Azure AD Domain Services yönetilen bir etki alanının güvenliğini sağlamak için zayıf şifre ve parola karma eşitlemesini devre dışı bırakınDisable weak ciphers and password hash synchronization to secure an Azure AD Domain Services managed domain

Varsayılan olarak, Azure Active Directory Domain Services (Azure AD DS), NTLM v1 ve TLS v1 gibi şifrelemelerin kullanımını mümkün değildir.By default, Azure Active Directory Domain Services (Azure AD DS) enables the use of ciphers such as NTLM v1 and TLS v1. Bu şifrelemeler bazı eski uygulamalar için gerekli olabilir, ancak zayıf kabul edilir ve gerek duymuyorsanız devre dışı bırakılabilir.These ciphers may be required for some legacy applications, but are considered weak and can be disabled if you don't need them. Azure AD Connect kullanarak şirket içi karma bağlantınız varsa, NTLM parola karmalarının eşitlenmesini de devre dışı bırakabilirsiniz.If you have on-premises hybrid connectivity using Azure AD Connect, you can also disable the synchronization of NTLM password hashes.

Bu makalede, NTLM v1 ve TLS v1 şifrelemelerini devre dışı bırakma ve NTLM parola karma eşitlemesini devre dışı bırakma gösterilmektedir.This article shows you how to disable NTLM v1 and TLS v1 ciphers and disable NTLM password hash synchronization.

ÖnkoşullarPrerequisites

Bu makaleyi tamamlayabilmeniz için aşağıdaki kaynaklara ihtiyacınız vardır:To complete this article, you need the following resources:

Zayıf şifre ve NTLM parola karma eşitlemesini devre dışı bırakDisable weak ciphers and NTLM password hash sync

Zayıf şifre paketlerini ve NTLM kimlik bilgisi karma eşitlemesini devre dışı bırakmak için Azure hesabınızda oturum açın, sonra Get-AzResource cmdlet 'Ini kullanarak Azure AD DS kaynağını alın:To disable weak cipher suites and NTLM credential hash synchronization, sign in to your Azure account, then get the Azure AD DS resource using the Get-AzResource cmdlet:

İpucu

Microsoft. AAD/DomainServices kaynağının mevcut olmadığı Get-azresource komutunu kullanarak bir hata alırsanız, tüm Azure aboneliklerini ve Yönetim gruplarını yönetmek için erişiminiziyükseltin.If you receive an error using the Get-AzResource command that the Microsoft.AAD/DomainServices resource doesn't exist, elevate your access to manage all Azure subscriptions and management groups.

Login-AzAccount

$DomainServicesResource = Get-AzResource -ResourceType "Microsoft.AAD/DomainServices"

Ardından, aşağıdaki güvenlik seçeneklerini yapılandırmak için Domainsecuritysettings tanımlayın:Next, define DomainSecuritySettings to configure the following security options:

  1. NTLM v1 desteğini devre dışı bırakın.Disable NTLM v1 support.
  2. Şirket içi AD 'nizden NTLM parola karmalarının eşitlemesini devre dışı bırakın.Disable the synchronization of NTLM password hashes from your on-premises AD.
  3. TLS v1 'yi devre dışı bırakın.Disable TLS v1.

Önemli

Azure AD DS yönetilen etki alanında NTLM parola karması eşitlemesini devre dışı bıraktığınızda kullanıcılar ve hizmet hesapları LDAP basit bağlamalar gerçekleştiremez.Users and service accounts can't perform LDAP simple binds if you disable NTLM password hash synchronization in the Azure AD DS managed domain. LDAP basit bağlamalar gerçekleştirmeniz gerekirse, aşağıdaki komutta "Syncntlmpasswords" = "devre dışı"; Güvenlik Yapılandırması seçeneğini ayarlayın.If you need to perform LDAP simple binds, don't set the "SyncNtlmPasswords"="Disabled"; security configuration option in the following command.

$securitySettings = @{"DomainSecuritySettings"=@{"NtlmV1"="Disabled";"SyncNtlmPasswords"="Disabled";"TlsV1"="Disabled"}}

Son olarak, set-AzResource cmdlet 'ini kullanarak tanımlı güvenlik ayarlarını Azure AD DS tarafından yönetilen etki alanına uygulayın.Finally, apply the defined security settings to the Azure AD DS managed domain using the Set-AzResource cmdlet. İlk adımdan Azure AD DS kaynağını ve önceki adımdaki güvenlik ayarlarını belirtin.Specify the Azure AD DS resource from the first step, and the security settings from the previous step.

Set-AzResource -Id $DomainServicesResource.ResourceId -Properties $securitySettings -Verbose -Force

Güvenlik ayarlarının Azure AD DS yönetilen etki alanına uygulanması birkaç dakika sürer.It takes a few moments for the security settings to be applied to the Azure AD DS managed domain.

Sonraki adımlarNext steps

Eşitleme işlemi hakkında daha fazla bilgi edinmek için bkz. Azure AD DS yönetilen bir etki alanında nesnelerin ve kimlik bilgilerinin nasıl eşitleneceğiniöğrenin.To learn more about the synchronization process, see How objects and credentials are synchronized in an Azure AD DS managed domain.