Tutorial: Habilitar sincronização de senha no Azure Active Directory Domain Services para ambientes híbridosTutorial: Enable password synchronization in Azure Active Directory Domain Services for hybrid environments

Para ambientes híbridos, um locatário do Azure AD (Active Directory) pode ser configurado para sincronizar com um ambiente AD DS (Active Directory Domain Services) local usando o Azure AD Connect.For hybrid environments, an Azure Active Directory (Azure AD) tenant can be configured to synchronize with an on-premises Active Directory Domain Services (AD DS) environment using Azure AD Connect. Por padrão, o Azure AD Connect não sincroniza os hashes de senha do NTLM (NT LAN Manager) herdado e do Kerberos necessários para o Azure AD DS (Azure Active Directory Domain Services).By default, Azure AD Connect doesn't synchronize legacy NT LAN Manager (NTLM) and Kerberos password hashes that are needed for Azure Active Directory Domain Services (Azure AD DS).

Para usar o Azure AD DS com contas sincronizadas de um ambiente do AD DS local, é necessário configurar o Azure AD Connect para sincronizar esses hashes de senha necessários para a autenticação do NTLM e do Kerberos.To use Azure AD DS with accounts synchronized from an on-premises AD DS environment, you need to configure Azure AD Connect to synchronize those password hashes required for NTLM and Kerberos authentication. Depois que o Azure AD Connect é configurado, uma criação de conta ou evento de alteração de senha local também sincroniza os hashes de senha herdados com o Azure AD.After Azure AD Connect is configured, an on-premises account creation or password change event also then synchronizes the legacy password hashes to Azure AD.

Você não precisará seguir estas etapas se usar contas somente de nuvem sem nenhum ambiente do AD DS local.You don't need to perform these steps if you use cloud-only accounts with no on-premises AD DS environment.

Neste tutorial, você aprenderá:In this tutorial, you learn:

  • Por que são necessários hashes de senha herdada do Kerberos e NTLMWhy legacy NTLM and Kerberos password hashes are needed
  • Como configurar a sincronização de hash de senha herdada para o Azure AD ConnectHow to configure legacy password hash synchronization for Azure AD Connect

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.If you don’t have an Azure subscription, create an account before you begin.

Pré-requisitosPrerequisites

Para concluir este tutorial, você precisará dos seguintes recursos:To complete this tutorial, you need the following resources:

Sincronização de hash de senha usando o Azure AD ConnectPassword hash synchronization using Azure AD Connect

O Azure AD Connect é usado para sincronizar objetos como grupos e contas e usuário de um ambiente do AD DS local com um locatário do Azure AD.Azure AD Connect is used to synchronize objects like user accounts and groups from an on-premises AD DS environment into an Azure AD tenant. Como parte do processo, a sincronização do hash de senha permite que as contas usem a mesma senha no ambiente do AD DS local e o Azure AD.As part of the process, password hash synchronization enables accounts to use the same password in the on-prem AD DS environment and Azure AD.

Para autenticar os usuários no domínio gerenciado, o Azure AD DS precisa de hashes de senha em um formato adequado para a autenticação NTLM e Kerberos.To authenticate users on the managed domain, Azure AD DS needs password hashes in a format that's suitable for NTLM and Kerberos authentication. O Azure AD não armazena hashes de senha no formato necessário para a autenticação NTLM ou Kerberos, até que você habilite o Azure AD DS para seu locatário.Azure AD doesn't store password hashes in the format that's required for NTLM or Kerberos authentication until you enable Azure AD DS for your tenant. Por motivos de segurança, o Azure AD também não armazena credenciais de senha no formato de texto não criptografado.For security reasons, Azure AD also doesn't store any password credentials in clear-text form. Portanto, o Azure AD não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.Therefore, Azure AD can't automatically generate these NTLM or Kerberos password hashes based on users' existing credentials.

O Azure AD Connect pode ser configurado para sincronizar os hashes de senha NTLM ou Kerberos necessários para Azure AD DS.Azure AD Connect can be configured to synchronize the required NTLM or Kerberos password hashes for Azure AD DS. Lembre-se de concluir as etapas para habilitar o Azure AD Connect para sincronização de hash de senha.Make sure that you have completed the steps to enable Azure AD Connect for password hash synchronization. Se você tiver uma instância existente do Azure AD Connect, baixe e atualize para a versão mais recente para verificar se poderá sincronizar os hashes de senha herdados do NTLM e Kerberos.If you had an existing instance of Azure AD Connect, download and update to the latest version to make sure you can synchronize the legacy password hashes for NTLM and Kerberos. Essa funcionalidade não está disponível em versões anteriores do Azure AD Connect ou com a ferramenta DirSync herdada.This functionality isn't available in early releases of Azure AD Connect or with the legacy DirSync tool. A versão 1.1.614.0 ou superior do Azure AD Connect é necessária.Azure AD Connect version 1.1.614.0 or later is required.

