronologische volg orde gesynchroniseerd.Passwords are synchronized on a per-user basis and in chronological order.

De werkelijke gegevens stroom van het synchronisatie proces voor wachtwoord hash is vergelijkbaar met de synchronisatie van gebruikers gegevens.The actual data flow of the password hash synchronization process is similar to the synchronization of user data. Wacht woorden worden echter vaker gesynchroniseerd dan het standaard venster voor adreslijst synchronisatie voor andere kenmerken.However, passwords are synchronized more frequently than the standard directory synchronization window for other attributes. Het synchronisatie proces voor wacht woord-hash wordt elke twee minuten uitgevoerd.The password hash synchronization process runs every 2 minutes. U kunt de frequentie van dit proces niet wijzigen.You cannot modify the frequency of this process. Wanneer u een wacht woord synchroniseert, wordt het bestaande Cloud wachtwoord overschreven.When you synchronize a password, it overwrites the existing cloud password.

De eerste keer dat u de functie voor het synchroniseren van wacht woord-hashes inschakelt, voert het een initiële synchronisatie uit van de wacht woorden van alle gebruikers in het bereik.The first time you enable the password hash synchronization feature, it performs an initial synchronization of the passwords of all in-scope users. U kunt niet expliciet een subset van gebruikers wachtwoorden definiëren die u wilt synchroniseren.You cannot explicitly define a subset of user passwords that you want to synchronize.

Wanneer u een on-premises wacht woord wijzigt, wordt het bijgewerkte wacht woord gesynchroniseerd, meestal binnen een paar minuten.When you change an on-premises password, the updated password is synchronized, most often in a matter of minutes. Met de functie voor synchronisatie van wacht woord-hashes worden mislukte synchronisatie pogingen automatisch opnieuw geprobeerd.The password hash synchronization feature automatically retries failed synchronization attempts. Als er een fout optreedt tijdens een poging om een wacht woord te synchroniseren, wordt er een fout geregistreerd in de logboeken.If an error occurs during an attempt to synchronize a password, an error is logged in your event viewer.

De synchronisatie van een wacht woord heeft geen invloed op de gebruiker die momenteel is aangemeld.The synchronization of a password has no impact on the user who is currently signed in. De huidige Cloud service sessie wordt niet onmiddellijk beïnvloed door een gesynchroniseerde wachtwoord wijziging die plaatsvindt tijdens het aanmelden bij een Cloud service.Your current cloud service session is not immediately affected by a synchronized password change that occurs, while you are signed in, to a cloud service. Wanneer u de Cloud service echter opnieuw moet verifiëren, moet u uw nieuwe wacht woord opgeven.However, when the cloud service requires you to authenticate again, you need to provide your new password.

Een gebruiker moet hun bedrijfs referenties een tweede keer invoeren om te verifiëren bij Azure AD, ongeacht of ze zijn aangemeld bij het bedrijfs netwerk.A user must enter their corporate credentials a second time to authenticate to Azure AD, regardless of whether they're signed in to their corporate network. Dit patroon kan worden geminimaliseerd, maar als de gebruiker het selectie vakje aangemeld blijven (KMSI) inschakelt bij het aanmelden.This pattern can be minimized, however, if the user selects the Keep me signed in (KMSI) check box at sign-in. Met deze selectie wordt een sessie cookie ingesteld die de verificatie gedurende 180 dagen omzeilt.This selection sets a session cookie that bypasses authentication for 180 days. KMSI-gedrag kan worden ingeschakeld of uitgeschakeld door de Azure AD-beheerder.KMSI behavior can be enabled or disabled by the Azure AD administrator. Daarnaast kunt u wacht woorden verminderen door naadloze SSOin te scha kelen, waarbij gebruikers automatisch worden ondertekend wanneer ze zich op hun bedrijfs apparaten bevinden die zijn verbonden met uw bedrijfs netwerk.In addition, you can reduce password prompts by turning on Seamless SSO, which automatically signs users in when they are on their corporate devices connected to your corporate network.

Notitie

Wachtwoord synchronisatie wordt alleen ondersteund voor de object type gebruiker in Active Directory.Password sync is only supported for the object type user in Active Directory. Dit wordt niet ondersteund voor het object type iNetOrgPerson.It is not supported for the iNetOrgPerson object type.

Gedetailleerde beschrijving van de werking van wachtwoord-hash-synchronisatieDetailed description of how password hash synchronization works

In de volgende sectie wordt uitgelegd hoe de synchronisatie van wachtwoord-hashes werkt tussen Active Directory en Azure AD.The following section describes, in-depth, how password hash synchronization works between Active Directory and Azure AD.

