Så synkroniseras objekt och autentiseringsuppgifter i en Azure Active Directory Domain Services-hanterad domän

Objekt och autentiseringsuppgifter i en hanterad Azure Active Directory Domain Services-domän (Azure AD DS) kan skapas lokalt i domänen eller synkroniserat från en Azure Active Directory-klient (Azure AD). Första gången du distribuerar Azure AD DS konfigureras en automatisk envägssynkronisering och börjar replikera objekten från Azure AD. Den här envägssynkroniseringen fortsätter att köras i bakgrunden så att den hanterade Azure AD DS-domänen hålls uppdaterad med eventuella ändringar från Azure AD. Ingen synkronisering sker från Azure AD DS tillbaka till Azure AD.

I en hybridmiljö kan objekt och autentiseringsuppgifter från en lokal AD DS-domän synkroniseras till Azure AD med hjälp av Azure AD Anslut. När dessa objekt har synkroniserats till Azure AD gör den automatiska bakgrundssynkroniseringen dessa objekt och autentiseringsuppgifter tillgängliga för program som använder den hanterade domänen.

Om lokal AD DS och Azure AD har konfigurerats för federerad autentisering med ADFS utan hash-synkronisering av lösenord, eller om identitetsskyddsprodukter från tredje part och Azure AD har konfigurerats för federerad autentisering utan synkronisering av lösenordshash, är ingen (aktuell/giltig) lösenordshash tillgänglig i Azure DS. Azure AD-användarkonton som skapades innan fed-autentisering implementerades kan ha en gammal lösenordshash, men detta matchar förmodligen inte en hash för deras lokala lösenord. Därför kan Azure AD DS inte verifiera en användares autentiseringsuppgifter.

Följande diagram illustrerar hur synkronisering fungerar mellan Azure AD DS, Azure AD och en valfri lokal AD DS-miljö:

Synchronization overview for an Azure AD Domain Services managed domain

Synkronisering från Azure AD till Azure AD DS

Användarkonton, gruppmedlemskap och hashvärden för autentiseringsuppgifter synkroniseras på ett sätt från Azure AD till Azure AD DS. Den här synkroniseringsprocessen är automatisk. Du behöver inte konfigurera, övervaka eller hantera den här synkroniseringsprocessen. Den inledande synkroniseringen kan ta några timmar till ett par dagar, beroende på antalet objekt i Azure AD-katalogen. När den inledande synkroniseringen är klar synkroniseras ändringar som görs i Azure AD, till exempel lösenords- eller attributändringar, automatiskt till Azure AD DS.

När en användare skapas i Azure AD synkroniseras de inte till Azure AD DS förrän de ändrar sitt lösenord i Azure AD. Den här lösenordsändringsprocessen gör att lösenordshasher för Kerberos- och NTLM-autentisering genereras och lagras i Azure AD. Lösenordshasherna behövs för att autentisera en användare i Azure AD DS.

Synkroniseringsprocessen är enkelriktad och enkelriktad. Det finns ingen omvänd synkronisering av ändringar från Azure AD DS tillbaka till Azure AD. En hanterad domän är i stort sett skrivskyddad förutom anpassade organisationsenheter som du kan skapa. Du kan inte göra ändringar i användarattribut, användarlösenord eller gruppmedlemskap i en hanterad domän.

Attributsynkronisering och mappning till Azure AD DS

I följande tabell visas några vanliga attribut och hur de synkroniseras med Azure AD DS.

Attribut i Azure AD DS Källa Kommentarer
UPN Användarens UPN-attribut i Azure AD-klientorganisationen UPN-attributet från Azure AD-klienten synkroniseras som det är till Azure AD DS. Det mest tillförlitliga sättet att logga in på en hanterad domän är att använda UPN.
SAMAccountName Användarens mailNickname-attribut i Azure AD-klientorganisationen eller automatiskt genererad Attributet SAMAccountName hämtas från attributet mailNickname i Azure AD-klientorganisationen. Om flera användarkonton har samma mailNickname-attribut genereras SAMAccountName automatiskt. Om användarens mailNickname - eller UPN-prefix är längre än 20 tecken genereras SAMAccountName automatiskt för att uppfylla gränsen på 20 tecken för SAMAccountName-attribut .
Lösenord Användarens lösenord från Azure AD-klientorganisationen Äldre lösenordshashvärden som krävs för NTLM- eller Kerberos-autentisering synkroniseras från Azure AD-klientorganisationen. Om Azure AD-klientorganisationen har konfigurerats för hybridsynkronisering med hjälp av Azure AD Anslut hämtas dessa lösenordshashvärden från den lokala AD DS-miljön.
Primär användare/grupp-SID Genereras automatiskt Det primära SID:et för användar-/gruppkonton genereras automatiskt i Azure AD DS. Det här attributet matchar inte objektets primära användar-/grupp-SID i en lokal AD DS-miljö. Det här matchningsfelet beror på att den hanterade domänen har ett annat SID-namnområde än den lokala AD DS-domänen.
SID-historik för användare och grupper Lokal primär användare och grupp-SID SidHistory-attributet för användare och grupper i Azure AD DS är inställt på att matcha motsvarande primära användar- eller grupp-SID i en lokal AD DS-miljö. Den här funktionen gör det enklare att flytta lokala program till Azure AD DS eftersom du inte behöver ACL-resurser igen.

