Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje informace, které potřebujete k synchronizaci uživatelských hesel z instance místní Active Directory do cloudové instance Microsoft Entra.
Jak funguje synchronizace hodnot hash hesel
Doménová služba Active Directory ukládá hesla ve formě reprezentace hodnoty hash skutečného hesla uživatele. Hodnota hash je výsledkem jednosměrné matematické funkce ( algoritmu hash). Neexistuje žádná metoda, která by vrátila výsledek jednosměrné funkce na verzi hesla ve formátu prostého textu.
Pokud chcete synchronizovat heslo, Microsoft Entra Connect Sync extrahuje hodnotu hash hesla z instance místní Active Directory. Na hodnotu hash hesla se aplikuje dodatečné zpracování zabezpečení, než je synchronizována do ověřovací služby Microsoft Entra. Hesla se synchronizují na základě jednotlivých uživatelů a v chronologickém pořadí.
Skutečný tok dat procesu synchronizace hodnot hash hesel je podobný synchronizaci uživatelských dat. Hesla se ale synchronizují častěji než standardní okno synchronizace adresářů pro jiné atributy. Proces synchronizace hodnot hash hesel se spouští každých 2 minuty. Frekvenci tohoto procesu nemůžete změnit. Při synchronizaci hesla přepíše stávající cloudové heslo.
Při prvním povolení funkce synchronizace hodnot hash hesel provede počáteční synchronizaci hesel všech uživatelů v rámci rozsahu. Postupné uvedení umožňuje otestovat funkce cloudového ověřování, jako je vícefaktorové ověřování Microsoft Entra, podmíněný přístup, ochrana identit a zásady správného řízení identit, s vybranými skupinami uživatelů před přepnutím domén na cloudové ověřování. Nemůžete explicitně definovat podmnožinu uživatelských hesel, která chcete synchronizovat. Pokud ale existuje více konektorů, je možné zakázat synchronizaci hodnot hash hesel pro některé konektory, ale ne jiné pomocí rutiny Set-ADSyncAADPasswordSyncSyncConfiguration .
Když změníte místní heslo, aktualizované heslo se synchronizuje nejčastěji během několika minut. Funkce synchronizace hodnot hash hesel automaticky opakuje neúspěšné pokusy o synchronizaci. Pokud při pokusu o synchronizaci hesla dojde k chybě, zaprotokoluje se v prohlížeči událostí chyba.
Synchronizace hesla nemá žádný vliv na uživatele, který je aktuálně přihlášený. Pokud se při přihlášení ke cloudové službě synchronizuje změna hesla, vaše aktuální relace zůstane nedotčená.
Uživatel musí zadat své podnikové přihlašovací údaje podruhé, aby se ověřil v MICROSOFT Entra ID bez ohledu na to, jestli je přihlášený ke své podnikové síti. Tento vzor je možné minimalizovat, ale pokud uživatel zaškrtne políčko Zůstat přihlášeni (KMSI) při přihlášení. Tento výběr nastaví soubor cookie relace, který umožní obejít ověřování po dobu 180 dnů. Chování KmSI může spravovat správce Microsoft Entra. Kromě toho můžete snížit počet výzev k heslům tak, že nakonfigurujete Microsoft Entra join nebo Microsoft Entra hybrid join, které uživatele automaticky přihlásí, když jsou na korporátních zařízeních připojených k podnikové síti.
Další výhody
- Synchronizace hodnot hash hesel je obecně jednodušší než federační služba. Nevyžaduje žádné další servery a eliminuje závislost na vysoce dostupné federační službě k ověřování uživatelů.
- Kromě federace je také možné povolit synchronizaci hodnot hash hesel. Může se použít jako záložní, pokud vaše federační služba dojde k výpadku.
Poznámka:
Synchronizace hesel je podporována pouze pro uživatele typu objektu ve službě Active Directory. Typ objektu iNetOrgPerson není podporován.
Podrobný popis fungování synchronizace hodnot hash hesel
Následující část popisuje, jak funguje synchronizace hodnot hash hesel mezi službou Active Directory a ID Microsoft Entra.
