Bagikan melalui


Menerapkan sinkronisasi hash kata sandi dengan Sinkronisasi Microsoft Entra Connect

Artikel ini menyediakan informasi yang Anda butuhkan untuk menyinkronkan kata sandi pengguna Anda dari instans Active Directory lokal ke instans Microsoft Entra berbasis cloud.

Cara kerja sinkronisasi hash kata sandi

Layanan domain Direktori Aktif menyimpan kata sandi dalam bentuk representasi nilai hash, dari kata sandi pengguna yang sebenarnya. Nilai hash adalah hasil dari fungsi matematika satu arah ( algoritma hash). Tidak ada metode untuk mengembalikan hasil fungsi satu arah ke versi teks biasa kata sandi.

Untuk menyinkronkan kata sandi Anda, Sinkronisasi Microsoft Entra Connect mengekstrak hash kata sandi Anda dari instans Active Directory lokal. Pemrosesan keamanan ekstra diterapkan ke hash kata sandi sebelum disinkronkan ke layanan autentikasi Microsoft Entra. Kata sandi disinkronkan berdasarkan per pengguna dan dalam urutan kronologis.

Aliran data aktual dari proses sinkronisasi hash kata sandi mirip dengan sinkronisasi data pengguna. Namun, kata sandi disinkronkan lebih sering daripada jendela sinkronisasi direktori standar untuk atribut lain. Proses sinkronisasi hash kata sandi berjalan setiap 2 menit. Anda tidak dapat mengubah frekuensi proses ini. Saat Anda menyinkronkan kata sandi, kata sandi tersebut menimpa kata sandi cloud yang ada.

Pertama kali Anda mengaktifkan fitur sinkronisasi hash kata sandi, fitur ini melakukan sinkronisasi awal kata sandi semua pengguna dalam cakupan. Peluncuran Bertahap memungkinkan Anda menguji grup pengguna secara selektif dengan kemampuan autentikasi cloud seperti autentikasi multifaktor Microsoft Entra, Akses Bersyarat, Perlindungan ID Entra Microsoft untuk kredensial bocor, Tata Kelola Identitas, dan lainnya, sebelum memotong domain Anda. Anda tidak dapat secara eksplisit menentukan subset kata sandi pengguna yang ingin Anda sinkronkan. Namun, jika ada beberapa konektor, dimungkinkan untuk menonaktifkan sinkronisasi hash kata sandi untuk beberapa konektor tetapi tidak yang lain menggunakan cmdlet Set-ADSyncAADPasswordSyncConfiguration .

Saat Anda mengubah kata sandi lokal, kata sandi yang diperbarui disinkronkan, paling sering dalam hitungan menit. Fitur sinkronisasi hash kata sandi secara otomatis mencoba kembali upaya sinkronisasi yang gagal. Jika terjadi kesalahan selama upaya untuk menyinkronkan kata sandi, kesalahan dicatat di penampil peristiwa Anda.

Sinkronisasi kata sandi tidak berdampak pada pengguna yang saat ini masuk. Sesi layanan cloud Anda saat ini tidak segera terpengaruh oleh perubahan kata sandi yang disinkronkan yang terjadi, saat Anda masuk, ke layanan awan. Namun, ketika layanan awan mengharuskan Anda untuk mengautentikasi lagi, Anda perlu memberikan kata sandi baru Anda.

Pengguna harus memasukkan kredensial perusahaan mereka untuk kedua kalinya untuk mengautentikasi ke ID Microsoft Entra, terlepas dari apakah mereka masuk ke jaringan perusahaan mereka. Namun, pola ini dapat diminimalkan, jika pengguna memilih kotak centang Tetap masuk (KMSI) saat masuk. Pilihan ini menetapkan cookie sesi yang melewati autentikasi selama 180 hari. Perilaku KMSI dapat diaktifkan atau dinonaktifkan oleh administrator Microsoft Entra. Selain itu, Anda dapat mengurangi permintaan kata sandi dengan mengonfigurasi gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra, yang secara otomatis memasukkan pengguna saat mereka berada di perangkat perusahaan mereka yang terhubung ke jaringan perusahaan Anda.