Gedetailleerde wachtwoord stroom

  1. Op de AD Connect-server wordt elke twee minuten om de wacht woord-hashes (het kenmerk unicodePwd) van een DC aangevraagd.Every two minutes, the password hash synchronization agent on the AD Connect server requests stored password hashes (the unicodePwd attribute) from a DC. Deze aanvraag is via het standaard MS-DRSR- replicatie protocol dat wordt gebruikt voor het synchroniseren van gegevens tussen dc's.This request is via the standard MS-DRSR replication protocol used to synchronize data between DCs. Het service account moet repliceren Directory-wijzigingen hebben en Directory repliceren wijzigt alle AD-machtigingen (die standaard worden verleend tijdens de installatie) om de wacht woord-hashes te verkrijgen.The service account must have Replicate Directory Changes and Replicate Directory Changes All AD permissions (granted by default on installation) to obtain the password hashes.
  2. Voordat de domein controller wordt verzonden, wordt de MD4-wachtwoord-hash versleuteld met behulp van een sleutel die een MD5 -hash van de RPC-sessie sleutel en een Salt is.Before sending, the DC encrypts the MD4 password hash by using a key that is a MD5 hash of the RPC session key and a salt. Vervolgens wordt het resultaat verzonden naar de synchronisatie agent voor wacht woord-hash via RPC.It then sends the result to the password hash synchronization agent over RPC. De domein controller geeft het zout ook door aan de synchronisatie agent door gebruik te maken van het DC-replicatie protocol, zodat de agent de envelop kan ontsleutelen.The DC also passes the salt to the synchronization agent by using the DC replication protocol, so the agent will be able to decrypt the envelope.
  3. Nadat de synchronisatie agent voor wacht woord-hash de versleutelde envelop heeft, gebruikt MD5CryptoServiceProvider en het zout om een sleutel te genereren voor het ontsleutelen van de ontvangen gegevens naar de oorspronkelijke MD4-indeling.After the password hash synchronization agent has the encrypted envelope, it uses MD5CryptoServiceProvider and the salt to generate a key to decrypt the received data back to its original MD4 format. De synchronisatie agent voor wacht woord-hashes heeft nooit toegang tot het wacht woord voor lees bare tekst.The password hash synchronization agent never has access to the clear text password. Het gebruik van MD5 van de wacht woord-hash-synchronisatie agent is strikt voor compatibiliteit van replicatie protocollen met de domein controller en wordt alleen gebruikt voor lokale installaties tussen de domein controller en de synchronisatie agent voor wacht woord-hash.The password hash synchronization agent’s use of MD5 is strictly for replication protocol compatibility with the DC, and it is only used on premises between the DC and the password hash synchronization agent.
  4. De wacht woord-hash synchronisatie agent breidt de hash van het binaire wacht woord van 16 bytes naar 64 bytes door eerst de hash naar een hexadecimale teken reeks van 32 bytes te converteren en vervolgens deze teken reeks terug te converteren naar binair met UTF-16-code ring.The password hash synchronization agent expands the 16-byte binary password hash to 64 bytes by first converting the hash to a 32-byte hexadecimal string, then converting this string back into binary with UTF-16 encoding.
  5. De synchronisatie agent voor wacht woord-hashes voegt een per gebruiker zout toe, bestaande uit een Salt van 10 bytes lengte, tot het binaire 64-byte om de oorspronkelijke hash verder te beveiligen.The password hash synchronization agent adds a per user salt, consisting of a 10-byte length salt, to the 64-byte binary to further protect the original hash.
  6. De synchronisatie agent voor wacht woord-hash combineert vervolgens de MD4-hash plus het per gebruiker zout en voert deze in de functie PBKDF2 .The password hash synchronization agent then combines the MD4 hash plus the per user salt, and inputs it into the PBKDF2 function. 1000 iteraties van de hash-algoritme voor het HMAC-sha256- versleutelen worden gebruikt.1000 iterations of the HMAC-SHA256 keyed hashing algorithm are used.
  7. De wacht woord-hash synchronisatie agent neemt de resulterende 32-byte hash, voegt zowel het zout van de gebruiker als het aantal SHA256-iteraties toe (voor gebruik door Azure AD). vervolgens verzendt de teken reeks van Azure AD Connect naar Azure AD via SSL.The password hash synchronization agent takes the resulting 32-byte hash, concatenates both the per user salt and the number of SHA256 iterations to it (for use by Azure AD), then transmits the string from Azure AD Connect to Azure AD over SSL.
  8. Wanneer een gebruiker zich probeert aan te melden bij Azure AD en het wacht woord invoert, wordt het wacht woord uitgevoerd via hetzelfde MD4 + Salt + PBKDF2 + HMAC-SHA256-proces.When a user attempts to sign in to Azure AD and enters their password, the password is run through the same MD4+salt+PBKDF2+HMAC-SHA256 process. Als de resulterende hash overeenkomt met de hash die is opgeslagen in azure AD, wordt het juiste wacht woord door de gebruiker ingevoerd en geverifieerd.If the resulting hash matches the hash stored in Azure AD, the user has entered the correct password and is authenticated.