Každé dvě minuty vyžaduje agent pro synchronizaci hashovacího hesla na serveru AD Connect uložené hodnoty hesel (atribut unicodePwd) z řadiče domény. Tento požadavek je standardním MS-DRSR protokolem replikace používaným k synchronizaci dat mezi DCs. Aby bylo možné získat hodnoty hash hesel, musí mít účet konektoru služby Active Directory Domain Services (ADDS) oprávnění AD replikovat změny adresáře a replikovat všechny změny adresáře (udělená ve výchozím nastavení při instalaci).
Před odesláním DC zašifruje MD4 hash hesla pomocí klíče, který je MD5 hashem klíče relace vzdáleného volání procedur (RPC) a solí. Potom odešle výsledek agentu synchronizace hodnot hash hesel přes RPC. Řadič domény také předává sůl synchronizačnímu agentu pomocí protokolu pro replikaci DC, takže agent je schopen obálku dešifrovat.
Jakmile má agent synchronizace hodnot hash hesel šifrovanou obálku, použije MD5CryptoServiceProvider a sůl k vygenerování klíče pro dešifrování přijatých dat zpět do původního formátu MD4. Agent synchronizace hodnot hash hesel nikdy nemá přístup k heslu s prostým textem. Agent synchronizace hodnot hash hesel používá MD5 výhradně pro kompatibilitu s protokolem replikace řadiče domény. Toto použití je omezené na místní komunikaci mezi řadičem domény a agentem.
Agent synchronizace hodnot hash hesel rozšiřuje hodnotu hash binárních hesel 16 bajtů na 64 bajtů tím, že nejprve převede hodnotu hash na šestnáctkový řetězec 32 bajtů a pak tento řetězec převede zpět na binární s kódováním UTF-16.
Agent synchronizace hodnot hash hesel přidá sůl o délce 10 bajtů za uživatele k binárnímu souboru o délce 64 bajtů, aby dále chránil původní hodnotu hash.
Agent synchronizace hodnot hash hesel pak zkombinuje hash MD4 a osobní sůl pro každého uživatele a zadá ji do funkce PBKDF2. Používá se 1 000 iterací algoritmu HMAC-SHA256 s klíči hash. Další podrobnosti najdete v dokumentu White paper společnosti Microsoft Entra.
Agent synchronizace hodnot hash hesel přebírá výslednou hodnotu hash 32 bajtů, zřetězí hodnotu soli pro jednotlivé uživatele i počet iterací SHA256 (pro použití pomocí Microsoft Entra ID) a pak přenese řetězec z Microsoft Entra Connect do Microsoft Entra ID přes TLS.
Když se uživatel pokusí přihlásit k ID Microsoft Entra a zadá heslo, heslo se spustí prostřednictvím stejného procesu MD4+salt+PBKDF2+HMAC-SHA256. Pokud výsledná hodnota hash odpovídá hodnotě hash uložené v Microsoft Entra ID, znamená to, že uživatel zadal správné heslo a je ověřený.
Poznámka:
Původní hodnota hash MD4 se nepřenáší do Microsoft Entra ID. Místo toho se přenáší hash SHA256 původního hashe MD4. Pokud je získána hodnota hash uložená v Microsoft Entra ID, nelze ji použít v místním útoku typu pass-the-hash.
Poznámka:
Hodnota hash hesla není nikdy uložena v SQL. Tyto hodnoty se zpracovávají pouze v paměti před odesláním do Microsoft Entra ID.
Bezpečnostní aspekty
Při synchronizaci hesel není vaše heslo v prostém textu vystaveno funkcí synchronizace hodnot hash hesel, Microsoft Entra ID ani žádné z přidružených služeb.
Ověřování uživatelů probíhá proti Microsoft Entra, nikoli vůči vlastní instanci služby Active Directory organizace. Údaje o hesle SHA256 uložené v Microsoft Entra ID (zašifrovaná hodnota původního hash MD4) jsou bezpečnější než údaje uložené v službě Active Directory. Vzhledem k tomu, že tuto hodnotu hash SHA256 nejde dešifrovat, nejde ji přenést zpět do prostředí služby Active Directory organizace a předložit ji jako platné uživatelské heslo při útoku pass-the-hash.
Důležité informace o zásadách hesel
Existují dva typy zásad hesel, které jsou ovlivněny povolením synchronizace hodnot hash hesel:
- Zásady složitosti hesel
- Zásady vypršení platnosti hesla
Zásady složitosti hesel
Pokud je povolena synchronizace hashů hesel, zásady složitosti hesel ve vaší lokální instanci Active Directory mají přednost před zásadami složitosti v cloudu pro synchronizované uživatele. Pro přístup ke službám Microsoft Entra můžete použít libovolné platné heslo z místní instance služby Active Directory.
