Hur objekt och autentiseringsuppgifter synkroniseras i en Azure Active Directory Domain Services-hanterad domän
Objekt och autentiseringsuppgifter i en Azure Active Directory Domain Services-hanterad domän (Azure AD DS) kan antingen skapas lokalt i domänen eller synkroniseras från en Azure Active Directory-klientorganisation (Azure AD). När du först Azure AD DS konfigureras en automatisk envägssynkronisering och börjar replikera objekten från Azure AD. Den här envägssynkroniseringen fortsätter att köras i bakgrunden för att hålla Azure AD DS hanterade domänen uppdaterad med eventuella ändringar från Azure AD. Ingen synkronisering sker från Azure AD DS tillbaka till Azure AD.
I en hybridmiljö kan objekt och autentiseringsuppgifter från en lokal AD DS-domän synkroniseras till Azure AD med hjälp av Azure AD Anslut. När objekten har synkroniserats med Azure AD gör den automatiska bakgrundssynkronisering dessa objekt och autentiseringsuppgifter tillgängliga för program som använder den hanterade domänen.
Om den lokala AD DS och Azure AD är konfigurerade för federerad autentisering med ADFS finns det ingen (aktuell/giltig) lösenordshashar tillgänglig i Azure DS. Azure AD-användarkonton som skapades innan fed-autentisering implementerades kan ha en gammal lösenordshashar, men detta matchar troligen inte en hash för deras användargränssnittslösenord. Därför Azure AD DS kommer inte att kunna verifiera användarnas autentiseringsuppgifter.
Följande diagram illustrerar hur synkronisering fungerar mellan Azure AD DS, Azure AD och en valfri lokal AD DS-miljö:
Synkronisering från Azure AD till Azure AD DS
Användarkonton, gruppmedlemskap och autentiseringshashar synkroniseras på ett sätt från Azure AD till Azure AD DS. Den här synkroniseringsprocessen är automatisk. Du behöver inte konfigurera, övervaka eller hantera den här synkroniseringsprocessen. Den första synkroniseringen kan ta några timmar till ett par dagar, beroende på antalet objekt i Azure AD-katalogen. När den första synkroniseringen är klar synkroniseras ändringar som görs i Azure AD, till exempel lösenords- eller attributändringar, automatiskt till Azure AD DS.
När en användare skapas i Azure AD synkroniseras de inte för att Azure AD DS tills de ändrar sitt lösenord i Azure AD. Den här lösenordsändringsprocessen gör att lösenordshashar för Kerberos- och NTLM-autentisering genereras och lagras i Azure AD. Lösenordshashar krävs för att autentisera en användare i Azure AD DS.
Synkroniseringsprocessen är enkelriktad/enkelriktad. Det finns ingen omvänd synkronisering av ändringar från Azure AD DS tillbaka till Azure AD. En hanterad domän är i stort sett skrivskyddade förutom anpassade OUs som du kan skapa. Du kan inte göra ändringar i användarattribut, användarlösenord eller gruppmedlemskap i en hanterad domän.
Attributsynkronisering och mappning till Azure AD DS
I följande tabell visas några vanliga attribut och hur de synkroniseras till Azure AD DS.
| Attribut i Azure AD DS | Källa | Kommentarer |
|---|---|---|
| UPN | Användarens UPN-attribut i Azure AD-klientorganisationen | UPN-attributet från Azure AD-klientorganisationen synkroniseras som det är för att Azure AD DS. Det mest tillförlitliga sättet att logga in på en hanterad domän är att använda UPN. |
| SAMAccountName | Användarens mailNickname-attribut i Azure AD-klientorganisationen eller automatiskt genererade | Attributet SAMAccountName kommer från attributet mailNickname i Azure AD-klienten. Om flera användarkonton har samma mailNickname-attribut, kommer SAMAccountName att generera automatiskt. Om användarens mailNickname- eller UPN-prefix är längre än 20 tecken, genereras SAMAccountName automatiskt för att uppfylla gränsen på 20 tecken för SAMAccountName-attribut. |
| Lösenord | Användarens lösenord från Azure AD-klientorganisationen | Äldre lösenordshashar som krävs för NTLM- eller Kerberos-autentisering synkroniseras från Azure AD-klientorganisationen. Om Azure AD-klienten har konfigurerats för hybridsynkronisering med hjälp av Azure AD Anslut kommer dessa lösenordshashar att komma från den lokala AD DS-miljön. |
| Primärt användar-/grupp-SID | Automatiskt genererad | Det primära SID:t för användarkonton/gruppkonton genereras automatiskt i Azure AD DS. Det här attributet matchar inte objektets primära användar-/grupp-SID i en lokal AD DS-miljö. Det här matchningsfelet beror på att den hanterade domänen har ett annat SID-namnområde än den lokala AD DS-domänen. |
| SID-historik för användare och grupper | Lokalt primärt användar- och grupp-SID | SidHistory-attributet för användare och grupper i Azure AD DS är inställt på att matcha motsvarande primära användare eller grupp-SID i en lokal AD DS-miljö. Den här funktionen gör lift and shift av lokala program så att Azure AD DS enklare eftersom du inte behöver göra om ACL-resurser. |
Tips
Logga in på den hanterade domänen med UPN-format Attributet SAMAccountName, till exempel AADDSCONTOSO\driley , kan genereras automatiskt för vissa användarkonton i en hanterad domän. Användarnas automatiskt genererade SAMAccountName kan skilja sig från sina UPN-prefix, så det är inte alltid ett tillförlitligt sätt att logga in.
