Samouczek: Tworzenie i Konfigurowanie wystąpienia Azure Active Directory Domain ServicesTutorial: Create and configure an Azure Active Directory Domain Services instance

Azure Active Directory Domain Services (AD DS platformy Azure) oferuje zarządzane usługi domenowe, takie jak przyłączanie do domeny, zasady grupy, protokół LDAP, uwierzytelnianie Kerberos/NTLM, które jest w pełni zgodne z systemem Windows Server Active Directory.Azure Active Directory Domain Services (Azure AD DS) provides managed domain services such as domain join, group policy, LDAP, Kerberos/NTLM authentication that is fully compatible with Windows Server Active Directory. Te usługi domenowe są używane bez konieczności samodzielnego wdrażania kontrolerów domeny i zarządzania nimi.You consume these domain services without deploying, managing, and patching domain controllers yourself. Platforma Azure AD DS integruje się z istniejącą dzierżawą usługi Azure AD.Azure AD DS integrates with your existing Azure AD tenant. Ta Integracja umożliwia użytkownikom logowanie się przy użyciu poświadczeń firmowych, a także umożliwia korzystanie z istniejących grup i kont użytkowników w celu zabezpieczenia dostępu do zasobów.This integration lets users sign in using their corporate credentials, and you can use existing groups and user accounts to secure access to resources.

Można utworzyć domenę zarządzaną przy użyciu opcji konfiguracji domyślnej sieci i synchronizacji lub ręcznie zdefiniować te ustawienia.You can create a managed domain using default configuration options for networking and synchronization, or manually define these settings. W tym samouczku pokazano, jak za pomocą opcji domyślnych utworzyć i skonfigurować wystąpienie usługi Azure AD DS przy użyciu Azure Portal.This tutorial shows you how to use default options to create and configure an Azure AD DS instance using the Azure portal.

Ten samouczek zawiera informacje na temat wykonywania następujących czynności:In this tutorial, you learn how to:

  • Informacje o wymaganiach dotyczących systemu DNS dla domeny zarządzanejUnderstand DNS requirements for a managed domain
  • Tworzenie wystąpienia usługi Azure AD DSCreate an Azure AD DS instance
  • Włączanie synchronizacji skrótów hasełEnable password hash synchronization

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz konto.If you don't have an Azure subscription, create an account before you begin.

Wymagania wstępnePrerequisites

Do ukończenia tego samouczka potrzebne są następujące zasoby i uprawnienia:To complete this tutorial, you need the following resources and privileges:

  • Aktywna subskrypcja platformy Azure.An active Azure subscription.
  • Dzierżawa usługi Azure Active Directory skojarzona z subskrypcją, zsynchronizowana z katalogiem lokalnym lub katalogiem w chmurze.An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Aby włączyć usługę Azure AD DS, musisz mieć uprawnienia administratora globalnego w dzierżawie usługi Azure AD.You need global administrator privileges in your Azure AD tenant to enable Azure AD DS.
  • Aby utworzyć wymagane zasoby usługi Azure AD DS, musisz mieć uprawnienia współautora w ramach subskrypcji platformy Azure.You need Contributor privileges in your Azure subscription to create the required Azure AD DS resources.

Chociaż nie jest to wymagane w przypadku usługi Azure AD DS, zaleca się skonfigurowanie funkcji samoobsługowego resetowania hasła (SSPR) dla dzierżawy usługi Azure AD.Although not required for Azure AD DS, it's recommended to configure self-service password reset (SSPR) for the Azure AD tenant. Użytkownicy mogą zmieniać swoje hasła bez SSPR, ale SSPR pomagają w przypadku zapomnienia hasła i konieczności jego zresetowania.Users can change their password without SSPR, but SSPR helps if they forget their password and need to reset it.

