Como os objetos e as credenciais são sincronizados em um domínio gerenciado Azure Active Directory Domain ServicesHow objects and credentials are synchronized in an Azure Active Directory Domain Services managed domain

Os objetos e as credenciais em um domínio gerenciado Azure Active Directory Domain Services (Azure AD DS) podem ser criados localmente no domínio ou sincronizados de um locatário do Azure Active Directory (AD do Azure).Objects and credentials in an Azure Active Directory Domain Services (Azure AD DS) managed domain can either be created locally within the domain, or synchronized from an Azure Active Directory (Azure AD) tenant. Ao implantar pela primeira vez o Azure AD DS, uma sincronização unidirecional automática é configurada e iniciada para replicar os objetos do Azure AD.When you first deploy Azure AD DS, an automatic one-way synchronization is configured and started to replicate the objects from Azure AD. Essa sincronização unidirecional continua a ser executada em segundo plano para manter o domínio gerenciado AD DS do Azure atualizado com qualquer alteração do Azure AD.This one-way synchronization continues to run in the background to keep the Azure AD DS managed domain up-to-date with any changes from Azure AD. Nenhuma sincronização ocorre no Azure AD DS de volta para o Azure AD.No synchronization occurs from Azure AD DS back to Azure AD.

Em um ambiente híbrido, os objetos e as credenciais de um domínio AD DS local podem ser sincronizados com o Azure AD usando Azure AD Connect.In a hybrid environment, objects and credentials from an on-premises AD DS domain can be synchronized to Azure AD using Azure AD Connect. Depois que esses objetos forem sincronizados com êxito com o Azure AD, a sincronização automática em segundo plano disponibilizará esses objetos e as credenciais para os aplicativos que usam o domínio gerenciado.Once those objects are successfully synchronized to Azure AD, the automatic background sync then makes those objects and credentials available to applications using the managed domain.

Se AD DS local e o Azure AD estiverem configurados para autenticação federada usando o ADFS, não haverá nenhum hash de senha (atual/válido) disponível no Azure DS.If on-prem AD DS and Azure AD are configured for federated authentication using ADFS then there is no (current/valid) password hash available in Azure DS. As contas de usuário do Azure AD criadas antes da autenticação alimentada foi implementada podem ter um hash de senha antigo, mas isso provavelmente não corresponde a um hash de sua senha local.Azure AD user accounts created before fed auth was implemented might have an old password hash but this likely doesn't match a hash of their on-prem password. Portanto, o Azure AD DS não conseguirá validar as credenciais dos usuários.Hence Azure AD DS won't be able to validate the users credentials.

O diagrama a seguir ilustra como funciona a sincronização entre o Azure AD DS, o Azure AD e um ambiente de AD DS local opcional:The following diagram illustrates how synchronization works between Azure AD DS, Azure AD, and an optional on-premises AD DS environment:

Visão geral de sincronização para um Azure AD Domain Services domínio gerenciado

Sincronização do Azure AD para o Azure AD DSSynchronization from Azure AD to Azure AD DS

As contas de usuário, as associações de grupo e os hashes de credenciais são sincronizados de uma maneira do Azure AD para o Azure AD DS.User accounts, group memberships, and credential hashes are synchronized one way from Azure AD to Azure AD DS. Esse processo de sincronização é automático.This synchronization process is automatic. Você não precisa configurar, monitorar ou gerenciar esse processo de sincronização.You don't need to configure, monitor, or manage this synchronization process. A sincronização inicial pode levar algumas horas a alguns dias, dependendo do número de objetos no diretório do AD do Azure.The initial synchronization may take a few hours to a couple of days, depending on the number of objects in the Azure AD directory. Após a conclusão da sincronização inicial, as alterações feitas no Azure AD, como as alterações de senha ou atributo, são sincronizadas automaticamente com o Azure AD DS.After the initial synchronization is complete, changes that are made in Azure AD, such as password or attribute changes, are then automatically synchronized to Azure AD DS.

Quando um usuário é criado no Azure AD, eles não são sincronizados com o Azure AD DS até que eles alterem sua senha no Azure AD.When a user is created in Azure AD, they're not synchronized to Azure AD DS until they change their password in Azure AD. Esse processo de alteração de senhas faz com que as hashes de senha para a autenticação Kerberos e NTLM sejam geradas e armazenadas no Azure AD.This password change process causes the password hashes for Kerberos and NTLM authentication to be generated and stored in Azure AD. Os hashes de senha são necessários para autenticar com êxito um usuário no Azure AD DS.The password hashes are needed to successfully authenticate a user in Azure AD DS.