Om flera användare till exempel har samma mailNickname-attribut eller om användarna har för långa UPN-prefix kan SAMAccountName för dessa användare genereras automatiskt. Använd UPN-formatet, till exempel driley@aaddscontoso.com , för att logga in på en hanterad domän på ett tillförlitligt sätt.
Attributmappning för användarkonton
I följande tabell visas hur specifika attribut för användarobjekt i Azure AD synkroniseras med motsvarande attribut i Azure AD DS.
| Användarattribut i Azure AD | Användarattribut i Azure AD DS |
|---|---|
| accountEnabled | userAccountControl (anger eller rensar ACCOUNT_DISABLED bit) |
| city | l |
| companyName | companyName |
| land | co |
| avdelning | avdelning |
| displayName | displayName |
| Employeeid | Employeeid |
| facsimileTelephoneNumber | facsimileTelephoneNumber |
| förnamn | förnamn |
| jobTitle | title |
| e-post | e-post |
| mailNickname | msDS-AzureADMailNickname |
| mailNickname | SAMAccountName (kan ibland genereras automatiskt) |
| manager | manager |
| mobil | mobil |
| Objectid | msDS-aadObjectId |
| onPremiseSecurityIdentifier | Sidhistory |
| passwordPolicies | userAccountControl (anger eller rensar DONT_EXPIRE_PASSWORD bit) |
| physicalDeliveryOfficeName | physicalDeliveryOfficeName |
| postalCode | postalCode |
| preferredLanguage | preferredLanguage |
| proxyAddresses | proxyAddresses |
| state | st |
| streetAddress | streetAddress |
| surname | sn |
| telephoneNumber | telephoneNumber |
| userPrincipalName | userPrincipalName |
Attributmappning för grupper
I följande tabell visas hur specifika attribut för gruppobjekt i Azure AD synkroniseras med motsvarande attribut i Azure AD DS.
| Gruppattribut i Azure AD | Gruppattribut i Azure AD DS |
|---|---|
| displayName | displayName |
| displayName | SAMAccountName (kan ibland genereras automatiskt) |
| e-post | e-post |
| mailNickname | msDS-AzureADMailNickname |
| Objectid | msDS-AzureADObjectId |
| onPremiseSecurityIdentifier | Sidhistory |
| proxyAddresses | proxyAddresses |
| securityEnabled | grupptyp |
Synkronisering från lokal AD DS till Azure AD och Azure AD DS
Azure AD Anslut används för att synkronisera användarkonton, gruppmedlemskap och autentiseringshashar från en lokal AD DS-miljö till Azure AD. Attribut för användarkonton, till exempel UPN och lokal säkerhetsidentifierare (SID) synkroniseras. För att logga in med Azure AD DS synkroniseras även äldre lösenordshashar som krävs för NTLM- och Kerberos-autentisering till Azure AD.
Viktigt
Azure AD Anslut bör endast installeras och konfigureras för synkronisering med lokala AD DS-miljöer. Det går inte att installera Azure AD-Anslut i en hanterad domän för att synkronisera objekt tillbaka till Azure AD.
Om du konfigurerar tillbakaskrivning synkroniseras ändringar från Azure AD tillbaka till den lokala AD DS-miljön. Om en användare till exempel ändrar sitt lösenord med hjälp av lösenordshantering via självbetjäning i Azure AD uppdateras lösenordet tillbaka i den lokala AD DS-miljön.
Anteckning
Använd alltid den senaste versionen av Azure AD Anslut att se till att du har korrigeringar för alla kända buggar.
Synkronisering från en lokal miljö med flera skogar
Många organisationer har en ganska komplex lokal AD DS-miljö som innehåller flera skogar. Azure AD Anslut stöder synkronisering av användare, grupper och autentiseringshashar från miljöer med flera skogar till Azure AD.
