Руководство. Включение синхронизации паролей в доменных службах Microsoft Entra для гибридных сред

Для гибридных сред клиент Microsoft Entra можно настроить синхронизацию с средой доменных служб локальная служба Active Directory (AD DS) с помощью Microsoft Entra Подключение. По умолчанию Microsoft Entra Подключение не синхронизирует устаревшие хэши паролей NT LAN Manager (NTLM) и Kerberos, необходимые для доменных служб Microsoft Entra.

Чтобы использовать доменные службы с учетными записями, синхронизированными из локальной среды AD DS, необходимо настроить Microsoft Entra Подключение для синхронизации хэшей паролей, необходимых для проверки подлинности NTLM и Kerberos. После настройки Microsoft Entra Connect событие создания локальной учетной записи или изменения пароля также синхронизирует устаревшие хэши паролей с Microsoft Entra ID.

Если вы используете только облачные учетные записи без локальной среды AD DS, вам не нужно выполнять эти действия.

Из этого руководства вы узнаете:

• Зачем нужны устаревшие хэши паролей NTLM и Kerberos
• Настройка синхронизации хэша устаревших паролей для Microsoft Entra Подключение

Если у вас еще нет подписки Azure, создайте учетную запись, прежде чем начинать работу.

Необходимые компоненты

Для работы с этим учебником требуются следующие ресурсы:

• Активная подписка Azure.
  • Если у вас еще нет подписки Azure, создайте учетную запись.
• Клиент Microsoft Entra, связанный с подпиской, синхронизированной с локальным каталогом с помощью Microsoft Entra Подключение.
  • При необходимости создайте клиент Microsoft Entra или свяжите подписку Azure с вашей учетной записью.
  • При необходимости включите microsoft Entra Подключение для синхронизации хэша паролей.
• Управляемый домен доменных служб Microsoft Entra включен и настроен в клиенте Microsoft Entra.
  • При необходимости создайте и настройте управляемый домен доменных служб Microsoft Entra.

Синхронизация хэша паролей с помощью Microsoft Entra Подключение

Microsoft Entra Подключение используется для синхронизации таких объектов, как учетные записи пользователей и группы из локальной среды AD DS в клиент Microsoft Entra. В процессе синхронизация хэша паролей позволяет учетным записям использовать тот же пароль в локальной среде AD DS и идентификаторе Microsoft Entra.

Для проверки подлинности пользователей в управляемом домене доменные службы должны иметь хэши паролей в формате, подходящем для проверки подлинности NTLM и Kerberos. Идентификатор Microsoft Entra не хранит хэши паролей в формате, необходимом для проверки подлинности NTLM или Kerberos, пока не включите доменные службы для вашего клиента. По соображениям безопасности идентификатор Microsoft Entra также не сохраняет учетные данные паролей в виде чистотекстового текста. Таким образом, идентификатор Microsoft Entra не может автоматически создавать эти хэши паролей NTLM или Kerberos на основе существующих учетных данных пользователей.

Microsoft Entra Подключение можно настроить для синхронизации необходимых хэшей паролей NTLM или Kerberos для доменных служб. Убедитесь, что вы выполнили действия, чтобы включить Подключение Microsoft Entra для синхронизации хэша паролей. Если у вас есть существующий экземпляр Microsoft Entra Подключение, скачайте и обновите до последней версии, чтобы убедиться, что можно синхронизировать устаревшие хэши паролей для NTLM и Kerberos. Эта функция недоступна в ранних выпусках Microsoft Entra Подключение или с помощью устаревшего средства DirSync. Требуется microsoft Entra Подключение версии 1.1.614.0 или более поздней.

Важно!

Microsoft Entra Подключение следует установить и настроить только для синхронизации с локальными средами AD DS. Не поддерживается установка Microsoft Entra Подключение в управляемом домене доменных служб для синхронизации объектов с идентификатором Microsoft Entra.

Включение синхронизации хэшей паролей

С помощью microsoft Entra Подключение установлен и настроен для синхронизации с идентификатором Microsoft Entra, теперь настройте устаревшую синхронизацию хэша паролей для NTLM и Kerberos. Скрипт PowerShell используется для настройки необходимых параметров и запуска полной синхронизации паролей с идентификатором Microsoft Entra. После завершения процесса синхронизации хэша хэша паролей Microsoft Entra Подключение пользователи могут войти в приложения через доменные службы, использующие устаревшие хэши паролей NTLM или Kerberos.

1. На компьютере с меню установленной Подключение Microsoft Entra откройте службу синхронизации Microsoft Entra Подключение>.

2. Перейдите на вкладку Подключение or. Указаны сведения о подключении, используемые для установления синхронизации между локальной средой AD DS и идентификатором Microsoft Entra.

   Тип указывает идентификатор Microsoft Entra (Майкрософт) для соединителя Microsoft Entra или службы домен Active Directory для локального соединителя AD DS. Запишите имена соединителей, чтобы использовать их в скрипте PowerShell на следующем шаге.

   

   На снимке экрана в этом примере используются следующие соединители:

   • Соединитель Microsoft Entra называется contoso.onmicrosoft.com — идентификатор Microsoft Entra
   • локальный соединитель AD DS называется onprem.contoso.com;

3. Скопируйте и вставьте следующий скрипт PowerShell на компьютер с установленным Подключение Microsoft Entra. Скрипт запускает полную синхронизацию паролей, включающую устаревшие хэши паролей. Обновите переменные $azureadConnector и $adConnector, указав имена соединителей из предыдущего шага.

   Запустите этот скрипт в каждом лесу AD, чтобы синхронизировать хэши паролей NTLM и Kerberos с идентификатором Microsoft Entra.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   В зависимости от размера каталога с точки зрения количества учетных записей и групп синхронизация устаревших хэшей паролей с идентификатором Microsoft Entra может занять некоторое время. Затем пароли синхронизируются с управляемым доменом после синхронизации с идентификатором Microsoft Entra.

Следующие шаги

Из этого руководства вы узнали следующее:

• Зачем нужны устаревшие хэши паролей NTLM и Kerberos
• Настройка синхронизации хэша устаревших паролей для Microsoft Entra Подключение

Узнайте, как работает синхронизация в управляемом домене доменных служб Microsoft Entra