Poznámka:
Hesla pro uživatele, kteří jsou vytvářeni přímo v cloudu, se stále řídí zásadami hesel definovanými v cloudu.
Zásady vypršení platnosti hesla
Pokud je uživatel v rámci synchronizace hashů hesel, ve výchozím nastavení je cloudové heslo nastaveno na Nikdy nevyprší.
K cloudovým službám se můžete dál přihlašovat pomocí synchronizovaného hesla, jehož platnost vypršela ve vašem místním prostředí. Cloudové heslo se aktualizuje při příští změně hesla v místním prostředí.
Politika cloudového hesla pro zapnuté uživatele s heslem synchronizovaným
Funkce Cloud Password Policy for Password-Synced Users zajišťuje, že Microsoft Entra ID vynucuje své nativní zásady hesel (například vypršení platnosti a uzamčení) pro uživatele, jejichž hesla se synchronizují z místní služby Active Directory. Tato funkce umožňuje zarovnat stejné místní zásady hesel služby Active Directory se zásadami hesel Microsoft Entra pro synchronizované uživatele.
Pokud existují synchronizovaní uživatelé, kteří pracují pouze s integrovanými službami Microsoft Entra a musí také dodržovat zásady vypršení platnosti hesla, můžete je vynutit, aby dodržovali zásady vypršení platnosti hesla Microsoft Entra povolením funkce CloudPasswordPolicyForPasswordSyncedUsersEnabled .
Pokud je CloudPasswordPolicyForPasswordSyncedUsersEnabled zakázán (což je výchozí nastavení), Microsoft Entra Connect aktualizuje atribut PasswordPolicies synchronizovaných uživatelů na DisablePasswordExpiration. Tato aktualizace se provádí pokaždé, když se hodnota hash hesla uživatele synchronizuje do cloudu a dá Microsoft Entra ID pokyn, aby pro daného uživatele ignorovala zásady vypršení platnosti cloudových hesel.
Hodnotu atributu PasswordPolicies můžete zkontrolovat pomocí modulu Microsoft Graph PowerShellu pomocí následujícího příkazu:
Connect-MgGraph -Scopes "User.ReadWrite.All"
(Get-MgUser -UserId "<UPN or Object ID>" -Property PasswordPolicies).PasswordPolicies
Pokud chcete povolit funkci CloudPasswordPolicyForPasswordSyncedUsersEnabled , spusťte pomocí modulu Graph PowerShell následující příkazy:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Jakmile je CloudPasswordPolicyForPasswordSyncedUsersEnabled povolený, Microsoft Entra ID nevymaže atribut PasswordPolicies z každého synchronizovaného uživatele. Tato DisablePasswordExpiration hodnota se odebere jenom při další synchronizaci hodnot hash hesel pro každého uživatele při další změně hesla v místní službě AD. Kromě toho noví uživatelé synchronizovaní s cloudem nebudou mít nastavené zásady PasswordPolicies.
Návod
Před povolením synchronizace hodnot hash hesel doporučujeme povolit CloudPasswordPolicyForPasswordSyncedUsersEnabled , aby počáteční synchronizace hodnot hash hesel nepřidá DisablePasswordExpiration hodnotu do atributu PasswordPolicies pro uživatele.
Zásady hesla pro uživatele můžete ručně vymazat následujícím příkazem pomocí modulu Graph PowerShell:
Connect-MgGraph -Scopes "User.ReadWrite.All"
Update-MgUser -UserId "<UPN or Object ID>" -PasswordPolicies None
Poznámka:
Příkazy PowerShellu Update-MgUser a Update-MgDomain záměrně nefungují na federovaných doménách.
Pokud se zásady v místní službě Active Directory liší, můžete pomocí následujícího příkazu PowerShellu aktualizovat zásady hesel Microsoft Entra tak, aby odpovídaly. Microsoft Entra podporuje samostatnou zásadu vypršení platnosti hesla pro každou zaregistrovanou doménu.
