如何在 Azure Active Directory Domain Services 受控網域中同步物件和認證

Azure Active Directory Domain Services (Azure AD DS) 受控網域可中的物件和認證可以在網域內的本機建立,或從 Azure Active Directory (Azure AD) 租用戶進行同步。 當您第一次部署 Azure AD DS 時,系統會設定並啟動從 Azure AD 複寫物件的自動單向同步。 此單向同步會繼續在背景中執行,透過 Azure AD 的任何變更,讓 Azure AD DS 受控網域保持在最新狀態。 同步不會從 Azure AD DS 回到 Azure AD。

在混合式環境中,內部部署 AD DS 網域中的物件和認證,可以使用 Azure AD Connect,同步處理至 Azure AD。 一旦這些物件成功同步處理至 Azure AD,自動背景同步處理就會提供這些物件和認證,給使用受控網域的應用程式。

如果內部部署 AD DS 和 Azure AD 是針對使用 ADFS 進行同盟驗證而設定,且不需密碼雜湊同步,或是當協力廠商身分識別保護產品和 Azure AD 是設定為同盟驗證,且不需密碼雜湊同步,則 Azure DS 中不會提供 (目前/有效的) 密碼雜湊。 在送出驗證之前所建立 Azure AD 使用者帳戶可能會有舊密碼雜湊,但這可能不符合其內部內部部署密碼的雜湊。 因此,Azure AD DS 將無法驗證使用者的認證。

下圖說明 Azure AD DS、Azure AD,以及選擇性內部部署 AD DS 環境之間的同步處理運作方式:

Synchronization overview for an Azure AD Domain Services managed domain

從 Azure AD 同步處理至 Azure AD DS

使用者帳戶、群組成員資格及認證雜湊,會從 Azure AD 單向同步處理至 Azure AD DS。 此同步處理程序是自動執行的。 您不需要設定、監視或管理此同步處理流程。 根據 Azure AD 目錄中的物件數目而定,首次同步處理可能需要花費數小時到數天的時間。 當首次同步處理完成之後,Azure AD 中所進行的變更,例如密碼或屬性變更等,會接著自動同步處理至 Azure AD DS。

在 Azure AD 中建立使用者時,除非使用者於 Azure AD 中變更密碼,否則不會同步處理至 Azure AD DS。 此密碼變更程序會在 Azure AD 中產生並儲存 Kerberos 和 NTLM 驗證的密碼雜湊。 需要密碼雜湊,才可在 Azure AD DS 中成功驗證使用者。

根據設計,此同步處理程序是單向的。 從 Azure AD DS 到 Azure AD,並沒有任何變更的反向同步處理。 除了您可建立的所有自訂 OU 之外,受控網域大部分都是唯讀狀態。 您無法對受控網域內的使用者屬性、使用者密碼或群組成員資格進行變更。

屬性同步處理與 Azure AD DS 的對應

下表列出一些常見屬性,以及其同步至 Azure AD DS 的方法。

Azure AD DS 中的屬性 來源 備註
UPN Azure AD 租用戶中的使用者 UPN 屬性 Azure AD 租用戶的 UPN 屬性,會保持原狀同步處理至 Azure AD DS。 登入您受控網域的最可靠方法,是使用 UPN。
SAMAccountName Azure AD 租用戶中,或自動產生的使用者 mailNickname 屬性 SAMAccountName 屬性是來自您 Azure AD 租用戶中的 mailNickname 屬性。 如果有多個使用者帳戶具有相同的 mailNickname 屬性,系統就會自動產生 SAMAccountName。 如果使用者的 mailNicknameUPN 前置詞長度超過 20 個字元,系統就會自動產生 SAMAccountName 來滿足 SAMAccountName 屬性上的 20 個字元限制。
密碼 來自 Azure AD 租用戶的使用者密碼 NTLM 或 Kerberos 驗證所需的舊版密碼雜湊,可從 Azure AD 租用戶中進行同步。 如果 Azure AD 租用戶,是使用 Azure AD Connect 設定混合式同步處理,則這些密碼雜湊會源自內部部署 AD DS 環境。
主要使用者/群組 SID 自動產生 使用者/群組帳戶的主要 SID,會在 Azure AD DS 中自動產生。 此屬性和內部部署 AD DS 環境中的主要使用者/群組 SID 並不相符。 這種不相符的情況是因為受控網域的 SID 命名空間與內部部署 AD DS 網域不同。
使用者和群組的 SID 歷程記錄 內部部署主要使用者和群組 SID Azure AD DS 中使用者和群組的 SidHistory 屬性,會設定為與內部部署 AD DS 環境中對應的主要使用者或群組 SID 相符。 因為您不需要重新設定資源的 ACL,此功能可協助以更簡單的方式,將內部部署應用程式隨即轉移至 Azure AD DS。