O processo de sincronização é de uma forma/unidirecional por design.The synchronization process is one way / unidirectional by design. Não há sincronização reversa de alterações do Azure AD DS de volta para o Azure AD.There's no reverse synchronization of changes from Azure AD DS back to Azure AD. Um domínio gerenciado é amplamente somente leitura, exceto para UOs personalizadas que você pode criar.A managed domain is largely read-only except for custom OUs that you can create. Você não pode fazer alterações em atributos de usuário, senhas de usuário ou associações de grupo em um domínio gerenciado.You can't make changes to user attributes, user passwords, or group memberships within a managed domain.

Sincronização de atributos e mapeamento para o Azure AD DSAttribute synchronization and mapping to Azure AD DS

A tabela a seguir lista alguns atributos comuns e como eles são sincronizados com o Azure AD DS.The following table lists some common attributes and how they're synchronized to Azure AD DS.

Atributo no Azure AD DSAttribute in Azure AD DS FonteSource ObservaçõesNotes
UPNUPN Atributo UPN do usuário no locatário do Azure ADUser's UPN attribute in Azure AD tenant O atributo UPN do locatário do Azure AD é sincronizado no estado em que se encontra para o Azure AD DS.The UPN attribute from the Azure AD tenant is synchronized as-is to Azure AD DS. A maneira mais confiável de entrar em um domínio gerenciado é usando o UPN.The most reliable way to sign in to a managed domain is using the UPN.
SAMAccountNameSAMAccountName Atributo mailNickname do usuário no locatário do Azure ad ou gerado automaticamenteUser's mailNickname attribute in Azure AD tenant or autogenerated O atributo sAMAccountName é originado do atributo mailNickname no locatário do Azure AD.The SAMAccountName attribute is sourced from the mailNickname attribute in the Azure AD tenant. Se várias contas de usuário tiverem o mesmo atributo mailNickname , o sAMAccountName será gerado automaticamente.If multiple user accounts have the same mailNickname attribute, the SAMAccountName is autogenerated. Se o prefixo de mailNickname ou UPN do usuário tiver mais de 20 caracteres, o sAMAccountName será gerado automaticamente para atender ao limite de 20 caracteres em atributos sAMAccountName .If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is autogenerated to meet the 20 character limit on SAMAccountName attributes.
SenhasPasswords Senha do usuário do locatário do Azure ADUser's password from the Azure AD tenant Os hashes de senha herdados necessários para a autenticação NTLM ou Kerberos são sincronizados do locatário do Azure AD.Legacy password hashes required for NTLM or Kerberos authentication are synchronized from the Azure AD tenant. Se o locatário do Azure AD estiver configurado para sincronização híbrida usando Azure AD Connect, esses hashes de senha serão originados do ambiente de AD DS local.If the Azure AD tenant is configured for hybrid synchronization using Azure AD Connect, these password hashes are sourced from the on-premises AD DS environment.
SID do usuário/grupo primárioPrimary user/group SID Gerado automaticamenteAutogenerated O SID principal para contas de usuário/grupo é gerado automaticamente no Azure AD DS.The primary SID for user/group accounts is autogenerated in Azure AD DS. Esse atributo não corresponde ao SID do grupo/usuário primário do objeto em um ambiente de AD DS local.This attribute doesn't match the primary user/group SID of the object in an on-premises AD DS environment. Essa incompatibilidade ocorre porque o domínio gerenciado tem um namespace SID diferente do domínio AD DS local.This mismatch is because the managed domain has a different SID namespace than the on-premises AD DS domain.
Histórico de SID para usuários e gruposSID history for users and groups SID de usuário e grupo primário localOn-premises primary user and group SID O atributo SIDHistory para usuários e grupos no Azure AD DS é definido para corresponder ao SID de grupo ou usuário primário correspondente em um ambiente de AD DS local.The SidHistory attribute for users and groups in Azure AD DS is set to match the corresponding primary user or group SID in an on-premises AD DS environment. Esse recurso ajuda a fazer com que você tire e Shift dos aplicativos locais para o Azure AD DS mais fácil, pois não é necessário recriar a ACL de recursos.This feature helps make lift-and-shift of on-premises applications to Azure AD DS easier as you don't need to re-ACL resources.