Notitie

De oorspronkelijke MD4-hash wordt niet verzonden naar Azure AD.The original MD4 hash is not transmitted to Azure AD. In plaats daarvan wordt de SHA256-hash van de oorspronkelijke MD4-hash verzonden.Instead, the SHA256 hash of the original MD4 hash is transmitted. Als de hash die is opgeslagen in azure AD wordt opgehaald, kan deze niet worden gebruikt in een on-premises Pass-the-hash-aanval.As a result, if the hash stored in Azure AD is obtained, it cannot be used in an on-premises pass-the-hash attack.

BeveiligingsoverwegingenSecurity considerations

Bij het synchroniseren van wacht woorden wordt de niet-gecodeerde versie van uw wacht woord niet weer gegeven aan de synchronisatie functie voor wachtwoord hash, naar Azure AD of een van de gekoppelde services.When synchronizing passwords, the plain-text version of your password is not exposed to the password hash synchronization feature, to Azure AD, or any of the associated services.

Gebruikers verificatie vindt plaats op basis van Azure AD in plaats van op de eigen Active Directory-instantie van de organisatie.User authentication takes place against Azure AD rather than against the organization's own Active Directory instance. De SHA256-wachtwoord gegevens die zijn opgeslagen in azure AD: een hash van de oorspronkelijke MD4-hash--is veiliger dan wat is opgeslagen in Active Directory.The SHA256 password data stored in Azure AD--a hash of the original MD4 hash--is more secure than what is stored in Active Directory. Omdat deze SHA256-hash niet kan worden ontsleuteld, kan deze niet worden teruggebracht naar de Active Directory omgeving van de organisatie en worden weer gegeven als een geldig gebruikers wachtwoord in een Pass-the-hash-aanval.Further, because this SHA256 hash cannot be decrypted, it cannot be brought back to the organization's Active Directory environment and presented as a valid user password in a pass-the-hash attack.

Overwegingen voor wachtwoord beleidPassword policy considerations

Er zijn twee typen wachtwoord beleidsregels die worden beïnvloed door het inschakelen van wachtwoord hash-synchronisatie:There are two types of password policies that are affected by enabling password hash synchronization:

  • Beleid voor wachtwoord complexiteitPassword complexity policy
  • Beleid voor wachtwoord verloopPassword expiration policy

Beleid voor wachtwoord complexiteitPassword complexity policy

Als wachtwoord hash-synchronisatie is ingeschakeld, worden de beleids regels voor wachtwoord complexiteit in uw on-premises Active Directory-exemplaar de complexiteits beleidsregels in de Cloud overschreven voor gesynchroniseerde gebruikers.When password hash synchronization is enabled, the password complexity policies in your on-premises Active Directory instance override complexity policies in the cloud for synchronized users. U kunt alle geldige wacht woorden van uw on-premises Active Directory-exemplaar gebruiken om toegang te krijgen tot Azure AD-Services.You can use all of the valid passwords from your on-premises Active Directory instance to access Azure AD services.

Notitie

Wacht woorden voor gebruikers die rechtstreeks in de Cloud zijn gemaakt, zijn nog steeds onderworpen aan wachtwoord beleid zoals gedefinieerd in de Cloud.Passwords for users that are created directly in the cloud are still subject to password policies as defined in the cloud.

Beleid voor wachtwoord verloopPassword expiration policy

Als een gebruiker zich in het bereik van de wachtwoord-hash-synchronisatie bevindt, wordt het wacht woord voor het Cloud account standaard ingesteld op nooit verlopen.If a user is in the scope of password hash synchronization, by default the cloud account password is set to Never Expire.

U kunt zich blijven aanmelden bij uw Cloud Services met behulp van een gesynchroniseerd wacht woord dat is verlopen in uw on-premises omgeving.You can continue to sign in to your cloud services by using a synchronized password that is expired in your on-premises environment. Het wacht woord voor de Cloud wordt bijgewerkt de volgende keer dat u het wacht woord in de on-premises omgeving wijzigt.Your cloud password is updated the next time you change the password in the on-premises environment.

