Kurz: Povolení synchronizace hesel ve službě Microsoft Entra Domain Services pro hybridní prostředí

Pro hybridní prostředí je možné tenanta Microsoft Entra nakonfigurovat tak, aby se synchronizoval s místním prostředím služby Active Directory Domain Services (AD DS) pomocí služby Microsoft Entra Connect. Ve výchozím nastavení Microsoft Entra Connect nesynchronizuje starší verze NT LAN Manager (NTLM) a heslové hodnoty hash Kerberos, které jsou potřeba pro služby Microsoft Entra Domain Services.

Pokud chcete používat službu Domain Services s účty synchronizovanými z místního prostředí AD DS, musíte nakonfigurovat Microsoft Entra Connect tak, aby synchronizovala hash hesel vyžadované pro ověřování protokolem NTLM a Kerberos. Po nakonfigurování služby Microsoft Entra Connect se událost vytvoření místního účtu nebo změny hesla synchronizuje také se staršími hodnotami hash hesel do Microsoft Entra ID.

Pokud používáte výhradně cloudové účty bez místního prostředí SLUŽBY AD DS, nemusíte tyto kroky provádět.

V tomto kurzu se naučíte:

• Proč jsou potřeba starší hodnoty hash hesel NTLM a Kerberos
• Jak nakonfigurovat starší synchronizaci hodnot hash hesel pro Microsoft Entra Connect

Pokud nemáte předplatné Azure, vytvořte si účet, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující zdroje informací:

• Aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořit účet.
• Tenant Microsoft Entra přidružený k vašemu předplatnému, který je synchronizovaný s místním adresářem pomocí microsoft Entra Connect.
  • V případě potřeby vytvořit tenanta Microsoft Entra nebo přidružit předplatné Azure k vašemu účtu.
  • V případě potřeby povolte Microsoft Entra Connect pro synchronizaci hashovaní hesel.
• Ve vašem tenantovi Microsoft Entra je povolená a nakonfigurovaná spravovaná doména služby Microsoft Entra Domain Services.
  • V případě potřeby vytvořte a nakonfigurujte spravovanou doménu služby Microsoft Entra Domain Services.

Synchronizace hodnot hash hesel pomocí nástroje Microsoft Entra Connect

Microsoft Entra Connect se používá k synchronizaci objektů, jako jsou uživatelské účty a skupiny z místního prostředí SLUŽBY AD DS, do tenanta Microsoft Entra. V rámci tohoto procesu synchronizace hodnot hash hesel umožňuje účtům používat stejné heslo v místním prostředí SLUŽBY AD DS a v Microsoft Entra ID.

Aby služba Domain Services ověřila uživatele ve spravované doméně, potřebuje hodnoty hash hesel ve formátu, který je vhodný pro ověřování protokolem NTLM a Kerberos. Microsoft Entra ID neukládá hodnoty hash hesel ve formátu, který je vyžadován pro ověřování protokolem NTLM nebo Kerberos, dokud pro svého tenanta nepovolíte službu Domain Services. Z bezpečnostních důvodů Microsoft Entra ID také neukládá žádná hesla v čitelné formě. Proto microsoft Entra ID nemůže automaticky vygenerovat tyto hodnoty hash hesel NTLM nebo Kerberos na základě stávajících přihlašovacích údajů uživatelů.

Nástroj Microsoft Entra Connect lze nakonfigurovat tak, aby synchronizoval požadované hodnoty hash hesel NTLM nebo Kerberos pro službu Domain Services. Ujistěte se, že jste dokončili kroky k synchronizaci hodnot hash hesel pomocí služby Microsoft Entra Connect . Pokud jste měli existující instanci nástroje Microsoft Entra Connect, stáhněte a aktualizujte na nejnovější verzi, abyste se ujistili, že můžete synchronizovat starší hodnoty hash hesel pro protokol NTLM a Kerberos. Tato funkce není dostupná v dřívějších verzích nástroje Microsoft Entra Connect ani pomocí starší verze nástroje DirSync. Vyžaduje se verze Microsoft Entra Connect 1.1.614.0 nebo novější.

Důležitý

Microsoft Entra Connect by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími AD DS. Instalace služby Microsoft Entra Connect ve spravované doméně služby Domain Services se nepodporuje, aby se synchronizovaly objekty zpět s ID Microsoft Entra.

Povolení synchronizace hodnot hash hesel

S nainstalovanou a nakonfigurovanou službou Microsoft Entra Connect pro synchronizaci s ID Microsoft Entra teď nakonfigurujte starší synchronizaci hodnot hash hesel pro protokol NTLM a Kerberos. Skript PowerShellu slouží ke konfiguraci požadovaných nastavení a následnému spuštění úplné synchronizace hesel do Microsoft Entra ID. Po dokončení procesu synchronizace hodnot hash hesel Microsoft Entra Connect se uživatelé mohou přihlásit k aplikacím prostřednictvím služby Domain Services, které používají starší hodnoty hash hesel NTLM nebo Kerberos.

1. V počítači, kde je nainstalovaný Microsoft Entra Connect, otevřete v nabídce Start Microsoft Entra Connect > Synchronizační službu.

2. Vyberte kartu Konektory. Jsou uvedeny informace o připojení použité pro navázání synchronizace mezi místním prostředím AD DS a Microsoft Entra ID.

   Typ označuje buď Microsoft Entra ID systému Windows (Microsoft) pro konektor Microsoft Entra, nebo služby Active Directory Domain Services pro místní konektor AD DS. Poznamenejte si názvy konektorů, které se mají použít ve skriptu PowerShellu v dalším kroku.

   Sync Service Manageru

   Na tomto příkladu snímku obrazovky se používají následující konektory:

   • Konektor Microsoft Entra má název contoso.onmicrosoft.com – ID Microsoft Entra
   • Místní konektor služby AD DS má název onprem.contoso.com

3. Zkopírujte následující skript PowerShellu a vložte ho do počítače s nainstalovaným nástrojem Microsoft Entra Connect. Skript aktivuje úplnou synchronizaci hesel, která obsahuje starší hodnoty hash hesel. Aktualizujte proměnné $azureadConnector a $adConnector s názvy konektorů z předchozího kroku.

   Chcete-li synchronizovat hodnoty hash hesel NTLM a Kerberos místních účtů s Microsoft Entra ID, spusťte tento skript v každé doménové struktuře AD.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   V závislosti na velikosti adresáře v závislosti na počtu účtů a skupin může synchronizace starších hodnot hash hesel do Microsoft Entra ID nějakou dobu trvat. Hesla se pak synchronizují do spravované domény po jejich synchronizaci s ID Microsoft Entra.

Další kroky

V tomto kurzu jste se naučili:

• Proč jsou potřeba starší hodnoty hash hesel NTLM a Kerberos
• Jak nakonfigurovat starší synchronizaci hodnot hash hesel pro Microsoft Entra Connect

Zjistěte, jak funguje synchronizace ve spravované doméně služby Microsoft Entra Domain Services