Lebih banyak keuntungan

  • Umumnya, sinkronisasi hash kata sandi lebih mudah diterapkan daripada layanan federasi. Ini tidak memerlukan server lagi, dan menghilangkan ketergantungan pada layanan federasi yang sangat tersedia untuk mengautentikasi pengguna.
  • Sinkronisasi hash kata sandi juga dapat diaktifkan selain federasi. Ini dapat digunakan sebagai fallback jika layanan federasi Anda mengalami pemadaman.

Nota

Sinkronisasi kata sandi hanya didukung untuk pengguna jenis objek di Direktori Aktif. Ini tidak didukung untuk jenis objek iNetOrgPerson.

Deskripsi terperinci tentang cara kerja sinkronisasi hash kata sandi

Bagian berikut menjelaskan, secara mendalam, cara kerja sinkronisasi hash kata sandi antara Direktori Aktif dan ID Microsoft Entra.

Alur kata sandi terperinci

  1. Setiap dua menit, agen sinkronisasi hash kata sandi pada server AD Connect meminta hash kata sandi yang disimpan (atribut unicodePwd) dari DC. Permintaan ini melalui protokol replikasi MS-DRSR standar yang digunakan untuk menyinkronkan data antar DC. Akun Konektor AD DS harus memiliki Perubahan Direktori Replikasi dan Replikasi Perubahan Direktori Semua izin AD (diberikan secara default pada penginstalan) untuk mendapatkan hash kata sandi.

  2. Sebelum mengirim, DC mengenkripsi hash kata sandi MD4 dengan menggunakan kunci yang merupakan hash MD5 dari kunci sesi RPC dan garam. Kemudian mengirimkan hasilnya ke agen sinkronisasi hash kata sandi melalui RPC. DC juga meneruskan garam ke agen sinkronisasi dengan menggunakan protokol replikasi DC, sehingga agen dapat mendekripsi amplop.

  3. Setelah agen sinkronisasi hash kata sandi memiliki amplop terenkripsi, ia menggunakan MD5CryptoServiceProvider dan garam untuk menghasilkan kunci untuk mendekripsi data yang diterima kembali ke format MD4 aslinya. Agen sinkronisasi hash kata sandi tidak pernah memiliki akses ke kata sandi teks yang jelas. Penggunaan MD5 agen sinkronisasi hash kata sandi sangat ketat untuk kompatibilitas protokol replikasi dengan DC, dan hanya digunakan secara lokal antara DC dan agen sinkronisasi hash kata sandi.

  4. Agen sinkronisasi hash kata sandi memperluas hash kata sandi biner 16-byte menjadi 64 byte dengan terlebih dahulu mengonversi hash menjadi string heksadesimal 32 byte, lalu mengonversi string ini kembali menjadi biner dengan pengodean UTF-16.

  5. Agen sinkronisasi hash kata sandi menambahkan garam per pengguna, yang terdiri dari garam panjang 10 byte, ke biner 64-byte untuk melindungi hash asli lebih lanjut.

  6. Agen sinkronisasi hash kata sandi kemudian menggabungkan hash MD4 ditambah garam per pengguna, dan memasukkannya ke dalam fungsi PBKDF2 . 1.000 iterasi algoritma hashing bertanda HMAC-SHA256 digunakan. Untuk detail selengkapnya, lihat Microsoft Entra Whitepaper.

  7. Agen sinkronisasi hash kata sandi mengambil hash 32 byte yang dihasilkan, menggabungkan salt per pengguna dan jumlah iterasi SHA256 ke dalamnya (untuk digunakan oleh ID Microsoft Entra), lalu mengirimkan string dari Microsoft Entra Connect ke MICROSOFT Entra ID melalui TLS.

  8. Ketika pengguna mencoba masuk ke MICROSOFT Entra ID dan memasukkan kata sandi mereka, kata sandi dijalankan melalui proses MD4+salt+PBKDF2+HMAC-SHA256 yang sama. Jika hash yang dihasilkan cocok dengan hash yang disimpan di ID Microsoft Entra, itu berarti pengguna memasukkan kata sandi yang benar dan diautentikasi.

