Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Karma ortamlar için Microsoft Entra kiracısı, Microsoft Entra Connect kullanılarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamıyla eşitlenecek şekilde yapılandırılabilir. Varsayılan olarak, Microsoft Entra Connect, Microsoft Entra Domain Services için gereken eski NT LAN Manager (NTLM) ve Kerberos parola karmalarını eşitlemez.
Etki Alanı Hizmetleri'ni şirket içi AD DS ortamından eşitlenen hesaplarla kullanmak için, MICROSOFT Entra Connect'i NTLM ve Kerberos kimlik doğrulaması için gereken parola karmalarını eşitlenecek şekilde yapılandırmanız gerekir. Microsoft Entra Connect yapılandırıldıktan sonra, şirket içi bir hesap oluşturma veya parola değiştirme olayı da eski parola karmalarını Microsoft Entra ID ile eşitler.
Şirket içi AD DS ortamı olmayan yalnızca bulut hesaplarını kullanıyorsanız bu adımları gerçekleştirmeniz gerekmez.
Bu öğreticide şunları öğreneceksiniz:
- Eski NTLM ve Kerberos parola karmaları neden gereklidir?
- Microsoft Entra Connect için eski parola karması eşitlemesini yapılandırma
Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun.
Önkoşullar
Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ihtiyacınız vardır:
- Etkin bir Azure aboneliği.
- Azure aboneliğiniz yoksa bir hesap oluşturun.
- Microsoft Entra Connect kullanılarak şirket içi dizinle eşitlenen aboneliğinizle ilişkilendirilmiş bir Microsoft Entra kiracısı.
- Gerekirse bir Microsoft Entra kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
- Gerekirse , parola karması eşitlemesi için Microsoft Entra Connect'i etkinleştirin.
- Microsoft Entra kiracınızda Microsoft Entra Domain Services tarafından yönetilen ve yapılandırılan bir etki alanı etkinleştirilmiştir.
- Gerekirse, Microsoft Entra Domain Services tarafından yönetilen bir etki alanı oluşturun ve yapılandırın.
Microsoft Entra Connect kullanarak parola karması eşitleme
Microsoft Entra Connect, şirket içi AD DS ortamındaki kullanıcı hesapları ve gruplar gibi nesneleri Microsoft Entra kiracısına eşitlemek için kullanılır. İşlemin bir parçası olarak, parola karması eşitlemesi hesapların şirket içi AD DS ortamında ve Microsoft Entra Id'de aynı parolayı kullanmasını sağlar.
Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için, Etki Alanı Hizmetleri'nin NTLM ve Kerberos kimlik doğrulamasına uygun bir biçimde parola karmalarına ihtiyacı vardır. Microsoft Entra Id, kiracınız için Etki Alanı Hizmetleri'ni etkinleştirene kadar parola karmalarını NTLM veya Kerberos kimlik doğrulaması için gereken biçimde depolamaz. Güvenlik nedeniyle Microsoft Entra Id, parola kimlik bilgilerini de düz metin biçiminde depolamaz. Bu nedenle Microsoft Entra Id, kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.
Microsoft Entra Connect, Etki Alanı Hizmetleri için gerekli NTLM veya Kerberos parola karmalarını eşitlemek üzere yapılandırılabilir. Parola karması eşitlemesi için Microsoft Entra Connect'i etkinleştirme adımlarını tamamladığınızdan emin olun. Microsoft Entra Connect'in mevcut bir örneğine sahipseniz, NTLM ve Kerberos için eski parola karmalarını eşitleyebilmek için en son sürüme indirin ve güncelleştirin . Bu işlevsellik, Microsoft Entra Connect'in erken sürümlerinde veya eski DirSync aracıyla kullanılamaz. Microsoft Entra Connect sürüm 1.1.614.0 veya üzeri gereklidir.
Önemli
Microsoft Entra Connect yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Yeniden Microsoft Entra Kimliği'ne eşitlemek için Etki Alanı Hizmetleri tarafından yönetilen bir etki alanına Microsoft Entra Connect'in yüklenmesi desteklenmez.
Parola hash'lerinin eşitlenmesini etkinleştir
Microsoft Entra Connect yüklü ve Microsoft Entra ID ile eşitlenecek şekilde yapılandırılmışken, şimdi NTLM ve Kerberos için eski parola karması eşitlemesini yapılandırın. PowerShell betiği, gerekli ayarları yapılandırmak ve ardından Microsoft Entra Id ile tam parola eşitlemesi başlatmak için kullanılır. Microsoft Entra Connect parola karması eşitleme işlemi tamamlandığında, kullanıcılar eski NTLM veya Kerberos parola karmalarını kullanan Etki Alanı Hizmetleri aracılığıyla uygulamalarda oturum açabilir.
Microsoft Entra Connect'in yüklü olduğu bilgisayarda, Başlat menüsünden Microsoft Entra Connect > Eşitleme Hizmeti'ni açın.
Bağlayıcılar sekmesini seçin. Şirket içi AD DS ortamı ile Microsoft Entra Kimliği arasında eşitlemeyi kurmak için kullanılan bağlantı bilgileri listelenir.
Tür, Microsoft Entra bağlayıcısı için Windows Microsoft Entra Id (Microsoft) veya şirket içi AD DS bağlayıcısı için Active Directory Etki Alanı Hizmetleri'ni gösterir. Sonraki adımda PowerShell betiğinde kullanılacak bağlayıcı adlarını not edin.
Bu örnek ekran görüntüsünde aşağıdaki bağlayıcılar kullanılır:
- Microsoft Entra bağlayıcısının adı contoso.onmicrosoft.com - Microsoft Entra Id
- Şirket içi AD DS bağlayıcısının adı onprem.contoso.com
Aşağıdaki PowerShell betiğini kopyalayıp Microsoft Entra Connect'in yüklü olduğu bilgisayara yapıştırın. Komut dosyası, eski parola karmalarını içeren tam parola eşitlemesini tetikler.
$azureadConnectorve$adConnectordeğişkenlerini önceki adımdaki bağlayıcı adlarıyla güncelleştirin.Şirket içi hesap NTLM ve Kerberos parola karmalarını Microsoft Entra Id ile eşitlemek için her AD ormanında bu betiği çalıştırın.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueHesap ve grup sayısı açısından dizininizin boyutuna bağlı olarak, eski parola karmalarının Microsoft Entra Id ile eşitlenmesi biraz zaman alabilir. Parolalar, Microsoft Entra ID ile senkronize edildikten sonra yönetilen etki alanına senkronize edilir.
Sonraki Adımlar
Bu öğreticide şunları öğrendiniz:
- Eski NTLM ve Kerberos parola karmaları neden gereklidir?
- Microsoft Entra Connect için eski parola karması eşitlemesini yapılandırma