Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD ConnectImplement password hash synchronization with Azure AD Connect sync

В этой статье содержатся сведения о том, как синхронизировать пароли пользователей локального экземпляра службы Active Directory (AD) и облачного экземпляра службы Azure Active Directory (Azure AD).This article provides information that you need to synchronize your user passwords from an on-premises Active Directory instance to a cloud-based Azure Active Directory (Azure AD) instance.

Как работает синхронизация хэшированных паролейHow password hash synchronization works

Доменная служба Active Directory хранит пароли в виде хэш-значений, полученных на основе фактических паролей.The Active Directory domain service stores passwords in the form of a hash value representation, of the actual user password. Для получения хэш-значений используется необратимая математическая функция (алгоритм хэширования).A hash value is a result of a one-way mathematical function (the hashing algorithm). Не существует метода для возврата результата односторонней функции в обычную текстовую версию пароля.There is no method to revert the result of a one-way function to the plain text version of a password.

Чтобы синхронизировать пароль, Azure AD Connect Sync извлекает хэш пароля из локального экземпляра Active Directory.To synchronize your password, Azure AD Connect sync extracts your password hash from the on-premises Active Directory instance. Перед синхронизацией в службу проверки подлинности Azure Active Directory хэш пароля дополнительно обрабатывается системой безопасности.Extra security processing is applied to the password hash before it is synchronized to the Azure Active Directory authentication service. Пароли синхронизируются для каждого пользователя отдельно и в хронологическом порядке.Passwords are synchronized on a per-user basis and in chronological order.

Процесс синхронизации хэша паролей использует такой же поток данных, как и синхронизация любых пользовательских данных.The actual data flow of the password hash synchronization process is similar to the synchronization of user data. Но синхронизация паролей происходит чаще, чем это обычно делается для других атрибутов.However, passwords are synchronized more frequently than the standard directory synchronization window for other attributes. Процесс синхронизации хэшированных паролей выполняется каждые 2 минуты.The password hash synchronization process runs every 2 minutes. Нельзя изменять частоту выполнения этого процесса.You cannot modify the frequency of this process. При синхронизации пароль перезаписывает существующий в облачной службе.When you synchronize a password, it overwrites the existing cloud password.

Когда вы впервые включаете функцию синхронизации хэшированных паролей, выполняется первоначальная синхронизация паролей для всех пользователей в области действия функции.The first time you enable the password hash synchronization feature, it performs an initial synchronization of the passwords of all in-scope users. Вы не можете явно выделить подмножество пользователей, для которых нужно синхронизировать пароли.You cannot explicitly define a subset of user passwords that you want to synchronize.

При изменении локального пароля новый пароль, как правило, синхронизируется в течение нескольких минут.When you change an on-premises password, the updated password is synchronized, most often in a matter of minutes. Функция синхронизации хэшированных паролей использует механизм повторных попыток при сбоях.The password hash synchronization feature automatically retries failed synchronization attempts. Ошибки, возникающие во время синхронизации паролей, записываются в журнал событий.If an error occurs during an attempt to synchronize a password, an error is logged in your event viewer.

Синхронизация пароля не влияет на пользователей Azure, находящихся в системе в момент ее выполнения.The synchronization of a password has no impact on the user who is currently signed in. Если изменение пароля синхронизируется во время вашего пребывания в облачной службе, оно не применяется в сеансе облачной службы немедленно.Your current cloud service session is not immediately affected by a synchronized password change that occurs, while you are signed in, to a cloud service. Однако, когда снова возникнет необходимость в проверке подлинности в облачной службе, потребуется указать новый пароль.However, when the cloud service requires you to authenticate again, you need to provide your new password.

Для аутентификации в Azure AD пользователь должен вводить корпоративные учетные данные повторно, независимо от того, выполнен ли вход в корпоративную сеть.A user must enter their corporate credentials a second time to authenticate to Azure AD, regardless of whether they're signed in to their corporate network. Но эту проблему можно свести к минимуму, если пользователь при входе в систему установит флажок "Оставаться в системе".This pattern can be minimized, however, if the user selects the Keep me signed in (KMSI) check box at sign-in. Это действие создает для сеанса файл cookie, который в течение 180 дней позволяет обходить аутентификацию.This selection sets a session cookie that bypasses authentication for 180 days. Администратор Azure Active Directory может включить или отключить функцию "Оставаться в системе".KMSI behavior can be enabled or disabled by the Azure AD administrator. Кроме того, можно сократить число запросов пароля, включив простой единый вход. Он автоматически обеспечивает пользователям вход в систему, когда они работают на корпоративных устройствах, подключенных к корпоративной сети.In addition, you can reduce password prompts by turning on Seamless SSO, which automatically signs users in when they are on their corporate devices connected to your corporate network.

