Wachtwoord-hashsynchronisatie implementeren met Azure AD Connect-synchronisatie

Dit artikel bevat informatie over het synchroniseren van uw gebruikerswachtwoorden van een on-premises Active Directory-exemplaar naar een cloudexemplaar van Azure Active Directory (Azure AD).

Hoe synchronisatie van wachtwoord-hashes werkt

De Active Directory-domeinservice slaat wachtwoorden op in de vorm van een hash-waardeweergave, van het werkelijke gebruikerswachtwoord. Een hash-waarde is een resultaat van een eenrichtings-wiskundige functie (het hash-algoritme). Er bestaat geen methode het resultaat van een eenzijdige functie terug te draaien naar de versie in tekst zonder opmaak van een wachtwoord.

Als u uw wachtwoord wilt synchroniseren, extraheert Azure AD Connect-synchronisatie uw wachtwoordhash uit het on-premises Active Directory-exemplaar. Er wordt extra beveiligingsverwerking toegepast op de wachtwoord-hash voordat deze wordt gesynchroniseerd met de Azure Active Directory-verificatieservice. Wachtwoorden worden gesynchroniseerd per gebruiker en in chronologische volgorde.

De werkelijke gegevensstroom van het wachtwoord-hashsynchronisatieproces is vergelijkbaar met de synchronisatie van gebruikersgegevens. Wachtwoorden worden echter vaker gesynchroniseerd dan het standaardvenster voor adreslijstsynchronisatie voor andere kenmerken. Het synchronisatieproces voor wachtwoord-hash wordt elke 2 minuten uitgevoerd. U kunt de frequentie van dit proces niet wijzigen. Wanneer u een wachtwoord synchroniseert, wordt het bestaande cloudwachtwoord overschreven.

De eerste keer dat u de functie voor wachtwoord-hashsynchronisatie inschakelt, wordt een eerste synchronisatie uitgevoerd van de wachtwoorden van alle gebruikers binnen het bereik. Met gefaseerde implementatie kunt u selectief groepen gebruikers testen met mogelijkheden voor cloudverificatie, zoals Azure AD Multi-Factor Authentication (MFA), voorwaardelijke toegang, Identity Protection voor gelekte referenties, Identity Governance en andere, voordat u uw domeinen overstuurt. U kunt niet expliciet een subset van gebruikerswachtwoorden definiëren die u wilt synchroniseren. Als er echter meerdere connectors zijn, is het mogelijk om wachtwoord-hashsynchronisatie uit te schakelen voor sommige connectors, maar andere niet met behulp van de cmdlet Set-ADSyncAADPasswordSyncConfiguration .

Wanneer u een on-premises wachtwoord wijzigt, wordt het bijgewerkte wachtwoord gesynchroniseerd, meestal binnen enkele minuten. De functie voor wachtwoord-hashsynchronisatie probeert automatisch mislukte synchronisatiepogingen opnieuw. Als er een fout optreedt tijdens een poging om een wachtwoord te synchroniseren, wordt een fout vastgelegd in de logboeken.

De synchronisatie van een wachtwoord heeft geen invloed op de gebruiker die momenteel is aangemeld. Uw huidige cloudservicesessie wordt niet onmiddellijk beïnvloed door een gesynchroniseerde wachtwoordwijziging die plaatsvindt terwijl u bent aangemeld bij een cloudservice. Wanneer de cloudservice echter vereist dat u zich opnieuw verifieert, moet u uw nieuwe wachtwoord opgeven.

Gebruikers moeten hun bedrijfsreferenties een tweede keer invoeren om zich te verifiëren bij Azure AD, ongeacht of ze zijn aangemeld bij hun bedrijfsnetwerk. Dit patroon kan echter worden geminimaliseerd als de gebruiker het selectievakje Aangemeld blijven (KMSI) inschakelt bij het aanmelden. Met deze selectie wordt een sessiecookie ingesteld die verificatie gedurende 180 dagen omzeilt. KMSI-gedrag kan worden in- of uitgeschakeld door de Azure AD-beheerder. Bovendien kunt u wachtwoordprompts verminderen door Azure AD join of Hybrid Azure AD join te configureren, waarmee gebruikers automatisch worden aangemeld wanneer ze op hun bedrijfsapparaten zijn verbonden met uw bedrijfsnetwerk.

