Tutorial: Habilitar a sincronização de senha no Microsoft Entra Domain Services para ambientes híbridos

Para ambientes híbridos, um locatário do Microsoft Entra pode ser configurado para sincronizar com um ambiente local do AD DS (Active Directory Domain Services) usando o Microsoft Entra Connect. Por padrão, o Microsoft Entra Connect não sincroniza os hashes de senha herdados do NT LAN Manager e Kerberos que são necessários para o Microsoft Entra Domain Services.

Para usar os Serviços de Domínio com contas sincronizadas de um ambiente do AD DS local, você precisa configurar o Microsoft Entra Connect para sincronizar os hashes de senha necessários para autenticação NTLM e Kerberos. Depois que o Microsoft Entra Connect é configurado, uma criação de conta ou evento de alteração de senha local também sincroniza os hashes de senha herdados com a ID do Microsoft Entra.

Você não precisará executar essas etapas se usar contas somente na nuvem sem ambiente do AD DS local.

Neste tutorial, irá aprender:

• Por que são necessários hashes de senha herdada do Kerberos e NTLM
• Como configurar a sincronização de hash de senha herdado para o Microsoft Entra Connect

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura que é sincronizado com um diretório local usando o Microsoft Entra Connect.
  • Se necessário, crie um tenant do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
  • Se necessário, habilite o Microsoft Entra Connect para sincronização de hash de senha.
• Um domínio gerenciado do Microsoft Entra Domain Services, habilitado e configurado no seu tenant do Microsoft Entra.
  • Se necessário, crie e configure um domínio gerenciado pelo Microsoft Entra Domain Services.

Sincronização de hash de senha usando o Microsoft Entra Connect

O Microsoft Entra Connect é usado para sincronizar objetos como contas de usuário e grupos de um ambiente do AD DS local em um locatário do Microsoft Entra. Como parte do processo, a sincronização de hash de senha permite que as contas usem a mesma senha no ambiente do AD DS local e na ID do Microsoft Entra.

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NTLM e Kerberos. O Microsoft Entra ID só armazena os hashes de senha no formato necessário para a autenticação NTLM ou Kerberos quando você habilita o Domain Services para seu locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

O Microsoft Entra Connect pode ser configurado para sincronizar os hashes de senha NTLM ou Kerberos necessários para os Serviços de Domínio. Verifique se você concluiu as etapas para habilitar o Microsoft Entra Connect para sincronização de hash de senha. Se você tiver uma instância existente do Microsoft Entra Connect, baixe e atualize para a versão mais recente para ter certeza de que pode sincronizar os hashes de senha herdados para NTLM e Kerberos. Essa funcionalidade não está disponível em versões iniciais do Microsoft Entra Connect ou com a ferramenta DirSync herdada. O Microsoft Entra Connect versão 1.1.614.0 ou posterior é necessário.

Importante

O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes do AD DS local. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado dos Serviços de Domínio para sincronizar objetos de volta à ID do Microsoft Entra.

Habilitar a sincronização de hashes de senha

Com o Microsoft Entra Connect instalado e configurado para sincronização com o Microsoft Entra ID, agora configure a sincronização de hash de senha herdado para o NTLM e o Kerberos. Um script do PowerShell é usado para definir as configurações necessárias e, em seguida, iniciar uma sincronização de senha completa com a ID do Microsoft Entra. Quando esse processo de sincronização de hash de senha do Microsoft Entra Connect for concluído, os usuários poderão entrar em aplicativos por meio dos Serviços de Domínio que usam hashes de senha herdados NTLM ou Kerberos.

1. No computador com o Microsoft Entra Connect instalado, no menu Iniciar, abra o Serviço de Sincronização do Microsoft Entra Connect>.

2. Selecione a guia Conectores . As informações de conexão usadas para estabelecer a sincronização entre o ambiente do AD DS local e a ID do Microsoft Entra estão listadas.

   O Tipo indica o Windows Microsoft Entra ID (Microsoft) para o conector do Microsoft Entra ou o Active Directory Domain Services para o conector do AD DS local. Anote os nomes do conector a serem usados no script do PowerShell na próxima etapa.

   

   Nesta captura de tela de exemplo, os seguintes conectores são usados:

   • O conector do Microsoft Entra é chamado contoso.onmicrosoft.com – ID do Microsoft Entra
   • O conector AD DS local é chamado onprem.contoso.com

3. Copie e cole o seguinte script do PowerShell no computador com o Microsoft Entra Connect instalado. O script dispara uma sincronização de senha completa que inclui hashes de senha herdados. Atualize as variáveis $azureadConnector e $adConnector com os nomes de conector da etapa anterior.

   Execute esse script em cada floresta do AD para sincronizar os hashes de senha do NTLM e do Kerberos da conta local com o Microsoft Entra ID.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   Dependendo do tamanho do diretório em termos de número de contas e grupos, a sincronização dos hashes de senha herdados com a ID do Microsoft Entra pode levar algum tempo. As senhas são sincronizadas com o domínio gerenciado depois de sincronizadas com a ID do Microsoft Entra.

Próximas etapas

Neste tutorial, você aprendeu:

• Por que são necessários hashes de senha herdada do Kerberos e NTLM
• Como configurar a sincronização de hash de senha herdado para o Microsoft Entra Connect

Saiba como funciona a sincronização em um domínio gerenciado do Microsoft Entra Domain Services