Nota

Hash MD4 asli tidak dikirimkan ke ID Microsoft Entra. Sebagai gantinya, hash SHA256 dari hash MD4 asli ditransmisikan. Akibatnya, jika hash yang disimpan di MICROSOFT Entra ID diperoleh, hash tersebut tidak dapat digunakan dalam serangan pass-the-hash lokal.

Nota

Nilai hash kata sandi TIDAK PERNAH disimpan di SQL. Nilai-nilai ini hanya diproses dalam memori sebelum dikirim ke ID Microsoft Entra.

Pertimbangan keamanan

Saat menyinkronkan kata sandi, versi teks biasa kata sandi Anda tidak diekspos ke fitur sinkronisasi hash kata sandi, ke ID Microsoft Entra, atau layanan terkait.

Autentikasi pengguna terjadi terhadap Microsoft Entra daripada terhadap instans Direktori Aktif organisasi sendiri. Data kata sandi SHA256 yang disimpan di ID Microsoft Entra (hash hash MD4 asli) lebih aman daripada apa yang disimpan di Direktori Aktif. Selanjutnya, karena hash SHA256 ini tidak dapat didekripsi, hash tersebut tidak dapat dibawa kembali ke lingkungan Direktori Aktif organisasi dan disajikan sebagai kata sandi pengguna yang valid dalam serangan pass-the-hash.

Pertimbangan kebijakan kata sandi

Ada dua jenis kebijakan kata sandi yang terpengaruh dengan mengaktifkan sinkronisasi hash kata sandi:

  • Kebijakan kompleksitas kata sandi
  • Kebijakan kedaluwarsa kata sandi

Kebijakan kompleksitas kata sandi

Saat sinkronisasi hash kata sandi diaktifkan, kebijakan kompleksitas kata sandi dalam instans Active Directory lokal Anda mengambil alih kebijakan kompleksitas di cloud untuk pengguna yang disinkronkan. Anda dapat menggunakan semua kata sandi yang valid dari instans Active Directory lokal Anda untuk mengakses layanan Microsoft Entra.

Nota

Kata sandi untuk pengguna yang dibuat langsung di cloud masih tunduk pada kebijakan kata sandi seperti yang didefinisikan di cloud.

Kebijakan kedaluwarsa kata sandi

Jika pengguna berada dalam cakupan sinkronisasi hash kata sandi, secara default kata sandi akun cloud diatur ke Never Expire.

Anda dapat terus masuk ke layanan cloud Anda dengan menggunakan kata sandi yang disinkronkan yang kedaluwarsa di lingkungan lokal Anda. Kata sandi cloud Anda diperbarui saat Berikutnya Anda mengubah kata sandi di lingkungan lokal.

CloudPasswordPolicyForPasswordSyncedUsersEnabled

Jika ada pengguna yang disinkronkan yang hanya berinteraksi dengan layanan terintegrasi Microsoft Entra dan juga harus mematuhi kebijakan kedaluwarsa kata sandi, Anda dapat memaksa mereka untuk mematuhi kebijakan kedaluwarsa kata sandi Microsoft Entra Anda dengan mengaktifkan fitur CloudPasswordPolicyForPasswordSyncedUsersEnabled (dalam modul MSOnline PowerShell yang tidak digunakan lagi disebut EnforceCloudPasswordPolicyForPasswordSyncedUsers).

Ketika CloudPasswordPolicyForPasswordSyncedUsersEnabled dinonaktifkan (yang merupakan pengaturan default), Microsoft Entra Connect memperbarui atribut PasswordPolicies dari pengguna yang disinkronkan ke "DisablePasswordExpiration". Pembaruan ini dilakukan setiap kali kata sandi pengguna disinkronkan dan menginstruksikan ID Microsoft Entra untuk mengabaikan kebijakan kedaluwarsa kata sandi cloud untuk pengguna tersebut. Anda dapat memeriksa nilai atribut menggunakan modul Microsoft Graph PowerShell dengan perintah berikut:

(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies

Untuk mengaktifkan fitur CloudPasswordPolicyForPasswordSyncedUsersEnabled, jalankan perintah berikut menggunakan modul Graph PowerShell:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features 