Примечание

Синхронизация паролей поддерживается только для типа объектов user в Active Directory.Password sync is only supported for the object type user in Active Directory. Она не поддерживается для типа объектов iNetOrgPerson.It is not supported for the iNetOrgPerson object type.

Подробное описание принципа действия синхронизации хэшированных паролейDetailed description of how password hash synchronization works

В следующем разделе подробно описан принцип действия синхронизации хэша паролей между локальным экземпляром Active Directory и Azure Active Directory.The following section describes, in-depth, how password hash synchronization works between Active Directory and Azure AD.

Подробная схема использования паролей

  1. Каждые две минуты агент синхронизации хэша паролей на сервере AD Connect запрашивает у контроллера домена сохраненные хэши паролей (атрибут unicodePwd).Every two minutes, the password hash synchronization agent on the AD Connect server requests stored password hashes (the unicodePwd attribute) from a DC. Этот запрос выполняется по стандартному протоколу репликации MS-DRSR, который используется для синхронизации данных между контроллерами домена.This request is via the standard MS-DRSR replication protocol used to synchronize data between DCs. Для получения хэша паролей учетной записи службы требуются разрешения AD "Репликация изменений каталога" и "Репликация всех изменений каталога" (предоставляется по умолчанию при установке).The service account must have Replicate Directory Changes and Replicate Directory Changes All AD permissions (granted by default on installation) to obtain the password hashes.
  2. Перед отправкой контроллер домена шифрует MD4-хэш пароля с помощью ключа — комбинации MD5-хэша от ключа сеанса RPC и случайных данных.Before sending, the DC encrypts the MD4 password hash by using a key that is a MD5 hash of the RPC session key and a salt. После этого он отправляет результат агенту синхронизации хэшированных паролей по протоколу RPC.It then sends the result to the password hash synchronization agent over RPC. Контроллер домена также передает агенту синхронизации случайные данные, используя протокол репликации контроллера домена, чтобы агент смог расшифровать конверт.The DC also passes the salt to the synchronization agent by using the DC replication protocol, so the agent will be able to decrypt the envelope.
  3. Когда агент синхронизации хэшированных паролей получает зашифрованный конверт, он создает ключ для расшифровки полученных данных в исходный формат MD4, используя MD5CryptoServiceProvider и значение соли.After the password hash synchronization agent has the encrypted envelope, it uses MD5CryptoServiceProvider and the salt to generate a key to decrypt the received data back to its original MD4 format. Агенту синхронизации хэша паролей не доступен пароль в виде открытого текста.The password hash synchronization agent never has access to the clear text password. Он применяет MD5 только для совместимости по протоколу репликации с контроллером домена и только в локальной среде для обмена данными между контроллером домена и агентом синхронизации хэшированных паролей.The password hash synchronization agent’s use of MD5 is strictly for replication protocol compatibility with the DC, and it is only used on premises between the DC and the password hash synchronization agent.
  4. Агент синхронизации хэшированных паролей увеличивает 16-байтовый двоичный хэш пароля до 64 байтов. Для этого он преобразует хэш в 32-байтовую шестнадцатеричную строку, а затем преобразует ее обратно в двоичный формат с кодировкой UTF-16.The password hash synchronization agent expands the 16-byte binary password hash to 64 bytes by first converting the hash to a 32-byte hexadecimal string, then converting this string back into binary with UTF-16 encoding.
  5. Агент синхронизации паролей добавляет к 64-байтовому двоичному значению 10-байтовое значение соли для каждого пользователя, чтобы обеспечить дополнительную защиту исходного хэша.The password hash synchronization agent adds a per user salt, consisting of a 10-byte length salt, to the 64-byte binary to further protect the original hash.
  6. Затем он передает строку, полученную при объединении хэша MD4 с солью каждого пользователя, в функцию PBKDF2.The password hash synchronization agent then combines the MD4 hash plus the per user salt, and inputs it into the PBKDF2 function. Выполняется 1000 итераций алгоритма хэширования с ключом HMAC-SHA256.1000 iterations of the HMAC-SHA256 keyed hashing algorithm are used.
  7. Агент синхронизации паролей принимает полученный 32-байтовый хэш, присоединяет к нему значение соли для каждого пользователя и число итераций SHA256 (которое используется в Azure AD) и передает полученную строку из Azure AD Connect в Azure AD по протоколу SSL.The password hash synchronization agent takes the resulting 32-byte hash, concatenates both the per user salt and the number of SHA256 iterations to it (for use by Azure AD), then transmits the string from Azure AD Connect to Azure AD over SSL.
  8. Когда пользователь вводит пароль для входа в Azure AD, пароль обрабатывается точно так же (MD4, случайные данные, PBKDF2 и HMAC-SHA256).When a user attempts to sign in to Azure AD and enters their password, the password is run through the same MD4+salt+PBKDF2+HMAC-SHA256 process. Если полученный хэш совпадает с хэшем, хранящимся в Azure AD, это означает, что пользователь ввел правильный пароль и он проходит аутентификацию.If the resulting hash matches the hash stored in Azure AD, the user has entered the correct password and is authenticated.