Dica

Entre no domínio gerenciado usando o formato UPN O atributo sAMAccountName , como AADDSCONTOSO\driley , pode ser gerado automaticamente para algumas contas de usuário em um domínio gerenciado.Sign in to the managed domain using the UPN format The SAMAccountName attribute, such as AADDSCONTOSO\driley, may be auto-generated for some user accounts in a managed domain. O sAMAccountName gerado automaticamente pelos usuários pode ser diferente do prefixo UPN, portanto nem sempre é uma maneira confiável de se conectar.Users' auto-generated SAMAccountName may differ from their UPN prefix, so isn't always a reliable way to sign in.

Por exemplo, se vários usuários tiverem o mesmo atributo mailNickname ou os usuários tiverem prefixos UPN muito longos, o sAMAccountName para esses usuários poderá ser gerado automaticamente.For example, if multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. Use o formato UPN, como driley@aaddscontoso.com , para entrar de forma confiável em um domínio gerenciado.Use the UPN format, such as driley@aaddscontoso.com, to reliably sign in to a managed domain.

Mapeamento de atributos para contas de usuárioAttribute mapping for user accounts

A tabela a seguir ilustra como os atributos específicos para objetos de usuário no Azure AD são sincronizados com os atributos correspondentes no Azure AD DS.The following table illustrates how specific attributes for user objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Atributo de usuário no Azure ADUser attribute in Azure AD Atributo de usuário no Azure AD DSUser attribute in Azure AD DS
accountEnabledaccountEnabled userAccountControl (define ou limpa o bit de ACCOUNT_DISABLED)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ll
countrycountry coco
departmentdepartment departmentdepartment
displayNamedisplayName displayNamedisplayName
employeedIdemployeedId employeeIdemployeeId
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
jobTitlejobTitle títulotitle
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNicknamemailNickname SAMAccountName (às vezes pode ser gerado automaticamente)SAMAccountName (may sometimes be autogenerated)
managermanager managermanager
Serviço Móvelmobile Serviço Móvelmobile
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
passwordPoliciespasswordPolicies userAccountControl (define ou limpa o bit de DONT_EXPIRE_PASSWORD)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
postalCodepostalCode postalCodepostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
statestate stst
streetAddressstreetAddress streetAddressstreetAddress
sobrenomesurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

Mapeamento de atributo para gruposAttribute mapping for groups

A tabela a seguir ilustra como os atributos específicos para objetos de grupo no Azure AD são sincronizados com os atributos correspondentes no Azure AD DS.The following table illustrates how specific attributes for group objects in Azure AD are synchronized to corresponding attributes in Azure AD DS.

Atributo de grupo no Azure ADGroup attribute in Azure AD Atributo de grupo no Azure AD DSGroup attribute in Azure AD DS
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (às vezes pode ser gerado automaticamente)SAMAccountName (may sometimes be autogenerated)
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
objectidobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
proxyAddressesproxyAddresses proxyAddressesproxyAddresses
securityEnabledsecurityEnabled groupTypegroupType

Sincronização do AD DS local para o Azure AD e o Azure AD DSSynchronization from on-premises AD DS to Azure AD and Azure AD DS

Azure AD Connect é usado para sincronizar contas de usuário, associações de grupo e hashes de credenciais de um ambiente de AD DS local para o Azure AD.Azure AD Connect is used to synchronize user accounts, group memberships, and credential hashes from an on-premises AD DS environment to Azure AD. Os atributos de contas de usuário, como o UPN e o SID (identificador de segurança) local, são sincronizados.Attributes of user accounts such as the UPN and on-premises security identifier (SID) are synchronized. Para entrar usando o Azure AD DS, os hashes de senha herdados necessários para a autenticação NTLM e Kerberos também são sincronizados com o Azure AD.To sign in using Azure AD DS, legacy password hashes required for NTLM and Kerberos authentication are also synchronized to Azure AD.

Importante

O Azure AD Connect só deve ser instalado e configurado para sincronização com ambientes do AD DS locais.Azure AD Connect should only be installed and configured for synchronization with on-premises AD DS environments. A instalação do Azure AD Connect em um domínio gerenciado a fim de sincronizar objetos com o Azure AD não é um procedimento compatível.It's not supported to install Azure AD Connect in a managed domain to synchronize objects back to Azure AD.

Se você configurar o Write-back, as alterações do Azure AD serão sincronizadas de volta para o ambiente de AD DS local.If you configure write-back, changes from Azure AD are synchronized back to the on-premises AD DS environment. Por exemplo, se um usuário alterar sua senha usando o gerenciamento de senhas de autoatendimento do Azure AD, a senha será atualizada de volta no ambiente de AD DS local.For example, if a user changes their password using Azure AD self-service password management, the password is updated back in the on-premises AD DS environment.