Ważne

Po utworzeniu domeny zarządzanej AD DS platformy Azure nie można przenieść wystąpienia do innej grupy zasobów, sieci wirtualnej, subskrypcji itd. Podczas wdrażania wystąpienia usługi Azure AD DS należy zadbać o wybranie najbardziej odpowiedniej subskrypcji, grupy zasobów, regionu i sieci wirtualnej.After you create an Azure AD DS managed domain, you can't then move the instance to a different resource group, virtual network, subscription, etc. Take care to select the most appropriate subscription, resource group, region, and virtual network when you deploy the Azure AD DS instance.

Logowanie się do witryny Azure PortalSign in to the Azure portal

W tym samouczku utworzysz i skonfigurujesz wystąpienie usługi Azure AD DS przy użyciu Azure Portal.In this tutorial, you create and configure the Azure AD DS instance using the Azure portal. Aby rozpocząć, najpierw Zaloguj się do Azure Portal.To get started, first sign in to the Azure portal.

Tworzenie wystąpieniaCreate an instance

Aby uruchomić kreatora włączania Azure AD Domain Services , wykonaj następujące czynności:To launch the Enable Azure AD Domain Services wizard, complete the following steps:

  1. W menu witryny Azure Portal lub na stronie głównej wybierz pozycję Utwórz zasób.On the Azure portal menu or from the Home page, select Create a resource.
  2. Wprowadź usługi domenowe na pasku wyszukiwania, a następnie wybierz Azure AD Domain Services z sugestii wyszukiwania.Enter Domain Services into the search bar, then choose Azure AD Domain Services from the search suggestions.
  3. Na stronie Azure AD Domain Services wybierz pozycję Utwórz.On the Azure AD Domain Services page, select Create. Zostanie uruchomiony Kreator włączania Azure AD Domain Services .The Enable Azure AD Domain Services wizard is launched.
  4. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć domenę zarządzaną.Select the Azure Subscription in which you would like to create the managed domain.
  5. Wybierz grupę zasobów , do której powinna należeć domena zarządzana.Select the Resource group to which the managed domain should belong. Wybierz opcję Utwórz nową lub wybierz istniejącą grupę zasobów.Choose to Create new or select an existing resource group.

Podczas tworzenia wystąpienia usługi Azure AD DS należy określić nazwę DNS.When you create an Azure AD DS instance, you specify a DNS name. Po wybraniu tej nazwy DNS należy wziąć pod uwagę następujące kwestie:There are some considerations when you choose this DNS name:

  • Nazwa wbudowanej domeny: Domyślnie używana jest wbudowana nazwa domeny katalogu (sufiks . onmicrosoft.com ).Built-in domain name: By default, the built-in domain name of the directory is used (a .onmicrosoft.com suffix). Jeśli chcesz włączyć bezpieczny dostęp LDAP do domeny zarządzanej za pośrednictwem Internetu, nie możesz utworzyć certyfikatu cyfrowego, aby zabezpieczyć połączenie z tą domeną domyślną.If you wish to enable secure LDAP access to the managed domain over the internet, you can't create a digital certificate to secure the connection with this default domain. Firma Microsoft jest właścicielem domeny . onmicrosoft.com , więc urząd certyfikacji (CA) nie wystawia certyfikatu.Microsoft owns the .onmicrosoft.com domain, so a Certificate Authority (CA) won't issue a certificate.
  • Niestandardowe nazwy domen: Najbardziej typowym podejściem jest określenie niestandardowej nazwy domeny, która zwykle jest już posiadana i ma Routing.Custom domain names: The most common approach is to specify a custom domain name, typically one that you already own and is routable. W przypadku używania routingu, domeny niestandardowej, ruch może prawidłowo przepływać w miarę potrzeb do obsługi aplikacji.When you use a routable, custom domain, traffic can correctly flow as needed to support your applications.
  • Sufiksy domen bez routingu: Zwykle zalecamy uniknięcie sufiksu nazwy domeny bez obsługi routingu, takiego jak contoso. Local.Non-routable domain suffixes: We generally recommend that you avoid a non-routable domain name suffix, such as contoso.local. Sufiks . Local nie jest w stanie routingu i może powodować problemy z ROZPOZNAWANIEM nazw DNS.The .local suffix isn't routable and can cause issues with DNS resolution.