Extra voordelen

• Over het algemeen is wachtwoord-hashsynchronisatie eenvoudiger te implementeren dan een federation-service. Het vereist geen extra servers en elimineert afhankelijkheid van een maximaal beschikbare federation-service om gebruikers te verifiëren.
• Wachtwoord-hashsynchronisatie kan naast federatie ook worden ingeschakeld. Het kan worden gebruikt als een terugval als uw federatieservice een storing ondervindt.

Notitie

Wachtwoordsynchronisatie wordt alleen ondersteund voor de gebruiker van het objecttype in Active Directory. Het wordt niet ondersteund voor het objecttype iNetOrgPerson.

Gedetailleerde beschrijving van de werking van wachtwoord-hashsynchronisatie

In de volgende sectie wordt uitgebreid beschreven hoe wachtwoord-hashsynchronisatie werkt tussen Active Directory en Azure AD.

1. Om de twee minuten vraagt de wachtwoord-hashsynchronisatieagent op de AD Connect-server opgeslagen wachtwoordhashes (het kenmerk unicodePwd) aan bij een domeincontroller. Deze aanvraag vindt plaats via het standaard MS-DRSR-replicatieprotocol dat wordt gebruikt om gegevens tussen DC's te synchroniseren. Het serviceaccount moet directorywijzigingen repliceren en Directorywijzigingen repliceren Alle AD-machtigingen hebben (standaard verleend bij de installatie) om de wachtwoordhashes te verkrijgen.
2. Voordat de domeincontroller wordt verzonden, versleutelt de MD4-wachtwoordhash met behulp van een sleutel die een MD5-hash van de RPC-sessiesleutel en een salt is. Vervolgens wordt het resultaat via RPC verzonden naar de wachtwoord-hashsynchronisatieagent. De domeincontroller geeft het zout ook door aan de synchronisatieagent met behulp van het DC-replicatieprotocol, zodat de agent de envelop kan ontsleutelen.
3. Nadat de wachtwoord-hashsynchronisatieagent de versleutelde envelop heeft, wordt MD5CryptoServiceProvider en de salt gebruikt om een sleutel te genereren voor het ontsleutelen van de ontvangen gegevens naar de oorspronkelijke MD4-indeling. De wachtwoord-hashsynchronisatieagent heeft nooit toegang tot het wachtwoord zonder tekst. Het gebruik van MD5 van de wachtwoord-hashsynchronisatieagent is uitsluitend bedoeld voor de compatibiliteit van het replicatieprotocol met de DC en wordt alleen on-premises gebruikt tussen de DC en de wachtwoord-hashsynchronisatieagent.
4. De wachtwoord-hashsynchronisatieagent breidt de binaire wachtwoordhash van 16 bytes uit naar 64 bytes door de hash eerst te converteren naar een hexadecimale tekenreeks van 32 bytes en deze tekenreeks vervolgens weer te converteren naar binair met UTF-16-codering.
5. De wachtwoord-hashsynchronisatieagent voegt een salt per gebruiker toe, bestaande uit een salt met een lengte van 10 bytes, aan het binaire bestand van 64 bytes om de oorspronkelijke hash verder te beveiligen.
6. De wachtwoord-hashsynchronisatieagent combineert vervolgens de MD4-hash plus de salt per gebruiker en voert deze in de PBKDF2-functie in. Er worden 1000 iteraties van het HMAC-SHA256-sleutelhashalgoritme gebruikt. Raadpleeg het Azure AD Whitepaper voor meer informatie.
7. De wachtwoord-hashsynchronisatieagent neemt de resulterende hash van 32 bytes, voegt zowel de salt per gebruiker als het aantal SHA256-iteraties samen (voor gebruik door Azure AD) en verzendt vervolgens de tekenreeks van Azure AD Connect naar Azure AD via TLS.
   