Observação

Sempre use a versão mais recente do Azure AD Connect para garantir que você tenha correções para todos os bugs conhecidos.Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

Sincronização de um ambiente de várias florestas locaisSynchronization from a multi-forest on-premises environment

Muitas organizações têm um ambiente de AD DS local bastante complexo que inclui várias florestas.Many organizations have a fairly complex on-premises AD DS environment that includes multiple forests. O Azure AD Connect dá suporte à sincronização de usuários, grupos e hashes de credenciais de ambientes de várias florestas para o Azure AD.Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to Azure AD.

O Azure AD tem um namespace muito mais simples e uniforme.Azure AD has a much simpler and flat namespace. Para permitir aos usuários acessar aplicativos protegidos pelo Azure AD de forma confiável, resolva os conflitos de UPN entre contas de usuário em diferentes florestas.To enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. Os domínios gerenciados usam uma estrutura de UO simples, semelhante ao Azure AD.Managed domains use a flat OU structure, similar to Azure AD. Todas as contas de usuário e grupos são armazenados no contêiner AADDC Users , apesar de serem sincronizados de diferentes domínios ou florestas locais, mesmo que você tenha configurado uma estrutura de UO hierárquica local.All user accounts and groups are stored in the AADDC Users container, despite being synchronized from different on-premises domains or forests, even if you've configured a hierarchical OU structure on-premises. O domínio gerenciado mescla todas as estruturas de UO hierárquicas.The managed domain flattens any hierarchical OU structures.

Conforme detalhado anteriormente, não há nenhuma sincronização do Azure AD DS de volta para o Azure AD.As previously detailed, there's no synchronization from Azure AD DS back to Azure AD. Você pode criar uma UO (unidade organizacional) personalizada no Azure AD DS e, em seguida, usuários, grupos ou contas de serviço nessas UOs personalizadas.You can create a custom Organizational Unit (OU) in Azure AD DS and then users, groups, or service accounts within those custom OUs. Nenhum dos objetos criados em UOs personalizadas é sincronizado de volta para o Azure AD.None of the objects created in custom OUs are synchronized back to Azure AD. Esses objetos estão disponíveis somente dentro do domínio gerenciado e não são visíveis usando cmdlets do PowerShell do Azure AD, Microsoft Graph API ou usando a interface do usuário de gerenciamento do Azure AD.These objects are available only within the managed domain, and aren't visible using Azure AD PowerShell cmdlets, Microsoft Graph API, or using the Azure AD management UI.

O que não está sincronizado com o Azure AD DSWhat isn't synchronized to Azure AD DS

Os seguintes objetos ou atributos não são sincronizados de um ambiente de AD DS local para o Azure AD ou o Azure AD DS:The following objects or attributes aren't synchronized from an on-premises AD DS environment to Azure AD or Azure AD DS:

  • Atributos excluídos: Você pode optar por excluir determinados atributos da sincronização para o Azure AD de um ambiente de AD DS local usando Azure AD Connect.Excluded attributes: You can choose to exclude certain attributes from synchronizing to Azure AD from an on-premises AD DS environment using Azure AD Connect. Esses atributos excluídos não estão disponíveis no Azure AD DS.These excluded attributes aren't then available in Azure AD DS.
  • Políticas de Grupo: As políticas de grupo configuradas em um ambiente de AD DS local não são sincronizadas com o AD DS do Azure.Group Policies: Group Policies configured in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Pasta SYSVOL: O conteúdo da pasta SYSVOL em um ambiente de AD DS local não é sincronizado com o AD DS do Azure.Sysvol folder: The contents of the Sysvol folder in an on-premises AD DS environment aren't synchronized to Azure AD DS.
  • Objetos de computador: Objetos de computador para computadores ingressados em um ambiente de AD DS local não são sincronizados com o AD DS do Azure.Computer objects: Computer objects for computers joined to an on-premises AD DS environment aren't synchronized to Azure AD DS. Esses computadores não têm uma relação de confiança com o domínio gerenciado e só pertencem ao ambiente de AD DS local.These computers don't have a trust relationship with the managed domain and only belong to the on-premises AD DS environment. No Azure AD DS, somente os objetos de computador para computadores que ingressaram explicitamente no domínio com o domínio gerenciado são mostrados.In Azure AD DS, only computer objects for computers that have explicitly domain-joined to the managed domain are shown.
  • Atributos de SIDHistory para usuários e grupos: Os SIDs de usuário primário e grupo primário de um ambiente de AD DS local são sincronizados com o AD DS do Azure.SidHistory attributes for users and groups: The primary user and primary group SIDs from an on-premises AD DS environment are synchronized to Azure AD DS. No entanto, os atributos SIDHistory existentes para usuários e grupos não são sincronizados do ambiente de AD DS local para o Azure AD DS.However, existing SidHistory attributes for users and groups aren't synchronized from the on-premises AD DS environment to Azure AD DS.
  • Estruturas de UO (unidades organizacionais): As unidades organizacionais definidas em um ambiente de AD DS local não são sincronizadas com o AD DS do Azure.Organization Units (OU) structures: Organizational Units defined in an on-premises AD DS environment don't synchronize to Azure AD DS. Há duas UOs internas no Azure AD DS-uma para usuários e outra para computadores.There are two built-in OUs in Azure AD DS - one for users, and one for computers. O domínio gerenciado tem uma estrutura de UO simples.The managed domain has a flat OU structure. Você pode optar por criar uma UO personalizada em seu domínio gerenciado.You can choose to create a custom OU in your managed domain.