Porada

Jeśli utworzysz niestandardową nazwę domeny, weź pod uwagę istniejące przestrzenie nazw DNS.If you create a custom domain name, take care with existing DNS namespaces. Zalecane jest użycie nazwy domeny innej niż istniejąca lub lokalna przestrzeń nazw DNS.It's recommended to use a domain name separate from any existing Azure or on-premises DNS name space.

Na przykład jeśli masz istniejącą przestrzeń nazw DNS contoso.com, Utwórz domenę zarządzaną platformy Azure AD DS przy użyciu niestandardowej nazwy domeny aaddscontoso.com.For example, if you have an existing DNS name space of contoso.com, create an Azure AD DS managed domain with the custom domain name of aaddscontoso.com. Jeśli musisz użyć bezpiecznego protokołu LDAP, musisz zarejestrować i utworzyć niestandardową nazwę domeny w celu wygenerowania wymaganych certyfikatów.If you need to use secure LDAP, you must register and own this custom domain name to generate the required certificates.

Może być konieczne utworzenie dodatkowych rekordów DNS dla innych usług w środowisku lub warunkowych usług przesyłania dalej DNS między istniejącymi spacjami nazw DNS w danym środowisku.You may need to create some additional DNS records for other services in your environment, or conditional DNS forwarders between existing DNS name spaces in your environment. Jeśli na przykład uruchomisz serwer sieci Web, który hostuje lokację przy użyciu nazwy głównej DNS, mogą wystąpić konflikty nazw, które wymagają dodatkowych wpisów DNS.For example, if you run a webserver that hosts a site using the root DNS name, there can be naming conflicts that require additional DNS entries.

W tych samouczkach i artykułach z przewodnikiem jest używana jako krótki przykład domeny niestandardowej aaddscontoso.com .In these tutorials and how-to articles, the custom domain of aaddscontoso.com is used as a short example. We wszystkich poleceniach należy określić własną nazwę domeny.In all commands, specify your own domain name.

Obowiązują również następujące ograniczenia nazw DNS:The following DNS name restrictions also apply:

  • Ograniczenia prefiksu domeny: Nie można utworzyć domeny zarządzanej z prefiksem dłuższym niż 15 znaków.Domain prefix restrictions: You can't create a managed domain with a prefix longer than 15 characters. Prefiks określonej nazwy domeny (na przykład aaddscontoso w nazwie domeny aaddscontoso.com ) musi zawierać co najwyżej 15 znaków.The prefix of your specified domain name (such as aaddscontoso in the aaddscontoso.com domain name) must contain 15 or fewer characters.
  • Konflikty nazw sieciowych: Nazwa domeny DNS dla domeny zarządzanej nie powinna już istnieć w sieci wirtualnej.Network name conflicts: The DNS domain name for your managed domain shouldn't already exist in the virtual network. W celu sprawdzenia następujących scenariuszy, które mogłyby prowadzić do konfliktu nazw:Specifically, check for the following scenarios that would lead to a name conflict:
    • Jeśli masz już domenę Active Directory z tą samą nazwą domeny DNS w sieci wirtualnej platformy Azure.If you already have an Active Directory domain with the same DNS domain name on the Azure virtual network.
    • Jeśli sieć wirtualna, w której planujesz włączyć domenę zarządzaną, ma połączenie sieci VPN z siecią lokalną.If the virtual network where you plan to enable the managed domain has a VPN connection with your on-premises network. W tym scenariuszu upewnij się, że nie masz domeny z tą samą nazwą domeny DNS w sieci lokalnej.In this scenario, ensure you don't have a domain with the same DNS domain name on your on-premises network.
    • Jeśli masz istniejącą usługę w chmurze platformy Azure o tej nazwie w sieci wirtualnej platformy Azure.If you have an existing Azure cloud service with that name on the Azure virtual network.