8. Wanneer een gebruiker zich probeert aan te melden bij Azure AD en het wachtwoord invoert, wordt het wachtwoord uitgevoerd via hetzelfde MD4+salt+PBKDF2+HMAC-SHA256-proces. Als de resulterende hash overeenkomt met de hash die is opgeslagen in Azure AD, heeft de gebruiker het juiste wachtwoord ingevoerd en wordt deze geverifieerd.

Notitie

De oorspronkelijke MD4-hash wordt niet verzonden naar Azure AD. In plaats daarvan wordt de SHA256-hash van de oorspronkelijke MD4-hash verzonden. Als gevolg hiervan, als de hash die is opgeslagen in Azure AD wordt verkregen, kan deze niet worden gebruikt in een on-premises pass-the-hash-aanval.

Beveiligingsoverwegingen

Bij het synchroniseren van wachtwoorden wordt de tekstversie van uw wachtwoord niet weergegeven in de functie voor wachtwoord-hashsynchronisatie, Azure AD of een van de bijbehorende services.

Gebruikersverificatie vindt plaats op Azure AD in plaats van op het eigen Active Directory-exemplaar van de organisatie. De SHA256-wachtwoordgegevens die zijn opgeslagen in Azure AD, een hash van de oorspronkelijke MD4-hash, zijn veiliger dan wat is opgeslagen in Active Directory. Omdat deze SHA256-hash niet kan worden ontsleuteld, kan deze niet worden teruggezet naar de Active Directory-omgeving van de organisatie en worden gepresenteerd als een geldig gebruikerswachtwoord in een pass-the-hash-aanval.

Overwegingen voor wachtwoordbeleid

Er zijn twee typen wachtwoordbeleidsregels die worden beïnvloed door het inschakelen van wachtwoord-hashsynchronisatie:

• Beleid voor wachtwoordcomplexiteit
• Wachtwoordverloopbeleid

Beleid voor wachtwoordcomplexiteit

Wanneer wachtwoord-hashsynchronisatie is ingeschakeld, overschrijft het beleid voor wachtwoordcomplexiteit in uw on-premises Active Directory exemplaar het complexiteitsbeleid in de cloud voor gesynchroniseerde gebruikers. U kunt alle geldige wachtwoorden van uw on-premises Active Directory-exemplaar gebruiken voor toegang tot Azure AD services.

Notitie

Wachtwoorden voor gebruikers die rechtstreeks in de cloud worden gemaakt, zijn nog steeds onderworpen aan wachtwoordbeleid zoals gedefinieerd in de cloud.

Wachtwoordverloopbeleid

Als een gebruiker binnen het bereik van wachtwoord-hashsynchronisatie valt, is het cloudaccountwachtwoord standaard ingesteld op Nooit verlopen.

U kunt zich blijven aanmelden bij uw cloudservices met behulp van een gesynchroniseerd wachtwoord dat is verlopen in uw on-premises omgeving. Uw cloudwachtwoord wordt bijgewerkt wanneer u de volgende keer het wachtwoord in de on-premises omgeving wijzigt.

EnforceCloudPasswordPolicyForPasswordSyncedUsers

Als er gesynchroniseerde gebruikers zijn die alleen interactie hebben met Azure AD geïntegreerde services en ook moeten voldoen aan een wachtwoordverloopbeleid, kunt u afdwingen dat ze voldoen aan het verloopbeleid voor uw Azure AD wachtwoord door de functie EnforceCloudPasswordPolicyForPasswordSyncedUsers in te schakelen.

Wanneer EnforceCloudPasswordPolicyForPasswordSyncedUsers is uitgeschakeld (dit is de standaardinstelling), stelt Azure AD Connect het kenmerk PasswordPolicies van gesynchroniseerde gebruikers in op DisablePasswordExpiration. Dit wordt gedaan telkens wanneer het wachtwoord van een gebruiker wordt gesynchroniseerd en Azure AD opdracht geeft om het wachtwoordverloopbeleid in de cloud voor die gebruiker te negeren. U kunt de waarde van het kenmerk controleren met behulp van de Azure AD PowerShell-module met de volgende opdracht:

(Get-AzureADUser -objectID <User Object ID>).passwordpolicies

Als u de functie EnforceCloudPasswordPolicyForPasswordSyncedUsers wilt inschakelen, voert u de volgende opdracht uit met behulp van de MSOnline PowerShell-module, zoals hieronder wordt weergegeven. U moet ja typen voor de parameter Inschakelen, zoals hieronder wordt weergegeven:

Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers
cmdlet Set-MsolDirSyncFeature at command pipeline position 1
Supply values for the following parameters:
Enable: yes
Confirm
Continue with this operation?
[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): y

Zodra Azure AD is ingeschakeld, gaat niet naar elke gesynchroniseerde gebruiker om de DisablePasswordExpiration waarde te verwijderen uit het kenmerk PasswordPolicies. In plaats daarvan wordt de DisablePasswordExpiration waarde verwijderd uit PasswordPolicies tijdens de volgende wachtwoord-hashsynchronisatie voor elke gebruiker, bij de volgende wachtwoordwijziging in on-premises AD.

Nadat de functie EnforceCloudPasswordPolicyForPasswordSyncedUsers is ingeschakeld, worden nieuwe gebruikers ingericht zonder de waarde PasswordPolicies.

Tip

Het wordt aanbevolen om EnforceCloudPasswordPolicyForPasswordSyncedUsers in te schakelen voordat u wachtwoordhashsynchronisatie inschakelt, zodat de initiële synchronisatie van wachtwoordhashes de DisablePasswordExpiration waarde niet toevoegt aan het kenmerk PasswordPolicies voor de gebruikers.

Het standaardbeleid Azure AD wachtwoord vereist dat gebruikers hun wachtwoord elke 90 dagen wijzigen. Als uw beleid in AD ook 90 dagen is, moeten de twee beleidsregels overeenkomen. Als het AD-beleid echter niet 90 dagen is, kunt u het Azure AD wachtwoordbeleid bijwerken met behulp van de Set-MsolPasswordPolicy PowerShell-opdracht.

Azure AD ondersteunt een afzonderlijk wachtwoordverloopbeleid per geregistreerd domein.

Voorbehoud: als er gesynchroniseerde accounts zijn die niet-verlopende wachtwoorden moeten hebben in Azure AD, moet u de DisablePasswordExpiration waarde expliciet toevoegen aan het kenmerk PasswordPolicies van het gebruikersobject in Azure AD. U kunt dit doen door de volgende opdracht uit te voeren.

Set-AzureADUser -ObjectID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Notitie

Voor hybride gebruikers waarvoor de waarde PasswordPolicies is ingesteld op DisablePasswordExpiration, schakelt deze waarde over naar None nadat een wachtwoordwijziging on-premises is uitgevoerd.

Notitie

De Set-MsolPasswordPolicy PowerShell-opdracht werkt niet voor federatieve domeinen.

Notitie

De Set-AzureADUser PowerShell-opdracht werkt niet voor federatieve domeinen.

Tijdelijke wachtwoorden synchroniseren en 'Wachtwoordwijziging bij volgende aanmelding forceren'

Het is gebruikelijk om een gebruiker te dwingen het wachtwoord te wijzigen tijdens de eerste aanmelding, met name nadat het beheerderswachtwoord opnieuw is ingesteld. Dit staat bekend als het instellen van een 'tijdelijk' wachtwoord en wordt voltooid door de vlag 'Gebruiker moet wachtwoord wijzigen bij volgende aanmelding' te controleren op een gebruikersobject in Active Directory (AD).