Tips

Logga in på den hanterade domänen med UPN-formatet Attributet SAMAccountName , till exempel AADDSCONTOSO\driley, kan genereras automatiskt för vissa användarkonton i en hanterad domän. Användarnas automatiskt genererade SAMAccountName kan skilja sig från deras UPN-prefix, så det är inte alltid ett tillförlitligt sätt att logga in.

Om flera användare till exempel har samma mailNickname-attribut eller om användarna har alltför långa UPN-prefix kan SAMAccountName för dessa användare genereras automatiskt. Använd UPN-formatet, t.ex. driley@aaddscontoso.com, när du ska logga in på en hanterad domän på ett tillförlitligt sätt.

Attributmappning för användarkonton

I följande tabell visas hur specifika attribut för användarobjekt i Azure AD synkroniseras med motsvarande attribut i Azure AD DS.

Användarattribut i Azure AD Användarattribut i Azure AD DS
accountEnabled userAccountControl (anger eller rensar ACCOUNT_DISABLED bit)
city l
companyName companyName
land co
avdelning avdelning
displayName displayName
Employeeid Employeeid
facsimileTelephoneNumber facsimileTelephoneNumber
förnamn förnamn
jobTitle title
e-post e-post
mailNickname msDS-AzureADMailNickname
mailNickname SAMAccountName (kan ibland genereras automatiskt)
manager manager
mobil mobil
Objectid msDS-aadObjectId
onPremiseSecurityIdentifier Sidhistory
passwordPolicies userAccountControl (anger eller rensar DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeName physicalDeliveryOfficeName
postalCode postalCode
preferredLanguage preferredLanguage
proxyAddresses proxyAddresses
state st
streetAddress streetAddress
surname sn
telephoneNumber telephoneNumber
userPrincipalName userPrincipalName

Attributmappning för grupper

I följande tabell visas hur specifika attribut för gruppobjekt i Azure AD synkroniseras med motsvarande attribut i Azure AD DS.

Gruppattribut i Azure AD Gruppattribut i Azure AD DS
displayName displayName
displayName SAMAccountName (kan ibland genereras automatiskt)
e-post e-post
mailNickname msDS-AzureADMailNickname
Objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier Sidhistory
proxyAddresses proxyAddresses
securityEnabled grupptyp

Synkronisering från lokal AD DS till Azure AD och Azure AD DS

Azure AD Anslut används för att synkronisera användarkonton, gruppmedlemskap och hashvärden för autentiseringsuppgifter från en lokal AD DS-miljö till Azure AD. Attribut för användarkonton som UPN och lokal säkerhetsidentifierare (SID) synkroniseras. Om du vill logga in med Azure AD DS synkroniseras även äldre lösenordshashvärden som krävs för NTLM- och Kerberos-autentisering till Azure AD.

Viktigt

Azure AD-Anslut bör endast installeras och konfigureras för synkronisering med lokala AD DS-miljöer. Det går inte att installera Azure AD Anslut i en hanterad domän för att synkronisera objekt tillbaka till Azure AD.

Om du konfigurerar tillbakaskrivning synkroniseras ändringar från Azure AD tillbaka till den lokala AD DS-miljön. Om en användare till exempel ändrar sitt lösenord med hjälp av självbetjäningslösenordshantering i Azure AD uppdateras lösenordet tillbaka i den lokala AD DS-miljön.

Anteckning

Använd alltid den senaste versionen av Azure AD Anslut för att säkerställa att du har korrigeringar för alla kända buggar.

Synkronisering från en lokal miljö med flera skogar

Många organisationer har en ganska komplex lokal AD DS-miljö som innehåller flera skogar. Azure AD Anslut stöder synkronisering av användare, grupper och hashvärden för autentiseringsuppgifter från miljöer med flera skogar till Azure AD.

Azure AD har ett mycket enklare och platt namnområde. Lös UPN-konflikter mellan användarkonton i olika skogar för att göra det möjligt för användare att på ett tillförlitligt sätt komma åt program som skyddas av Azure AD. Hanterade domäner använder en platt organisationsenhetsstruktur som liknar Azure AD. Alla användarkonton och grupper lagras i containern AADDC-användare , trots att de synkroniseras från olika lokala domäner eller skogar, även om du har konfigurerat en hierarkisk organisationsenhet lokalt. Den hanterade domänen plattar ut alla hierarkiska organisationsenhetsstrukturer.