Considerações de segurança e sincronização de hash de senhaPassword hash synchronization and security considerations

Quando você habilita o Azure AD DS, os hashes de senha herdados para autenticação NTLM + Kerberos são necessários.When you enable Azure AD DS, legacy password hashes for NTLM + Kerberos authentication are required. O Azure AD não armazena senhas de texto não criptografado, portanto, esses hashes não podem ser gerados automaticamente para contas de usuário existentes.Azure AD doesn't store clear-text passwords, so these hashes can't be automatically generated for existing user accounts. Depois de gerados e armazenados, os hashes de senha compatíveis com Kerberos e NTLM são sempre armazenados de forma criptografada no Azure AD.Once generated and stored, NTLM and Kerberos compatible password hashes are always stored in an encrypted manner in Azure AD.

As chaves de criptografia são exclusivas para cada locatário do Azure AD.The encryption keys are unique to each Azure AD tenant. Esses hashes são criptografados de modo que somente o Azure AD DS tenha acesso às chaves de descriptografia.These hashes are encrypted such that only Azure AD DS has access to the decryption keys. Nenhum outro serviço ou componente no Azure AD tem acesso às chaves de descriptografia.No other service or component in Azure AD has access to the decryption keys.

Os hashes de senha herdados são então sincronizados do Azure AD para os controladores de domínio para um domínio gerenciado.Legacy password hashes are then synchronized from Azure AD into the domain controllers for a managed domain. Os discos para esses controladores de domínio gerenciados no Azure AD DS são criptografados em repouso.The disks for these managed domain controllers in Azure AD DS are encrypted at rest. Esses hashes de senha são armazenados e protegidos nesses controladores de domínio semelhantes a como as senhas são armazenadas e protegidas em um ambiente de AD DS local.These password hashes are stored and secured on these domain controllers similar to how passwords are stored and secured in an on-premises AD DS environment.

Para ambientes do Azure AD somente na nuvem, os usuários devem redefinir/alterar sua senha para que os hashes de senha necessários sejam gerados e armazenados no Azure AD.For cloud-only Azure AD environments, users must reset/change their password in order for the required password hashes to be generated and stored in Azure AD. Para qualquer conta de usuário de nuvem criada no Azure AD depois de habilitar o Azure AD Domain Services, os hashes de senha são gerados e armazenados nos formatos compatíveis com NTLM e Kerberos.For any cloud user account created in Azure AD after enabling Azure AD Domain Services, the password hashes are generated and stored in the NTLM and Kerberos compatible formats. Todas as contas de usuário de nuvem devem alterar sua senha antes que elas sejam sincronizadas com o Azure AD DS.All cloud user accounts must change their password before they're synchronized to Azure AD DS.

Para contas de usuário híbridos sincronizadas do ambiente de AD DS local usando Azure AD Connect, você deve configurar Azure ad Connect para sincronizar hashes de senha nos formatos compatíveis com NTLM e Kerberos.For hybrid user accounts synced from on-premises AD DS environment using Azure AD Connect, you must configure Azure AD Connect to synchronize password hashes in the NTLM and Kerberos compatible formats.

Próximas etapasNext steps

Para obter mais informações sobre as especificidades de sincronização de senha, consulte como funciona a sincronização de hash de senha com Azure ad Connect.For more information on the specifics of password synchronization, see How password hash synchronization works with Azure AD Connect.

Para começar a usar o Azure AD DS, crie um domínio gerenciado.To get started with Azure AD DS, create a managed domain.