Примечание

Оригинальный MD4-хэш не передается в Azure AD.The original MD4 hash is not transmitted to Azure AD. Вместо этого передается SHA256-хэш от оригинального MD4-хэша.Instead, the SHA256 hash of the original MD4 hash is transmitted. Это означает, что хранимый в Azure AD хэш невозможно использовать для атаки Pass-the-Hash на локальную систему, даже если удастся его получить.As a result, if the hash stored in Azure AD is obtained, it cannot be used in an on-premises pass-the-hash attack.

Замечания по безопасностиSecurity considerations

При синхронизации паролей их текстовое значение никогда не передается в службу синхронизации хэшированных паролей, в Azure AD или другие связанные службы.When synchronizing passwords, the plain-text version of your password is not exposed to the password hash synchronization feature, to Azure AD, or any of the associated services.

Пользователь проходит аутентификацию в Azure AD, а не в корпоративном экземпляре Active Directory.User authentication takes place against Azure AD rather than against the organization's own Active Directory instance. Данные пароля SHA256, хранимые в Azure AD (хэш исходного хэша MD4), безопаснее, чем данные, хранимые в Active Directory.The SHA256 password data stored in Azure AD--a hash of the original MD4 hash--is more secure than what is stored in Active Directory. Кроме того, так как хэш SHA256 невозможно расшифровать, его невозможно вернуть в корпоративную среду Active Directory и представить в качестве действительного пароля пользователя в ходе атаки Pass-the-Hash.Further, because this SHA256 hash cannot be decrypted, it cannot be brought back to the organization's Active Directory environment and presented as a valid user password in a pass-the-hash attack.

Рекомендации по политикам паролейPassword policy considerations

Есть два типа политик паролей, которые затрагивает синхронизация хэшированных паролей:There are two types of password policies that are affected by enabling password hash synchronization:

  • Политика сложности паролейPassword complexity policy
  • политика срока действия паролей.Password expiration policy

Политика сложности паролейPassword complexity policy

Если используется синхронизация хэшированных паролей, настроенные в локальном экземпляре Active Directory политики сложности паролей переопределяют политики сложности, настроенные в облаке для синхронизированных пользователей.When password hash synchronization is enabled, the password complexity policies in your on-premises Active Directory instance override complexity policies in the cloud for synchronized users. Все допустимые пароли из локального экземпляра Active Directory можно использовать для доступа к службам Azure AD.You can use all of the valid passwords from your on-premises Active Directory instance to access Azure AD services.

Примечание

Пароли пользователей, созданные непосредственно в облаке, и впредь регулируются политиками паролей, которые настроены в облаке.Passwords for users that are created directly in the cloud are still subject to password policies as defined in the cloud.

политика срока действия паролей.Password expiration policy

Если для пользователя действует синхронизация хэшированных паролей, для пароля его облачной учетной записи устанавливается неограниченный срок действия.If a user is in the scope of password hash synchronization, the cloud account password is set to Never Expire.

Даже если срок действия синхронизируемого пароля в локальной среде истек, его можно использовать для входа в облачные службы.You can continue to sign in to your cloud services by using a synchronized password that is expired in your on-premises environment. Пароль для облачной учетной записи изменяется, когда вы изменяете пароль в локальной среде.Your cloud password is updated the next time you change the password in the on-premises environment.