Nota

Anda perlu menginstal modul MSGraph PowerShell agar skrip sebelumnya berfungsi. Jika Anda mendapatkan kesalahan yang terkait dengan hak istimewa yang tidak mencukupi, pastikan Anda telah menyetujui cakupan API dengan benar dengan menggunakan perintah berikut saat menyambungkan Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

Setelah diaktifkan, ID Microsoft Entra tidak masuk ke setiap pengguna yang disinkronkan untuk menghapus DisablePasswordExpiration nilai dari atribut PasswordPolicies. Sebagai gantinya DisablePasswordExpiration , nilai dihapus dari PasswordPolicies selama sinkronisasi hash kata sandi berikutnya untuk setiap pengguna, setelah perubahan kata sandi berikutnya dalam AD lokal.

Setelah fitur CloudPasswordPolicyForPasswordSyncedUsersEnabled diaktifkan, pengguna baru disediakan tanpa nilai PasswordPolicies.

Ujung

Disarankan untuk mengaktifkan CloudPasswordPolicyForPasswordSyncedUsersEnabled sebelum mengaktifkan sinkronisasi hash kata sandi, sehingga sinkronisasi awal hash kata sandi tidak menambahkan DisablePasswordExpiration nilai ke atribut PasswordPolicies untuk pengguna.

Kebijakan kata sandi Microsoft Entra default mengharuskan pengguna untuk mengubah kata sandi mereka setiap 90 hari. Jika kebijakan Anda di AD juga 90 hari, kedua kebijakan tersebut harus cocok. Namun, jika kebijakan AD tidak 90 hari, Anda dapat memperbarui kebijakan kata sandi Microsoft Entra agar cocok dengan menggunakan perintah PowerShell Update-MgDomain.

ID Microsoft Entra mendukung kebijakan kedaluwarsa kata sandi terpisah per domain terdaftar.

Peringatan: Jika ada akun yang disinkronkan yang perlu memiliki kata sandi yang tidak ada di ID Microsoft Entra, Anda harus secara eksplisit menambahkan DisablePasswordExpiration nilai ke atribut PasswordPolicies objek pengguna di ID Microsoft Entra. Anda dapat menambahkan nilai ini dengan menjalankan perintah berikut:

Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"`

Nota

Untuk pengguna hibrid yang memiliki nilai PasswordPolicies yang diatur ke DisablePasswordExpiration, nilai ini beralih ke None setelah perubahan kata sandi dijalankan secara lokal.

Nota

Perintah PowerShell Update-MgDomain tidak berfungsi pada domain federasi.

Nota

Perintah PowerShell Update-MgUser tidak berfungsi pada domain federasi.

Menyinkronkan kata sandi sementara dan "Paksa Perubahan Kata Sandi pada Masuk Berikutnya"

Biasanya memaksa pengguna untuk mengubah kata sandi mereka selama masuk pertama mereka, terutama setelah pengaturan ulang kata sandi admin terjadi. Ini umumnya dikenal sebagai pengaturan kata sandi "sementara" dan diselesaikan dengan memeriksa bendera "Pengguna harus mengubah kata sandi pada masuk berikutnya" pada objek pengguna di Direktori Aktif (AD).

Fungsionalitas kata sandi sementara membantu memastikan bahwa transfer kepemilikan kredensial selesai pada penggunaan pertama, untuk meminimalkan durasi waktu di mana lebih dari satu individu memiliki pengetahuan tentang kredensial tersebut.

Untuk mendukung kata sandi sementara di MICROSOFT Entra ID untuk pengguna yang disinkronkan, Anda dapat mengaktifkan fitur ForcePasswordChangeOnLogOn , dengan menjalankan perintah berikut menggunakan modul Graph PowerShell:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features 

Nota

Pengguna baru yang dibuat di Direktori Aktif dengan bendera "Pengguna harus mengubah kata sandi saat masuk berikutnya" akan selalu disediakan di ID Microsoft Entra dengan kebijakan kata sandi untuk "Paksa ubah kata sandi pada rincian masuk berikutnya", terlepas dari fitur ForcePasswordChangeOnLogOn yang benar atau salah. Ini adalah logika internal Microsoft Entra karena pengguna baru disediakan tanpa kata sandi, sedangkan fitur ForcePasswordChangeOnLogOn hanya memengaruhi skenario reset kata sandi admin.

Jika pengguna dibuat di Direktori Aktif dengan "Pengguna harus mengubah kata sandi pada masuk berikutnya" sebelum fitur diaktifkan, pengguna akan menerima kesalahan saat masuk. Untuk memulihkan masalah ini, batalkan pemeriksaan dan periksa kembali bidang "Pengguna harus mengubah kata sandi pada masuk berikutnya" di Pengguna Direktori Aktif dan Komputer. Setelah menyinkronkan perubahan objek pengguna, pengguna akan menerima perintah yang diharapkan di ID Microsoft Entra untuk memperbarui kata sandi mereka.

Hati

Anda hanya boleh menggunakan fitur ini saat SSPR dan Tulis Balik Kata Sandi diaktifkan pada penyewa. Ini agar jika pengguna mengubah kata sandi mereka melalui SSPR, itu akan disinkronkan ke Direktori Aktif.

Kedaluwarsa akun

Jika organisasi Anda menggunakan atribut accountExpires sebagai bagian dari manajemen akun pengguna, atribut ini tidak disinkronkan ke ID Microsoft Entra. Akibatnya, akun Direktori Aktif yang kedaluwarsa di lingkungan yang dikonfigurasi untuk sinkronisasi hash kata sandi masih akan aktif di ID Microsoft Entra. Sebaiknya gunakan skrip PowerShell terjadwal yang menonaktifkan akun AD pengguna, setelah kedaluwarsa (gunakan cmdlet Set-ADUser ). Sebaliknya, selama proses penghapusan kedaluwarsa dari akun AD, akun harus diaktifkan kembali.

Sinkronisasi hash kata sandi dan autentikasi kartu pintar

Pelanggan dapat mengharuskan pengguna mereka masuk ke domain Windows dengan kartu pintar fisik CAC/PIV. Mereka melakukan ini dengan mengonfigurasi pengaturan properti pengguna Smart Card Required for Interactive Logon (SCRIL) di Direktori Aktif.

Ketika SCRIL diaktifkan pada objek pengguna, kata sandi AD pengguna diacak oleh pengontrol domain ke nilai yang tidak diketahui siapa pun, dan pengguna harus mendaftar dan kemudian mengautentikasi ke domain Windows melalui kartu pintar.

Dengan sinkronisasi hash kata sandi diaktifkan, hash kata sandi AD ini disinkronkan dengan ID Microsoft Entra sehingga dapat digunakan untuk autentikasi cloud juga.

Nota

Dengan rilis Microsoft Entra Connect Sync versi 2.4.18.0 , kami memperbaiki masalah yang terjadi saat SCRIL diaktifkan kembali pada objek pengguna. Mengaktifkan kembali SCRIL umum dalam skenario ketika pengguna kehilangan kartu pintar mereka, mengharumkan bahwa SCRIL dinonaktifkan dan pengguna disediakan dengan kata sandi sementara sampai mereka mengeluarkan kartu pintar baru

Sebelumnya, ketika SCRIL diaktifkan kembali dan kata sandi AD acak baru dibuat, pengguna masih dapat menggunakan kata sandi lama mereka untuk mengautentikasi ke ID Microsoft Entra. Sekarang, Connect Sync telah diperbarui sehingga kata sandi AD acak baru disinkronkan ke ID Microsoft Entra dan kata sandi lama tidak dapat digunakan setelah login kartu pintar diaktifkan.

Sebaiknya admin melakukan sinkronisasi penuh jika Anda memiliki pengguna dengan bit SCRIL di domain AD Anda. Jika Anda melakukan sinkronisasi penuh, ada kemungkinan pengguna akhir akan diminta untuk masuk kembali dengan kata sandi yang diperbarui jika autentikasi berbasis sertifikat tidak digunakan.

Timpa kata sandi yang disinkronkan

Administrator dapat mengatur ulang kata sandi Anda secara manual langsung di ID Microsoft Entra dengan menggunakan PowerShell (kecuali pengguna berada di domain federasi).