Update-MgDomain -DomainId "<domain name>" -PasswordValidityPeriodInDays <Int32> [-PasswordNotificationWindowInDays <Int32>]
Varování: Pokud existují synchronizované účty, které potřebují mít neexpirující hesla v Microsoft Entra ID, například účet služby, který se nepoužívá pro interaktivní přihlášení, musíte explicitně přidat DisablePasswordExpiration hodnotu do atributu PasswordPolicies uživatele v Microsoft Entra ID. Tuto hodnotu můžete přidat spuštěním následujícího příkazu:
Update-MgUser -UserID "<UPN or Object ID>" -PasswordPolicies "DisablePasswordExpiration"
Upozornění
Pokud používáte službu Microsoft Entra Domain Services, úplná synchronizace hodnot hash hesel aktivovaná službou Microsoft Entra Connect vynucuje aktualizaci hodnot hash hesel v adresáři Microsoft Entra. Tím zajistíte, že se všechny hashe hesel replikují komplexně: z místní služby Active Directory, přes Microsoft Entra ID a do řadičů domény hostovaných v Microsoft Entra Domain Services.
Pokud je proto povolená funkce CloudPasswordPolicyForPasswordSyncedUsersEnabled a aktivuje se úplná synchronizace hodnot hash hesel, Microsoft Entra vymaže atribut PasswordPolicies pro všechny synchronizované uživatele, protože se jedná o výchozí chování při aktualizaci hodnoty hash hesla v cloudu. V takových případech musíte zásady hesel znovu nastavit DisablePasswordExpiration ručně pro všechny účty, které potřebují hesla, jejichž platnost nevypršela, v Microsoft Entra ID.
Synchronizace dočasných hesel a vynucení změny hesla při příštím přihlášení
Při prvním přihlášení je typické vynutit, aby uživatel při prvním přihlášení změnil heslo, zejména když dojde k resetování hesla správce. Běžně se označuje jako nastavení dočasného hesla a je dokončeno zaškrtnutím příznaku Uživatel musí změnit heslo při příštím přihlášení u objektu uživatele ve službě Active Directory (AD).
Dočasná funkce hesel pomáhá zajistit, aby se při prvním použití dokončil přenos vlastnictví přihlašovacích údajů, aby se minimalizovala doba, po kterou má více než jeden jednotlivec znalosti o těchto přihlašovacích údajích.
Pokud chcete podporovat dočasná hesla v Microsoft Entra ID pro synchronizované uživatele, můžete povolit funkci ForcePasswordChangeOnLogOn spuštěním následujících příkazů pomocí modulu Graph PowerShell:
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Poznámka:
Když ve službě Active Directory vytvoříte nového uživatele s vybranou možností dalšího přihlášení, microsoft Entra ID vždy nakonfiguruje cloudový účet uživatele tak, aby při prvním přihlášení vynutil změnu hesla. K tomu dochází , pokud je funkce ForcePasswordChangeOnLogOn povolená nebo ne, protože původně nové synchronizované uživatelské objekty nemají v Microsoft Entra ID žádné heslo, proto musí být vynucené nastavit jeden před přihlášením. Samotná funkce ForcePasswordChangeOnLogOn má vliv pouze na scénáře resetování hesla iniciované správcem z místního prostředí, nikoli na počáteční synchronizaci objektů uživatele. Pokud byl uživatelský účet vytvořen ve službě Active Directory s nastavením „Uživatel musí při příštím přihlášení změnit heslo“, zatímco funkce ForcePasswordChangeOnLogOn a PasswordHashSync byly deaktivovány, zobrazí se uživateli při přihlášení chyba Váš účet nebo heslo je nesprávné (místo výzvy ke změně hesla). Pokud chcete tento problém vyřešit, zrušte zaškrtnutí políčka Uživatel musí při příštím přihlášení změnit heslo uživatele ve službě Active Directory a pak ho znovu vyberte. Po další synchronizaci microsoft Entra ID vyzve uživatele k aktualizaci hesla při přihlášení podle očekávání.