Срок действия учетной записиAccount expiration

Если в вашей организация используется атрибут accountExpires для управления учетными записями пользователей, то этот атрибут не синхронизируется с Azure AD.If your organization uses the accountExpires attribute as part of user account management, this attribute is not synchronized to Azure AD. В результате учетная запись Active Directory будет всегда активной в Azure AD, даже если срок ее действия истек в той среде, где настроена синхронизация хэшированных паролей.As a result, an expired Active Directory account in an environment configured for password hash synchronization will still be active in Azure AD. Мы рекомендуем внедрить рабочий процесс, который при истечении срока действия учетной записи будет активировать сценарий PowerShell, отключающий учетную запись пользователя Azure AD (используйте командлет Set-AzureADUser).We recommend that if the account is expired, a workflow action should trigger a PowerShell script that disables the user's Azure AD account (use the Set-AzureADUser cmdlet). И наоборот, при включении учетной записи нужно отдельно включать ее в экземпляре Azure AD.Conversely, when the account is turned on, the Azure AD instance should be turned on.

Перезапись синхронизированных паролейOverwrite synchronized passwords

Администратор может вручную сбросить пароль с помощью Windows PowerShell.An administrator can manually reset your password by using Windows PowerShell.

В таком случае новый пароль перезапишет синхронизированный пароль и к новому паролю будут применены все политики паролей, настроенные в облаке.In this case, the new password overrides your synchronized password, and all password policies defined in the cloud are applied to the new password.

Если после этого вы измените локальный пароль, новый пароль синхронизируется в облако и перезапишет пароль, измененный вручную.If you change your on-premises password again, the new password is synchronized to the cloud, and it overrides the manually updated password.

Синхронизация пароля не влияет на вошедших в систему пользователей Azure.The synchronization of a password has no impact on the Azure user who is signed in. Если изменение пароля синхронизируется, когда вы вошли в облачную службу, это не повлияет на открытый сеанс связи с облачной службой.Your current cloud service session is not immediately affected by a synchronized password change that occurs while you're signed in to a cloud service. Функция "Оставаться в системе" продлевает срок действия такого расхождения.KMSI extends the duration of this difference. Когда снова возникнет необходимость в аутентификации в облачной службе, потребуется указать новый пароль.When the cloud service requires you to authenticate again, you need to provide your new password.

Дополнительные преимуществаAdditional advantages

  • Как правило, синхронизацию хэшированных паролей реализовать проще, чем службу федерации.Generally, password hash synchronization is simpler to implement than a federation service. Для этого не требуются дополнительные серверы и высокая доступность, которая важна при аутентификации пользователей в службе федерации.It doesn't require any additional servers, and eliminates dependence on a highly available federation service to authenticate users.
  • Кроме того, синхронизацию хэшированных паролей можно использовать параллельно с федерацией.Password hash synchronization can also be enabled in addition to federation. Это будет хорошим резервным механизмом на случай сбоя службы федерации.It may be used as a fallback if your federation service experiences an outage.

Процесс синхронизации хэша паролей для доменных служб Azure ADPassword hash sync process for Azure AD Domain Services

Если вы используете доменные службы Azure AD для предоставления устаревшей проверки подлинности для приложений и служб, которым требуется использовать Кеберос, LDAP или NTLM, некоторые дополнительные процессы являются частью потока синхронизации хэша паролей.If you use Azure AD Domain Services to provide legacy authentication for applications and services that need to use Keberos, LDAP, or NTLM, some additional processes are part of the password hash synchronization flow. Для синхронизации хэшей паролей с Azure AD для использования в доменных службах Azure AD Azure AD Connect используется дополнительный следующий процесс:Azure AD Connect uses the additional following process to synchronize password hashes to Azure AD for use in Azure AD Domain Services:

Важно!

Azure AD Connect синхронизирует только хэши устаревших паролей при включении AD DS Azure для клиента Azure AD.Azure AD Connect only synchronizes legacy password hashes when you enable Azure AD DS for your Azure AD tenant. Следующие шаги не используются, если вы используете Azure AD Connect для синхронизации локальной среды AD DS с Azure AD.The following steps aren't used if you only use Azure AD Connect to synchronize an on-premises AD DS environment with Azure AD.

