Självstudie: Aktivera lösenordssynkronisering i Azure Active Directory Domain Services för hybridmiljöer

För hybridmiljöer kan en Azure Active Directory -klient (Azure AD) konfigureras för synkronisering med en lokal Active Directory Domain Services-miljö (AD DS) med hjälp av Azure AD Anslut. Som standard synkroniserar Azure AD Anslut inte äldre NT LAN Manager (NTLM) och Kerberos-lösenordshashvärden som behövs för Azure Active Directory Domain Services (Azure AD DS).

Om du vill använda Azure AD DS med konton som synkroniseras från en lokal AD DS-miljö måste du konfigurera Azure AD Anslut för att synkronisera de lösenordshashvärden som krävs för NTLM- och Kerberos-autentisering. När Azure AD Connect har konfigurerats kommer skapandet av ett lokalt konto eller ändringen av ett lösenord också att synkronisera äldre lösenordshashar till Azure AD.

Du behöver inte utföra de här stegen om du använder molnbaserade konton utan lokal AD DS-miljö eller om du använder en resursskog. För hanterade domäner som använder en resursskog synkroniseras aldrig lokala lösenordshashvärden. Autentisering för lokala konton använder skogsförtroenden tillbaka till dina egna AD DS-domänkontrollanter.

I den här självstudien får du lära dig:

  • Varför äldre NTLM- och Kerberos-lösenordshasher behövs
  • Så här konfigurerar du synkronisering av äldre lösenordshash för Azure AD Anslut

Om du inte har någon Azure-prenumeration skapar du ett konto innan du börjar.

Förutsättningar

För att slutföra den här självstudien behöver du följande resurser:

Synkronisering av lösenordshash med hjälp av Azure AD Anslut

Azure AD Anslut används för att synkronisera objekt som användarkonton och grupper från en lokal AD DS-miljö till en Azure AD klientorganisation. Som en del av processen gör synkronisering av lösenordshash att konton kan använda samma lösenord i den lokala AD DS-miljön och Azure AD.

För att autentisera användare på den hanterade domänen behöver Azure AD DS lösenordshashvärden i ett format som är lämpligt för NTLM- och Kerberos-autentisering. Azure AD lagrar inte lösenordshashvärden i det format som krävs för NTLM- eller Kerberos-autentisering förrän du aktiverar Azure AD DS för din klientorganisation. Av säkerhetsskäl lagrar Azure AD inte heller några autentiseringsuppgifter för lösenord i klartext. Därför kan Azure AD inte automatiskt generera dessa NTLM- eller Kerberos-lösenordshashvärden baserat på användarnas befintliga autentiseringsuppgifter.

Azure AD Anslut kan konfigureras för att synkronisera nödvändiga NTLM- eller Kerberos-lösenordshasher för Azure AD DS. Kontrollera att du har slutfört stegen för att aktivera Azure AD Anslut för synkronisering av lösenordshash. Om du hade en befintlig instans av Azure AD Anslut laddar du ned och uppdaterar till den senaste versionen för att se till att du kan synkronisera äldre lösenordshashvärden för NTLM och Kerberos. Den här funktionen är inte tillgänglig i tidiga versioner av Azure AD Anslut eller med det äldre DirSync-verktyget. Azure AD Anslut version 1.1.614.0 eller senare krävs.

Viktigt

Azure AD Anslut ska endast installeras och konfigureras för synkronisering med lokala AD DS-miljöer. Det går inte att installera Azure AD Anslut i en Azure AD DS-hanterad domän för att synkronisera objekt tillbaka till Azure AD.

Aktivera synkronisering av lösenordshashvärden

När Azure AD Anslut har installerats och konfigurerats för synkronisering med Azure AD konfigurerar du nu den äldre synkroniseringen av lösenordshash för NTLM och Kerberos. Ett PowerShell-skript används för att konfigurera de nödvändiga inställningarna och sedan starta en fullständig lösenordssynkronisering för att Azure AD. När den Azure AD Anslut synkroniseringsprocessen för lösenordshash har slutförts kan användarna logga in på program via Azure AD DS som använder äldre NTLM- eller Kerberos-lösenordshasher.

  1. Öppna Azure AD Anslut-synkroniseringstjänsten >från Start-menyn på datorn med Azure AD Anslut installerat.

  2. Välj fliken Anslutningsappar. Den anslutningsinformation som används för att upprätta synkroniseringen mellan den lokala AD DS-miljön och Azure AD visas.

    Typen anger antingen Windows Azure Active Directory (Microsoft) för Azure AD-anslutningstjänsten eller Active Directory Domain Services för den lokala AD DS-anslutningstjänsten. Anteckna namnen på anslutningsappen som ska användas i PowerShell-skriptet i nästa steg.

    List the connector names in Sync Service Manager

    I det här exemplet används följande anslutningsappar:

    • Azure AD-anslutningsappen heter contoso.onmicrosoft.com – AAD
    • Den lokala AD DS-anslutningstjänsten heter onprem.contoso.com
  3. Kopiera och klistra in följande PowerShell-skript på datorn med Azure AD Anslut installerat. Skriptet utlöser en fullständig lösenordssynkronisering som innehåller äldre lösenordshashvärden. Uppdatera variablerna $azureadConnector och $adConnector med anslutningsappens namn från föregående steg.

    Kör det här skriptet i varje AD-skog för att synkronisera det lokala kontots NTLM- och Kerberos-lösenordshashvärden för att Azure AD.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Beroende på katalogens storlek vad gäller antal konton och grupper kan synkronisering av äldre lösenordshashvärden till Azure AD ta lite tid. Lösenorden synkroniseras sedan till den hanterade domänen när de har synkroniserats för att Azure AD.

Nästa steg

I den här självstudien har du lärt dig:

  • Varför äldre NTLM- och Kerberos-lösenordshasher behövs
  • Så här konfigurerar du synkronisering av äldre lösenordshash för Azure AD Anslut