Implementar e gerenciar a sincronização de hash de senha (PHS)

  • 2 minutos

Como a sincronização de hash de senha funciona

A sincronização de hash de senha é um dos métodos de entrada usados para atingir a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância de Active Directory local para uma instância do Microsoft Entra baseada em nuvem.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

O Active Directory Domain Services armazena as senhas na forma de uma representação do valor de hash da senha de usuário real. Um valor de hash é um resultado de uma função matemática unidirecional (o algoritmo de hash). Não há um método para reverter o resultado de uma função unidirecional para a versão de texto sem formatação de uma senha. Para sincronizar sua senha, a sincronização do Microsoft Entra Connect extrai seu hash de senha da instância do Active Directory local. Um processamento de segurança adicional é aplicado ao hash da senha antes de ser sincronizado com o serviço de autenticação do Microsoft Entra. As senhas são sincronizadas por usuário e em ordem cronológica.

O fluxo de dados real do processo de sincronização de hash de senha é semelhante à sincronização de dados de usuário. Contudo, as senhas são sincronizadas com mais frequência do que a janela de sincronização de diretório padrão para outros atributos. O processo de sincronização de hash senha é executado a cada 2 minutos. Não é possível modificar a frequência desse processo. Ao sincronizar uma senha, ela substituirá a senha de nuvem existente.

Na primeira vez que você habilitar o recurso de sincronização de hash de senha, ele executará uma sincronização inicial das senhas de todos os usuários no escopo. Você não pode definir explicitamente um subconjunto de senhas de usuário que deseja sincronizar durante a primeira sincronização. Depois que a sincronização inicial for concluída, você poderá configurar uma sincronização de hash de senha seletiva para sincronizações futuras.

Se houver vários conectores, será possível desabilitar a sincronização de hash de senha para alguns conectores, mas não para outros. Quando você altera uma senha local, a senha atualizada é sincronizada, geralmente em questão de minutos. O recurso de sincronização de hash de senha repete automaticamente tentativas de sincronização com falha. Se ocorrer um erro durante uma tentativa de sincronização de senha, um erro é registrado no seu visualizador de eventos.

Permitir a sincronização de hash de senha

Quando você instala o Microsoft Entra Connect usando as Configurações Expressas, a sincronização de hash de senha é habilitada automaticamente. Se você usar configurações personalizadas quando instalar o Microsoft Entra Connect, a sincronização de hash de senha estará disponível na página de entrada do usuário.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Sincronização de hash de senha e padrão de processamento de informações federais

Se o servidor estiver bloqueado de acordo com o padrão FIPS, o MD5 será desabilitado.

Para habilitar MD5 para a sincronização de hash de senha, execute as seguintes etapas:

  1. Vá para %programfiles%\Azure A D Sync\Bin.
  2. Abra miiserver.exe.config.
  3. Acesse o nó configuração/runtime no fim do arquivo.
  4. Adicione o seguinte nó: <enforceFIPSPolicy enabled="false"/>
  5. Salve suas alterações.

Para referência, esse snippet mostra como deve ser a aparência:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>

Usando PingFederate

Configure o PingFederate com o Microsoft Entra Connect para configurar a federação com o domínio que você quer conectar. Os seguintes pré-requisitos são necessários:

  • PingFederate 8.4 ou posterior.
  • Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).

Depois de optar por configurar a federação usando o PingFederate no AD Connect, você deverá verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Configure o PingFederate como o servidor de federação para cada domínio do Azure federado. Em seguida, selecione Exportar Configurações para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualiza a configuração e fornece a URL e o número da porta do servidor PingFederate para que o Microsoft Entra Connect possa verificar as configurações de metadados.