Kurz: Povolení synchronizace hesel ve službě Microsoft Entra Domain Services pro hybridní prostředí

V případě hybridních prostředí je možné tenanta Microsoft Entra nakonfigurovat tak, aby se synchronizoval s prostředím služby místní Active Directory Domain Services (AD DS) pomocí služby Microsoft Entra Připojení. Microsoft Entra Připojení ve výchozím nastavení nesynchronizuje starší hodnoty hash hesel NT LAN Manager (NTLM) a Kerberos, které jsou potřeba pro službu Microsoft Entra Domain Services.

Pokud chcete používat službu Domain Services s účty synchronizovanými z místního prostředí SLUŽBY AD DS, musíte nakonfigurovat microsoft Entra Připojení k synchronizaci těchto hodnot hash hesel vyžadovaných pro ověřování protokolem NTLM a Kerberos. Až Microsoft Entra Connect nakonfigurujete, při vytvoření místního účtu nebo změně hesla se zároveň synchronizují zastaralé hodnoty hash hesel se službou Microsoft Entra ID.

Pokud používáte výhradně cloudové účty bez místního prostředí SLUŽBY AD DS, nemusíte tyto kroky provádět.

V tomto kurzu se naučíte:

• Proč jsou potřeba starší hodnoty hash hesel NTLM a Kerberos
• Jak nakonfigurovat starší synchronizaci hodnot hash hesel pro Microsoft Entra Připojení

Pokud nemáte předplatné Azure, vytvořte si účet , než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, který je synchronizovaný s místním adresářem pomocí microsoft Entra Připojení.
  • V případě potřeby vytvořte tenanta Microsoft Entra nebo přidružte předplatné Azure k vašemu účtu.
  • V případě potřeby povolte microsoft Entra Připojení pro synchronizaci hodnot hash hesel.
• Spravovaná doména služby Microsoft Entra Domain Services je povolená a nakonfigurovaná ve vašem tenantovi Microsoft Entra.
  • V případě potřeby vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.

Synchronizace hodnot hash hesel pomocí microsoft entra Připojení

Microsoft Entra Připojení slouží k synchronizaci objektů, jako jsou uživatelské účty a skupiny z místního prostředí AD DS, do tenanta Microsoft Entra. V rámci tohoto procesu synchronizace hodnot hash hesel umožňuje účtům používat stejné heslo v místním prostředí SLUŽBY AD DS a v Microsoft Entra ID.

Aby služba Domain Services ověřila uživatele ve spravované doméně, potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování protokolem NTLM a Kerberos. Microsoft Entra ID neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Zbezpečnostních Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.

Microsoft Entra Připojení lze nakonfigurovat tak, aby synchronizoval požadované hodnoty hash hesel NTLM nebo Kerberos pro službu Domain Services. Ujistěte se, že jste dokončili kroky povolení microsoft Entra Připojení pro synchronizaci hodnot hash hesel. Pokud jste měli existující instanci microsoft Entra Připojení, stáhněte a aktualizujte na nejnovější verzi, abyste měli jistotu, že můžete synchronizovat starší hodnoty hash hesel pro protokol NTLM a Kerberos. Tato funkce není k dispozici v dřívějších verzích microsoft Entra Připojení ani u starší verze nástroje DirSync. Vyžaduje se microsoft Entra Připojení verze 1.1.614.0 nebo novější.

Důležité

Microsoft Entra Připojení by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími AD DS. Instalace služby Microsoft Entra Připojení ve spravované doméně služby Domain Services není podporována, aby bylo možné synchronizovat objekty zpět s ID Microsoft Entra.

Povolení synchronizace hodnot hash hesel

S nainstalovanou a nakonfigurovanou službou Microsoft Entra Připojení pro synchronizaci s ID Microsoft Entra teď nakonfigurujte starší synchronizaci hodnot hash hesel pro protokol NTLM a Kerberos. Skript PowerShellu slouží ke konfiguraci požadovaných nastavení a následnému spuštění úplné synchronizace hesel do Microsoft Entra ID. Po dokončení procesu synchronizace hodnot hash hesel microsoft Entra Připojení se uživatelé mohou přihlásit k aplikacím prostřednictvím služby Domain Services, které používají starší hodnoty hash hesel NTLM nebo Kerberos.

1. Na počítači s nainstalovanou aplikací Microsoft Entra Připojení z nabídka Start otevřete synchronizační službu Microsoft Entra Připojení>.

2. Vyberte kartu Připojení orů. Zobrazí se informace o připojení použité k navázání synchronizace mezi místním prostředím SLUŽBY AD DS a ID Microsoft Entra.

   Typ označuje buď Microsoft Entra ID systému Windows (Microsoft) pro konektor Microsoft Entra, nebo Doména služby Active Directory Services pro místní konektor AD DS. Poznamenejte si názvy konektorů, které se mají použít ve skriptu PowerShellu v dalším kroku.

   

   Na tomto příkladu snímku obrazovky se používají následující konektory:

   • Konektor Microsoft Entra má název contoso.onmicrosoft.com – Microsoft Entra ID
   • Místní konektor služby AD DS má název onprem.contoso.com

3. Zkopírujte následující skript PowerShellu a vložte ho do počítače s nainstalovaným nástrojem Microsoft Entra Připojení. Skript aktivuje úplnou synchronizaci hesel, která obsahuje starší hodnoty hash hesel. $azureadConnector Aktualizujte proměnné $adConnector pomocí názvů konektorů z předchozího kroku.

   Spuštěním tohoto skriptu v každé doménové struktuře AD synchronizujte místní účty NTLM a hodnoty hash hesel Kerberos s Microsoft Entra ID.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   V závislosti na velikosti adresáře v závislosti na počtu účtů a skupin může synchronizace starších hodnot hash hesel do Microsoft Entra ID nějakou dobu trvat. Hesla se pak synchronizují do spravované domény po jejich synchronizaci s ID Microsoft Entra.

Další kroky

V tomto kurzu jste se naučili:

• Proč jsou potřeba starší hodnoty hash hesel NTLM a Kerberos
• Jak nakonfigurovat starší synchronizaci hodnot hash hesel pro Microsoft Entra Připojení

Zjistěte, jak funguje synchronizace ve spravované doméně služby Microsoft Entra Domain Services.