Если устаревшие приложения не используют проверку подлинности NTLM или простые привязки LDAP, рекомендуется отключить синхронизацию хэша паролей NTLM для Azure AD DS.If your legacy applications don't use NTLM authentication or LDAP simple binds, we recommend that you disable NTLM password hash synchronization for Azure AD DS. Дополнительные сведения см. в разделе Отключение ненадежных наборов шифров и синхронизация хэша учетных данных NTLM.For more information, see Disable weak cipher suites and NTLM credential hash synchronization.

  1. Azure AD Connect получает открытый ключ для экземпляра доменных служб Azure AD клиента.Azure AD Connect retrieves the public key for the tenant's instance of Azure AD Domain Services.
  2. Когда пользователь меняет свой пароль, локальный контроллер домена сохраняет результат изменения пароля (хэши) в двух атрибутах:When a user changes their password, the on-premises domain controller stores the result of the password change (hashes) in two attributes:
    • unicodePwd для ХЭША пароля NTLM.unicodePwd for the NTLM password hash.
    • супплементалкредентиалс для хэша пароля Kerberos.supplementalCredentials for the Kerberos password hash.
  3. Azure AD Connect обнаруживает изменения паролей через канал репликации каталога (изменения атрибутов, которые необходимо реплицировать на другие контроллеры домена).Azure AD Connect detects password changes through the directory replication channel (attribute changes needing to replicate to other domain controllers).
  4. Для каждого пользователя, чей пароль изменился, Azure AD Connect выполняет следующие действия.For each user whose password has changed, Azure AD Connect performs the following steps:
    • Создает случайный симметричный ключ AES 256-bit.Generates a random AES 256-bit symmetric key.
    • Создает случайный вектор инициализации, необходимый для первого цикла шифрования.Generates a random initialization vector needed for the first round of encryption.
    • Извлекает хэши паролей Kerberos из атрибутов супплементалкредентиалс .Extracts Kerberos password hashes from the supplementalCredentials attributes.
    • Проверяет параметр синкнтлмпассвордс конфигурации безопасности доменных служб Azure AD.Checks the Azure AD Domain Services security configuration SyncNtlmPasswords setting.
      • Если этот параметр отключен, создает случайный хэш NTLM с высокой энтропией (отличный от пароля пользователя).If this setting is disabled, generates a random, high-entropy NTLM hash (different from the user's password). Затем этот хэш объединяется с точными хэшами паролей Kerberos из атрибута супплементалкрендетиалс в одну структуру данных.This hash is then combined with the exacted Kerberos password hashes from the supplementalCrendetials attribute into one data structure.
      • Если параметр включен, объединяет значение атрибута unicodePwd с извлеченными хэшами пароля Kerberos из атрибута супплементалкредентиалс в одну структуру данных.If enabled, combines the value of the unicodePwd attribute with the extracted Kerberos password hashes from the supplementalCredentials attribute into one data structure.
    • Шифрует одну структуру данных с помощью симметричного ключа AES.Encrypts the single data structure using the AES symmetric key.
    • Шифрует симметричный ключ AES с помощью открытого ключа доменных служб Azure AD клиента.Encrypts the AES symmetric key using the tenant's Azure AD Domain Services public key.
  5. Azure AD Connect передает зашифрованный симметричный ключ AES, зашифрованную структуру данных, содержащую хэши паролей, и вектор инициализации в Azure AD.Azure AD Connect transmits the encrypted AES symmetric key, the encrypted data structure containing the password hashes, and the initialization vector to Azure AD.
  6. Azure AD хранит зашифрованный симметричный ключ AES, зашифрованную структуру данных и вектор инициализации для пользователя.Azure AD stores the encrypted AES symmetric key, the encrypted data structure, and the initialization vector for the user.
  7. Azure AD отправляет зашифрованный симметричный ключ AES, зашифрованную структуру данных и вектор инициализации с помощью внутреннего механизма синхронизации по зашифрованному сеансу HTTP в доменных службах Azure AD.Azure AD pushes the encrypted AES symmetric key, the encrypted data structure, and the initialization vector using an internal synchronization mechanism over an encrypted HTTP session to Azure AD Domain Services.
  8. Доменные службы Azure AD получают закрытый ключ для экземпляра клиента из хранилища ключей Azure.Azure AD Domain Services retrieves the private key for the tenant's instance from Azure Key vault.
  9. Для каждого зашифрованного набора данных (представляющего изменение пароля одного пользователя) доменные службы Azure AD выполняют следующие действия:For each encrypted set of data (representing a single user's password change), Azure AD Domain Services then performs the following steps:
    • Использует свой закрытый ключ для расшифровки симметричного ключа AES.Uses its private key to decrypt the AES symmetric key.
    • Использует симметричный ключ AES с вектором инициализации для расшифровки зашифрованной структуры данных, содержащей хэши паролей.Uses the AES symmetric key with the initialization vector to decrypt the encrypted data structure that contains the password hashes.
    • Записывает хэши паролей Kerberos, которые он получает на контроллер домена доменных служб Azure AD.Writes the Kerberos password hashes it receives to the Azure AD Domain Services domain controller. Хэши сохраняются в атрибуте супплементалкредентиалс объекта пользователя, который шифруется в открытом ключе контроллера домена доменных служб Azure AD.The hashes are saved into the user object's supplementalCredentials attribute that is encrypted to the Azure AD Domain Services domain controller's public key.
    • Доменные службы Azure AD записывают хэш пароля NTLM, полученный на контроллер домена доменных служб Azure AD.Azure AD Domain Services writes the NTLM password hash it received to the Azure AD Domain Services domain controller. Хэш сохраняется в атрибуте unicodePwd объекта пользователя, который шифруется в открытом ключе контроллера домена доменных служб Azure AD.The hash is saved into the user object's unicodePwd attribute that is encrypted to the Azure AD Domain Services domain controller's public key.

