Freigeben über


Implementieren der Kennwort-Hashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung

In diesem Artikel finden Sie alle Informationen, die Sie benötigen, um Benutzerkennwörter aus einer lokalen Active Directory-Instanz mit einer cloudbasierten Microsoft Entra-Instanz zu synchronisieren.

So funktioniert die Kennwort-Hashsynchronisierung

Der Active Directory-Domänendienst speichert Kennwörter in Form einer Hashwertdarstellung des tatsächlichen Benutzerkennworts. Ein Hashwert ist das Ergebnis einer unidirektionalen mathematischen Funktion (des „Hashalgorithmus“). Es ist nicht möglich, das Ergebnis einer unidirektionalen Funktion in die Nur-Text-Version eines Kennworts umzukehren.

Um Ihr Kennwort zu synchronisieren, extrahiert die Microsoft Entra Connect-Synchronisierung den Kennworthash aus der lokalen Active Directory-Instanz. Vor der Synchronisierung mit dem Microsoft Entra-Authentifizierungsdienst wird der Kennworthash einer zusätzlichen Sicherheitsverarbeitung unterzogen. Kennwörter werden pro Benutzer und in chronologischer Reihenfolge synchronisiert.

Der tatsächliche Datenfluss des Kennwort-Hashsynchronisierungs-Vorgangs ähnelt der Synchronisierung von Benutzerdaten. Kennwörter werden jedoch häufiger synchronisiert als vom Standardzeitfenster für die Verzeichnissynchronisierung für andere Attribute vorgesehen. Der Prozess der Kennwort-Hashsynchronisierung wird alle zwei Minuten ausgeführt. Sie können die Häufigkeit der Ausführung nicht ändern. Wenn Sie ein Kennwort synchronisieren, wird das vorhandene Cloudkennwort überschrieben.

Bei der ersten Aktivierung der Kennwort-Hashsynchronisierung wird eine Erstsynchronisierung der Kennwörter aller im Bereich befindlichen Benutzer durchgeführt. Gestaffelte Rollouts ermöglichen Ihnen das selektive Testen von Benutzergruppen mit Cloudauthentifizierungsfunktionen wie Microsoft Entra-Multi-Faktor-Authentifizierung, bedingtem Zugriff, Microsoft Entra ID Protection für kompromittierte Anmeldeinformationen, Identity Governance usw. vor der Umstellung Ihrer Domänen. Es ist nicht möglich, explizit eine Teilmenge der Benutzerkennwörter zu definieren, die Sie synchronisieren möchten. Wenn jedoch mehrere Connectors vorhanden sind, ist es möglich, die Kennworthashsynchronisierung für einige Connectors selektiv mit dem Cmdlet Set-ADSyncAADPasswordSyncConfiguration zu deaktivieren.

Wenn Sie ein lokales Kennwort ändern, wird das aktualisierte Kennwort synchronisiert. Dies dauert meist nur wenige Minuten. Das Feature der Kennwort-Hashsynchronisierung versucht automatisch, fehlerhafte Synchronisierungsversuche erneut auszuführen. Wenn beim Versuch, ein Kennwort zu synchronisieren, ein Fehler auftritt, wird der Fehler in der Ereignisanzeige protokolliert.

Die Synchronisierung eines Kennworts hat keinen Einfluss auf den derzeit angemeldeten Benutzer. Wenn eine synchronisierte Kennwortänderung durchgeführt wird, während Sie bei einem Clouddienst angemeldet sind, wirkt sich dies nicht direkt auf Ihre aktuelle Clouddienstsitzung aus. Wenn aber für den Clouddienst eine erneute Authentifizierung erforderlich ist, müssen Sie Ihr neues Kennwort angeben.

Ein Benutzer muss seine Unternehmensanmeldeinformationen ein zweites Mal eingeben, um sich bei Microsoft Entra ID zu authentifizieren, und zwar unabhängig davon, ob er bei seinem Unternehmensnetzwerk angemeldet ist. Dieses Verhalten kann aber auf ein Mindestmaß beschränkt werden, indem der Benutzer bei der Anmeldung das Kontrollkästchen „Angemeldet bleiben“ aktiviert. Dadurch wird ein Sitzungscookie festgelegt, das die Authentifizierung 180 Tage lang umgeht. Die Einstellung „Angemeldet bleiben“ kann vom Microsoft Entra-Administrator aktiviert oder deaktiviert werden. Darüber hinaus können Sie die Kennworteingabeaufforderungen reduzieren, indem Sie die Microsoft Entra-Einbindung oder die Microsoft Entra-Hybrideinbindung konfigurieren. Dabei werden Benutzer automatisch angemeldet, wenn sie mit ihren Unternehmensgeräten mit dem Unternehmensnetzwerk verbunden sind.

Weitere Vorteile

  • Im Allgemeinen ist die Kennwort-Hashsynchronisierung einfacher zu implementieren als ein Verbunddienst. Sie erfordert keine zusätzliche Server und beseitigt die Abhängigkeit von einem hochverfügbaren Verbunddienst zum Authentifizieren von Benutzern.
  • Die Kennwort-Hashsynchronisierung kann auch zusätzlich zum Verbund aktiviert werden. Sie kann als Fallback dienen, wenn der Verbunddienst ausfällt.

Hinweis

Die Kennwortsynchronisierung wird nur für Objekttyp-Benutzer in Active Directory unterstützt. Dies wird vom iNetOrgPerson-Objekttyp nicht unterstützt.

Ausführliche Beschreibung der Funktionsweise der Kennwort-Hashsynchronisierung

Im folgenden Abschnitt wird ausführlich beschrieben, wie die Kennwort-Hashsynchronisierung zwischen Active Directory und Microsoft Entra ID funktioniert.

Detaillierter Kennwortfluss

  1. Alle zwei Minuten fordert der Kennwort-Hashsynchronisierungs-Agent auf dem AD Connect-Server gespeicherte Kennworthashes (unicodePwd-Attribut) von einem DC an. Diese Anforderung erfolgt über das MS-DRSR-Standardreplikationsprotokoll, das zum Synchronisieren von Daten zwischen DCs verwendet wird. Das AD DS-Connector-Konto muss die AD-Berechtigungen „Verzeichnisänderungen replizieren“ und „Verzeichnisänderungen replizieren: Alle“ haben (die bei der Installation standardmäßig erteilt werden), um die Kennworthashes abzurufen.

  2. Vor dem Senden verschlüsselt der Domänencontroller den MD4-Kennworthash mithilfe eines Schlüssels, bei dem es sich um einen MD5-Hash des RPC-Sitzungsschlüssel und einen Salt-Wert handelt. Anschließend wird das Ergebnis über RPC an den Kennwort-Hashsynchronisierungs-Agent gesendet. Der Domänencontroller übergibt auch mithilfe des Replikationsprotokolls des Domänencontrollers den Salt-Wert an den Synchronisierungs-Agent, damit der Agent den Umschlag entschlüsseln kann.

  3. Sobald der Kennwort-Hashsynchronisierungs-Agent über den verschlüsselten Umschlag verfügt, verwendet er MD5CryptoServiceProvider und den Salt-Wert, um einen Schlüssel zum Rückentschlüsseln der empfangenen Daten in ihr ursprüngliches MD4-Format zu generieren. Der Kennwort-Hashsynchronisierungs-Agent verfügt niemals über Zugriff auf das unverschlüsselte Kennwort. Die Nutzung von MD5 durch den Kennwort-Hashsynchronisierungs-Agent dient ausschließlich der Kompatibilität des Replikationsprotokolls mit dem Domänencontroller und erfolgt nur lokal zwischen dem Domänencontroller und dem Kennwort-Hashsynchronisierungs-Agent.

  4. Der Kennwort-Hashsynchronisierungs-Agent erweitert den binären 16-Byte-Kennworthash auf 64 Bytes, indem zunächst der Hash in eine hexadezimale 32-Byte-Zeichenfolge umgewandelt wird, die anschließend mithilfe der UTF-16-Codierung wieder in das Binärformat konvertiert wird.

  5. Der Kennwort-Hashsynchronisierungs-Agent fügt der 64-Byte-Binärdatei einen benutzerspezifischen Salt-Wert mit einer Länge von zehn Bytes hinzu, um den ursprünglichen Hash noch besser zu schützen.

  6. Anschließend kombiniert der Kennwort-Hashsynchronisierungs-Agent den MD4-Hash mit dem benutzerspezifischen Salt-Wert und gibt das Ergebnis in die Funktion PBKDF2 ein. Hierzu werden 1.000 Iterationen des mit HMAC-SHA256 verschlüsselten Hashalgorithmus verwendet. Weitere Details finden Sie im Microsoft Entra-Whitepaper.

  7. Der Kennwort-Hashsynchronisierungs-Agent verwendet den resultierenden 32-Byte-Hash, verkettet sowohl den benutzerspezifischen Salt-Wert als auch die Anzahl von SHA256-Iterationen damit (für die Verwendung durch Microsoft Entra ID) und überträgt die Zeichenfolge anschließend von Microsoft Entra Connect per TLS an Microsoft Entra ID.

  8. Wenn ein Benutzer sich bei Microsoft Entra ID anzumelden versucht und sein Kennwort eingibt, durchläuft das Kennwort denselben aus MD4+Salt+PBKDF2+HMAC-SHA256 bestehenden Prozess. Wenn der resultierende Hash dem in Microsoft Entra ID gespeicherten Hash entspricht, bedeutet dies, dass der Benutzer das richtige Kennwort eingegeben hat und authentifiziert wird.

Hinweis

Der ursprüngliche MD4-Hash wird nicht an Microsoft Entra ID übertragen. Stattdessen wird der SHA256-Hash des ursprünglichen MD4-Hashs übertragen. Daher kann der Hash, wenn er in Microsoft Entra ID gespeichert ist, nicht für einen lokalen Pass-the-Hash-Angriff verwendet werden.

Hinweis

Der Kennworthashwert wird NIE in SQL gespeichert. Diese Werte werden nur im Arbeitsspeicher verarbeitet, bevor sie an Microsoft Entra ID gesendet werden.

Sicherheitshinweise

Beim Synchronisieren von Kennwörtern wird die Nur-Text-Version Ihres Kennworts gegenüber dem Kennwort-Hashsynchronisierungs-Feature, Microsoft Entra ID oder einem der zugehörigen Dienste nicht offengelegt.

Die Authentifizierung von Benutzern erfolgt im Abgleich mit Microsoft Entra und nicht mit der organisationseigenen Active Directory-Instanz. Die in Microsoft Entra ID gespeicherten SHA256-Kennwortdaten (ein Hash des ursprünglichen MD4-Hashs) sind sicherer als die in Active Directory gespeicherten Daten. Da dieser SHA256-Hash darüber hinaus nicht entschlüsselt werden kann, lässt er sich nicht in die Active Directory-Umgebung der Organisation zurückübertragen, um in einem Pass-the-Hash-Angriff als gültiges Benutzerkennwort vorgelegt zu werden.

Überlegungen zur Kennwortrichtlinie

Es gibt zwei Arten von Kennwortrichtlinien, die von der Aktivierung der Kennwort-Hashsynchronisierung betroffen sind:

  • Kennwortkomplexitätsrichtlinie
  • Kennwortablaufrichtlinie

Kennwortkomplexitätsrichtlinie

Wenn die Kennwort-Hashsynchronisierung aktiviert wird, setzen die Kennwortkomplexitätsrichtlinien in Ihrer lokalen Active Directory-Instanz die Komplexitätsrichtlinien in der Cloud für synchronisierte Benutzer außer Kraft. Sie können alle gültigen Kennwörter Ihrer lokalen Active Directory-Instanz für den Zugriff auf Microsoft Entra-Dienste verwenden.

Hinweis

Kennwörter für Benutzer, die direkt in der Cloud erstellt werden, unterliegen auch weiterhin in der Cloud definierten Kennwortrichtlinien.

Kennwortablaufrichtlinie

Wenn sich ein Benutzer im Bereich der Kennwort-Hashsynchronisierung befindet, wird das Cloudkontokennwort standardmäßig auf Läuft nie ab festgelegt.

Sie können sich mit einem synchronisierten Kennwort, das in der lokalen Umgebung abgelaufen ist, weiterhin bei Ihren Clouddiensten anmelden. Ihr Cloudkennwort wird aktualisiert, wenn Sie das Kennwort in der lokalen Umgebung das nächste Mal ändern.

CloudPasswordPolicyForPasswordSyncedUsersEnabled

Wenn synchronisierte Benutzer vorhanden sind, die nur mit integrierten Microsoft Entra-Diensten interagieren und auch eine Kennwortablaufrichtlinie einhalten müssen, können Sie die Einhaltung Ihrer Microsoft Entra-Kennwortablaufrichtlinie erzwingen, indem Sie das Feature CloudPasswordPolicyForPasswordSyncedUsersEnabled aktivieren (im veralteten MSOnline PowerShell-Modul wurde es als EnforceCloudPasswordPolicyForPasswordSyncedUsers bezeichnet).

WennCloudPasswordPolicyForPasswordSyncedUsersEnabled deaktiviert ist (Standardeinstellung), legt Microsoft Entra Connect das PasswordPolicies-Attribut von synchronisierten Benutzern auf „DisablePasswordExpiration“ fest. Diese Aktualisierung erfolgt jedes Mal, wenn das Kennwort eines Benutzers synchronisiert wird, und weist Microsoft Entra ID an, die Cloudkennwort-Ablaufrichtlinie für diesen Benutzer zu ignorieren. Sie können den Wert des Attributs mithilfe des Microsoft Graph PowerShell-Moduls mit dem folgenden Befehl überprüfen:

(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies

Führen Sie den folgenden Befehl mit dem Graph PowerShell-Modul aus, um das CloudPasswordPolicyForPasswordSyncedUsersEnabled-Feature zu aktivieren:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features 

Hinweis

Sie müssen das MSGraph PowerShell-Modul installieren, damit das vorherige Skript funktioniert. Wenn Fehler im Zusammenhang mit unzureichenden Berechtigungen auftreten, stellen Sie sicher, dass Sie dem API-Bereich ordnungsgemäß zugestimmt haben, indem Sie beim Herstellen der Verbindung den folgenden Befehl verwenden: Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

Nach der Aktivierung des Features wechselt Microsoft Entra ID nicht zu jedem synchronisierten Benutzer, um den DisablePasswordExpiration-Wert aus dem PasswordPolicies-Attribut zu entfernen. Stattdessen wird der Wert DisablePasswordExpiration bei der nächsten Kennworthashsynchronisierung für jeden Benutzer nach der nächsten Kennwortänderung im lokalen Active Directory aus „PasswordPolicies“ entfernt.

Nach der Aktivierung des Features CloudPasswordPolicyForPasswordSyncedUsersEnabled werden neue Benutzer ohne einen „PasswordPolicies“-Wert bereitgestellt.

Tipp

Es wird empfohlen, CloudPasswordPolicyForPasswordSyncedUsersEnabled vor dem Aktivieren der Kennworthashsynchronisierung zu aktivieren, damit bei der Erstsynchronisierung von Kennworthashes dem PasswordPolicies-Attribut für die Benutzer nicht der DisablePasswordExpiration-Wert hinzugefügt wird.

Die Microsoft Entra-Standardkennwortrichtlinie erfordert, dass Benutzer ihre Kennwörter alle 90 Tage ändern. Wenn Ihre Richtlinie in AD ebenfalls 90 Tage vorgibt, sollten die beiden Richtlinien übereinstimmen. Wenn die AD-Richtlinie jedoch nicht 90 Tage vorgibt, können Sie die Microsoft Entra-Kennwortrichtlinie mit dem PowerShell-Befehl „Update-MgDomain PowerShell“ entsprechend aktualisieren.

Microsoft Entra ID unterstützt eine separate Kennwortablaufrichtlinie pro registrierter Domäne.

Nachteil: Wenn synchronisierte Konten vorhanden sind, die in Microsoft Entra ID nicht ablaufende Kennwörter erfordern, müssen Sie dem PasswordPolicies-Attribut des Benutzerobjekts in Microsoft Entra ID den DisablePasswordExpiration-Wert explizit hinzufügen. Sie können diesen Wert mithilfe des folgenden Befehls hinzufügen:

Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"`

Hinweis

Bei Hybridbenutzern, für die der „PasswordPolicies“-Wert auf DisablePasswordExpiration festgelegt ist, wird dieser Wert in None geändert, nachdem eine Kennwortänderung lokal ausgeführt wurde.

Hinweis

Der PowerShell-Befehl Update-MgDomain funktioniert nicht bei Verbunddomänen.

Hinweis

Der PowerShell-Befehl Update-MgUser funktioniert nicht bei Verbunddomänen.

Synchronisieren von temporären Kennwörtern und Erzwingen der Kennwortänderung bei der nächsten Anmeldung

Normalerweise wird ein Benutzer gezwungen, sein Kennwort bei der ersten Anmeldung zu ändern, insbesondere nachdem das Administratorkennwort zurückgesetzt wurde. Dies wird häufig als Festlegen eines „temporären“ Kennworts bezeichnet und durch Aktivieren des Flags „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ für ein Benutzerobjekt in Active Directory (AD) vollzogen.

Mit der Funktion für das temporäre Kennwort können Sie sicherstellen, dass die Übertragung des Besitzes der Anmeldeinformationen bei der ersten Verwendung abgeschlossen wird, um die Zeitspanne zu minimieren, in der diese Anmeldeinformationen mehr als einer Person bekannt sind.

Wenn Sie in Microsoft Entra ID temporäre Kennwörter für synchronisierte Benutzer unterstützen möchten, können Sie das Feature ForcePasswordChangeOnLogOn aktivieren, indem Sie mithilfe des Graph PowerShell-Moduls die folgenden Befehle ausführen:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features 

Hinweis

Ein neuer Benutzer, der in Active Directory mit dem Flag „Benutzer muss Kennwort bei nächster Anmeldung ändern“ erstellt wurde, wird in Microsoft Entra ID immer mit einer Kennwortrichtlinie bereitgestellt, um die „Kennwortänderung bei der nächsten Anmeldung zu erzwingen“, unabhängig davon, ob das Feature ForcePasswordChangeOnLogOn auf „true“ oder „false“ festgelegt ist. Dies ist eine interne Microsoft Entra-Logik, da der neue Benutzer ohne Kennwort bereitgestellt wird, während sich das Feature ForcePasswordChangeOnLogOn nur auf Szenarien zum Zurücksetzen von Administratorkennwörtern auswirkt.

Wenn ein Benutzer in Active Directory mit der Option „Benutzer muss das Kennwort bei der nächsten Anmeldung ändern“ erstellt wurde, bevor die Funktion aktiviert wurde, erhält der Benutzer bei der Anmeldung eine Fehlermeldung. Um dieses Problem zu beheben, deaktivieren Sie das Feld „Benutzer muss das Kennwort bei der nächsten Anmeldung ändern“ unter „Active Directory-Benutzer und -Computer“. Nach der Synchronisierung der Benutzerobjektänderungen erhält der Benutzer die erwartete Aufforderung in Microsoft Entra ID, sein Kennwort zu aktualisieren.

Achtung

Sie sollten dieses Feature nur verwenden, wenn SSPR und Kennwortrückschreiben für den Mandanten aktiviert sind. Auf diese Weise wird ein Benutzer, der sein Kennwort über SSPR ändert, mit Active Directory synchronisiert.

Kontoablauf

Wenn Ihre Organisation im Rahmen der Verwaltung von Benutzerkonten das accountExpires-Attribut verwendet, wird dieses Attribut nicht mit Microsoft Entra ID synchronisiert. Deshalb bleibt ein abgelaufenes Active Directory-Konto in einer für die Kennwort-Hashsynchronisierung konfigurierten Umgebung in Microsoft Entra ID weiter aktiv. Wir empfehlen die Verwendung eines geplanten PowerShell-Skripts, das die AD-Konten der Benutzer deaktiviert, sobald sie ablaufen (verwenden Sie das Cmdlet Set-ADUser). Umgekehrt sollte das Konto während des Aufhebens des Ablaufs eines AD-Kontos wieder aktiviert werden.

Kennwort-Hashsynchronisierung und Smartcard-Authentifizierung

Kunden können verlangen, dass sich ihre Benutzer bei Windows-Domänen mit einer physischen Smartcard für caC/PIV anmelden. Dazu konfigurieren sie die Einstellung der SmartCard erforderlich für interaktive Anmeldung (SCRIL) in Active Directory.

Wenn SCRIL für ein Benutzerobjekt aktiviert ist, wird das AD-Passwort des Benutzers vom Domänencontroller auf einen Wert gesetzt, den niemand kennt, und der Benutzer muss sich über eine Smartcard bei der Windows-Domäne anmelden und anschließend authentifizieren.

Wenn die Kennwort-Hashsynchronisierung aktiviert ist, wird dieser AD-Kennwort-Hash mit der Microsoft Entra ID synchronisiert, sodass er auch für die Cloud-Authentifizierung verwendet werden kann.

Hinweis

Mit der Version 2.4.18.0 von Microsoft Entra Connect Sync wurde ein Problem behoben, das beim erneuten Aktivieren von SCRIL für ein Benutzerobjekt aufgetreten ist. Die erneute Aktivierung von SCRIL ist in Szenarien üblich, in denen ein Benutzer seine Smartcard verliert, wodurch SCRIL deaktiviert werden muss und dem Benutzer ein temporäres Passwort zugewiesen wird, bis ihm eine neue Smartcard ausgestellt wird.

Zuvor konnte der Benutzer, wenn SCRIL wieder aktiviert und ein neues zufälliges AD-Passwort generiert wurde, sein altes Passwort weiterhin verwenden, um sich bei Microsoft Entra ID zu authentifizieren. Jetzt wurde Connect Sync aktualisiert, sodass ein neues, zufällig generiertes AD-Passwort mit der Microsoft Entra ID synchronisiert wird und das alte Passwort nicht mehr verwendet werden kann, sobald die Anmeldung per Smartcard aktiviert ist.

Wir empfehlen Administratoren, eine vollständige Synchronisierung durchzuführen, wenn Sie Benutzer mit einem SCRIL-Bit in Ihrer AD-Domäne haben. Wenn Sie eine vollständige Synchronisierung durchführen, besteht die Möglichkeit, dass Endbenutzer aufgefordert werden, sich mit dem aktualisierten Passwort neu anzumelden, wenn keine zertifikatbasierte Authentifizierung verwendet wird.

Überschreiben synchronisierter Kennwörter

Ein*e Administrator*in kann Ihr Kennwort mithilfe von PowerShell manuell direkt in Microsoft Entra ID zurücksetzen (es sei denn, der Benutzer oder die Benutzerin befindet sich in einer Verbunddomäne).

In diesem Fall überschreibt das neue Kennwort Ihr synchronisiertes Kennwort, und alle in der Cloud definierten Kennwortrichtlinien gelten für das neue Kennwort.

Wenn Sie das lokale Kennwort erneut ändern, wird das neue Kennwort mit der Cloud synchronisiert, und das manuell aktualisierte Kennwort wird überschrieben.

Die Synchronisierung eines Kennworts hat keinen Einfluss auf den angemeldeten Azure-Benutzer. Wenn eine synchronisierte Kennwortänderung durchgeführt wird, während Sie bei einem Clouddienst angemeldet sind, wirkt sich dies nicht direkt auf Ihre aktuelle Clouddienstsitzung aus. Durch die Einstellung „Angemeldet bleiben“ wird die Dauer dieser Differenz verlängert. Wenn für den Clouddienst eine erneute Authentifizierung erforderlich ist, müssen Sie Ihr neues Kennwort angeben.

Der Prozess der Kennworthashsynchronisierung für Microsoft Entra Domain Services

Wenn Sie Microsoft Entra Domain Services verwenden, um die Legacyauthentifizierung für Anwendungen und Dienste bereitzustellen, die Kerberos, LDAP oder NTLM verwenden müssen, umfasst der Flow zur Kennwort-Hashsynchronisierung einige zusätzliche Prozesse. Microsoft Entra Connect verwendet den folgenden Prozess, um Kennworthashes mit Microsoft Entra ID für die Verwendung in Microsoft Entra Domain Services zu synchronisieren:

Wichtig

Microsoft Entra Connect sollte nur für die Synchronisierung mit lokalen AD DS-Umgebungen installiert und konfiguriert werden. Die Installation von Microsoft Entra Connect in einer von Microsoft Entra Domain Services verwalteten Domäne zur erneuten Synchronisierung von Objekten mit Microsoft Entra ID wird nicht unterstützt.

Microsoft Entra Connect synchronisiert nur Legacy-Kennworthashes, wenn Sie Microsoft Entra Domain Services für Ihren Microsoft Entra-Mandanten aktivieren. Die folgenden Schritte werden nicht ausgeführt, wenn Sie Microsoft Entra Connect nur zum Synchronisieren einer lokalen AD DS-Umgebung mit Microsoft Entra ID verwenden.

Wenn Ihre Legacyanwendungen keine NTLM-Authentifizierung oder einfachen LDAP-Bindungen verwenden, wird empfohlen, die NTLM-Kennwort-Hashsynchronisierung für Microsoft Entra Domain Services zu deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von schwachen Verschlüsselungssammlungen und der Synchronisierung von NTLM-Anmeldeinformationshashes.

  1. Microsoft Entra Connect ruft den öffentlichen Schlüssel für die Microsoft Entra Domain Services-Instanz des Mandanten ab.
  2. Wenn ein Benutzer sein Kennwort ändert, speichert der lokale Domänencontroller das Ergebnis der Kennwortänderung (Hashes) in zwei Attributen:
    • unicodePwd für den NTLM-Kennworthash.
    • supplementalCredentials für den Kerberos-Kennworthash.
  3. Microsoft Entra Connect erkennt Kennwortänderungen über den Verzeichnisreplikationskanal (Attributänderungen, die auf anderen Domänencontrollern repliziert werden müssen).
  4. Für jeden Benutzer, dessen Kennwort geändert wurde, führt Microsoft Entra Connect die folgenden Schritte aus:
    • Generiert einen zufälligen symmetrischen AES-256-Bit-Schlüssel.
    • Generiert einen zufälligen Initialisierungsvektor, der für die erste Verschlüsselungsrunde erforderlich ist.
    • Extrahiert Kerberos-Kennworthashes aus den supplementalCredentials-Attributen.
    • Überprüft die Einstellung SyncNtlmPasswords der Microsoft Entra Domain Services-Sicherheitskonfiguration.
      • Wenn diese Einstellung deaktiviert ist, wird ein zufälliger NTLM-Hash mit hoher Entropie generiert (der sich vom Kennwort des Benutzers unterscheidet). Dieser Hash wird dann mit den extrahierten Kerberos-Kennworthashes aus dem supplementalCrendetials-Attribut in einer Datenstruktur kombiniert.
      • Wenn diese Einstellung aktiviert ist, wird der Wert des unicodePwd-Attributs mit den extrahierten Kerberos-Kennworthashes aus dem supplementalCredentials-Attribut in einer Datenstruktur kombiniert.
    • Verschlüsselt die einzelne Datenstruktur mit dem symmetrischen AES-Schlüssel.
    • Verschlüsselt den symmetrischen AES-Schlüssel mit dem öffentlichen Microsoft Entra Domain Services-Schlüssel des Mandanten.
  5. Microsoft Entra Connect überträgt den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur mit den Kennworthashes und den Initialisierungsvektor an Microsoft Entra ID.
  6. Microsoft Entra ID speichert den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur und den Initialisierungsvektor für den Benutzer.
  7. Microsoft Entra ID überträgt (per Push) den verschlüsselten symmetrischen AES-Schlüssel, die verschlüsselte Datenstruktur und den Initialisierungsvektor mithilfe eines internen Synchronisierungsmechanismus über eine verschlüsselte HTTP-Sitzung an Microsoft Entra Domain Services.
  8. Microsoft Entra Domain Services ruft den privaten Schlüssel für die Instanz des Mandanten von Azure Key Vault ab.
  9. Für jeden verschlüsselten Datensatz (der die Kennwortänderung einzelner Benutzer darstellt) führt Microsoft Entra Domain Services dann die folgenden Schritte aus:
    • Verwendet den privaten Schlüssel zum Entschlüsseln des symmetrischen AES-Schlüssels.
    • Verwendet den symmetrischen AES-Schlüssel mit dem Initialisierungsvektor zum Entschlüsseln der verschlüsselten Datenstruktur, die die Kennworthashes enthält.
    • Schreibt die empfangenen Kerberos-Kennworthashes auf den Microsoft Entra Domain Services-Domänencontroller. Die Hashes werden im supplementalCredentials-Attribut des Benutzerobjekts gespeichert, das in den öffentlichen Schlüssel des Microsoft Entra Domain Services-Domänencontrollers verschlüsselt wird.
    • Microsoft Entra Domain Services schreibt den empfangenen NTLM-Kennworthash auf den Microsoft Entra Domain Services-Domänencontroller. Der Hash wird im unicodePwd-Attribut des Benutzerobjekts gespeichert, das in den öffentlichen Schlüssel des Microsoft Entra Domain Services-Domänencontrollers verschlüsselt wird.

Aktivieren der Kennwort-Hashsynchronisierung

Wichtig

Wenn Sie von AD FS (oder anderen Verbundtechnologien) zur Kennwort-Hashsynchronisierung migrieren, lesen Sie Ressourcen zum Migrieren von Anwendungen zu Microsoft Entra ID.

Wenn Sie Microsoft Entra Connect mit den Expresseinstellungen installieren, wird die Kennwort-Hashsynchronisierung automatisch aktiviert. Weitere Informationen finden Sie unter Erste Schritte mit Microsoft Entra Connect mit Expresseinstellungen.

Wenn Sie beim Installieren von Microsoft Entra Connect benutzerdefinierte Einstellungen verwenden, steht die Kennwort-Hashsynchronisierung auf der Seite „Benutzeranmeldung“ zur Verfügung. Weitere Informationen finden Sie unter Benutzerdefinierte Installation von Microsoft Entra Connect.

Aktivieren der Kennwort-Hashsynchronisierung

Kennwort-Hashsynchronisierung und FIPS

Wenn Ihr Server wegen FIPS (Federal Information Processing Standard) gesperrt wurde, ist MD5 deaktiviert.

Führen Sie zum Aktivieren von MD5 für die Kennwort-Hashsynchronisierung die folgenden Schritte aus:

  1. Wechseln Sie zu „%programfiles%\Microsoft Azure AD Sync\Bin“.
  2. Öffnen Sie „miiserver.exe.config“.
  3. Wechseln Sie zum Knoten „configuration/runtime“ (am Ende der Datei).
  4. Fügen Sie den folgenden Knoten hinzu: <enforceFIPSPolicy enabled="false" />
  5. Speichern Sie die Änderungen.
  6. Führen Sie einen Neustart durch, damit die Änderungen wirksam werden.

Der folgende Codeausschnitt zeigt, wie dies aussehen sollte:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false" />
        </runtime>
    </configuration>

Informationen zur Sicherheit und zu FIPS (Federal Information Processing Standard) finden Sie unter Microsoft Entra password hash sync, encryption, and FIPS compliance (Microsoft Entra-Kennworthashsynchronisierung, Verschlüsselung und FIPS-Konformität).

Problembehandlung bei der Kennwort-Hashsynchronisierung

Wenn bei der Kennwort-Hashsynchronisierung Probleme auftreten, finden Sie weitere Informationen unter Problembehandlung bei der Kennwort-Hashsynchronisierung.

Nächste Schritte