提示

使用 UPN 格式來登入受控網域系統可能會針對受控網域中的某些使用者帳戶自動產生 SAMAccountName 屬性,例如 AADDSCONTOSO\driley。 自動產生的使用者 SAMAccountName 可能與其 UPN 前置詞不同,因此不一定是可靠的登入方式。

例如,如果有多個使用者具有相同的 mailNickname 屬性,或使用者的 UPN 前置詞太長,則可能會自動為這些使用者產生 SAMAccountName。 使用 UPN 格式 (例如 driley@aaddscontoso.com) 來可靠地登入受控網域。

使用者帳戶的屬性對應

下表說明如何將 Azure AD 中使用者物件的特定屬性,同步到 Azure AD DS 中對應的屬性。

Azure AD 中的使用者屬性 Azure AD DS 中的使用者屬性
accountEnabled userAccountControl (設定或清除 ACCOUNT_DISABLED 位元)
city l
companyName companyName
country co
department department
displayName displayName
employeeId employeeId
facsimileTelephoneNumber facsimileTelephoneNumber
givenName givenName
jobTitle title
mail mail
mailNickname msDS-AzureADMailNickname
mailNickname SAMAccountName (有時可能會自動產生)
manager manager
mobile mobile
objectid msDS-aadObjectId
onPremiseSecurityIdentifier sidHistory
passwordPolicies userAccountControl (設定或清除 DONT_EXPIRE_PASSWORD 位元)
physicalDeliveryOfficeName physicalDeliveryOfficeName
postalCode postalCode
preferredLanguage preferredLanguage
proxyAddresses proxyAddresses
state st
streetAddress streetAddress
surname sn
telephoneNumber telephoneNumber
userPrincipalName userPrincipalName

群組的屬性對應

下表說明如何將 Azure AD 中群組物件的特定屬性,同步到 Azure AD DS 中對應的屬性。

Azure AD 中的群組屬性 Azure AD DS 中的群組屬性
displayName displayName
displayName SAMAccountName (有時可能會自動產生)
mail mail
mailNickname msDS-AzureADMailNickname
objectid msDS-AzureADObjectId
onPremiseSecurityIdentifier sidHistory
proxyAddresses proxyAddresses
securityEnabled groupType

從內部部署 AD DS 同步處理至 Azure AD 與 Azure AD DS

使用 Azure AD Connect,可將使用者帳戶、群組成員資格及認證雜湊,從內部部署 AD DS 環境中同步至 Azure AD。 同步的對象包括使用者帳戶的屬性,例如 UPN 和內部部署安全性識別碼 (SID)。 若要使用 Azure AD DS 登入,NTLM 和 Kerberos 驗證所需的舊版密碼雜湊也會同步處理至 Azure AD。

重要

Azure AD Connect 應該只會為了與內部部署 AD DS 環境同步處理而安裝和設定。 不支援在此受控網域中安裝 Azure AD Connect,以將物件同步處理回 Azure AD。

如果您設定回寫,則 Azure AD 的變更會同步處理回內部部署 AD DS 環境。 例如,如果使用者使用 Azure AD 自助式密碼管理變更其密碼,則會在內部部署 AD DS 環境中更新密碼。

注意

請一律使用最新版的 Azure AD Connect 版本,以確保您已具備所有已知問題的修正。

從多樹系內部部署環境同步處理

許多組織都有相當複雜的內部部署 AD DS 環境,其中包含多個樹系。 Azure AD Connect 支援將使用者、群組及認證雜湊從多樹系環境同步到 Azure AD。

