Microsoft Entra Bağlan Sync ile parola karması eşitlemesi uygulama

  • Makale

Bu makalede, kullanıcı parolalarınızı bir şirket içi Active Directory örneğinden bulut tabanlı bir Microsoft Entra örneğine eşitlemek için ihtiyacınız olan bilgiler sağlanır.

Parola karması eşitleme nasıl çalışır?

Active Directory etki alanı hizmeti, parolaları gerçek kullanıcı parolasının karma değer gösterimi biçiminde depolar. Karma değer, tek yönlü bir matematiksel işlevin ( karma algoritması) sonucudur. Tek yönlü işlevin sonucunu, parolanın düz metin sürümüne döndürmek mümkün değildir.

Microsoft Entra Bağlan Sync, parolanızı eşitlemek için şirket içi Active Directory örneğinden parola karması ayıklar. Ek güvenlik işleme, Microsoft Entra kimlik doğrulama hizmetiyle eşitlenmeden önce parola karması için uygulanır. Parolalar kullanıcı başına ve kronolojik sırayla eşitlenir.

Parola karması eşitleme işleminin gerçek veri akışı, kullanıcı verilerinin eşitlenmesine benzer. Ancak, parolalar diğer öznitelikler için standart dizin eşitleme penceresinden daha sık eşitlenir. Parola karması eşitleme işlemi 2 dakikada bir çalıştırılır. Bu işlemin sıklığını değiştiremezsiniz. Bir parolayı eşitlediğinizde, mevcut bulut parolasının üzerine yazılır.

Parola karması eşitleme özelliğini ilk kez etkinleştirdiğinizde, tüm kapsam içi kullanıcıların parolalarının ilk eşitlemesini gerçekleştirir. Aşamalı Dağıtım , etki alanlarınızı kesmeden önce Microsoft Entra çok faktörlü kimlik doğrulaması, Koşullu Erişim, Kimlik Koruması gibi bulut kimlik doğrulaması özelliklerine sahip kullanıcı gruplarını seçerek test etmenizi sağlar. Eşitlemek istediğiniz kullanıcı parolalarının bir alt kümesini açıkça tanımlayamazsınız. Ancak, birden çok bağlayıcı varsa, Bazı bağlayıcılar için parola karması eşitlemesini devre dışı bırakmak mümkündür, ancak bazıları Set-AD Eşitleme AADPasswordSyncConfiguration cmdlet'ini kullanarak devre dışı bırakılamaz.

Şirket içi parolayı değiştirdiğinizde, güncelleştirilmiş parola çoğunlukla birkaç dakika içinde eşitlenir. Parola karması eşitleme özelliği başarısız eşitleme girişimlerini otomatik olarak yeniden dener. Parola eşitleme girişimi sırasında bir hata oluşursa, olay görüntüleyicinize bir hata kaydedilir.

Parolanın eşitlenmesi, oturum açmış olan kullanıcıyı etkilemez. Geçerli bulut hizmeti oturumunuz, oturumunuz açıkken bir bulut hizmetinde gerçekleşen eşitlenmiş parola değişikliğinden hemen etkilenmez. Ancak bulut hizmeti yeniden kimlik doğrulamanızı gerektirdiğinde yeni parolanızı sağlamanız gerekir.

Bir kullanıcının, şirket ağında oturum açıp açmadığına bakılmaksızın Microsoft Entra Id'de kimlik doğrulaması yapmak için şirket kimlik bilgilerini ikinci kez girmesi gerekir. Ancak kullanıcı oturum açma sırasında Oturumumu açık bırak (KMSI) onay kutusunu seçerse bu düzen simge durumuna küçültülebilir. Bu seçim, kimlik doğrulamasını 180 gün boyunca atlayan bir oturum tanımlama bilgisi ayarlar. KMSI davranışı Microsoft Entra yöneticisi tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Buna ek olarak, Microsoft Entra join veya Microsoft Entra karma katılımını yapılandırarak parola istemlerini azaltabilirsiniz. Bu, kullanıcıları şirket ağınıza bağlı şirket cihazlarında olduklarında otomatik olarak oturum açar.

Ek avantajlar

  • Genellikle, parola karması eşitlemenin uygulanması federasyon hizmetinden daha kolaydır. Ek sunucu gerektirmez ve kullanıcıların kimliğini doğrulamak için yüksek oranda kullanılabilir bir federasyon hizmetine bağımlılığı ortadan kaldırır.
  • Parola karması eşitlemesi federasyona ek olarak da etkinleştirilebilir. Federasyon hizmetinizde kesinti yaşanırsa geri dönüş olarak kullanılabilir.