Wypełnij pola w oknie podstawy Azure Portal, aby utworzyć wystąpienie usługi Azure AD DS:Complete the fields in the Basics window of the Azure portal to create an Azure AD DS instance:

  1. Wprowadź nazwę domeny DNS dla domeny zarządzanej, biorąc pod uwagę poprzednie punkty.Enter a DNS domain name for your managed domain, taking into consideration the previous points.

  2. Wybierz lokalizację platformy Azure, w której ma zostać utworzona domena zarządzana.Choose the Azure Location in which the managed domain should be created. W przypadku wybrania regionu, który obsługuje Strefy dostępności, zasoby AD DS platformy Azure są dystrybuowane między strefami w celu zapewnienia dodatkowej nadmiarowości.If you choose a region that supports Availability Zones, the Azure AD DS resources are distributed across zones for additional redundancy.

    Strefy dostępności to unikatowe fizyczne lokalizacje w regionie świadczenia usługi Azure.Availability Zones are unique physical locations within an Azure region. Każda strefa składa się z co najmniej jednego centrum danych wyposażonego w niezależne zasilanie, chłodzenie i sieć.Each zone is made up of one or more datacenters equipped with independent power, cooling, and networking. W celu zapewnienia odporności istnieją co najmniej trzy osobne strefy we wszystkich włączonych regionach.To ensure resiliency, there's a minimum of three separate zones in all enabled regions.

    Nie ma niczego do skonfigurowania na potrzeby dystrybuowania AD DS platformy Azure między strefami.There's nothing for you to configure for Azure AD DS to be distributed across zones. Platforma Azure automatycznie obsługuje dystrybucję zasobów.The Azure platform automatically handles the zone distribution of resources. Aby uzyskać więcej informacji i sprawdzić dostępność regionów, zobacz co to są strefy dostępności na platformie Azure?For more information and to see region availability, see What are Availability Zones in Azure?

  3. Jednostka SKU określa wydajność, częstotliwość tworzenia kopii zapasowych i maksymalną liczbę relacji zaufania lasów, które można utworzyć.The SKU determines the performance, backup frequency, and maximum number of forest trusts you can create. Jednostkę SKU można zmienić po utworzeniu domeny zarządzanej, jeśli Twoje wymagania biznesowe lub zmiany zostały zmienione.You can change the SKU after the managed domain has been created if your business demands or requirements change. Aby uzyskać więcej informacji, zobacz pojęcia związane z usługą Azure AD DS SKU.For more information, see Azure AD DS SKU concepts.

    Na potrzeby tego samouczka wybierz standardową jednostkę SKU.For this tutorial, select the Standard SKU.

  4. Las to konstrukcja logiczna używana przez Active Directory Domain Services do grupowania jednej lub wielu domen.A forest is a logical construct used by Active Directory Domain Services to group one or more domains. Domyślnie domena zarządzana AD DS platformy Azure jest tworzona jako Las użytkownika .By default, an Azure AD DS managed domain is created as a User forest. Ten typ lasu służy do synchronizowania wszystkich obiektów z usługi Azure AD, w tym wszystkich kont użytkowników utworzonych w środowisku lokalnym AD DS.This type of forest synchronizes all objects from Azure AD, including any user accounts created in an on-premises AD DS environment. Las zasobów synchronizuje tylko użytkowników i grupy utworzone bezpośrednio w usłudze Azure AD.A Resource forest only synchronizes users and groups created directly in Azure AD. Lasy zasobów są obecnie w wersji zapoznawczej.Resource forests are currently in preview. Aby uzyskać więcej informacji o lasach zasobów , w tym o tym, dlaczego można korzystać z jednej z nich i jak utworzyć relacje zaufania lasów z lokalnymi domenami AD DS, zobacz Omówienie lasów zasobów platformy Azure AD DS.For more information on Resource forests, including why you may use one and how to create forest trusts with on-premises AD DS domains, see Azure AD DS resource forests overview.