Open bare preview-versie van de EnforceCloudPasswordPolicyForPasswordSyncedUsers -functiePublic preview of the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature

Als er gesynchroniseerde gebruikers zijn die alleen communiceren met Azure AD Integrated Services en moeten voldoen aan het beleid voor het verlopen van wacht woorden, kunt u ervoor zorgen dat ze voldoen aan het verloop beleid van uw Azure AD-wacht woord door het inschakelen van de EnforceCloudPasswordPolicyForPasswordSyncedUsers -functie.If there are synchronized users that only interact with Azure AD integrated services and must also comply with a password expiration policy, you can force them to comply with your Azure AD password expiration policy by enabling the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature.

Wanneer EnforceCloudPasswordPolicyForPasswordSyncedUsers is uitgeschakeld (dit is de standaard instelling), stelt Azure AD Connect het kenmerk PasswordPolicies van gesynchroniseerde gebruikers in op "DisablePasswordExpiration".When EnforceCloudPasswordPolicyForPasswordSyncedUsers is disabled (which is the default setting), Azure AD Connect sets the PasswordPolicies attribute of synchronized users to "DisablePasswordExpiration". Dit gebeurt telkens wanneer het wacht woord van een gebruiker wordt gesynchroniseerd en geeft Azure AD het verloop beleid voor Cloud wachtwoord voor die gebruiker te negeren.This is done every time a user's password is synchronized and instructs Azure AD to ignore the cloud password expiration policy for that user. U kunt de waarde van het kenmerk controleren met behulp van de Azure AD Power shell-module met de volgende opdracht:You can check the value of the attribute using the Azure AD PowerShell module with the following command:

(Get-AzureADUser -objectID <User Object ID>).passwordpolicies

Als u de functie EnforceCloudPasswordPolicyForPasswordSyncedUsers wilt inschakelen, voert u de volgende opdracht uit met behulp van de MSOnline Power shell-module:To enable the EnforceCloudPasswordPolicyForPasswordSyncedUsers feature, run the following command using the MSOnline PowerShell module:

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers  $true

Als deze functie is ingeschakeld, gaat Azure AD niet naar elke gesynchroniseerde gebruiker om de DisablePasswordExpiration-waarde uit het kenmerk PasswordPolicies te verwijderen.Once enabled, Azure AD does not go to each synchronized user to remove the DisablePasswordExpiration value from the PasswordPolicies attribute. In plaats daarvan wordt de waarde ingesteld op None tijdens de volgende wachtwoord synchronisatie voor elke gebruiker wanneer ze hun wacht woord wijzigen in on-premises AD.Instead, the value is set to None during the next password sync for each user when they next change their password in on-premises AD.

Het is raadzaam om EnforceCloudPasswordPolicyForPasswordSyncedUsers in te scha kelen voordat u wachtwoord-hash-synchronisatie inschakelt, zodat de eerste synchronisatie van wacht woord-hashes de DisablePasswordExpiration-waarde niet toevoegt aan het kenmerk PasswordPolicies voor de gebruikers.It is recommended to enable EnforceCloudPasswordPolicyForPasswordSyncedUsers, prior to enabling password hash sync, so that the initial sync of password hashes does not add the DisablePasswordExpiration value to the PasswordPolicies attribute for the users.

Het standaard wachtwoord beleid voor Azure AD vereist dat gebruikers elke 90 dagen hun wacht woord wijzigen.The default Azure AD password policy requires users to change their passwords every 90 days. Als uw beleid in AD ook 90 dagen is, moeten de twee beleids regels overeenkomen.If your policy in AD is also 90 days, the two policies should match. Als het AD-beleid echter niet 90 dagen is, kunt u het Azure AD-wachtwoord beleid bijwerken zodat dit overeenkomt met behulp van de set-MsolPasswordPolicy Power shell-opdracht.However, if the AD policy is not 90 days, you can update the Azure AD password policy to match by using the Set-MsolPasswordPolicy PowerShell command.

Azure AD biedt ondersteuning voor een afzonderlijk beleid voor wachtwoord verloop per geregistreerd domein.Azure AD supports a separate password expiration policy per registered domain.

Voor behoud: als er gesynchroniseerde accounts zijn die niet-verlopende wacht woorden moeten hebben in azure AD, moet u de DisablePasswordExpiration-waarde expliciet toevoegen aan het kenmerk PasswordPolicies van het gebruikers object in azure AD.Caveat: If there are synchronized accounts that need to have non-expiring passwords in Azure AD, you must explicitly add the DisablePasswordExpiration value to the PasswordPolicies attribute of the user object in Azure AD. U kunt dit doen door de volgende opdracht uit te voeren.You can do this by running the following command.

Set-AzureADUser -ObjectID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Notitie

Deze functie is nu beschikbaar in de open bare preview.This feature is in Public Preview right now.

Open bare preview van het synchroniseren van tijdelijke wacht woorden en ' wacht woord bij volgende aanmelding afdwingen 'Public Preview of synchronizing temporary passwords and "Force Password on Next Logon"

Het is gebruikelijk dat een gebruiker het wacht woord tijdens de eerste aanmelding wijzigt, met name nadat een beheerders wachtwoord opnieuw is ingesteld.It is typical to force a user to change their password during their first logon, especially after an admin password reset occurs. Het is vaak bekend als het instellen van een ' tijdelijk ' wacht woord en wordt uitgevoerd door de vlag ' gebruiker moet wacht woord bij volgende aanmelding wijzigen ' op een gebruikers object in Active Directory (AD) in te scha kelen.It is commonly known as setting a "temporary" password and is completed by checking the "User must change password at next logon" flag on a user object in Active Directory (AD).

De functionaliteit van het tijdelijke wacht woord helpt ervoor te zorgen dat de overdracht van eigendom van de referentie wordt voltooid bij het eerste gebruik, om zo de tijd te beperken dat meer dan één persoon kennis van die referentie heeft.The temporary password functionality helps to ensure that the transfer of ownership of the credential is completed on first use, to minimize the duration of time in which more than one individual has knowledge of that credential.

Ter ondersteuning van tijdelijke wacht woorden in azure AD voor gesynchroniseerde gebruikers, kunt u de functie ForcePasswordResetOnLogonFeature inschakelen door de volgende opdracht op uw Azure AD Connect server uit te voeren, waarbij u vervangt door de naam van de connector die specifiek is voor uw omgeving:To support temporary passwords in Azure AD for synchronized users, you can enable the ForcePasswordResetOnLogonFeature feature, by running the following command on your Azure AD Connect server, replacing with the connector name specific to your environment:

Set-ADSyncAADCompanyFeature -ConnectorName "<AAD Connector name>" -ForcePasswordResetOnLogonFeature $true

U kunt de volgende opdracht gebruiken om de naam van de connector te bepalen:You can use the following command to determine the connector name:

(Get-ADSyncConnector | where{$_.ListName -eq "Windows Azure Active Directory (Microsoft)"}).Name

Voor behoud: wanneer een gebruiker het wacht woord bij de volgende aanmelding moet wijzigen, moet het wacht woord tegelijkertijd worden gewijzigd.Caveat: Forcing a user to change their password on next logon requires a password change at the same time. AD Connect neemt de vlag voor het wijzigen van het wacht woord niet op zichzelf op. Dit is een aanvulling op de gedetecteerde wachtwoord wijziging die optreedt tijdens de wachtwoord-hash-synchronisatie.AD Connect will not pick up the force password change flag by itself, it is supplemental to the detected password change that occurs during password hash sync.

Waarschuwing

Als u self-service voor wachtwoord herstel (SSPR) niet inschakelt in azure AD-gebruikers, heeft dit een verwarrende ervaring wanneer ze hun wacht woord opnieuw instellen in azure AD en zich vervolgens proberen aan te melden Active Directory met het nieuwe wacht woord, omdat het nieuwe wacht woord niet geldig is in Active Directory .If you do not enable Self-service Password Reset (SSPR) in Azure AD users will have a confusing experience when they reset their password in Azure AD and then attempt to sign in in Active Directory with the new password, as the new password isn’t valid in Active Directory. U moet deze functie alleen gebruiken wanneer SSPR en wacht woord terugschrijven is ingeschakeld op de Tenant.You should only use this feature when SSPR and Password Writeback is enabled on the tenant.

Notitie

Deze functie is nu beschikbaar in de open bare preview.This feature is in Public Preview right now.