Dalam hal ini, kata sandi baru mengambil alih kata sandi yang disinkronkan, dan semua kebijakan kata sandi yang ditentukan di cloud diterapkan ke kata sandi baru.

Jika Anda mengubah kata sandi lokal lagi, kata sandi baru disinkronkan ke cloud, dan mengambil alih kata sandi yang diperbarui secara manual.

Sinkronisasi kata sandi tidak berdampak pada pengguna Azure yang masuk. Sesi layanan cloud Anda saat ini tidak segera terpengaruh oleh perubahan kata sandi yang disinkronkan yang terjadi saat Anda masuk ke layanan awan. KMSI memperpanjang durasi perbedaan ini. Ketika layanan awan mengharuskan Anda mengautentikasi lagi, Anda perlu memberikan kata sandi baru Anda.

Proses sinkronisasi hash kata sandi untuk Microsoft Entra Domain Services

Jika Anda menggunakan Microsoft Entra Domain Services untuk menyediakan autentikasi lama untuk aplikasi dan layanan yang perlu menggunakan Kerberos, LDAP, atau NTLM, beberapa proses tambahan adalah bagian dari alur sinkronisasi hash kata sandi. Microsoft Entra Connect menggunakan proses berikut untuk menyinkronkan hash kata sandi ke ID Microsoft Entra untuk digunakan di Microsoft Entra Domain Services:

Penting

Microsoft Entra Connect hanya boleh diinstal dan dikonfigurasi untuk sinkronisasi dengan lingkungan AD DS lokal. Tidak didukung untuk menginstal Microsoft Entra Connect di domain terkelola Microsoft Entra Domain Services untuk menyinkronkan objek kembali ke ID Microsoft Entra.

Microsoft Entra Connect hanya menyinkronkan hash kata sandi warisan saat Anda mengaktifkan Microsoft Entra Domain Services untuk penyewa Microsoft Entra Anda. Langkah-langkah berikut ini tidak digunakan jika Anda hanya menggunakan Microsoft Entra Connect untuk menyinkronkan lingkungan AD DS lokal dengan ID Microsoft Entra.

Jika aplikasi warisan Anda tidak menggunakan autentikasi NTLM atau pengikatan sederhana LDAP, kami sarankan Anda menonaktifkan sinkronisasi hash kata sandi NTLM untuk Microsoft Entra Domain Services. Untuk informasi selengkapnya, lihat Menonaktifkan suite sandi yang lemah dan sinkronisasi hash kredensial NTLM.