De tijdelijke wachtwoordfunctionaliteit helpt ervoor te zorgen dat de overdracht van het eigendom van de referentie wordt voltooid bij het eerste gebruik, om de tijdsduur te minimaliseren waarin meer dan één persoon kennis heeft van die referentie.

Als u tijdelijke wachtwoorden in Azure AD voor gesynchroniseerde gebruikers wilt ondersteunen, kunt u de functie ForcePasswordChangeOnLogOn inschakelen door de volgende opdracht uit te voeren op uw Azure AD Connect-server:

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

Notitie

Als u afdwingt dat een gebruiker het wachtwoord bij de volgende aanmelding wijzigt, moet tegelijkertijd het wachtwoord worden gewijzigd. Azure AD Connect de vlag wachtwoordwijziging forceren niet automatisch op; deze is een aanvulling op de gedetecteerde wachtwoordwijziging die plaatsvindt tijdens de wachtwoord-hashsynchronisatie.

Als de gebruiker de optie Wachtwoord verloopt nooit heeft ingesteld in Active Directory (AD), wordt de vlag wachtwoordwijziging forceren niet ingesteld in Active Directory (AD), zodat de gebruiker niet wordt gevraagd het wachtwoord te wijzigen tijdens de volgende aanmelding.

Een nieuwe gebruiker die is gemaakt in Active Directory met de vlag 'Gebruiker moet wachtwoord wijzigen bij volgende aanmelding' wordt altijd ingericht in Azure AD met een wachtwoordbeleid voor 'Wachtwoord wijzigen bij de volgende aanmelding forceren', ongeacht of de functie ForcePasswordChangeOnLogOnLogOn true of false is. Dit is een Azure AD interne logica omdat de nieuwe gebruiker zonder wachtwoord is ingericht, terwijl de functie ForcePasswordChangeOnLogOn alleen van invloed is op scenario's voor het opnieuw instellen van wachtwoorden voor beheerders.

Waarschuwing

Gebruik deze functie alleen wanneer SSPR en Wachtwoord terugschrijven zijn ingeschakeld voor de tenant. Dit is zodat als een gebruiker zijn wachtwoord wijzigt via SSPR, het wordt gesynchroniseerd met Active Directory.

Verlooptijd van account

Als uw organisatie het kenmerk accountExpires gebruikt als onderdeel van gebruikersaccountbeheer, wordt dit kenmerk niet gesynchroniseerd met Azure AD. Als gevolg hiervan is een verlopen Active Directory-account in een omgeving die is geconfigureerd voor wachtwoord-hashsynchronisatie nog steeds actief in Azure AD. U wordt aangeraden een gepland PowerShell-script te gebruiken waarmee ad-accounts van gebruikers worden uitgeschakeld zodra deze verlopen (gebruik de cmdlet Set-ADUser ). Omgekeerd, tijdens het proces van het verwijderen van de vervaldatum van een AD-account, moet het account opnieuw worden ingeschakeld.

Gesynchroniseerde wachtwoorden overschrijven

Een beheerder kan uw wachtwoord handmatig opnieuw instellen in Azure AD met behulp van Windows PowerShell (tenzij de gebruiker zich in een federatief domein bevindt).

In dit geval overschrijft het nieuwe wachtwoord uw gesynchroniseerde wachtwoord en worden alle wachtwoordbeleidsregels die in de cloud zijn gedefinieerd, toegepast op het nieuwe wachtwoord.

Als u uw on-premises wachtwoord opnieuw wijzigt, wordt het nieuwe wachtwoord gesynchroniseerd met de cloud en wordt het handmatig bijgewerkte wachtwoord overschreven.