Not

Parola eşitleme yalnızca Active Directory'deki nesne türü kullanıcısı için desteklenir. iNetOrgPerson nesne türü için desteklenmez.

Parola karması eşitlemesinin nasıl çalıştığının ayrıntılı açıklaması

Aşağıdaki bölümde, Active Directory ile Microsoft Entra Id arasında parola karması eşitlemesinin nasıl çalıştığı ayrıntılı olarak açıklanmaktadır.

Ayrıntılı parola akışı

  1. AD Bağlan sunucusundaki parola karması eşitleme aracısı iki dakikada bir DC'den depolanan parola karmaları (unicodePwd özniteliği) ister. Bu istek, DC'ler arasında verileri eşitlemek için kullanılan standart MS-DRSR çoğaltma protokolü aracılığıyla yapılır. Parola karmalarını almak için hizmet hesabının Dizin Değişikliklerini Çoğalt ve Dizin Değişikliklerini Çoğalt Tüm AD izinlerine (yüklemede varsayılan olarak verilir) sahip olması gerekir.
  2. Göndermeden önce DC, RPC oturum anahtarının MD5 karması olan bir anahtar ve bir tuz kullanarak MD4 parola karması şifreler. Ardından sonucu RPC üzerinden parola karması eşitleme aracısına gönderir. DC ayrıca dc çoğaltma protokol kullanarak eşitleme aracısına tuz geçirir, böylece aracı zarfın şifresini çözebilir.
  3. Parola karması eşitleme aracısı şifrelenmiş zarfa sahip olduktan sonra, alınan verilerin şifresini özgün MD4 biçimine geri döndürmek için bir anahtar oluşturmak için MD5CryptoServiceProvider ve tuz kullanır. Parola karması eşitleme aracısı hiçbir zaman düz metin parolasına erişemez. Parola karması eşitleme aracısının MD5 kullanımı, dc ile çoğaltma protokolü uyumluluğuna yöneliktir ve yalnızca DC ile parola karması eşitleme aracısı arasında şirket içinde kullanılır.
  4. Parola karması eşitleme aracısı, önce karmayı 32 baytlık onaltılık dizeye dönüştürerek ve ardından utf-16 kodlaması ile bu dizeyi ikiliye dönüştürerek 16 baytlık ikili parola karması 64 bayt olarak genişletir.
  5. Parola karması eşitleme aracısı, özgün karmayı daha fazla korumak için 64 baytlık ikili dosyaya 10 bayt uzunluğunda tuzdan oluşan kullanıcı başına bir tuz ekler.
  6. Parola karması eşitleme aracısı daha sonra MD4 karması ile kullanıcı başına tuzu birleştirir ve PBKDF2 işlevine girer. HMAC-SHA256 anahtarlı karma algoritmasının 1000 yinelemesi kullanılır. Ek ayrıntılar için Microsoft Entra Teknik İncelemesi'ne bakın.
  7. Parola karması eşitleme aracısı, sonuçta elde edilen 32 baytlık karmayı alır, hem kullanıcı başına tuzu hem de SHA256 yineleme sayısını birleştirir (Microsoft Entra Id tarafından kullanılmak üzere), ardından dizeyi Microsoft Entra Bağlan'dan TLS üzerinden Microsoft Entra Kimliği'ne iletir.
  8. Kullanıcı Microsoft Entra Id'de oturum açmayı denediğinde ve parolasını girdiğinde, parola aynı MD4+salt+PBKDF2+HMAC-SHA256 işlemiyle çalıştırılır. Sonuçta elde edilen karma, Microsoft Entra Kimliği'nde depolanan karmayla eşleşiyorsa, kullanıcı doğru parolayı girmiştir ve kimliği doğrulanmıştır.

Not

Özgün MD4 karması Microsoft Entra Id'ye iletilmez. Bunun yerine, özgün MD4 karması SHA256 karması iletilir. Sonuç olarak, Microsoft Entra Id'de depolanan karma elde edilirse, şirket içi karma geçişi saldırısında kullanılamaz.

Not

Parola karması değeri SQL'de ASLA depolanmaz. Bu değerler, Microsoft Entra Id'ye gönderilmeden önce yalnızca bellekte işlenir.

Güvenlik konuları

Parolalar eşitlenirken, parolanızın düz metin sürümü parola karması eşitleme özelliğine, Microsoft Entra Kimliği'ne veya ilişkili hizmetlerden herhangi birine gösterilmez.

Kullanıcı kimlik doğrulaması, kuruluşun kendi Active Directory örneğine karşı değil Microsoft Entra'ya karşı gerçekleştirilir. Microsoft Entra Id'de depolanan SHA256 parola verileri (özgün MD4 karması) Active Directory'de depolanandan daha güvenlidir. Ayrıca, bu SHA256 karmasının şifresi çözülemediğinden, kuruluşun Active Directory ortamına geri getirilemez ve karma geçiş saldırısında geçerli bir kullanıcı parolası olarak sunulur.