    Na potrzeby tego samouczka wybierz opcję utworzenia lasu użytkownika .For this tutorial, choose to create a User forest.

    Konfigurowanie ustawień podstawowych dla wystąpienia Azure AD Domain Services

Aby szybko utworzyć domenę zarządzaną platformy Azure AD DS, możesz wybrać pozycję Przegląd + Utwórz , aby zaakceptować dodatkowe opcje konfiguracji domyślnej.To quickly create an Azure AD DS managed domain, you can select Review + create to accept additional default configuration options. Po wybraniu tej opcji Utwórz konfigurowane są następujące wartości domyślne:The following defaults are configured when you choose this create option:

  • Tworzy sieć wirtualną o nazwie aadds-VNET , która używa zakresu adresów IP 10.0.2.0/24.Creates a virtual network named aadds-vnet that uses the IP address range of 10.0.2.0/24.
  • Tworzy podsieć o nazwie aadds-Subnet przy użyciu zakresu adresów IP 10.0.2.0/24.Creates a subnet named aadds-subnet using the IP address range of 10.0.2.0/24.
  • Synchronizuje wszystkich użytkowników z usługi Azure AD do domeny zarządzanej AD DS platformy Azure.Synchronizes All users from Azure AD into the Azure AD DS managed domain.

Wybierz pozycję Przegląd + Utwórz , aby zaakceptować te domyślne opcje konfiguracji.Select Review + create to accept these default configuration options.

Wdróż domenę zarządzanąDeploy the managed domain

Na stronie Podsumowanie kreatora przejrzyj ustawienia konfiguracji dla domeny zarządzanej.On the Summary page of the wizard, review the configuration settings for the managed domain. Możesz wrócić do dowolnego kroku kreatora, aby wprowadzić zmiany.You can go back to any step of the wizard to make changes. Aby ponownie wdrożyć domenę zarządzaną platformy Azure AD DS w innej dzierżawie usługi Azure AD w spójny sposób przy użyciu tych opcji konfiguracji, można również pobrać szablon do automatyzacji.To redeploy an Azure AD DS managed domain to a different Azure AD tenant in a consistent way using these configuration options, you can also Download a template for automation.

  1. Aby utworzyć domenę zarządzaną, wybierz pozycję Utwórz.To create the managed domain, select Create. Zostanie wyświetlona informacja o tym, że nie można zmienić pewnych opcji konfiguracji, takich jak nazwa DNS lub Sieć wirtualna, gdy zarządzana AD DS platformy Azure została utworzona.A note is displayed that certain configuration options such as DNS name or virtual network can't be changed once the Azure AD DS managed has been created. Aby kontynuować, wybierz przycisk OK.To continue, select OK.

  2. Proces aprowizacji domeny zarządzanej może potrwać do godziny.The process of provisioning your managed domain can take up to an hour. W portalu zostanie wyświetlone powiadomienie pokazujące postęp wdrożenia usługi Azure AD DS.A notification is displayed in the portal that shows the progress of your Azure AD DS deployment. Wybierz powiadomienie, aby zobaczyć szczegółowy postęp wdrażania.Select the notification to see detailed progress for the deployment.

    Powiadomienie w Azure Portal wdrożenia jest w toku

  3. Strona zostanie załadowana z aktualizacjami w procesie wdrażania, w tym tworzeniem nowych zasobów w katalogu.The page will load with updates on the deployment process, including the creation of new resources in your directory.

  4. Wybierz grupę zasobów, na przykład grupa zasobów, anastępnie wybierz wystąpienie AD DS platformy Azure z listy zasobów platformy Azure, takich jak aaddscontoso.com.Select your resource group, such as myResourceGroup, then choose your Azure AD DS instance from the list of Azure resources, such as aaddscontoso.com. Karta Przegląd pokazuje, że obecnie trwa wdrażaniedomeny zarządzanej.The Overview tab shows that the managed domain is currently Deploying. Nie można skonfigurować domeny zarządzanej, dopóki nie zostanie ona w pełni zainicjowana.You can't configure the managed domain until it's fully provisioned.

    Stan usług domenowych w trakcie aprowizacji

  5. Gdy domena zarządzana jest w pełni obsługiwana, na karcie Przegląd zostanie wyświetlony stan domeny jako uruchomiony.When the managed domain is fully provisioned, the Overview tab shows the domain status as Running.

    Stan usług domenowych po pomyślnym zainicjowaniu obsługi administracyjnej

Domena zarządzana jest skojarzona z dzierżawą usługi Azure AD.The managed domain is associated with your Azure AD tenant. Podczas procesu aprowizacji usługa Azure AD DS tworzy dwie aplikacje dla przedsiębiorstw o nazwie usługi kontrolera domeny i AzureActiveDirectoryDomainControllerServices w dzierżawie usługi Azure AD.During the provisioning process, Azure AD DS creates two Enterprise Applications named Domain Controller Services and AzureActiveDirectoryDomainControllerServices in the Azure AD tenant. Te aplikacje przedsiębiorstwa są konieczne do obsługi domeny zarządzanej.These Enterprise Applications are needed to service your managed domain. Nie usuwaj tych aplikacji.Don't delete these applications.

Aktualizowanie ustawień DNS dla sieci wirtualnej platformy AzureUpdate DNS settings for the Azure virtual network

Pomyślnie wdrożono usługę Azure AD DS, teraz skonfigurujesz sieć wirtualną tak, aby zezwalała na inne połączone maszyny wirtualne i aplikacje do korzystania z domeny zarządzanej.With Azure AD DS successfully deployed, now configure the virtual network to allow other connected VMs and applications to use the managed domain. Aby zapewnić tę łączność, zaktualizuj ustawienia serwera DNS dla sieci wirtualnej w taki sposób, aby wskazywały dwa adresy IP, na których wdrożono platformę Azure AD DS.To provide this connectivity, update the DNS server settings for your virtual network to point to the two IP addresses where Azure AD DS is deployed.

  1. Karta Przegląd dla domeny zarządzanej zawiera kilka wymaganych czynności konfiguracyjnych.The Overview tab for your managed domain shows some Required configuration steps. Pierwszym krokiem konfiguracji jest aktualizacja ustawień serwera DNS dla sieci wirtualnej.The first configuration step is to update DNS server settings for your virtual network. Po poprawnym skonfigurowaniu ustawień DNS ten krok nie jest już pokazywany.Once the DNS settings are correctly configured, this step is no longer shown.

    Wymienione adresy są kontrolerami domeny do użycia w sieci wirtualnej.The addresses listed are the domain controllers for use in the virtual network. W tym przykładzie te adresy to 10.0.2.4 i 10.0.2.5.In this example, those addresses are 10.0.2.4 and 10.0.2.5. Te adresy IP można później znaleźć na karcie Właściwości .You can later find these IP addresses on the Properties tab.

    Skonfiguruj ustawienia DNS dla sieci wirtualnej przy użyciu Azure AD Domain Services adresów IP

  2. Aby zaktualizować ustawienia serwera DNS dla sieci wirtualnej, wybierz przycisk Konfiguruj .To update the DNS server settings for the virtual network, select the Configure button. Ustawienia DNS są automatycznie konfigurowane dla sieci wirtualnej.The DNS settings are automatically configured for your virtual network.

Porada

Jeśli w poprzednich krokach została wybrana istniejąca sieć wirtualna, wszystkie maszyny wirtualne podłączone do sieci pobierzą nowe ustawienia DNS po ponownym uruchomieniu.If you selected an existing virtual network in the previous steps, any VMs connected to the network only get the new DNS settings after a restart. Możesz ponownie uruchomić maszyny wirtualne przy użyciu Azure Portal, Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.You can restart VMs using the Azure portal, Azure PowerShell, or the Azure CLI.