De synchronisatie van een wachtwoord heeft geen invloed op de Azure-gebruiker die is aangemeld. Uw huidige cloudservicesessie wordt niet onmiddellijk beïnvloed door een gesynchroniseerde wachtwoordwijziging die optreedt terwijl u bent aangemeld bij een cloudservice. KMSI verlengt de duur van dit verschil. Wanneer de cloudservice vereist dat u zich opnieuw verifieert, moet u uw nieuwe wachtwoord opgeven.

Wachtwoord-hashsynchronisatieproces voor Azure AD Domain Services

Als u Azure AD Domain Services gebruikt om verouderde verificatie te bieden voor toepassingen en services die Kerberos, LDAP of NTLM moeten gebruiken, maken sommige aanvullende processen deel uit van de synchronisatiestroom voor wachtwoord-hashs. Azure AD Connect gebruikt het volgende aanvullende proces om wachtwoordhashes te synchroniseren met Azure AD voor gebruik in Azure AD Domain Services:

Belangrijk

Azure AD Connect moet alleen worden geïnstalleerd en geconfigureerd voor synchronisatie met on-premises AD DS-omgevingen. Het installeren van Azure AD Connect in een beheerd Azure AD DS-domein om objecten weer naar Azure AD te synchroniseren, wordt niet ondersteund.

Azure AD Connect synchroniseert alleen verouderde wachtwoordhashes wanneer u Azure AD DS inschakelt voor uw Azure AD-tenant. De volgende stappen worden niet gebruikt als u alleen Azure AD Connect gebruikt om een on-premises AD DS-omgeving te synchroniseren met Azure AD.

Als uw verouderde toepassingen geen NTLM-verificatie of eenvoudige LDAP-bindingen gebruiken, raden we u aan om hash-synchronisatie van NTLM-wachtwoorden uit te schakelen voor Azure AD DS. Zie Zwakke coderingssuites en hash-synchronisatie van NTLM-referenties uitschakelen voor meer informatie.

1. Azure AD Connect haalt de openbare sleutel op voor het exemplaar van Azure AD Domain Services van de tenant.
2. Wanneer een gebruiker het wachtwoord wijzigt, slaat de on-premises domeincontroller het resultaat van de wachtwoordwijziging (hashes) op in twee kenmerken:
   • unicodePwd voor de NTLM-wachtwoordhash.
   • supplementalCredentials voor de Kerberos-wachtwoordhash.
3. Azure AD Connect detecteert wachtwoordwijzigingen via het adreslijstreplicatiekanaal (kenmerkwijzigingen die moeten worden gerepliceerd naar andere domeincontrollers).
4. Voor elke gebruiker van wie het wachtwoord is gewijzigd, voert Azure AD Connect de volgende stappen uit:
   • Hiermee wordt een willekeurige AES 256-bits symmetrische sleutel gegenereerd.
   • Genereert een willekeurige initialisatievector die nodig is voor de eerste versleutelingsronde.
   • Extraheert Kerberos-wachtwoordhashes uit de aanvullendecredentials-kenmerken .
   • Hiermee wordt de instelling SyncNtlmPasswords van de Azure AD Domain Services-beveiligingsconfiguratie gecontroleerd.
     • Als deze instelling is uitgeschakeld, wordt een willekeurige NTLM-hash met hoge entropie gegenereerd (anders dan het wachtwoord van de gebruiker). Deze hash wordt vervolgens gecombineerd met de exacte Kerberos-wachtwoordhashes van het kenmerk supplementalCrendetials in één gegevensstructuur.
     • Indien ingeschakeld, combineert u de waarde van het kenmerk unicodePwd met de geëxtraheerde Kerberos-wachtwoordhashes uit het kenmerk supplementalCredentials in één gegevensstructuur.
   • Hiermee versleutelt u de individuele gegevensstructuur met behulp van de symmetrische AES-sleutel.
   • Versleutelt de AES-symmetrische sleutel met behulp van de openbare sleutel Azure AD Domain Services van de tenant.
5. Azure AD Connect verzendt de versleutelde AES-symmetrische sleutel, de versleutelde gegevensstructuur met de wachtwoordhashes en de initialisatievector naar Azure AD.
6. Azure AD slaat de versleutelde AES-symmetrische sleutel, de versleutelde gegevensstructuur en de initialisatievector voor de gebruiker op.
7. Azure AD pusht de versleutelde AES-symmetrische sleutel, de versleutelde gegevensstructuur en de initialisatievector met behulp van een intern synchronisatiemechanisme via een versleutelde HTTP-sessie naar Azure AD Domain Services.
8. Azure AD Domain Services haalt de persoonlijke sleutel voor het exemplaar van de tenant op uit Azure Key Vault.
9. Voor elke versleutelde gegevensset (die de wachtwoordwijziging van één gebruiker vertegenwoordigt), voert Azure AD Domain Services vervolgens de volgende stappen uit:
   • Gebruikt de persoonlijke sleutel om de AES-symmetrische sleutel te ontsleutelen.
   • Gebruikt de AES-symmetrische sleutel met de initialisatievector om de versleutelde gegevensstructuur te ontsleutelen die de wachtwoordhashes bevat.
   • Schrijft de Kerberos-wachtwoordhashes die worden ontvangen naar de Azure AD Domain Services-domeincontroller. De hashes worden opgeslagen in het kenmerk supplementalCredentials van het gebruikersobject dat is versleuteld met de openbare sleutel van de Azure AD Domain Services-domeincontroller.
   • Azure AD Domain Services schrijft de NTLM-wachtwoordhash die het heeft ontvangen naar de Azure AD Domain Services-domeincontroller. De hash wordt opgeslagen in het unicodePwd-kenmerk van het gebruikersobject dat is versleuteld met de openbare sleutel van de Azure AD Domain Services-domeincontroller.