Pokud je povolená synchronizace hodnot hash hesel (PHS), je každý nový účet stále zřízený v Microsoft Entra ID bez hesla (protože počáteční synchronizace objektů nezahrnuje heslo uživatele). Proces PHS se ale často spouští (každých 2 minuty) pro synchronizaci hodnot hash hesel z místní služby AD do cloudu. Když se heslo uživatele synchronizuje s ID Microsoft Entra, služba použije nebo přeskočí příznak vynucení změny hesla při příštím přihlášení na základě toho, jestli je funkce UserForcePasswordChangeOnLogonEnabled zapnutá nebo vypnutá. Jinými slovy , UserForcePasswordChangeOnLogonEnabled se projeví pouze v případě, že phS skutečně synchronizuje heslo do cloudu. Pokud ale není povolená funkce UserForcePasswordChangeOnLogonEnabled , synchronizační klient se ani nepokusí synchronizovat žádná dočasná hesla. Pokud funkce PHS není spuštěná, povolení nebo zakázání funkce UserForcePasswordChangeOnLogonEnabled nemá žádný vliv na chování přihlašování uživatelů.
Následující tabulka znázorňuje kombinace funkcí a očekávané chování:
| Synchronizace hesla klienta PasswordHashSync | Ad "Uživatel musí změnit heslo při příštím přihlášení" | Entra UserForcePasswordChangeOnLogonEnabled | Výsledné chování při přihlášení v Entra ID |
|---|---|---|---|
| False (zakázáno) | Není k dispozici (žádný vliv v cloudu, pokud je phS zakázané) | Není k dispozici (žádný vliv v cloudu, pokud je phS zakázané) | Chyba: Váš účet nebo heslo není správné, protože účet nemá žádné heslo. Správce cloudu musí pro účet nastavit heslo. |
| Pravda (povoleno) | Enabled | Pravda (povoleno) | Uživateli se zobrazí výzva ke změně hesla při prvním přihlášení (dočasné heslo se synchronizovalo s ID Entra). |
| Pravda (povoleno) | Disabled | Pravda (povoleno) | Uživatel se normálně přihlásí pomocí synchronizovaného hesla (bez výzvy ke změně hesla). |
| Pravda (povoleno) | Enabled | False (zakázáno) | Dočasné heslo se nesynchronizuje; uživatel se nemůže přihlásit k Entra, dokud se nezmění heslo místně a nesynchronizuje. |
| Pravda (povoleno) | Disabled | False (zakázáno) | Uživatel se normálně přihlásí pomocí synchronizovaného hesla (bez výzvy ke změně hesla). |
Upozornění
Tuto funkci byste měli použít jenom v případě, že je v tenantovi povolená Self-Service resetování hesla a zpětný zápis hesla. To znamená, že pokud uživatel změní heslo prostřednictvím SSPR, bude synchronizován se službou Active Directory.
Vypršení platnosti účtu
Pokud vaše organizace používá atribut accountExpires jako součást správy uživatelských účtů, tento atribut se nesynchronizuje s ID Microsoft Entra. V prostředí nakonfigurovaném pro synchronizaci hodnot hash hesel bude účet služby Active Directory, kterému vypršela platnost, stále aktivní v Microsoft Entra ID. Doporučujeme použít naplánovaný skript PowerShellu, který po vypršení platnosti zakáže účty AD uživatelů (použijte rutinu Set-ADUser ). Naopak během procesu odebrání vypršení platnosti z účtu AD by měl být účet znovu povolený.
Synchronizace hodnot hash hesel a ověřování čipových karet
Zákazníci můžou vyžadovat, aby se uživatelé přihlásili k doménám Windows pomocí fyzické čipové karty CAC/PIV. Dělají to tak, že v Active Directory nakonfigurují nastavení vlastnosti uživatele SCRIL (Smart Card Required for Interactive Logon ).
Pokud je na objektu uživatele povolená služba SCRIL, je heslo AD uživatele randomizováno řadičem domény na hodnotu, kterou nikdo neví, a uživatel musí zaregistrovat a následně ověřit doménu Systému Windows prostřednictvím čipové karty.
Při povolené synchronizaci hash hesel se hash hesla AD synchronizuje s ID Microsoft Entra pro použití při cloudovém ověřování.
Poznámka:
Ve verzi 2.4.18.0 microsoft Entra Connect Sync jsme opravili problém, ke kterému došlo při opětovném povolení SCRIL u objektu uživatele. Opětovné povolení SCRIL je běžné ve scénářích, kdy uživatel ztratí čipovou kartu, což znamená, že scril je zakázaný a uživatel je k dispozici s dočasným heslem, dokud nevystaví novou čipovou kartu.