  1. Microsoft Entra Connect mengambil kunci publik untuk instans penyewa Microsoft Entra Domain Services.
  2. Saat pengguna mengubah kata sandi mereka, pengendali domain lokal menyimpan hasil perubahan kata sandi (hash) dalam dua atribut:
    • unicodePwd untuk hash kata sandi NTLM.
    • supplementalCredentials untuk hash kata sandi Kerberos.
  3. Microsoft Entra Connect mendeteksi perubahan kata sandi melalui saluran replikasi direktori (perubahan atribut yang perlu direplikasi ke pengendali domain lain).
  4. Untuk setiap pengguna yang kata sandinya berubah, Microsoft Entra Connect melakukan langkah-langkah berikut:
    • Menghasilkan kunci simetris AES 256-bit acak.
    • Menghasilkan vektor inisialisasi acak yang diperlukan untuk putaran pertama enkripsi.
    • Mengekstrak hash kata sandi Kerberos dari atribut supplementalCredentials .
    • Memeriksa pengaturan Konfigurasi keamanan Microsoft Entra Domain Services SyncNtlmPasswords .
      • Jika pengaturan ini dinonaktifkan, menghasilkan hash NTLM entropi tinggi acak (berbeda dari kata sandi pengguna). Hash ini kemudian dikombinasikan dengan hash kata sandi Kerberos yang tepat dari atribut supplementalCrendetials ke dalam satu struktur data.
      • Jika diaktifkan, menggabungkan nilai atribut unicodePwd dengan hash kata sandi Kerberos yang diekstrak dari atribut supplementalCredentials ke dalam satu struktur data.
    • Mengenkripsi struktur data tunggal menggunakan kunci konten AES.
    • Mengenkripsi kunci konten AES menggunakan kunci publik Microsoft Entra Domain Services penyewa.
  5. Microsoft Entra Connect mengirimkan kunci konten AES terenkripsi, struktur data terenkripsi yang berisi hash kata sandi, dan vektor inisialisasi ke ID Microsoft Entra.
  6. MICROSOFT Entra ID menyimpan kunci konten AES terenkripsi, struktur data terenkripsi, dan vektor inisialisasi untuk pengguna.
  7. MICROSOFT Entra ID mendorong kunci konten AES terenkripsi, struktur data terenkripsi, dan vektor inisialisasi menggunakan mekanisme sinkronisasi internal melalui sesi HTTP terenkripsi ke Microsoft Entra Domain Services.
  8. Microsoft Entra Domain Services mengambil kunci privat untuk instans penyewa dari Azure Key vault.
  9. Untuk setiap kumpulan data terenkripsi (mewakili perubahan kata sandi pengguna tunggal), Microsoft Entra Domain Services kemudian melakukan langkah-langkah berikut:
    • Menggunakan kunci privatnya untuk mendekripsi kunci konten AES.
    • Menggunakan kunci konten AES dengan vektor inisialisasi untuk mendekripsi struktur data terenkripsi yang berisi hash kata sandi.
    • Menulis hash kata sandi Kerberos yang diterimanya ke pengendali domain Microsoft Entra Domain Services. Hash disimpan ke dalam atribut supplementalCredentials objek pengguna yang dienkripsi ke kunci publik pengendali domain Microsoft Entra Domain Services.
    • Microsoft Entra Domain Services menulis hash kata sandi NTLM yang diterimanya ke pengendali domain Microsoft Entra Domain Services. Hash disimpan ke dalam atribut unicodePwd objek pengguna yang dienkripsi ke kunci publik pengendali domain Microsoft Entra Domain Services.

Mengaktifkan sinkronisasi hash kata sandi

Penting

Jika Anda bermigrasi dari Layanan Federasi Direktori Aktif (atau teknologi federasi lainnya) ke Sinkronisasi Hash Kata Sandi, lihat Sumber Daya untuk memigrasikan aplikasi ke ID Microsoft Entra.

Saat Anda menginstal Microsoft Entra Connect dengan menggunakan opsi Pengaturan Ekspres, sinkronisasi hash kata sandi diaktifkan secara otomatis. Untuk informasi selengkapnya, lihat Mulai menggunakan Microsoft Entra Connect menggunakan pengaturan ekspres.

Jika Anda menggunakan pengaturan kustom saat menginstal Microsoft Entra Connect, sinkronisasi hash kata sandi tersedia di halaman masuk pengguna. Untuk informasi selengkapnya, lihat Penginstalan kustom Microsoft Entra Connect.

Mengaktifkan sinkronisasi hash kata sandi

Sinkronisasi hash kata sandi dan FIPS

Jika server Anda dikunci sesuai dengan Federal Information Processing Standard (FIPS), maka MD5 dinonaktifkan.

Untuk mengaktifkan MD5 untuk sinkronisasi hash kata sandi, lakukan langkah-langkah berikut:

  1. Buka %programfiles%\Microsoft Azure AD Sync\Bin.
  2. Buka miiserver.exe.config.
  3. Buka node konfigurasi/runtime di akhir file.
  4. Tambahkan simpul berikut: <enforceFIPSPolicy enabled="false" />
  5. Simpan perubahan Anda.
  6. Mulai ulang agar perubahan diterapkan.

Sebagai referensi, cuplikan ini akan terlihat seperti:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false" />
        </runtime>
    </configuration>

Untuk informasi tentang keamanan dan FIPS, lihat Sinkronisasi hash kata sandi Microsoft Entra, enkripsi, dan kepatuhan FIPS.

Memecahkan masalah sinkronisasi hash kata sandi

Jika Anda mengalami masalah dengan sinkronisasi hash kata sandi, lihat Memecahkan masalah sinkronisasi hash kata sandi.

Langkah berikutnya