Öğretici: Karma ortamlar için Azure Active Directory Domain Services'da parola eşitlemeyi etkinleştirme

Karma ortamlar için Azure Active Directory (Azure AD) kiracısı, Azure AD Connect kullanılarak şirket içi Active Directory Etki Alanı Hizmetleri (AD DS) ortamıyla eşitlenecek şekilde yapılandırılabilir. Varsayılan olarak Azure AD Connect, Azure Active Directory Domain Services (Azure AD DS) için gereken eski NT LAN Yöneticisi (NTLM) ve Kerberos parola karmalarını eşitlemez.

Azure AD DS'yi şirket içi AD DS ortamından eşitlenen hesaplarla kullanmak için, NTLM ve Kerberos kimlik doğrulaması için gereken parola karmalarını eşitlemek üzere Azure AD Connect'i yapılandırmanız gerekir. Azure AD Connect yapılandırıldıktan sonra, şirket içi bir hesap oluşturma veya parola değiştirme olayı da eski parola karmalarını Azure AD ile eşitler.

Şirket içi AD DS ortamı olmayan yalnızca bulut hesaplarını kullanıyorsanız veya bir kaynak ormanı kullanıyorsanız bu adımları gerçekleştirmeniz gerekmez. Kaynak ormanı kullanan yönetilen etki alanları için şirket içi parola karmaları hiçbir zaman eşitlenmez. Şirket içi hesaplarda kimlik doğrulaması, orman güvenlerini kendi AD DS etki alanı denetleyicilerinize geri kullanır.

Bu öğreticide şunları öğreneceksiniz:

• Eski NTLM ve Kerberos parola karmalarının neden gerekli olduğu
• Azure AD Connect için eski parola karması eşitlemesini yapılandırma

Azure aboneliğiniz yoksa başlamadan önce bir hesap oluşturun .

Önkoşullar

Bu öğreticiyi tamamlamak için aşağıdaki kaynaklara ihtiyacınız vardır:

• Etkin bir Azure aboneliği.
  • Azure aboneliğiniz yoksa bir hesap oluşturun.
• aboneliğinizle ilişkilendirilmiş ve Azure AD Connect kullanılarak şirket içi dizinle eşitlenen bir Azure Active Directory kiracısı.
  • Gerekirse bir Azure Active Directory kiracısı oluşturun veya bir Azure aboneliğini hesabınızla ilişkilendirin.
  • Gerekirse parola karması eşitlemesi için Azure AD Bağlan'ı etkinleştirin.
• Azure AD kiracınızda etkinleştirilmiş ve yapılandırılmış bir Azure Active Directory Domain Services yönetilen etki alanı.
  • Gerekirse Azure Active Directory Domain Services yönetilen etki alanı oluşturun ve yapılandırın.

Azure AD Connect kullanarak parola karması eşitleme

Azure AD Connect, şirket içi AD DS ortamındaki kullanıcı hesapları ve gruplar gibi nesneleri Azure AD bir kiracıya eşitlemek için kullanılır. İşlemin bir parçası olarak parola karması eşitlemesi, hesapların şirket içi AD DS ortamında aynı parolayı kullanmasına ve Azure AD olanak tanır.

Yönetilen etki alanındaki kullanıcıların kimliğini doğrulamak için, Azure AD DS'nin NTLM ve Kerberos kimlik doğrulaması için uygun bir biçimde parola karmalarına ihtiyacı vardır. Azure AD, kiracınız için Azure AD DS'yi etkinleştirene kadar parola karmalarını NTLM veya Kerberos kimlik doğrulaması için gereken biçimde depolamaz. Güvenlik nedeniyle Azure AD parola kimlik bilgilerini de düz metin biçiminde depolamaz. Bu nedenle, Azure AD kullanıcıların mevcut kimlik bilgilerine göre bu NTLM veya Kerberos parola karmalarını otomatik olarak oluşturamaz.