Azure AD har ett mycket enklare och platt namnområde. Om du vill göra det möjligt för användare att på ett tillförlitligt sätt komma åt program som skyddas av Azure AD löser du UPN-konflikter mellan användarkonton i olika skogar. Hanterade domäner använder en platt ORGANISATIONSENHETsstruktur som liknar Azure AD. Alla användarkonton och grupper lagras i containern för AADDC-användare, trots att de synkroniseras från olika lokala domäner eller skogar, även om du har konfigurerat en hierarkisk OU-struktur lokalt. Den hanterade domänen plattar ut hierarkiska OU-strukturer.
Som tidigare nämnts finns det ingen synkronisering från Azure AD DS tillbaka till Azure AD. Du kan skapa en anpassad organisationsenhet (OU) i Azure AD DS och sedan användare, grupper eller tjänstkonton inom dessa anpassade organisationsenheter. Inget av objekten som skapats i anpassade OUs synkroniseras tillbaka till Azure AD. De här objekten är bara tillgängliga inom den hanterade domänen och visas inte med hjälp av Azure AD PowerShell-cmdlets, Microsoft Graph API eller med hjälp av Azure AD-hanteringsgränssnittet.
Vad synkroniseras inte till Azure AD DS
Följande objekt eller attribut synkroniseras inte från en lokal AD DS-miljö till Azure AD eller Azure AD DS:
- Exkluderade attribut: Du kan välja att undanta vissa attribut från synkronisering till Azure AD från en lokal AD DS-miljö med hjälp av Azure AD Anslut. Dessa exkluderade attribut är sedan inte tillgängliga i Azure AD DS.
- Grupprinciper: Grupprinciper som konfigurerats i en lokal AD DS-miljö synkroniseras inte till Azure AD DS.
- Sysvol-mapp: Innehållet i Sysvol-mappen i en lokal AD DS-miljö synkroniseras inte för att Azure AD DS.
- Datorobjekt: Datorobjekt för datorer som är ansluten till en lokal AD DS-miljö synkroniseras inte till Azure AD DS. Dessa datorer har ingen förtroenderelation med den hanterade domänen och tillhör endast den lokala AD DS-miljön. I Azure AD DS visas endast datorobjekt för datorer som uttryckligen är domän-ansluten till den hanterade domänen.
- SidHistory-attribut för användare och grupper: SID:erna för primär användare och primär grupp från en lokal AD DS-miljö synkroniseras till Azure AD DS. Befintliga SidHistory-attribut för användare och grupper synkroniseras dock inte från den lokala AD DS-miljön till Azure AD DS.
- Organisationsenheter (OU) strukturer: Organisationsenheter som definierats i en lokal AD DS-miljö synkroniseras inte till Azure AD DS. Det finns två inbyggda enheter i Azure AD DS – en för användare och en för datorer. Den hanterade domänen har en platt OU-struktur. Du kan välja att skapa en anpassad organisationsenhet i den hanterade domänen.
Synkronisering av lösenordshashar och säkerhetsöverväganden
När du aktiverar Azure AD DS krävs äldre lösenordshashar för NTLM + Kerberos-autentisering. Azure AD lagrar inte lösenord i klartext, så dessa hash-värden kan inte genereras automatiskt för befintliga användarkonton. När de har genererats och lagrats lagras NTLM- och Kerberos-kompatibla lösenordshashar alltid på ett krypterat sätt i Azure AD.
Krypteringsnycklarna är unika för varje Azure AD-klientorganisation. Dessa hash-värden krypteras så att Azure AD DS har åtkomst till dekrypteringsnycklarna. Ingen annan tjänst eller komponent i Azure AD har åtkomst till dekrypteringsnycklarna.
Äldre lösenordshashar synkroniseras sedan från Azure AD till domänkontrollanterna för en hanterad domän. Diskarna för dessa hanterade domänkontrollanter i Azure AD DS krypteras i vila. Dessa lösenordshashar lagras och skyddas på dessa domänkontrollanter på liknande sätt som lösenord lagras och skyddas i en lokal AD DS-miljö.
För molnbaserade Azure AD-miljöer måste användarna återställa/ändra sina lösenord för att nödvändiga lösenordshashar ska genereras och lagras i Azure AD. För alla molnanvändarkonto som skapats i Azure AD efter aktivering Azure AD Domain Services genereras och lagras lösenordshashar i NTLM- och Kerberos-kompatibla format. Alla molnanvändarkonton måste ändra sina lösenord innan de synkroniseras till Azure AD DS.
För hybridanvändarkonton som synkroniseras från en lokal AD DS-miljö med Azure AD Anslut måste du konfigurera Azure AD Anslut att synkronisera lösenordshashar i NTLM- och Kerberos-kompatibla format.
Nästa steg
Mer information om lösenordssynkronisering finns i Så här fungerar synkronisering av lösenordshashar med Azure AD Anslut.
Kom igång med Azure AD DS skapa en hanterad domän.