Partilhar via


Tutorial: Habilitar a sincronização de senha nos Serviços de Domínio do Microsoft Entra para ambientes híbridos

Para ambientes híbridos, um locatário do Microsoft Entra pode ser configurado para sincronizar com um ambiente local dos Serviços de Domínio Ative Directory (AD DS) usando o Microsoft Entra Connect. Por padrão, o Microsoft Entra Connect não sincroniza hashes de senha NT LAN Manager (NTLM) e Kerberos herdados que são necessários para os Serviços de Domínio Microsoft Entra.

Para usar os Serviços de Domínio com contas sincronizadas a partir de um ambiente AD DS local, você precisa configurar o Microsoft Entra Connect para sincronizar os hashes de senha necessários para autenticação NTLM e Kerberos. Após a configuração do Microsoft Entra Connect, um evento de criação de conta no local ou de alteração de palavra-passe também sincronizará os hashes de palavras-passe legados com o Microsoft Entra ID.

Você não precisará executar essas etapas se usar contas somente na nuvem sem ambiente AD DS local.

Neste tutorial, você aprende:

  • Por que motivo são necessários os hashes de palavras-passe NTLM e Kerberos?
  • Como configurar a sincronização de hash de senha herdada para o Microsoft Entra Connect

Se você não tiver uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos:

Sincronização de hash de senha usando o Microsoft Entra Connect

O Microsoft Entra Connect é usado para sincronizar objetos como contas de usuário e grupos de um ambiente AD DS local em um locatário do Microsoft Entra. Como parte do processo, a sincronização de hash de senha permite que as contas usem a mesma senha no ambiente local do AD DS e na ID do Microsoft Entra.

Para autenticar usuários no domínio gerenciado, os Serviços de Domínio precisam de hashes de senha em um formato adequado para autenticação NTLM e Kerberos. O Microsoft Entra ID não armazena hashes de senha no formato necessário para autenticação NTLM ou Kerberos até que você habilite os Serviços de Domínio para seu locatário. Por motivos de segurança, o Microsoft Entra ID também não armazena credenciais de senha em formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente esses hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

O Microsoft Entra Connect pode ser configurado para sincronizar os hashes de senha NTLM ou Kerberos necessários para os Serviços de Domínio. Certifique-se de ter concluído as etapas para habilitar o Microsoft Entra Connect para sincronização de hash de senha. Se você tinha uma instância existente do Microsoft Entra Connect, baixe e atualize para a versão mais recente para garantir que você possa sincronizar os hashes de senha herdados para NTLM e Kerberos. Essa funcionalidade não está disponível nas versões anteriores do Microsoft Entra Connect ou com a ferramenta DirSync herdada. É necessário o Microsoft Entra Connect versão 1.1.614.0 ou posterior.

Importante

O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes AD DS locais. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado pelos Serviços de Domínio para sincronizar objetos de volta ao ID do Microsoft Entra.

Ativar a sincronização dos hashes de palavras-passe

Com o Microsoft Entra Connect instalado e configurado para sincronizar com o Microsoft Entra ID, agora configure a sincronização de hash de senha herdada para NTLM e Kerberos. Um script do PowerShell é usado para definir as configurações necessárias e, em seguida, iniciar uma sincronização de senha completa com o Microsoft Entra ID. Quando esse processo de sincronização de hash de senha do Microsoft Entra Connect estiver concluído, os usuários poderão entrar em aplicativos por meio dos Serviços de Domínio que usam hashes de senha NTLM ou Kerberos herdados.

  1. No computador com o Microsoft Entra Connect instalado, no menu Iniciar, abra o Serviço de Sincronização do Microsoft Entra Connect>.

  2. Selecione a guia Conectores . As informações de conexão usadas para estabelecer a sincronização entre o ambiente do AD DS local e a ID do Microsoft Entra são listadas.

    O Tipo indica o Windows Microsoft Entra ID (Microsoft) para o conector Microsoft Entra ou os Serviços de Domínio Ative Directory para o conector AD DS local. Anote os nomes dos conectores a serem usados no script do PowerShell na próxima etapa.

    List the connector names in Sync Service Manager

    Neste exemplo de captura de tela, os seguintes conectores são usados:

    • O conector do Microsoft Entra é chamado contoso.onmicrosoft.com - ID do Microsoft Entra
    • O conector AD DS local é denominado onprem.contoso.com
  3. Copie e cole o seguinte script do PowerShell no computador com o Microsoft Entra Connect instalado. O script aciona uma sincronização completa das palavras-passe, o que inclui os hashes de palavras-passe legados. Atualize as $azureadConnector variáveis e $adConnector com os nomes dos conectores da etapa anterior.

    Execute esse script em cada floresta do AD para sincronizar hashes de senha NTLM e Kerberos da conta local com o ID do Microsoft Entra.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Dependendo do tamanho do seu diretório em termos de número de contas e grupos, a sincronização dos hashes de senha herdados com o ID do Microsoft Entra pode levar algum tempo. As senhas são então sincronizadas com o domínio gerenciado depois de sincronizadas com o Microsoft Entra ID.

Próximos passos

Neste tutorial, você aprendeu:

  • Por que motivo são necessários os hashes de palavras-passe NTLM e Kerberos?
  • Como configurar a sincronização de hash de senha herdada para o Microsoft Entra Connect