Habilitar sincronização de hashes de senhaEnable synchronization of password hashes

Com o Azure AD Connect instalado e configurado para sincronizar com o Azure AD, agora configure a sincronização de hash de senha herdado do NTLM e Kerberos.With Azure AD Connect installed and configured to synchronize with Azure AD, now configure the legacy password hash sync for NTLM and Kerberos. Um script do PowerShell é usado para configurar as configurações necessárias e, em seguida, iniciar a sincronização de senha completa com o Azure AD.A PowerShell script is used to configure the required settings and then start a full password synchronization to Azure AD. Quando o processo de sincronização de hash de senha do Azure AD Connect for concluído, os usuários poderão entrar nos aplicativos por meio do Azure AD DS que usam os hashes de senha herdados do NTLM ou Kerberos.When that Azure AD Connect password hash synchronization process is complete, users can sign in to applications through Azure AD DS that use legacy NTLM or Kerberos password hashes.

  1. No computador com o Azure AD Connect instalado, no menu Iniciar, abra o Azure AD Connect > Serviço de Sincronização.On the computer with Azure AD Connect installed, from the Start menu, open the Azure AD Connect > Synchronization Service.

  2. Selecione a guia Conectores. As informações de conexão usadas para estabelecer a sincronização entre o ambiente do AD DS local e o Azure AD são listadas.Select the Connectors tab. The connection information used to establish the synchronization between the on-premises AD DS environment and Azure AD are listed.

    O Tipo indica o Microsoft Azure Active Directory do conector do Azure AD ou o Active Directory Domain Services do conector do AD DS local.The Type indicates either Windows Azure Active Directory (Microsoft) for the Azure AD connector or Active Directory Domain Services for the on-premises AD DS connector. Anota os nomes de conector a serem usados no script do PowerShell na próxima etapa.Make a note of the connector names to use in the PowerShell script in the next step.

    Listar os nomes de conector no Sync Service Manager

    Nesta captura de tela de exemplo, os conectores a seguir são usados:In this example screenshot, the following connectors are used:

    • O conector do Azure AD é denominado contoso.onmicrosoft.com – AADThe Azure AD connector is named contoso.onmicrosoft.com - AAD
    • O conector do AD DS local é denominado onprem.contoso.comThe on-premises AD DS connector is named onprem.contoso.com
  3. Copie e cole o seguinte script do PowerShell no computador com o Azure AD Connect instalado.Copy and paste the following PowerShell script to the computer with Azure AD Connect installed. O script dispara uma sincronização de senha completa que inclui hashes de senha herdados.The script triggers a full password sync that includes legacy password hashes. Atualize as variáveis $azureadConnector e $adConnector com os nomes de conector da etapa anterior.Update the $azureadConnector and $adConnector variables with the connector names from the previous step.

    Execute este script em cada floresta do AD para sincronizar os hashes de senha do NTLM e Kerberos de conta local com o Azure AD.Run this script on each AD forest to synchronize on-premises account NTLM and Kerberos password hashes to Azure AD.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Dependendo do tamanho do seu diretório em termos do número de contas e grupos, a sincronização de hashes de senha herdados com o Azure AD pode levar algum tempo.Depending on the size of your directory in terms of number of accounts and groups, synchronization of the legacy password hashes to Azure AD may take some time. As senhas são sincronizadas com o domínio gerenciado Azure AD DS depois de serem sincronizadas com o Azure AD.The passwords are then synchronized to the Azure AD DS managed domain after they've synchronized to Azure AD.

Próximas etapasNext steps

Neste tutorial, você aprendeu:In this tutorial, you learned:

  • Por que são necessários hashes de senha herdada do Kerberos e NTLMWhy legacy NTLM and Kerberos password hashes are needed
  • Como configurar a sincronização de hash de senha herdada para o Azure AD ConnectHow to configure legacy password hash synchronization for Azure AD Connect