Включение синхронизации хэшированных паролейEnable password hash synchronization

Важно!

Если выполняется переход с AD FS (или других технологий федерации) на синхронизацию хэшей паролей, мы настоятельно рекомендуем следовать нашему подробному руководству по развертыванию, опубликованному здесь.If you are migrating from AD FS (or other federation technologies) to Password Hash Synchronization, we highly recommend that you follow our detailed deployment guide published here.

Если для установки Azure AD Connect вы используете стандартные параметры, синхронизация хэшированных паролей включается по умолчанию.When you install Azure AD Connect by using the Express Settings option, password hash synchronization is automatically enabled. Дополнительные сведения см. в статье Приступая к работе с Azure AD Connect с использованием стандартных параметров.For more information, see Getting started with Azure AD Connect using express settings.

Если для установки Azure AD Connect вы используете пользовательские параметры, синхронизацию хэшированных паролей можно настроить на странице входа в систему.If you use custom settings when you install Azure AD Connect, password hash synchronization is available on the user sign-in page. Дополнительные сведения см. в статье Выборочная установка Azure AD Connect.For more information, see Custom installation of Azure AD Connect.

Включение синхронизации хэшированных паролей

Синхронизация хэшированных паролей и FIPSPassword hash synchronization and FIPS

Если сервер блокируется в соответствии с федеральным стандартом обработки информации (FIPS), схема MD5 отключается.If your server has been locked down according to Federal Information Processing Standard (FIPS), then MD5 is disabled.

Чтобы включить MD5 для синхронизации хэшированных паролей, выполните следующие действия.To enable MD5 for password hash synchronization, perform the following steps:

  1. Перейдите к папке %programfiles%\Azure AD Sync\Bin.Go to %programfiles%\Azure AD Sync\Bin.
  2. Откройте файл miiserver.exe.config.Open miiserver.exe.config.
  3. Перейдите к узлу конфигурации или среды выполнения (в конце файла конфигурации).Go to the configuration/runtime node at the end of the file.
  4. Добавьте следующий узел: <enforceFIPSPolicy enabled="false"/>Add the following node: <enforceFIPSPolicy enabled="false"/>
  5. Сохраните изменения.Save your changes.

Этот фрагмент должен выглядеть примерно так:For reference, this snippet is what it should look like:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Дополнительные сведения о безопасности и FIPS см. в записи блога AAD Password Sync, Encryption and FIPS compliance (Синхронизация паролей, шифрование и соответствие FIPS в AAD).For information about security and FIPS, see Azure AD password hash sync, encryption, and FIPS compliance.

Устранение неполадок при синхронизации хэшированных паролейTroubleshoot password hash synchronization

Если вы столкнетесь с проблемами при синхронизации хэшированных паролей, воспользуйтесь рекомендациями из статьи Устранение неполадок синхронизации хэшированных паролей в службе синхронизации Azure AD Connect.If you have problems with password hash synchronization, see Troubleshoot password hash synchronization.

Следующие шагиNext steps