Account verloop tijdAccount expiration

Als uw organisatie gebruikmaakt van het kenmerk accountExpires als onderdeel van het beheer van gebruikers accounts, wordt dit kenmerk niet gesynchroniseerd met Azure AD.If your organization uses the accountExpires attribute as part of user account management, this attribute is not synchronized to Azure AD. Als gevolg hiervan is een verlopen Active Directory-account in een omgeving geconfigureerd voor het synchroniseren van wachtwoord-hashes nog steeds actief in azure AD.As a result, an expired Active Directory account in an environment configured for password hash synchronization will still be active in Azure AD. Het is raadzaam dat als het account is verlopen, een werk stroom actie een Power shell-script moet activeren waarmee het Azure AD-account van de gebruiker wordt uitgeschakeld (gebruik de cmdlet set-AzureADUser ).We recommend that if the account is expired, a workflow action should trigger a PowerShell script that disables the user's Azure AD account (use the Set-AzureADUser cmdlet). Als het account is ingeschakeld, moet de Azure AD-instantie daarentegen zijn ingeschakeld.Conversely, when the account is turned on, the Azure AD instance should be turned on.

Gesynchroniseerde wacht woorden overschrijvenOverwrite synchronized passwords

Een beheerder kan uw wacht woord hand matig opnieuw instellen met behulp van Windows Power shell.An administrator can manually reset your password by using Windows PowerShell.

In dit geval overschrijft het nieuwe wacht woord uw gesynchroniseerde wacht woord en worden alle wachtwoord beleidsregels die in de Cloud zijn gedefinieerd, toegepast op het nieuwe wacht woord.In this case, the new password overrides your synchronized password, and all password policies defined in the cloud are applied to the new password.

Als u uw on-premises wacht woord opnieuw wijzigt, wordt het nieuwe wacht woord gesynchroniseerd met de Cloud en wordt het hand matig bijgewerkte wacht woord overschreven.If you change your on-premises password again, the new password is synchronized to the cloud, and it overrides the manually updated password.

De synchronisatie van een wacht woord heeft geen invloed op de Azure-gebruiker die is aangemeld.The synchronization of a password has no impact on the Azure user who is signed in. De huidige Cloud service sessie wordt niet onmiddellijk beïnvloed door een gesynchroniseerde wachtwoord wijziging die optreedt wanneer u bent aangemeld bij een Cloud service.Your current cloud service session is not immediately affected by a synchronized password change that occurs while you're signed in to a cloud service. KMSI breidt de duur van dit verschil uit.KMSI extends the duration of this difference. Wanneer u de Cloud service opnieuw moet verifiëren, moet u uw nieuwe wacht woord opgeven.When the cloud service requires you to authenticate again, you need to provide your new password.

Aanvullende voor delenAdditional advantages

  • Over het algemeen is wachtwoord hash-synchronisatie eenvoudiger te implementeren dan een Federation-service.Generally, password hash synchronization is simpler to implement than a federation service. Er zijn geen extra servers nodig en elimineert de afhankelijkheid van een Maxi maal beschik bare Federation service om gebruikers te verifiëren.It doesn't require any additional servers, and eliminates dependence on a highly available federation service to authenticate users.
  • Wachtwoord hash-synchronisatie kan ook naast Federatie worden ingeschakeld.Password hash synchronization can also be enabled in addition to federation. Het kan worden gebruikt als terugval als uw Federation service een storing ondervindt.It may be used as a fallback if your federation service experiences an outage.

Wacht woord-hash-synchronisatie proces voor Azure AD Domain ServicesPassword hash sync process for Azure AD Domain Services

Als u Azure AD Domain Services gebruikt om verouderde verificatie te bieden voor toepassingen en services die Keberos, LDAP of NTLM moeten gebruiken, zijn sommige extra processen onderdeel van de synchronisatie stroom voor wacht woord-hashes.If you use Azure AD Domain Services to provide legacy authentication for applications and services that need to use Keberos, LDAP, or NTLM, some additional processes are part of the password hash synchronization flow. Azure AD Connect gebruikt het volgende proces om wacht woord-hashes te synchroniseren met Azure AD voor gebruik in Azure AD Domain Services:Azure AD Connect uses the additional following process to synchronize password hashes to Azure AD for use in Azure AD Domain Services:

Belangrijk

Azure AD Connect synchroniseert alleen verouderde wachtwoord-hashes wanneer u Azure AD DS voor uw Azure AD-Tenant inschakelt.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. De volgende stappen worden niet gebruikt als u alleen Azure AD Connect gebruikt om een on-premises AD DS omgeving te synchroniseren met Azure AD.The following steps aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Als uw verouderde toepassingen geen gebruikmaken van NTLM-verificatie of LDAP-eenvoudige bindingen, raden we u aan NTLM-wachtwoord hash-synchronisatie voor Azure AD DS uit te scha kelen.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. Zie voor meer informatie zwak coderings suites en hash-synchronisatie van NTLM-referenties uitschakelen.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