Azure AD Connect, Azure AD DS için gerekli NTLM veya Kerberos parola karmalarını eşitlemek üzere yapılandırılabilir. Parola karması eşitlemesi için Azure AD Connect'i etkinleştirme adımlarını tamamladığınızdan emin olun. Azure AD Connect'in mevcut bir örneğine sahipseniz, NTLM ve Kerberos için eski parola karmalarını eşitleyebilmeniz için en son sürüme indirin ve güncelleştirin. Bu işlev, Azure AD Connect'in erken sürümlerinde veya eski DirSync aracıyla kullanılamaz. Azure AD Connect sürüm 1.1.614.0 veya üzeri gereklidir.

Önemli

Azure AD Connect yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri yeniden Azure AD eşitlemek için Azure AD DS tarafından yönetilen bir etki alanına Azure AD Connect'in yüklenmesi desteklenmez.

Parola karmalarının eşitlenmesini etkinleştirme

Azure AD Connect yüklü ve Azure AD ile eşitlenecek şekilde yapılandırıldığında, şimdi NTLM ve Kerberos için eski parola karması eşitlemesini yapılandırın. PowerShell betiği, gerekli ayarları yapılandırmak ve ardından Azure AD için tam parola eşitlemesi başlatmak için kullanılır. Bu Azure AD Parola karması eşitleme işlemi tamamlandığında, kullanıcılar eski NTLM veya Kerberos parola karmalarını kullanan Azure AD DS aracılığıyla uygulamalarda oturum açabilir.

1. Azure AD Connect'in yüklü olduğu bilgisayarda, Başlat menüsünden Connect > Eşitleme Hizmeti Azure AD açın.

2. Bağlayıcılar sekmesini seçin. Şirket içi AD DS ortamı ile Azure AD arasında eşitlemeyi kurmak için kullanılan bağlantı bilgileri listelenir.

   Tür, Azure AD bağlayıcısı için Windows Azure Active Directory (Microsoft) veya şirket içi AD DS bağlayıcısı için Active Directory Domain Services gösterir. Sonraki adımda PowerShell betiğinde kullanılacak bağlayıcı adlarını not edin.

   

   Bu örnek ekran görüntüsünde aşağıdaki bağlayıcılar kullanılmıştır:

   • Azure AD bağlayıcısı contoso.onmicrosoft.com - AAD olarak adlandırılır
   • Şirket içi AD DS bağlayıcısının adı onprem.contoso.com

3. Aşağıdaki PowerShell betiğini kopyalayıp Azure AD Connect'in yüklü olduğu bilgisayara yapıştırın. Betik, eski parola karmalarını içeren tam parola eşitlemesini tetikler. $azureadConnector ve $adConnector değişkenlerini önceki adımdaki bağlayıcı adlarıyla güncelleştirin.

   Şirket içi hesap NTLM ve Kerberos parola karmalarını Azure AD eşitlemek için bu betiği her AD ormanında çalıştırın.

   # Define the Azure AD Connect connector names and import the required PowerShell module
   $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
   $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
   
   Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
   Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
   
   # Create a new ForceFullPasswordSync configuration parameter object then
   # update the existing connector with this new configuration
   $c = Get-ADSyncConnector -Name $adConnector
   $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
   $p.Value = 1
   $c.GlobalParameters.Remove($p.Name)
   $c.GlobalParameters.Add($p)
   $c = Add-ADSyncConnector -Connector $c
   
   # Disable and re-enable Azure AD Connect to force a full password synchronization
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
   Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
   

   Hesap ve grup sayısı açısından dizininizin boyutuna bağlı olarak, eski parola karmalarının Azure AD eşitlenmesi biraz zaman alabilir. Parolalar, Azure AD eşitlendikten sonra yönetilen etki alanıyla eşitlenir.

Sonraki adımlar

Bu öğreticide şunları öğrendiniz:

• Eski NTLM ve Kerberos parola karmalarının neden gerekli olduğu
• Azure AD Connect için eski parola karması eşitlemesini yapılandırma

Azure AD Domain Services yönetilen etki alanında eşitlemenin nasıl çalıştığını öğrenin