Když bylo rozhraní SCRIL znovu povoleno a vygenerovalo se nové náhodné heslo AD, uživatel stále mohl použít své staré heslo k ověření v Microsoft Entra ID. Synchronizace připojení se teď aktualizovala tak, aby se nové náhodné heslo AD synchronizovalo s ID Microsoft Entra a staré heslo se nedá použít, jakmile je povolené přihlášení pomocí čipové karty.
Pokud mají ve své doméně AD uživatelé bit SCRIL, doporučujeme správcům provést některou z následujících akcí.
- Proveďte úplnou synchronizaci hodnot hash hesel podle tohoto průvodce , abyste zajistili, že se hesla všech uživatelů SCRIL zašifrují.
- Zašifrujte heslo jednotlivého uživatele vypnutím a opětovným zapnutím nastavení SCRIL nebo přímo změnou hesla uživatele.
- Pravidelně obměňujte hesla pro uživatele SCRIL. Nakonec budou mít všichni tito uživatelé svá hesla zašifrovaná.
Přepsání synchronizovaných hesel
Správce může ručně resetovat heslo přímo v Microsoft Entra ID pomocí PowerShellu (pokud uživatel není v federované doméně).
V tomto případě nové heslo přepíše vaše synchronizované heslo a všechny zásady hesel definované v cloudu se použijí na nové heslo.
Pokud znovu změníte místní heslo, nové heslo se synchronizuje do cloudu a přepíše ručně aktualizované heslo.
Synchronizace hesla nemá žádný vliv na uživatele Azure, který je přihlášený. Aktuální relace cloudové služby není okamžitě ovlivněná synchronizovanou změnou hesla, ke které dojde, když jste přihlášení ke cloudové službě. KmSI prodlužuje dobu trvání tohoto rozdílu. Když cloudová služba vyžaduje, abyste se znovu ověřili, musíte zadat nové heslo.
Proces synchronizace hodnot hash hesel pro službu Microsoft Entra Domain Services
Pokud používáte službu Microsoft Entra Domain Services k poskytování starší verze ověřování pro aplikace a služby, které potřebují používat Protokol Kerberos, LDAP nebo NTLM, jsou některé další procesy součástí toku synchronizace hodnot hash hesel. Microsoft Entra Connect používá následující proces k synchronizaci hodnot hash hesel do Microsoft Entra ID pro použití ve službě Microsoft Entra Domain Services:
Důležité
Microsoft Entra Connect by se měl nainstalovat a nakonfigurovat jenom pro synchronizaci s místními prostředími ADDS. Instalace služby Microsoft Entra Connect ve spravované doméně služby Microsoft Entra Domain Services se nepodporuje, aby se synchronizovaly objekty zpět s ID Microsoft Entra.
Microsoft Entra Connect synchronizuje pouze starší hodnoty hash hesel při povolení služby Microsoft Entra Domain Services pro vašeho tenanta Microsoft Entra. Následující kroky se nepoužívají, pokud k synchronizaci místního prostředí ADDS s MICROSOFT Entra ID používáte pouze Microsoft Entra Connect.
Pokud starší verze aplikací nepoužívají ověřování NTLM nebo jednoduché vazby LDAP, doporučujeme zakázat synchronizaci hodnot hash hesel NTLM pro službu Microsoft Entra Domain Services. Další informace naleznete v tématu Zakázání slabých šifrovacích sad a synchronizace hodnot hash přihlašovacích údajů NTLM.
- Microsoft Entra Connect načte veřejný klíč pro tenantovu instanci služby Microsoft Entra Domain Services.
- Když uživatel změní heslo, uloží místní řadič domény výsledek změny hesla (hash) do dvou atributů:
- UnicodePwd pro hodnotu hash hesla NTLM.
- dodatečnéPověření pro Kerberos hash hesla.
- Microsoft Entra Connect detekuje změny hesel prostřednictvím kanálu replikace adresáře (změny atributů, které je potřeba replikovat do jiných řadičů domény).
- Pro každého uživatele, jehož heslo se změnilo, provede Microsoft Entra Connect následující kroky:
- Vygeneruje náhodný symetrický klíč AES 256 bitů.
- Vygeneruje náhodný inicializační vektor potřebný pro první kolo šifrování.
- Extrahuje hash Kerberos hesel z atributů supplementalCredentials.
- Kontroluje nastavení SyncNtlmPasswords v zabezpečení konfigurace služby Microsoft Entra Domain Services.
