Esercitazione: Abilitare la sincronizzazione delle password in Microsoft Entra Domain Services per ambienti ibridi
Per gli ambienti ibridi, un tenant di Microsoft Entra può essere configurato per la sincronizzazione con un ambiente di Servizi di dominio di Active Directory locale usando Microsoft Entra Connessione. Per impostazione predefinita, Microsoft Entra Connessione non sincronizza gli hash delle password NT LAN Manager (NTLM) legacy necessari per Microsoft Entra Domain Services.
Per usare Servizi di dominio con account sincronizzati da un ambiente Active Directory Domain Services locale, è necessario configurare Microsoft Entra Connessione per sincronizzare gli hash delle password necessari per l'autenticazione NTLM e Kerberos. Dopo la configurazione di Microsoft Entra Connect, in seguito a un evento di creazione o modifica della password di un account locale verranno sincronizzati anche gli hash delle password legacy per Microsoft Entra ID.
Non è necessario eseguire questa procedura se si usano account solo cloud senza un ambiente Active Directory Domain Services locale.
In questa esercitazione si apprenderà:
- Per quale motivo gli hash delle password NTLM e Kerberos legacy sono necessari
- Come configurare la sincronizzazione dell'hash delle password legacy per Microsoft Entra Connessione
Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.
Prerequisiti
Per completare l'esercitazione, sono necessarie le risorse seguenti:
- Una sottoscrizione di Azure attiva.
- Se non si ha una sottoscrizione di Azure, creare un account.
- Tenant di Microsoft Entra associato alla sottoscrizione sincronizzata con una directory locale tramite Microsoft Entra Connessione.
- Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
- Se necessario, abilitare Microsoft Entra Connessione per la sincronizzazione dell'hash delle password.
- Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
- Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.
Sincronizzazione dell'hash delle password con Microsoft Entra Connessione
Microsoft Entra Connessione viene usato per sincronizzare oggetti come account utente e gruppi da un ambiente di Active Directory Domain Services locale in un tenant di Microsoft Entra. Nell'ambito del processo, la sincronizzazione dell'hash delle password consente agli account di usare la stessa password nell'ambiente Active Directory Domain Services locale e nell'ID Microsoft Entra.
Per autenticare gli utenti nel dominio gestito, Domain Services richiede hash delle password in un formato adatto per l'autenticazione NTLM e Kerberos. Microsoft Entra ID non archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos fino a quando non si abilita Servizi di dominio per il tenant. Per motivi di sicurezza, anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.
Microsoft Entra Connessione può essere configurato per sincronizzare gli hash delle password NTLM o Kerberos necessari per Servizi di dominio. Assicurarsi di aver completato i passaggi per abilitare Microsoft Entra Connessione per la sincronizzazione dell'hash delle password. Se si dispone di un'istanza esistente di Microsoft Entra Connessione, scaricare e aggiornare la versione più recente per assicurarsi di sincronizzare gli hash delle password legacy per NTLM e Kerberos. Questa funzionalità non è disponibile nelle versioni precedenti di Microsoft Entra Connessione o con lo strumento DirSync legacy. È necessario Microsoft Entra Connessione versione 1.1.614.0 o successiva.
Importante
Microsoft Entra Connessione deve essere installato e configurato solo per la sincronizzazione con gli ambienti di Active Directory Domain Services locali. Non è supportato installare Microsoft Entra Connessione in un dominio gestito di Servizi di dominio per sincronizzare nuovamente gli oggetti con Microsoft Entra ID.
Abilitare la sincronizzazione degli hash delle password
Con Microsoft Entra Connessione installato e configurato per la sincronizzazione con Microsoft Entra ID, configurare ora la sincronizzazione dell'hash delle password legacy per NTLM e Kerberos. Uno script di PowerShell viene usato per configurare le impostazioni necessarie e quindi avviare una sincronizzazione completa delle password con Microsoft Entra ID. Al termine del processo di sincronizzazione dell'hash delle password di Microsoft Entra Connessione, gli utenti possono accedere alle applicazioni tramite Servizi di dominio che usano hash delle password NTLM o Kerberos legacy.
Nel computer con Microsoft Entra Connessione installato, dal menu Start aprire il servizio di sincronizzazione Microsoft Entra Connessione>.
Selezionare la scheda Connessione ors. Vengono elencate le informazioni di connessione usate per stabilire la sincronizzazione tra l'ambiente Active Directory Domain Services locale e l'ID Microsoft Entra.
Il tipo indica l'ID Microsoft Entra (Microsoft) di Windows per il connettore Microsoft Entra o Dominio di Active Directory Services per il connettore di Active Directory Domain Services locale. Prendere nota dei nomi di connettore da usare nello script PowerShell nel passaggio successivo.
In questo esempio di screenshot vengono usati i connettori seguenti:
- Il connettore Microsoft Entra è denominato contoso.onmicrosoft.com - Microsoft Entra ID
- Il connettore Azure Active Directory Domain Services locale è denominato onprem.contoso.com
Copiare e incollare lo script di PowerShell seguente nel computer con Microsoft Entra Connessione installato. Lo script attiva una sincronizzazione completa delle password che include gli hash delle password legacy. Aggiornare le variabili
$azureadConnectore$adConnectorcon i nomi di connettore del passaggio precedente.Eseguire questo script in ogni foresta di Active Directory per sincronizzare gli hash delle password NTLM e Kerberos dell'account locale con Microsoft Entra ID.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueA seconda delle dimensioni della directory in termini di numero di account e gruppi, la sincronizzazione degli hash delle password legacy con l'ID Microsoft Entra potrebbe richiedere del tempo. Le password vengono quindi sincronizzate con il dominio gestito dopo la sincronizzazione con Microsoft Entra ID.
Passaggi successivi
In questa esercitazione si è appreso:
- Per quale motivo gli hash delle password NTLM e Kerberos legacy sono necessari
- Come configurare la sincronizzazione dell'hash delle password legacy per Microsoft Entra Connessione