  1. Azure AD Connect haalt de open bare sleutel op voor het exemplaar van de Tenant van Azure AD Domain Services.Azure AD Connect retrieves the public key for the tenant's instance of Azure AD Domain Services.
  2. Wanneer een gebruiker het wacht woord wijzigt, slaat de on-premises domein controller het resultaat van het wijzigen van het wacht woord (hashes) op in twee kenmerken:When a user changes their password, the on-premises domain controller stores the result of the password change (hashes) in two attributes:
    • unicodePwd voor de NTLM-wachtwoord-hash.unicodePwd for the NTLM password hash.
    • supplementalCredentials voor de Kerberos-wachtwoord-hash.supplementalCredentials for the Kerberos password hash.
  3. Azure AD Connect detecteert wachtwoord wijzigingen via het Directory replicatie kanaal (kenmerk wijzigingen die moeten worden gerepliceerd naar andere domein controllers).Azure AD Connect detects password changes through the directory replication channel (attribute changes needing to replicate to other domain controllers).
  4. Azure AD Connect voert de volgende stappen uit voor elke gebruiker waarvan het wacht woord is gewijzigd:For each user whose password has changed, Azure AD Connect performs the following steps:
    • Hiermee wordt een wille keurige AES 256-bits symmetrische sleutel gegenereerd.Generates a random AES 256-bit symmetric key.
    • Hiermee wordt een wille keurige initialisatie vector gegenereerd die nodig is voor de eerste afronding van versleuteling.Generates a random initialization vector needed for the first round of encryption.
    • Extraheert Kerberos-wachtwoord-hashes uit de supplementalCredentials -kenmerken.Extracts Kerberos password hashes from the supplementalCredentials attributes.
    • Hiermee wordt de Azure AD Domain Services instelling beveiligings configuratie SyncNtlmPasswords gecontroleerd.Checks the Azure AD Domain Services security configuration SyncNtlmPasswords setting.
      • Als deze instelling is uitgeschakeld, wordt een wille keurige NTLM-hash met een hoge entropie gegenereerd (anders dan het wacht woord van de gebruiker).If this setting is disabled, generates a random, high-entropy NTLM hash (different from the user's password). Deze hash wordt vervolgens gecombineerd met de exacte Kerberos-wachtwoord-hashes van het kenmerk supplementalCrendetials in één gegevens structuur.This hash is then combined with the exacted Kerberos password hashes from the supplementalCrendetials attribute into one data structure.
      • Bij inschakeling wordt de waarde van het kenmerk unicodePwd gecombineerd met het geëxtraheerde Kerberos-wacht woord hashes van het kenmerk supplementalCredentials in één gegevens structuur.If enabled, combines the value of the unicodePwd attribute with the extracted Kerberos password hashes from the supplementalCredentials attribute into one data structure.
    • Hiermee versleutelt u de afzonderlijke gegevens structuur met de AES symmetrische sleutel.Encrypts the single data structure using the AES symmetric key.
    • Hiermee versleutelt u de AES symmetrische sleutel met de open bare sleutel van de Tenant Azure AD Domain Services.Encrypts the AES symmetric key using the tenant's Azure AD Domain Services public key.
  5. Azure AD Connect verzendt de versleutelde AES symmetrische sleutel, de versleutelde gegevens structuur met de wacht woord-hashes en de initialisatie vector naar Azure AD.Azure AD Connect transmits the encrypted AES symmetric key, the encrypted data structure containing the password hashes, and the initialization vector to Azure AD.
  6. In azure AD worden de versleutelde AES symmetrische sleutel, de versleutelde gegevens structuur en de initialisatie vector voor de gebruiker opgeslagen.Azure AD stores the encrypted AES symmetric key, the encrypted data structure, and the initialization vector for the user.
  7. Azure AD duwt de versleutelde AES symmetrische sleutel, de versleutelde gegevens structuur en de initialisatie vector met behulp van een intern synchronisatie mechanisme via een versleutelde HTTP-sessie tot Azure AD Domain Services.Azure AD pushes the encrypted AES symmetric key, the encrypted data structure, and the initialization vector using an internal synchronization mechanism over an encrypted HTTP session to Azure AD Domain Services.
  8. Azure AD Domain Services haalt de persoonlijke sleutel voor het exemplaar van de Tenant op uit de Azure-sleutel kluis.Azure AD Domain Services retrieves the private key for the tenant's instance from Azure Key vault.
  9. Azure AD Domain Services voert de volgende stappen uit voor elke versleutelde set gegevens (die de wachtwoord wijziging van één gebruiker vertegenwoordigen):For each encrypted set of data (representing a single user's password change), Azure AD Domain Services then performs the following steps:
    • Maakt gebruik van de persoonlijke sleutel voor het ontsleutelen van de AES symmetrische sleutel.Uses its private key to decrypt the AES symmetric key.
    • Maakt gebruik van de AES symmetrische sleutel met de initialisatie vector voor het ontsleutelen van de versleutelde gegevens structuur die de wacht woord-hashes bevat.Uses the AES symmetric key with the initialization vector to decrypt the encrypted data structure that contains the password hashes.
    • Schrijft de Kerberos-wachtwoord hashes die worden ontvangen naar de Azure AD Domain Services domein controller.Writes the Kerberos password hashes it receives to the Azure AD Domain Services domain controller. De hashes worden opgeslagen in het kenmerk supplementalCredentials van het gebruikers object dat is versleuteld met de open bare sleutel van de Azure AD Domain Services domein controller.The hashes are saved into the user object's supplementalCredentials attribute that is encrypted to the Azure AD Domain Services domain controller's public key.
    • Azure AD Domain Services schrijft de NTLM-wachtwoord-hash die is ontvangen naar de Azure AD Domain Services-domein controller.Azure AD Domain Services writes the NTLM password hash it received to the Azure AD Domain Services domain controller. De hash wordt opgeslagen in het kenmerk unicodePwd van het gebruikers object dat is versleuteld met de open bare sleutel van de Azure AD Domain Services domein controller.The hash is saved into the user object's unicodePwd attribute that is encrypted to the Azure AD Domain Services domain controller's public key.