- Pokud je toto nastavení zakázané, vygeneruje náhodnou hodnotu hodnoty hash NTLM s vysokou entropií (odlišnou od hesla uživatele). Tato hodnota hash se pak zkombinuje s hodnotami hash hesel Kerberos získanými z atributu supplementalCredentials do jedné datové struktury.
- Pokud je tato možnost povolená, zkombinuje hodnotu atributu unicodePwd s extrahovanými hodnotami hash hesel Kerberos z atributu supplementalCredentials do jedné datové struktury.
- Šifruje jednu datovou strukturu pomocí symetrického klíče AES.
- Šifruje symetrický klíč AES pomocí veřejného klíče Microsoft Entra Domain Services tenanta.
- Microsoft Entra Connect přenáší šifrovaný symetrický klíč AES, šifrovanou datovou strukturu obsahující hodnoty hash hesel a vektor inicializace do Microsoft Entra ID.
- Microsoft Entra ID ukládá šifrovaný symetrický klíč AES, šifrovanou datovou strukturu a vektor inicializace pro uživatele.
- Microsoft Entra ID odešle šifrovaný symetrický klíč AES, šifrovanou datovou strukturu a inicializační vektor pomocí interního synchronizačního mechanismu přes šifrovanou relaci HTTP do služby Microsoft Entra Domain Services.
- Služba Microsoft Entra Domain Services načte privátní klíč instance tenanta ze služby Azure Key Vault.
- Pro každou zašifrovanou sadu dat (představující změnu hesla jednoho uživatele) provede služba Microsoft Entra Domain Services následující kroky:
- Použije jeho privátní klíč k dešifrování symetrického klíče AES.
- Používá symetrický klíč AES s inicializačním vektorem k dešifrování šifrované datové struktury, která obsahuje hodnoty hash hesel.
- Zapíše hash hesel Kerberos, které obdrží, do řadiče domény služby Microsoft Entra Domain Services. Hodnoty hash jsou uloženy do atributu supplementalCredentials uživatelského objektu, který je zašifrován veřejným klíčem řadiče domény služby Microsoft Entra Domain Services.
- Služba Microsoft Entra Domain Services zapíše hodnotu hash hesla NTLM, kterou přijala do řadiče domény služby Microsoft Entra Domain Services. Hodnota hash se uloží do atributu unicodePwd objektu uživatele, který je šifrovaný do veřejného klíče řadiče domény služby Microsoft Entra Domain Services.
Povolte synchronizaci hodnot hash hesel
Důležité
Pokud migrujete ze služby AD FS (nebo jiných technologií federace) na synchronizaci hodnot hash hesel, podívejte se na prostředky pro migraci aplikací do Microsoft Entra ID.
Když nainstalujete Microsoft Entra Connect pomocí možnosti Expresní nastavení , synchronizace hodnot hash hesel se automaticky povolí. Další informace naleznete v tématu Začínáme se službou Microsoft Entra Connect pomocí expresního nastavení.
Pokud při instalaci nástroje Microsoft Entra Connect používáte vlastní nastavení, je synchronizace hodnot hash hesel k dispozici na přihlašovací stránce uživatele. Další informace naleznete v tématu Vlastní instalace Microsoft Entra Connect.
Synchronizace hodnot hash hesel a FIPS
Pokud je váš server uzamčený podle standardu FIPS (Federal Information Processing Standard), je md5 zakázaný.
Pokud chcete povolit synchronizaci hodnot hash hesel MD5, proveďte následující kroky:
- Přejděte na %programfiles%\Microsoft Azure AD Sync\Bin.
- Otevřete miiserver.exe.config.
- Přejděte na uzel konfigurace/modulu runtime na konci souboru.
- Přidejte následující uzel:
<enforceFIPSPolicy enabled="false" /> - Uložte provedené změny.
- Restartujte, aby se změny projevily.
Tento fragment kódu by měl vypadat takto:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false" />
</runtime>
</configuration>
Informace o zabezpečení a FIPS naleznete v tématu Synchronizace hodnot hash hesel, šifrování a dodržování předpisů FIPS společnosti Microsoft Entra.
Odstraňování potíží se synchronizací hashů hesel
Pokud máte problémy se synchronizací hodnot hash hesel, přečtěte si Řešení potíží se synchronizací hodnot hash hesel.