Azure AD 有更簡單的一般命名空間。 若要讓使用者可靠地存取受 Azure AD 保護的應用程式,請解決不同樹系中各個使用者帳戶之間的 UPN 衝突。 和 Azure AD 相似,受控網域使用一般 OU 結構。 所有使用者帳戶和群組都會儲存在 AADDC 使用者容器中,即使您已設定階層式 OU 結構內部部署,仍會從不同的內部部署網域或樹系進行同步處理。 受控網域會壓平合併任何階層式 OU 結構。

如先前所述,Azure AD DS 不會同步處理回 Azure AD。 您可以在 Azure AD DS 中建立自訂組織單位 (OU),並在這些自訂 OU 中建立使用者、群組或服務帳戶。 在自訂 OU 內建立的所有物件,都不會往回同步到 Azure AD。 這些物件只能在受控網域中使用,且無法使用 Azure AD PowerShell Cmdlet、Microsoft Graph API 或 Azure AD 管理 UI 顯示。

未同步處理至 Azure AD DS 的項目

下列物件或屬性,不會從內部部署 AD DS 環境同步處理至 Azure AD 或Azure AD DS:

  • 排除的屬性:您可以使用 Azure AD Connect 來選擇將特定屬性排除,而不要將它們從內部部署 AD DS 環境同步到 Azure AD。 這些排除的屬性,無法接著在 Azure AD DS 中使用。
  • 群組原則:內部部署 AD DS 環境中設定的群組原則,不會同步到 Azure AD DS。
  • Sysvol 資料夾:內部部署 AD DS 環境中的 Sysvol 資料夾內容,不會同步處理至 Azure AD DS。
  • 電腦物件:加入內部部署 AD DS 環境,且用於電腦的電腦物件,不會同步處理至 Azure AD DS。 這些電腦與受控網域沒有信任關聯性,且只屬於內部部署 AD DS 環境。 在 Azure AD DS 中,只會顯示已明確加入受控網域,且用於電腦的電腦物件。
  • 使用者和群組的 SidHistory 屬性:來自內部部署 AD DS 環境的主要使用者和主要群組 SID,會同步至 Azure AD DS。 然而,使用者和群組的現有 SidHistory 屬性,不會從內部部署 AD DS 環境同步處理至 Azure AD DS。
  • 組織單位 (OU) 結構:內部部署 AD DS 環境中定義的組織單位,不會同步處理至 Azure AD DS。 Azure AD DS 中有兩個內建的 OU - 一個用於使用者,另一個用於電腦。 受控網域會有單層式 OU 結構。 您可以選擇在您的受控網域中建立自訂 OU

密碼雜湊同步處理和安全性考量

當您啟用 Azure AD DS 時,會需要 NTLM + Kerberos 驗證的舊版密碼雜湊。 Azure AD 不會儲存純文字密碼,因此無法為現有的使用者帳戶自動產生這些雜湊。 只要產生並儲存後,NTLM 和 Kerberos 相容的密碼雜湊,會一律以加密方式儲存於 Azure AD 中。

加密金鑰對每位 Azure AD 租用戶都是唯一的。 這些雜湊均會加密,因此,只有 Azure AD DS 具有解密金鑰的存取權。 Azure AD 中沒有任何其他服務或元件具有解密金鑰的存取權。

然後,舊版密碼雜湊會從 Azure AD 同步處理至受控網域的網域控制站。 這些 Azure AD DS 中受控網域控制站的磁碟,均會進行待用加密。 這些密碼雜湊會儲存在這些網域控制站上並受到保護,類似於將密碼儲存在 內部部署 AD DS 環境上並受到保護。

針對僅限雲端的 Azure AD 環境,使用者必須重設/變更其密碼,才能產生必要的密碼雜湊,並儲存於 Azure AD 中。 針對在啟用 Azure AD Domain Services 之後於 Azure AD 中建立的任何雲端使用者帳戶,以 NTLM 和 Kerberos 相容的格式產生並儲存密碼雜湊。 所有雲端使用者帳戶都必須變更其密碼,才可同步處理至 Azure AD DS。

針對使用 Azure AD Connect 同步從內部部署 AD DS 環境同步處理的混合式使用者帳戶,您必須設定 Azure AD Connect,以在 NTLM 和 Kerberos 相容的格式中,同步處理密碼雜湊

後續步驟

如需密碼雜湊同步處理的詳細資訊,請參閱使用 Azure AD Connect 來實作密碼雜湊同步處理

如要開始使用 Azure AD DS,請建立受控網域