Włącz konta użytkowników dla AD DS platformy AzureEnable user accounts for Azure AD DS

Aby można było uwierzytelniać użytkowników w domenie zarządzanej, usługa Azure AD DS musi używać skrótów haseł w formacie, który jest odpowiedni dla protokołu NT LAN Manager (NTLM) i uwierzytelniania Kerberos.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NT LAN Manager (NTLM) and Kerberos authentication. Usługa Azure AD nie generuje ani nie przechowuje skrótów haseł w formacie wymaganym do uwierzytelniania NTLM lub Kerberos, dopóki nie zostanie włączona usługa Azure AD DS dla dzierżawy.Azure AD doesn't generate or store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Ze względów bezpieczeństwa usługa Azure AD nie przechowuje również żadnych poświadczeń hasła w postaci zwykłego tekstu.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. W związku z tym usługa Azure AD nie może automatycznie generować tych skrótów uwierzytelniania NTLM lub Kerberos w oparciu o istniejące poświadczenia użytkownika.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

Uwaga

Po odpowiednim skonfigurowaniu skróty do przydatnych haseł są przechowywane w domenie zarządzanej AD DS platformy Azure.Once appropriately configured, the usable password hashes are stored in the Azure AD DS managed domain. Jeśli usuniesz domenę zarządzaną platformy Azure AD DS, wszystkie skróty haseł przechowywane w tym punkcie również zostaną usunięte.If you delete the Azure AD DS managed domain, any password hashes stored at that point are also deleted. Nie można ponownie użyć synchronizowanych informacji poświadczeń w usłudze Azure AD, jeśli później utworzysz domenę zarządzaną platformy Azure AD DS — musisz ponownie skonfigurować synchronizację skrótów haseł w celu ponownego przechowywania skrótów haseł.Synchronized credential information in Azure AD can't be re-used if you later create an Azure AD DS managed domain - you must reconfigure the password hash synchronization to store the password hashes again. Wcześniej przyłączone do domeny maszyny wirtualne lub użytkownicy nie będą mogli od razu przeprowadzić uwierzytelniania — usługa Azure AD musi generować i przechowywać skróty haseł w nowej domenie zarządzanej AD DS platformy Azure.Previously domain-joined VMs or users won't be able to immediately authenticate - Azure AD needs to generate and store the password hashes in the new Azure AD DS managed domain. Aby uzyskać więcej informacji, zobacz proces synchronizacji skrótów haseł dla platformy Azure AD DS i Azure AD Connect.For more information, see Password hash sync process for Azure AD DS and Azure AD Connect.

Instrukcje generowania i przechowywania tych skrótów haseł są różne dla kont użytkowników tylko w chmurze utworzonych w usłudze Azure AD, a konta użytkowników, które są synchronizowane z katalogu lokalnego przy użyciu Azure AD Connect.The steps to generate and store these password hashes are different for cloud-only user accounts created in Azure AD versus user accounts that are synchronized from your on-premises directory using Azure AD Connect. Konto użytkownika tylko w chmurze to konto, które zostało utworzone w katalogu usługi Azure AD przy użyciu witryny Azure Portal lub poleceń cmdlet programu Azure AD PowerShell.A cloud-only user account is an account that was created in your Azure AD directory using either the Azure portal or Azure AD PowerShell cmdlets. Te konta użytkowników nie są synchronizowane z katalogu lokalnego.These user accounts aren't synchronized from an on-premises directory. W tym samouczku Przyjrzyjmy się podstawowemu kontu użytkownika tylko w chmurze.In this tutorial, let's work with a basic cloud-only user account. Aby uzyskać więcej informacji na temat dodatkowych kroków wymaganych do użycia Azure AD Connect, zobacz Synchronize hash haseł dla kont użytkowników synchronizowanych z lokalnej usługi AD do domeny zarządzanej.For more information on the additional steps required to use Azure AD Connect, see Synchronize password hashes for user accounts synced from your on-premises AD to your managed domain.