Som tidigare beskrivits finns det ingen synkronisering från Azure AD DS tillbaka till Azure AD. Du kan skapa en anpassad organisationsenhet (OU) i Azure AD DS och sedan användare, grupper eller tjänstkonton inom dessa anpassade organisationsenheter. Inget av objekten som skapats i anpassade organisationsenheter synkroniseras tillbaka till Azure AD. Dessa objekt är endast tillgängliga i den hanterade domänen och visas inte med Azure AD PowerShell-cmdletar, Microsoft Graph API eller med hjälp av Azure AD-hanteringsgränssnittet.

Vad synkroniseras inte med Azure AD DS

Följande objekt eller attribut synkroniseras inte från en lokal AD DS-miljö till Azure AD eller Azure AD DS:

  • Undantagna attribut: Du kan välja att undanta vissa attribut från synkronisering till Azure AD från en lokal AD DS-miljö med hjälp av Azure AD Anslut. Dessa undantagna attribut är då inte tillgängliga i Azure AD DS.
  • Grupprinciper: Grupprinciper som konfigurerats i en lokal AD DS-miljö synkroniseras inte med Azure AD DS.
  • Sysvol-mapp: Innehållet i sysvol-mappen i en lokal AD DS-miljö synkroniseras inte med Azure AD DS.
  • Datorobjekt: Datorobjekt för datorer som är anslutna till en lokal AD DS-miljö synkroniseras inte med Azure AD DS. Dessa datorer har ingen förtroenderelation med den hanterade domänen och tillhör bara den lokala AD DS-miljön. I Azure AD DS visas endast datorobjekt för datorer som uttryckligen har domänanslutna till den hanterade domänen.
  • SidHistory-attribut för användare och grupper: De primära användar- och primärgrupps-SID:erna från en lokal AD DS-miljö synkroniseras till Azure AD DS. Befintliga SidHistory-attribut för användare och grupper synkroniseras dock inte från den lokala AD DS-miljön till Azure AD DS.
  • Organisationsenheter (OU) strukturer: Organisationsenheter som definierats i en lokal AD DS-miljö synkroniseras inte med Azure AD DS. Det finns två inbyggda organisationsenheter i Azure AD DS – en för användare och en för datorer. Den hanterade domänen har en platt organisationsenhetsstruktur. Du kan välja att skapa en anpassad organisationsenhet i din hanterade domän.

Lösenordshashsynkronisering och säkerhetsöverväganden

När du aktiverar Azure AD DS krävs äldre lösenordshashvärden för NTLM + Kerberos-autentisering. Azure AD lagrar inte lösenord med klartext, så dessa hashvärden kan inte genereras automatiskt för befintliga användarkonton. När de har genererats och lagrats lagras alltid NTLM- och Kerberos-kompatibla lösenordshasher på ett krypterat sätt i Azure AD.

Krypteringsnycklarna är unika för varje Azure AD-klientorganisation. Dessa hashvärden är krypterade så att endast Azure AD DS har åtkomst till dekrypteringsnycklarna. Ingen annan tjänst eller komponent i Azure AD har åtkomst till dekrypteringsnycklarna.

Äldre lösenordshashvärden synkroniseras sedan från Azure AD till domänkontrollanterna för en hanterad domän. Diskarna för dessa hanterade domänkontrollanter i Azure AD DS krypteras i vila. Dessa lösenordshashvärden lagras och skyddas på dessa domänkontrollanter på liknande sätt som lösenord lagras och skyddas i en lokal AD DS-miljö.

För molnbaserade Azure AD-miljöer måste användarna återställa/ändra sitt lösenord för att de lösenordshashvärden som krävs ska genereras och lagras i Azure AD. För alla molnanvändarkonton som skapats i Azure AD efter aktivering av Azure AD Domain Services genereras och lagras lösenordshashvärdena i NTLM- och Kerberos-kompatibla format. Alla molnanvändarkonton måste ändra sitt lösenord innan de synkroniseras till Azure AD DS.

För hybridanvändarkonton som synkroniseras från en lokal AD DS-miljö med Azure AD Anslut måste du konfigurera Azure AD-Anslut för att synkronisera lösenordshashvärden i NTLM- och Kerberos-kompatibla format.

Nästa steg

Mer information om detaljerna för lösenordssynkronisering finns i Så här fungerar synkronisering av lösenordshash med Azure AD Anslut.

Kom igång med Azure AD DS genom att skapa en hanterad domän.