Wachtwoord-hashsynchronisatie inschakelenEnable password hash synchronization

Belangrijk

Als u migreert van AD FS (of andere Federatie technologieën) naar de synchronisatie van wacht woord-hashes, wordt u ten zeerste aangeraden onze gedetailleerde implementatie handleiding te volgen die u hierhebt gepubliceerd.If you are migrating from AD FS (or other federation technologies) to Password Hash Synchronization, we highly recommend that you follow our detailed deployment guide published here.

Wanneer u Azure AD Connect installeert met de optie snelle instellingen , wordt de synchronisatie van wacht woord-hash automatisch ingeschakeld.When you install Azure AD Connect by using the Express Settings option, password hash synchronization is automatically enabled. Zie aan de slag met Azure AD Connect met behulp van snelle instellingenvoor meer informatie.For more information, see Getting started with Azure AD Connect using express settings.

Als u aangepaste instellingen gebruikt wanneer u Azure AD Connect installeert, is wachtwoord hash-synchronisatie beschikbaar op de aanmeldings pagina van de gebruiker.If you use custom settings when you install Azure AD Connect, password hash synchronization is available on the user sign-in page. Zie aangepaste installatie van Azure AD Connectvoor meer informatie.For more information, see Custom installation of Azure AD Connect.

Wachtwoord-hashsynchronisatie inschakelen

Wachtwoord hash-synchronisatie en FIPSPassword hash synchronization and FIPS

Als uw server is vergrendeld volgens de Federal Information Processing Standard (FIPS), wordt MD5 uitgeschakeld.If your server has been locked down according to Federal Information Processing Standard (FIPS), then MD5 is disabled.

Voer de volgende stappen uit om MD5 in te scha kelen voor wachtwoord hash-synchronisatie:To enable MD5 for password hash synchronization, perform the following steps:

  1. Ga naar%programfiles%\Azure AD Sync\Bin.Go to %programfiles%\Azure AD Sync\Bin.
  2. Open MIIServer. exe. config.Open miiserver.exe.config.
  3. Ga naar het knoop punt configuratie/runtime aan het einde van het bestand.Go to the configuration/runtime node at the end of the file.
  4. Voeg het volgende knoop punt toe: <enforceFIPSPolicy enabled="false"/>Add the following node: <enforceFIPSPolicy enabled="false"/>
  5. Sla uw wijzigingen op.Save your changes.

Ter referentie is dit fragment er als volgt uit te zien:For reference, this snippet is what it should look like:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Zie Azure AD Password Hash Sync, Encryption en FIPS compliance(Engelstalig) voor meer informatie over beveiliging en FIPS.For information about security and FIPS, see Azure AD password hash sync, encryption, and FIPS compliance.

Problemen met wachtwoord synchronisatie oplossenTroubleshoot password hash synchronization

Zie problemen met wachtwoord synchronisatie oplossenals u problemen ondervindt met het synchroniseren van wachtwoord-hashes.If you have problems with password hash synchronization, see Troubleshoot password hash synchronization.

Volgende stappenNext steps