Öğretici: karma ortamlarda Azure Active Directory Domain Services parola eşitlemeyi etkinleştirme

Karma ortamlarda, bir Azure Active Directory (Azure AD) kiracısı, Azure AD Connect kullanılarak şirket içi Active Directory Domain Services (AD DS) ortamıyla eşitlenmek üzere yapılandırılabilir. Varsayılan olarak Azure AD Connect, eski NT LAN Manager (NTLM) ve Azure Active Directory Domain Services için gereken Kerberos parola karmalarını (Azure AD DS) eşitlemez.

Azure AD DS 'yi şirket içi AD DS ortamından eşitlenen hesaplarla kullanmak için, NTLM ve Kerberos kimlik doğrulaması için gereken parola karmalarını eşitlemek üzere Azure AD Connect yapılandırmanız gerekir. Azure AD Connect yapılandırıldıktan sonra, şirket içi hesap oluşturma veya parola değiştirme olayı da eski parola karmalarını Azure AD ile eşitler.

Şirket içi AD DS ortamı olmayan veya bir kaynak ormanı kullanıyorsanız, yalnızca bulut hesapları kullanıyorsanız bu adımları gerçekleştirmeniz gerekmez. Kaynak ormanı kullanan yönetilen etki alanları için, şirket içi parola karmaları hiçbir zaman eşitlenmez. Şirket içi hesapların kimlik doğrulaması, orman güvenlerini kendi AD DS etki alanı denetleyicilerinize geri kullanır.

Bu öğreticide şunları öğrenirsiniz:

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlayabilmeniz için aşağıdaki kaynaklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• Azure AD Connect kullanılarak şirket içi dizin ile eşitlenen aboneliğinizle ilişkili bir Azure Active Directory kiracısı.
  • Gerekirse, bir Azure Active Directory kiracı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
  • Gerekirse Parola karması eşitlemesi için Azure AD Connect etkinleştirin.
• Azure AD kiracınızda etkinleştirilmiş ve yapılandırılmış Azure Active Directory Domain Services yönetilen bir etki alanı.
  • Gerekirse, Azure Active Directory Domain Services yönetilen bir etki alanı oluşturun ve yapılandırın.

Azure AD Connect kullanarak parola karması eşitlemesi

Azure AD Connect, Kullanıcı hesapları ve gruplar gibi nesneleri şirket içi AD DS ortamından bir Azure AD kiracısına eşleştirmek için kullanılır. İşlem kapsamında, Parola karması eşitlemesi hesapların şirket içi AD DS ortamında ve Azure AD 'de aynı parolayı kullanmasını sağlar.

Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için Azure AD DS, NTLM ve Kerberos kimlik doğrulaması için uygun bir biçimde parola karmaları gerektirir. Azure AD, kiracınız için Azure AD DS etkinleştirene kadar parola karmalarını NTLM veya Kerberos kimlik doğrulaması için gereken biçimde depolamaz. Azure AD, güvenlik nedenleriyle şifresiz metin biçiminde hiçbir parola kimlik bilgisi depolamaz. Bu nedenle, Azure AD kullanıcıların mevcut kimlik bilgilerini temel alarak bu NTLM veya Kerberos parola karmalarını otomatik olarak üretemiyor.

Azure AD Connect, Azure AD DS için gerekli NTLM veya Kerberos parola karmalarını eşitleyecek şekilde yapılandırılabilir. Parola karması eşitlemesi için Azure AD Connect etkinleştirmeadımlarını tamamladığınızdan emin olun. Azure AD Connect var olan bir örneğiniz varsa, NTLM ve Kerberos için eski parola karmalarını eşitlediğinizden emin olmak için en son sürüme indirin ve güncelleştirin . Bu işlevsellik Azure AD Connect erken sürümlerinde veya eski DirSync aracıyla kullanılamaz. Azure AD Connect Version 1.1.614.0 veya üzeri gereklidir.

Parola karmalarının eşitlenmesini etkinleştir

Azure AD Connect yüklendi ve Azure AD ile eşitlenecek şekilde yapılandırıldıysa, artık NTLM ve Kerberos için eski parola karması eşitlemesini yapılandırın. Gerekli ayarları yapılandırmak ve ardından Azure AD 'ye tam parola eşitlemeyi başlatmak için bir PowerShell betiği kullanılır. Azure AD Connect Parola karması eşitleme işlemi tamamlandığında, kullanıcılar, eski NTLM veya Kerberos parola karmaları kullanan Azure AD DS aracılığıyla uygulamalarda oturum açabilirler.

1. Azure AD Connect yüklü bilgisayarda, Başlat menüsünden, Azure AD Connect > eşitleme hizmetini açın.

2. Bağlayıcılar sekmesini seçin. Şirket içi AD DS ortamı ile Azure AD arasında eşitleme oluşturmak için kullanılan bağlantı bilgileri listelenir.

   Tür , Azure AD Bağlayıcısı için Windows Azure Active Directory (Microsoft) veya şirket içi AD DS Bağlayıcısı için Active Directory Domain Services gösterir. Bir sonraki adımda PowerShell betiğindeki kullanılacak bağlayıcı adlarını bir yere göz önünde alın.

   

   Bu örnek ekran görüntüsünde aşağıdaki bağlayıcılar kullanılır:

   • Azure AD Bağlayıcısı adı contoso.onmicrosoft.com-AAD
   • Şirket içi AD DS Bağlayıcısı OnPrem.contoso.com olarak adlandırılmıştır

3. Aşağıdaki PowerShell betiğini kopyalayıp Azure AD Connect yüklü bilgisayara yapıştırın. Betik, eski parola karmalarını içeren tam bir parola eşitlemesini tetikler. $azureadConnectorVe $adConnector değişkenlerini önceki adımdaki bağlayıcı adlarıyla güncelleştirin.

   Şirket içi hesap NTLM ve Kerberos parola karmalarını Azure AD ile eşleştirmek için bu betiği her bir AD ormanında çalıştırın.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   Hesap ve grup sayısı bakımından dizininizin boyutuna bağlı olarak, eski parola karmalarının Azure AD 'ye eşitlenmesi biraz zaman alabilir. Daha sonra, parolalar Azure AD ile eşitlendikten sonra yönetilen etki alanıyla eşitlenir.

Sonraki adımlar

Bu öğreticide şunları öğrendiniz: