Jelszókivonat-szinkronizálás implementálása a Microsoft Entra Csatlakozás Synctel

  • Cikk

Ez a cikk információkat tartalmaz arról, hogy szinkronizálni kell a felhasználói jelszavakat egy helyi Active Directory-példányból egy felhőalapú Microsoft Entra-példányba.

A jelszókivonat-szinkronizálás működése

Az Active Directory tartományi szolgáltatás a jelszavakat a tényleges felhasználói jelszó kivonatérték-ábrázolása formájában tárolja. A kivonatérték egy egyirányú matematikai függvény (a kivonatoló algoritmus) eredménye. Az egyirányú függvény eredménye semmilyen módszerrel nem fejthető vissza a jelszó egyszerű szöveges verziójára.

A jelszó szinkronizálásához a Microsoft Entra Csatlakozás Sync kinyeri a jelszókivonatot a helyi Active Directory-példányból. A rendszer további biztonsági feldolgozást alkalmaz a jelszókivonatra, mielőtt szinkronizálja azt a Microsoft Entra hitelesítési szolgáltatással. A jelszavak szinkronizálása felhasználónként és időrendi sorrendben történik.

A jelszókivonat-szinkronizálási folyamat tényleges adatfolyama hasonló a felhasználói adatok szinkronizálásához. A jelszavak szinkronizálása azonban gyakrabban fordul elő, mint más attribútumok szabványos címtár-szinkronizálási ablaka. A jelszókivonat-szinkronizálási folyamat 2 percenként fut. A folyamat gyakorisága nem módosítható. A jelszó szinkronizálása felülírja a meglévő felhőjelszót.

Amikor először engedélyezi a jelszókivonat-szinkronizálási funkciót, az elvégzi az összes hatókörön belüli felhasználó jelszavának kezdeti szinkronizálását. A szakaszos bevezetés lehetővé teszi a felhasználók csoportjainak szelektív tesztelését olyan felhőalapú hitelesítési képességekkel, mint a Microsoft Entra többtényezős hitelesítése, a feltételes hozzáférés, a kiszivárgott hitelesítő adatok identitásvédelme, az identitásszabályozás és mások, mielőtt átvágja a tartományait. A szinkronizálni kívánt felhasználói jelszavak egy részhalmaza nem határozható meg explicit módon. Ha azonban több összekötő is van, egyes összekötők esetében letiltható a jelszókivonat-szinkronizálás, másoknál azonban a Set-ADSyncAADPasswordSyncConfiguration parancsmaggal.

Helyszíni jelszó módosításakor a rendszer szinkronizálja a frissített jelszót, leggyakrabban percek alatt. A jelszókivonat-szinkronizálási funkció automatikusan újrapróbálkozza a sikertelen szinkronizálási kísérleteket. Ha hiba történik egy jelszó szinkronizálása során, a rendszer hibát naplóz az eseménynaplóban.

A jelszó szinkronizálása nincs hatással a jelenleg bejelentkezett felhasználóra. Az aktuális felhőszolgáltatás-munkamenetet nem érinti azonnal egy szinkronizált jelszómódosítás, amely bejelentkezés közben egy felhőszolgáltatásba történik. Ha azonban a felhőszolgáltatás ismételt hitelesítést igényel, meg kell adnia az új jelszót.

A felhasználónak másodszor is meg kell adnia a vállalati hitelesítő adatait a Microsoft Entra-azonosítóhoz való hitelesítéshez, függetlenül attól, hogy bejelentkezett-e a vállalati hálózatába. Ez a minta azonban minimálisra csökkenthető, ha a felhasználó a bejelentkezéskor bejelöli a Beadáskor a Be van jelentkezve (KMSI) jelölőnégyzetet. Ez a beállítás beállít egy munkamenet-cookie-t, amely 180 napig átadja a hitelesítést. A KMSI-viselkedést a Microsoft Entra rendszergazdája engedélyezheti vagy letilthatja. Emellett csökkentheti a jelszókéréseket a Microsoft Entra-csatlakozás vagy a Microsoft Entra hibrid csatlakozás konfigurálásával, amely automatikusan bejelentkezteti a felhasználókat a vállalati hálózathoz csatlakoztatott vállalati eszközeiken.

További előnyök

  • A jelszókivonat-szinkronizálás általában egyszerűbb, mint egy összevonási szolgáltatás. Nincs szükség további kiszolgálókra, és kiküszöböli a magas rendelkezésre állású összevonási szolgáltatástól való függőséget a felhasználók hitelesítéséhez.
  • A jelszókivonat-szinkronizálás az összevonás mellett engedélyezhető is. Tartalékként is használható, ha az összevonási szolgáltatás leállást tapasztal.

Feljegyzés

A jelszószinkronizálás csak az Active Directory objektumtípus-felhasználója számára támogatott. Az iNetOrgPerson objektumtípus nem támogatott.

A jelszókivonat-szinkronizálás működésének részletes leírása

A következő szakasz részletesen ismerteti, hogyan működik a jelszókivonat-szinkronizálás az Active Directory és a Microsoft Entra ID között.

A jelszó részletes folyamata

  1. Az AD-Csatlakozás kiszolgáló jelszókivonat-szinkronizálási ügynöke két percenként kéri a tárolt jelszókivonatokat (a unicodePwd attribútumot) egy tartományvezérlőről. Ez a kérés a szabványos MS-DRSR replikációs protokollon keresztül történik, amellyel adatokat szinkronizálhat a tartományvezérlők között. A szolgáltatásfióknak rendelkeznie kell a címtármódosítások replikálásával és a címtármódosítások replikálásával (a telepítéskor alapértelmezés szerint megadott) összes AD-engedéllyel a jelszókivonatok beszerzéséhez.
  2. Küldés előtt a tartományvezérlő az RPC-munkamenetkulcs MD5 kivonatával és egy sóval titkosítja az MD4 jelszókivonatot. Ezután elküldi az eredményt a jelszókivonat-szinkronizálási ügynöknek az RPC-n keresztül. A tartományvezérlő a dc replikációs protokoll használatával átadja a sót a szinkronizálási ügynöknek, így az ügynök vissza tudja majd fejteni a borítékot.
  3. Miután a jelszókivonat-szinkronizálási ügynök megkapta a titkosított borítékot, az MD5CryptoServiceProvider és a só használatával létrehoz egy kulcsot a fogadott adatok visszafejtéséhez az eredeti MD4-formátumra. A jelszókivonat-szinkronizálási ügynök soha nem fér hozzá a tiszta szöveges jelszóhoz. A jelszókivonat-szinkronizálási ügynök MD5 használata szigorúan a tartományvezérlővel való replikációs protokoll kompatibilitását szolgálja, és csak a helyszínen használatos a tartományvezérlő és a jelszókivonat-szinkronizálási ügynök között.
  4. A jelszókivonat-szinkronizálási ügynök kibővíti a 16 bájtos bináris jelszókivonatot 64 bájtra, először konvertálja a kivonatot egy 32 bájtos hexadecimális sztringre, majd ezt a sztringet UTF-16 kódolással visszaalakítja binárissá.
  5. A jelszókivonat-szinkronizálási ügynök felhasználói sónként egy 10 bájt hosszúságú sót ad hozzá a 64 bájtos binárishoz az eredeti kivonat további védelme érdekében.
  6. A jelszókivonat-szinkronizálási ügynök ezután egyesíti az MD4 kivonatot és a felhasználónkénti sót, és beírja a PBKDF2 függvénybe. A HMAC-SHA256 kulcsos kivonatoló algoritmus 1000 iterációját használják. További részletekért tekintse meg a Microsoft Entra Whitepapert.
  7. A jelszókivonat-szinkronizálási ügynök az eredményül kapott 32 bájtos kivonatot veszi fel, összefűzi a felhasználónkénti sót és az SHA256 iterációk számát (a Microsoft Entra ID általi használatra), majd a Microsoft Entra Csatlakozás sztringet továbbítja a Microsoft Entra ID-nak TLS-en keresztül.
  8. Amikor egy felhasználó megpróbál bejelentkezni a Microsoft Entra-azonosítóba, és megadja a jelszavát, a jelszó ugyanazon az MD4+salt+PBKDF2+HMAC-SHA256 folyamaton fut. Ha az eredményként kapott kivonat megegyezik a Microsoft Entra-azonosítóban tárolt kivonattal, a felhasználó a megfelelő jelszót adta meg, és hitelesítve van.

Feljegyzés

Az eredeti MD4 kivonat nem továbbítja a Microsoft Entra ID-nak. Ehelyett a rendszer az eredeti MD4 kivonat SHA256 kivonatát továbbítja. Ennek eredményeképpen, ha a Microsoft Entra-azonosítóban tárolt kivonatot lekérte, nem használható helyszíni pass-the-hash támadásban.

Feljegyzés

A jelszókivonat értéke SOHA nem lesz tárolva az SQL-ben. Ezeket az értékeket a rendszer csak a memóriában dolgozza fel, mielőtt elküldi őket a Microsoft Entra ID-nak.

Biztonsági szempontok

Jelszavak szinkronizálása esetén a jelszó egyszerű szöveges verziója nem érhető el a jelszókivonat-szinkronizálási funkcióval, a Microsoft Entra-azonosítóval vagy a társított szolgáltatásokkal.

A felhasználói hitelesítés nem a szervezet saját Active Directory-példányával, hanem a Microsoft Entra használatával történik. A Microsoft Entra-azonosítóban (az eredeti MD4 kivonat kivonata) tárolt SHA256 jelszóadatok biztonságosabbak, mint az Active Directoryban tárolt adatok. Továbbá, mivel ez az SHA256 kivonat nem fejthető vissza, nem lehet visszahozni a szervezet Active Directory-környezetéhez, és érvényes felhasználói jelszóként jelenik meg egy pass-the-hash támadásban.

A jelszóházirend szempontjai

A jelszókivonat-szinkronizálás engedélyezése kétféle jelszóházirendet érint:

  • Jelszóbonyolultsági szabályzat
  • Jelszó lejárati szabályzata

Jelszóbonyolultsági szabályzat

Ha engedélyezve van a jelszókivonat-szinkronizálás, a helyi Active Directory példány jelszó-összetettségi szabályzatai felülírják a felhő összetettségi szabályzatait a szinkronizált felhasználók számára. A Microsoft Entra-szolgáltatások eléréséhez használhatja a helyi Active Directory-példány összes érvényes jelszavát.

Feljegyzés

A közvetlenül a felhőben létrehozott felhasználók jelszavaira továbbra is a felhőben meghatározott jelszószabályzatok vonatkoznak.

Jelszó lejárati szabályzata

Ha egy felhasználó a jelszókivonat-szinkronizálás hatókörébe tartozik, alapértelmezés szerint a felhőfiók jelszava Soha nem jár le.

A helyszíni környezetben lejárt szinkronizált jelszóval továbbra is bejelentkezhet a felhőszolgáltatásokba. A felhőbeli jelszó akkor frissül, amikor a következő alkalommal módosítja a jelszót a helyszíni környezetben.

CloudPasswordPolicyForPasswordSyncedUsersEnabled

Ha vannak olyan szinkronizált felhasználók, amelyek csak a Microsoft Entra integrált szolgáltatásaival kommunikálnak, és meg kell felelniük a jelszó lejárati szabályzatának, kényszerítheti őket, hogy megfeleljenek a Microsoft Entra jelszó-lejárati szabályzatának a CloudPasswordPolicyForPasswordSyncedUsersEnabled funkció engedélyezésével (az elavult MSOnline PowerShell-modulban az EnforceCloudPasswordPolicyForPasswordSyncedUsers nevet kapta).

Ha a CloudPasswordPolicyForPasswordSyncedUsersEnabled le van tiltva (ez az alapértelmezett beállítás), a Microsoft Entra Csatlakozás a szinkronizált felhasználók PasswordPolicies attribútumát a "DisablePasswordExpiration" értékre állítja. Ez minden alkalommal megtörténik, amikor egy felhasználó jelszava szinkronizálva van, és utasítja a Microsoft Entra ID-t, hogy hagyja figyelmen kívül a felhasználó felhőbeli jelszó lejárati szabályzatát. Az attribútum értékét a Microsoft Graph PowerShell modullal ellenőrizheti a következő paranccsal:

(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies

A CloudPasswordPolicyForPasswordSyncedUsersEnabled funkció engedélyezéséhez futtassa a következő parancsokat a Graph PowerShell modullal az alábbiak szerint:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features

Feljegyzés

Az előző szkript működéséhez telepítenie kell az MSGraph PowerShell-modult. Ha nem megfelelő jogosultságokkal kapcsolatos hibákat kap, ellenőrizze, hogy helyesen adta-e meg az API-hatókört a csatlakozáskor az alábbi paranccsal Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

Ha engedélyezve van, a Microsoft Entra-azonosító nem megy minden szinkronizált felhasználóhoz, hogy eltávolítsa az DisablePasswordExpiration értéket a PasswordPolicies attribútumból. Ehelyett az érték el lesz távolítva a DisablePasswordExpiration PasswordPolicies szolgáltatásból az egyes felhasználók következő jelszókivonat-szinkronizálása során, a helyszíni AD következő jelszómódosításakor.

A CloudPasswordPolicyForPasswordSyncedUsersEnabled funkció engedélyezése után az új felhasználók a PasswordPolicies érték nélkül lesznek kiépítve.

Tipp.

A jelszókivonat-szinkronizálás engedélyezése előtt ajánlott engedélyezni a CloudPasswordPolicyForPasswordSyncedUsersEnabled szolgáltatást, hogy a jelszókivonatok kezdeti szinkronizálása ne adja hozzá az DisablePasswordExpiration értéket a Felhasználók PasswordPolicies attribútumához.

Az alapértelmezett Microsoft Entra jelszóházirend megköveteli, hogy a felhasználók 90 naponta módosítsák a jelszavaikat. Ha az AD-ben a szabályzata szintén 90 nap, a két szabályzatnak egyeznie kell. Ha azonban az AD-szabályzat nem 90 nap, az Update-MgDomain PowerShell paranccsal frissítheti a Microsoft Entra jelszóházirendet az egyezésre.

A Microsoft Entra ID egy külön jelszó-lejárati szabályzatot támogat regisztrált tartományonként.

Kikötés: Ha vannak szinkronizált fiókok, amelyeknek nem lejáró jelszóval kell rendelkezniük a Microsoft Entra ID-ban, explicit módon hozzá kell adnia az DisablePasswordExpiration értéket a Felhasználói objektum PasswordPolicies attribútumához a Microsoft Entra ID-ban. Ezt a következő parancs futtatásával teheti meg.

Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Feljegyzés

A PasswordPolicies értékre beállított DisablePasswordExpirationhibrid felhasználók esetében ez az érték a jelszóváltoztatás helyszíni végrehajtása után vált None .

Feljegyzés

Az Update-MgDomain PowerShell-parancs nem működik összevont tartományokon.

Feljegyzés

Az Update-MgUser PowerShell-parancs nem működik összevont tartományokon.

Ideiglenes jelszavak szinkronizálása és "Jelszómódosítás kényszerítése a következő bejelentkezéskor"

Általában arra kényszerítjük a felhasználót, hogy módosítsa a jelszavát az első bejelentkezés során, különösen a rendszergazdai jelszó-visszaállítás után. Ez általában "ideiglenes" jelszó beállítása, és a "Felhasználónak módosítania kell a jelszót a következő bejelentkezéskor" jelölő bejelölésével fejeződik be az Active Directory (AD) felhasználói objektumán.

Az ideiglenes jelszófunkciók segítségével biztosítható, hogy a hitelesítő adatok tulajdonjogának átadása az első használatkor befejeződjön, így minimálisra csökkenthető az az időtartam, amelyben egynél több személy ismeri ezt a hitelesítő adatot.

A Szinkronizált felhasználók Microsoft Entra-azonosítójában az ideiglenes jelszavak támogatásához engedélyezze a ForcePasswordChangeOnLogOn funkciót a Következő parancs futtatásával a Microsoft Entra Csatlakozás-kiszolgálón:

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

Feljegyzés

Ha a felhasználót arra kényszeríti, hogy a következő bejelentkezéskor módosítsa a jelszavát, egyidejűleg jelszómódosításra van szükség. A Microsoft Entra Csatlakozás önmagában nem veszi fel a jelszómódosítás kényszerítése jelzőt, hanem kiegészíti a jelszókivonat-szinkronizálás során észlelt jelszómódosítást.

Ha a felhasználónál a "Jelszó soha nem jár le" beállítás van beállítva az Active Directoryban (AD), a jelszómódosítás kényszerítése jelző nem lesz beállítva az Active Directoryban (AD), így a rendszer nem kéri a felhasználót a jelszó módosítására a következő bejelentkezés során.

Az Active Directoryban a "Felhasználónak módosítania kell a jelszót a következő bejelentkezéskor" jelzővel létrehozott új felhasználó mindig ki lesz építve a Microsoft Entra-azonosítóban a "Jelszó módosítása a következő bejelentkezéskor" jelszószabályzattal, függetlenül attól, hogy a ForcePasswordChangeOnLogOn funkció igaz vagy hamis. Ez a Microsoft Entra belső logikája, mivel az új felhasználó jelszó nélkül van kiépítve, míg a ForcePasswordChangeOnLogOn funkció csak a rendszergazdai jelszó-visszaállítási forgatókönyvekre van hatással.

Ha egy felhasználót az Active Directoryban hoztak létre a "Felhasználónak a következő bejelentkezéskor módosítania kell a jelszót" funkcióval a funkció engedélyezése előtt, a felhasználó hibaüzenetet kap a bejelentkezés során. A probléma megoldásához törölje a jelölést, és ellenőrizze újra a "Felhasználónak módosítania kell a jelszót a következő bejelentkezéskor" mezőt a Active Directory - felhasználók és számítógépek. A felhasználói objektum módosításainak szinkronizálása után a felhasználó megkapja a microsoft Entra-azonosítóban a jelszó frissítésére vonatkozó elvárt kérést.

Figyelemfelhívás

Ezt a funkciót csak akkor érdemes használni, ha az SSPR és a jelszóvisszaíró engedélyezve van a bérlőn. Ez azért van, hogy ha egy felhasználó SSPR-en keresztül módosítja a jelszavát, az szinkronizálva legyen az Active Directoryval.

Fiók lejárata

Ha a szervezet az accountExpires attribútumot használja a felhasználói fiókok kezelése során, a rendszer nem szinkronizálja ezt az attribútumot a Microsoft Entra-azonosítóval. Ennek eredményeképpen a jelszókivonat-szinkronizálásra konfigurált környezetben lévő lejárt Active Directory-fiók továbbra is aktív lesz a Microsoft Entra-azonosítóban. Javasoljuk, hogy használjon egy ütemezett PowerShell-szkriptet, amely letiltja a felhasználók AD-fiókjait a lejáratuk után (használja a Set-ADUser parancsmagot). Ezzel szemben az AD-fiók lejáratának eltávolítása során a fiókot újra engedélyezni kell.

Szinkronizált jelszavak felülírása

A rendszergazda manuálisan alaphelyzetbe állíthatja a jelszót közvetlenül a Microsoft Entra-azonosítóban a PowerShell használatával (kivéve, ha a felhasználó összevont tartományban van).

Ebben az esetben az új jelszó felülírja a szinkronizált jelszót, és a felhőben definiált összes jelszószabályzat az új jelszóra lesz alkalmazva.

Ha ismét módosítja a helyszíni jelszót, a rendszer szinkronizálja az új jelszót a felhőbe, és felülírja a manuálisan frissített jelszót.

A jelszó szinkronizálása nincs hatással a bejelentkezett Azure-felhasználóra. Az aktuális felhőszolgáltatás-munkamenetet nem érinti azonnal egy szinkronizált jelszómódosítás, amely a felhőszolgáltatásba való bejelentkezés során következik be. A KMSI meghosszabbítja a különbség időtartamát. Amikor a felhőszolgáltatás ismételt hitelesítést igényel, meg kell adnia az új jelszót.

A Microsoft Entra Domain Services jelszókivonat-szinkronizálási folyamata

Ha a Microsoft Entra Domain Services használatával biztosít örökölt hitelesítést a Kerberos, LDAP vagy NTLM használatához szükséges alkalmazásokhoz és szolgáltatásokhoz, néhány további folyamat a jelszókivonat-szinkronizálási folyamat része. A Microsoft Entra Csatlakozás a következő eljárással szinkronizálja a jelszókivonatokat a Microsoft Entra-azonosítóval a Microsoft Entra Domain Servicesben való használatra:

Fontos

A Microsoft Entra Csatlakozás csak a helyszíni AD DS-környezetekkel való szinkronizáláshoz telepíthető és konfigurálható. Nem támogatott a Microsoft Entra Csatlakozás telepítése egy felügyelt Microsoft Entra Domain Services-tartományba az objektumok Microsoft Entra-azonosítóba való visszaszinkronizálásához.

A Microsoft Entra Csatlakozás csak akkor szinkronizálja az örökölt jelszókivonatokat, ha engedélyezi a Microsoft Entra Domain Services szolgáltatást a Microsoft Entra-bérlő számára. A következő lépések nem használhatók, ha csak a Microsoft Entra Csatlakozás használatával szinkronizál egy helyszíni AD DS-környezetet a Microsoft Entra-azonosítóval.

Ha az örökölt alkalmazások nem használnak NTLM-hitelesítést vagy egyszerű LDAP-kötéseket, javasoljuk, hogy tiltsa le az NTLM jelszókivonat-szinkronizálását a Microsoft Entra Domain Services esetében. További információ: A gyenge titkosítási csomagok és az NTLM hitelesítőadat-kivonat szinkronizálásának letiltása.

  1. A Microsoft Entra Csatlakozás lekéri a Microsoft Entra Domain Services bérlői példányának nyilvános kulcsát.
  2. Amikor egy felhasználó módosítja a jelszavát, a helyszíni tartományvezérlő a jelszómódosítás eredményét (kivonatokat) két attribútumban tárolja:
    • unicodePwd az NTLM jelszókivonatához.
    • Kiegészítő hitelesítő adatok a Kerberos-jelszókivonathoz.
  3. A Microsoft Entra Csatlakozás a címtárreplikációs csatornán keresztül észleli a jelszómódosításokat (attribútummódosításokat, amelyekre más tartományvezérlőkre kell replikálni).
  4. A Microsoft Entra Csatlakozás a következő lépéseket hajtja végre minden olyan felhasználó esetében, akinek a jelszava megváltozott:
    • Véletlenszerű AES 256 bites szimmetrikus kulcsot hoz létre.
    • Létrehoz egy véletlenszerű inicializálási vektort, amely a titkosítás első köréhez szükséges.
    • Kinyeri a Kerberos-jelszókivonatokat a kiegészítő hitelesítő adatok attribútumaiból.
    • Ellenőrzi a Microsoft Entra Domain Services biztonsági konfigurációjának SyncNtlmPasswords beállítását.
      • Ha ez a beállítás le van tiltva, véletlenszerű, nagy entrópiás NTLM-kivonatot hoz létre (amely eltér a felhasználó jelszavától). Ezt a kivonatot a rendszer a kiegészítőCrendetials attribútum pontos Kerberos-jelszókivonataival kombinálja egyetlen adatstruktúrába.
      • Ha engedélyezve van, a unicodePwd attribútum értékét egyesíti a kiegészítő hitelesítő adatok attribútumból kinyert Kerberos-jelszókivonatokkal egy adatstruktúrában.
    • Az AES szimmetrikus kulcsával titkosítja az egyetlen adatstruktúrát.
    • Az AES szimmetrikus kulcs titkosítása a bérlő Microsoft Entra Domain Services nyilvános kulcsával.
  5. A Microsoft Entra Csatlakozás továbbítja a titkosított AES szimmetrikus kulcsot, a jelszókivonatokat tartalmazó titkosított adatstruktúrát és az inicializálási vektort a Microsoft Entra-azonosítónak.
  6. A Microsoft Entra ID tárolja a titkosított AES szimmetrikus kulcsot, a titkosított adatstruktúrát és az inicializálási vektort a felhasználó számára.
  7. A Microsoft Entra ID egy belső szinkronizálási mechanizmussal, titkosított HTTP-munkameneten keresztül küldi le a titkosított AES szimmetrikus kulcsot, a titkosított adatstruktúrát és az inicializálási vektort a Microsoft Entra Domain Servicesbe.
  8. A Microsoft Entra Domain Services lekéri a bérlő példányának titkos kulcsát az Azure Key Vaultból.
  9. A Microsoft Entra Domain Services ezután végrehajtja az alábbi lépéseket minden titkosított adatkészlet esetében (amely egyetlen felhasználó jelszavának módosítását jelöli):
    • A titkos kulcsával fejti vissza az AES szimmetrikus kulcsát.
    • Az AES szimmetrikus kulccsal és az inicializálási vektorral fejti vissza a jelszókivonatokat tartalmazó titkosított adatstruktúrát.
    • Megírja a Microsoft Entra Domain Services tartományvezérlőnek kapott Kerberos-jelszókivonatokat. A kivonatokat a rendszer a felhasználói objektum kiegészítő Hitelesítő adatok attribútumába menti, amely a Microsoft Entra Domain Services tartományvezérlő nyilvános kulcsára van titkosítva.
    • A Microsoft Entra Domain Services a kapott NTLM-jelszókivonatot a Microsoft Entra Domain Services tartományvezérlőnek írja. A kivonatot a rendszer a felhasználói objektum UnicodePwd attribútumába menti, amely a Microsoft Entra Domain Services tartományvezérlő nyilvános kulcsára van titkosítva.

Jelszókivonat szinkronizálásának engedélyezése

Fontos

Ha az AD FS-ről (vagy más összevonási technológiákról) a jelszókivonat-szinkronizálásra migrál, tekintse meg az alkalmazások Microsoft Entra-azonosítóra való migrálásához szükséges erőforrásokat.

Ha a Microsoft Entra Csatlakozás expressz Gépház beállítással telepíti, a jelszókivonat-szinkronizálás automatikusan engedélyezve lesz. További információ: A Microsoft Entra Csatlakozás használatának első lépései az expressz beállítások használatával.

Ha egyéni beállításokat használ a Microsoft Entra Csatlakozás telepítésekor, a jelszókivonat-szinkronizálás elérhető a felhasználói bejelentkezési oldalon. További információ: A Microsoft Entra Csatlakozás egyéni telepítése.

Jelszókivonat szinkronizálásának engedélyezése

Jelszókivonat-szinkronizálás és FIPS

Ha a kiszolgálót a Federal Information Processing Standard (FIPS) szerint zárolták, akkor az MD5 le van tiltva.

Ha engedélyezni szeretné az MD5-öt a jelszókivonat-szinkronizáláshoz, hajtsa végre a következő lépéseket:

  1. Lépjen a %programfiles%\Microsoft Azure AD-szinkronizáló\Bin lapra.
  2. Nyissa meg a miiserver.exe.config fájlt.
  3. Lépjen a fájl végén található konfigurációs/futtatókörnyezeti csomópontra.
  4. Adja hozzá a következő csomópontot: <enforceFIPSPolicy enabled="false" />
  5. Mentse a módosításokat.
  6. Indítsa újra a módosításokat.

Referenciaként ennek a kódrészletnek kell kinéznie:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false" />
        </runtime>
    </configuration>

A biztonságról és a FIPS-ről további információt a Microsoft Entra jelszókivonat-szinkronizálása, titkosítása és FIPS-megfelelősége című témakörben talál.

Jelszókivonat-szinkronizálás hibaelhárítása

Ha problémákat tapasztal a jelszókivonat-szinkronizálással kapcsolatban, olvassa el a jelszókivonat-szinkronizálás hibaelhárításával kapcsolatos témakört.

Következő lépések