Esercitazione: Abilitare la sincronizzazione delle password in Microsoft Entra Domain Services per ambienti ibridi

Per gli ambienti ibridi è possibile usare Microsoft Entra Connect per configurare un tenant di Microsoft Entra per la sincronizzazione con un ambiente Active Directory Domain Services locale. Per impostazione predefinita, Microsoft Entra Connect non sincronizza gli hash delle password di NTLM (NT LAN Manager) e Kerberos legacy necessari per Microsoft Entra Domain Services.

Per usare Domain Services con account sincronizzati da un ambiente Active Directory Domain Services locale, è necessario configurare Microsoft Entra Connect in modo da sincronizzare gli hash delle password necessari per l'autenticazione NTLM e Kerberos. Dopo la configurazione di Microsoft Entra Connect, in seguito a un evento di creazione o modifica della password di un account locale verranno sincronizzati anche gli hash delle password legacy per Microsoft Entra ID.

Non è necessario eseguire questa procedura se si usano account solo cloud senza un ambiente Active Directory Domain Services locale.

In questa esercitazione si apprenderà:

• Per quale motivo gli hash delle password NTLM e Kerberos legacy sono necessari
• Come configurare la sincronizzazione degli hash delle password legacy per Microsoft Entra Connect

Se non si ha una sottoscrizione di Azure, creare un account prima di iniziare.

Prerequisiti

Per completare l'esercitazione, sono necessarie le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale tramite Microsoft Entra Connect.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
  • Se necessario, abilitare Microsoft Entra Connect per la sincronizzazione degli hash delle password.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Sincronizzazione degli hash delle password con Microsoft Entra Connect

Microsoft Entra Connect consente di sincronizzare oggetti quali account utente e gruppi da un ambiente Active Directory Domain Services locale in un tenant di Microsoft Entra. Come parte del processo, la sincronizzazione degli hash delle password consente agli account di usare la stessa password nell'ambiente Active Directory Domain Services locale e in Microsoft Entra ID.

Per autenticare gli utenti nel dominio gestito, Domain Services necessita degli hash delle password in un formato idoneo per l'autenticazione NTLM e Kerberos. Microsoft Entra ID non archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos finché non si abilita Domain Services per il tenant. Per motivi di sicurezza, anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.

È possibile configurare Microsoft Entra Connect in modo da sincronizzare gli hash delle password NTLM o Kerberos necessari per Domain Services. Assicurarsi di aver completato i passaggi per abilitare Microsoft Entra Connect per la sincronizzazione degli hash delle password. Se è presente un'istanza esistente di Microsoft Entra Connect, scaricarla e aggiornarla alla versione più recente per essere certi di poter sincronizzare gli hash delle password legacy per NTLM e Kerberos. Questa funzionalità non è disponibile nelle versioni precedenti di Microsoft Entra Connect o con lo strumento DirSync legacy. È necessaria la versione di Microsoft Entra Connect 1.1.614.0 o successiva.

Importante

Microsoft Entra Connect deve essere installato e configurato solo per la sincronizzazione con gli ambienti Active Directory Domain Services locali. L'installazione di Microsoft Entra Connect in un dominio gestito di Domain Services per sincronizzare nuovamente gli oggetti con Microsoft Entra ID non è supportata.

Abilitare la sincronizzazione degli hash delle password

Dopo aver installato e configurato Microsoft Entra Connect per la sincronizzazione con Microsoft Entra ID, configurare la sincronizzazione degli hash delle password legacy per NTLM e Kerberos. Per configurare le impostazioni necessarie e quindi avviare una sincronizzazione completa delle password con Microsoft Entra ID, si usa uno script PowerShell. Al termine del processo di sincronizzazione degli hash delle password di Microsoft Entra Connect, gli utenti possono accedere tramite Domain Services alle applicazioni che usano hash delle password NTLM o Kerberos legacy.

1. Nel computer in cui è installato Microsoft Entra Connect fare clic su Start e quindi su Microsoft Entra Connect > Servizio di sincronizzazione.

2. Selezionare la scheda Connettori. Sono elencate le informazioni di connessione usate per stabilire la sincronizzazione tra l'ambiente Active Directory Domain Services locale e Microsoft Entra ID.

   L'opzione Tipo indica Windows Microsoft Entra ID (Microsoft) per il connettore Microsoft Entra oppure Active Directory Domain Services per il connettore Active Directory Domain Services locale. Prendere nota dei nomi di connettore da usare nello script PowerShell nel passaggio successivo.

   

   In questo esempio di screenshot vengono usati i connettori seguenti:

   • Il connettore Microsoft Entra è denominato contoso.onmicrosoft.com - Microsoft Entra ID
   • Il connettore Azure Active Directory Domain Services locale è denominato onprem.contoso.com

3. Copiare e incollare lo script PowerShell seguente nel computer in cui è installato Microsoft Entra Connect. Lo script attiva una sincronizzazione completa delle password che include gli hash delle password legacy. Aggiornare le variabili $azureadConnector e $adConnector con i nomi di connettore del passaggio precedente.

   Eseguire questo script in ogni foresta Active Directory per sincronizzare gli hash delle password NTLM e Kerberos degli account locali con Microsoft Entra ID.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   A seconda delle dimensioni della directory in termini di numero di account e gruppi, la sincronizzazione degli hash delle password legacy con Microsoft Entra ID potrebbe richiedere molto tempo. Dopo la sincronizzazione con Microsoft Entra ID, le password vengono quindi sincronizzate con il dominio gestito.

Passaggi successivi

In questa esercitazione si è appreso:

• Per quale motivo gli hash delle password NTLM e Kerberos legacy sono necessari
• Come configurare la sincronizzazione degli hash delle password legacy per Microsoft Entra Connect

Informazioni su come funziona la sincronizzazione in un dominio gestito di Microsoft Entra Domain Services