Wachtwoord-hashsynchronisatie inschakelen

Belangrijk

Als u migreert van AD FS (of andere federatietechnologieën) naar wachtwoord-hashsynchronisatie, bekijkt u Resources voor het migreren van toepassingen naar Azure AD.

Wanneer u Azure AD Connect installeert met behulp van de optie Snelle instellingen, wordt wachtwoord-hashsynchronisatie automatisch ingeschakeld. Zie Aan de slag met Azure AD Verbinding maken met expresinstellingen voor meer informatie.

Als u aangepaste instellingen gebruikt wanneer u Azure AD Connect installeert, is wachtwoord-hashsynchronisatie beschikbaar op de aanmeldingspagina van de gebruiker. Zie Aangepaste installatie van Azure AD Connect voor meer informatie.

Wachtwoord-hashsynchronisatie en FIPS

Als uw server is vergrendeld volgens Federal Information Processing Standard (FIPS), is MD5 uitgeschakeld.

Voer de volgende stappen uit om MD5 in te schakelen voor wachtwoord-hash-synchronisatie:

1. Ga naar %programfiles%\Microsoft Azure AD Sync\Bin.
2. Open miiserver.exe.config.
3. Ga naar het configuratie-/runtime-knooppunt aan het einde van het bestand.
4. Voeg het volgende knooppunt toe: <enforceFIPSPolicy enabled="false"/>
5. Sla uw wijzigingen op.
6. Start opnieuw op om de wijzigingen van kracht te laten worden.

Ter referentie, dit fragment toont hoe het eruit moet zien:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Zie Azure AD wachtwoord-hash-synchronisatie, versleuteling en FIPS-naleving voor informatie over beveiliging en FIPS.

Problemen met wachtwoord-hashsynchronisatie oplossen

Als u problemen ondervindt met wachtwoord-hashsynchronisatie, raadpleegt u Problemen met wachtwoord-hashsynchronisatie oplossen.

Volgende stappen

• synchronisatie van Azure AD Verbinden: synchronisatieopties aanpassen
• Integrating your on-premises identities with Azure Active Directory (Engelstalig)
• Resources voor het migreren van toepassingen naar Azure AD