Porada

Jeśli dzierżawa usługi Azure AD ma kombinację użytkowników tylko w chmurze i użytkowników z lokalnej usługi AD, należy wykonać oba zestawy kroków.If your Azure AD tenant has a combination of cloud-only users and users from your on-premises AD, you need to complete both sets of steps.

W przypadku kont użytkowników tylko w chmurze użytkownicy muszą zmienić swoje hasła, zanim będą mogli korzystać z usługi Azure AD DS.For cloud-only user accounts, users must change their passwords before they can use Azure AD DS. Ten proces zmiany haseł powoduje generowanie w usłudze Azure AD skrótów haseł dla uwierzytelniania Kerberos i NTLM.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Konto nie jest synchronizowane z usługą Azure AD do usługi Azure AD DS, dopóki hasło nie zostanie zmienione.The account isn't synchronized from Azure AD to Azure AD DS until the password is changed. Wygasają hasła dla wszystkich użytkowników chmury w dzierżawie, którzy muszą korzystać z usługi Azure AD DS, co wymusza zmianę hasła przy następnym logowaniu lub nakazuje użytkownikom chmury ręczne zmianę haseł.Either expire the passwords for all cloud users in the tenant who need to use Azure AD DS, which forces a password change on next sign-in, or instruct cloud users to manually change their passwords. Na potrzeby tego samouczka ręcznie zmienimy hasło użytkownika.For this tutorial, let's manually change a user password.

Aby użytkownik mógł zresetować swoje hasło, dzierżawa usługi Azure AD musi być skonfigurowana do samoobsługowego resetowania hasła.Before a user can reset their password, the Azure AD tenant must be configured for self-service password reset.

Aby zmienić hasło dla użytkownika tylko w chmurze, użytkownik musi wykonać następujące czynności:To change the password for a cloud-only user, the user must complete the following steps:

  1. Przejdź do strony panelu dostępu usługi Azure AD pod https://myapps.microsoft.comadresem.Go to the Azure AD Access Panel page at https://myapps.microsoft.com.

  2. W prawym górnym rogu wybierz swoją nazwę, a następnie wybierz pozycję profil z menu rozwijanego.In the top-right corner, select your name, then choose Profile from the drop-down menu.

    Wybieranie profilu

  3. Na stronie profil wybierz pozycję Zmień hasło.On the Profile page, select Change password.

  4. Na stronie Zmienianie hasła wprowadź istniejące hasło (stare), a następnie wprowadź i Potwierdź nowe hasło.On the Change password page, enter your existing (old) password, then enter and confirm a new password.

  5. Wybierz pozycję Prześlij.Select Submit.

Po zmianie hasła nowego hasła do użycia w usłudze Azure AD DS i pomyślnym zalogowaniu się do komputerów przyłączonych do domeny zarządzanej zajmie kilka minut.It takes a few minutes after you've changed your password for the new password to be usable in Azure AD DS and to successfully sign in to computers joined to the managed domain.

Następne krokiNext steps

W niniejszym samouczku zawarto informacje na temat wykonywania następujących czynności:In this tutorial, you learned how to:

  • Informacje o wymaganiach dotyczących systemu DNS dla domeny zarządzanejUnderstand DNS requirements for a managed domain
  • Tworzenie wystąpienia usługi Azure AD DSCreate an Azure AD DS instance
  • Dodawanie użytkowników administracyjnych do zarządzania domenąAdd administrative users to domain management
  • Włącz konta użytkowników dla AD DS platformy Azure i Generuj skróty hasełEnable user accounts for Azure AD DS and generate password hashes

Przed przyłączeniem maszyn wirtualnych do domeny i wdrożeniem aplikacji korzystających z domeny zarządzanej AD DS platformy Azure Skonfiguruj sieć wirtualną platformy Azure pod kątem obciążeń aplikacji.Before you domain-join VMs and deploy applications that use the Azure AD DS managed domain, configure an Azure virtual network for application workloads.