Parola ilkesiyle ilgili dikkat edilmesi gerekenler

Parola karması eşitlemesini etkinleştirmeden etkilenen iki tür parola ilkesi vardır:

  • Parola karmaşıklığı ilkesi
  • Parola süre sonu ilkesi

Parola karmaşıklığı ilkesi

Parola karması eşitleme etkinleştirildiğinde, şirket içi Active Directory örneğinizdeki parola karmaşıklık ilkeleri eşitlenmiş kullanıcılar için buluttaki karmaşıklık ilkelerini geçersiz kılar. Microsoft Entra hizmetlerine erişmek için şirket içi Active Directory örneğinizdeki tüm geçerli parolaları kullanabilirsiniz.

Not

Doğrudan bulutta oluşturulan kullanıcıların parolaları, bulutta tanımlandığı gibi yine de parola ilkelerine tabidir.

Parola süre sonu ilkesi

Kullanıcı parola karması eşitleme kapsamındaysa, varsayılan olarak bulut hesabı parolası Hiçbir Zaman Sona Ermez olarak ayarlanır.

Şirket içi ortamınızda süresi dolan eşitlenmiş bir parola kullanarak bulut hizmetlerinizde oturum açmaya devam edebilirsiniz. Bulut parolanız, şirket içi ortamda parolayı bir sonraki değiştirişinizde güncelleştirilir.

CloudPasswordPolicyForPasswordSyncedUsersEnabled

Yalnızca Microsoft Entra tümleşik hizmetleriyle etkileşim kuran eşitlenmiş kullanıcılar varsa ve parola süre sonu ilkesiyle de uyumlu olması gerekiyorsa, CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliğini etkinleştirerek (kullanım dışı bırakılan MSOnline PowerShell modülünde EnforceCloudPasswordPolicyForPasswordSyncedUsers olarak adlandırılıyordu) Microsoft Entra parola süre sonu ilkenize uymaya zorlayabilirsiniz.

CloudPasswordPolicyForPasswordSyncedUsersEnabled devre dışı bırakıldığında (varsayılan ayardır), Microsoft Entra Bağlan eşitlenen kullanıcıların PasswordPolicies özniteliğini "DisablePasswordExpiration" olarak ayarlar. Bu, kullanıcının parolası her eşitlendiğinde gerçekleştirilir ve Microsoft Entra Id'ye söz konusu kullanıcının bulut parolası süre sonu ilkesini yoksaymasını emreder. Aşağıdaki komutla Microsoft Graph PowerShell modülünü kullanarak özniteliğin değerini de kontrol edebilirsiniz:

(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies

CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliğini etkinleştirmek için aşağıda gösterildiği gibi Graph PowerShell modülünü kullanarak aşağıdaki komutları çalıştırın:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features

Not

Önceki betiğin çalışması için MSGraph PowerShell modülünü yüklemeniz gerekir. Yetersiz ayrıcalıklarla ilgili hatalar alırsanız, bağlanırken aşağıdaki komutu kullanarak API kapsamını doğru onayladığınızdan emin olun Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

Etkinleştirildikten sonra, Microsoft Entra Id değeri PasswordPolicies özniteliğinden kaldırmak DisablePasswordExpiration için eşitlenen her kullanıcıya gitmez. Bunun yerine, DisablePasswordExpiration her kullanıcı için bir sonraki parola karması eşitlemesi sırasında, şirket içi AD'deki bir sonraki parola değişikliğinde bu değer PasswordPolicies'ten kaldırılır.

CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliği etkinleştirildikten sonra, yeni kullanıcılar PasswordPolicies değeri olmadan sağlanır.

İpucu

Parola karması eşitlemesini etkinleştirmeden önce CloudPasswordPolicyForPasswordSyncedUsersEnabled'ı etkinleştirmeniz önerilir, böylece parola karmalarının ilk eşitlemesi kullanıcılar için PasswordPolicies özniteliğine değer eklemezDisablePasswordExpiration.

Varsayılan Microsoft Entra parola ilkesi, kullanıcıların parolalarını 90 günde bir değiştirmelerini gerektirir. AD'deki ilkeniz de 90 günse, iki ilkenin eşleşmesi gerekir. Ancak, AD ilkesi 90 gün değilse, Update-MgDomain PowerShell komutunu kullanarak Microsoft Entra parola ilkesini eşleşecek şekilde güncelleştirebilirsiniz.

Microsoft Entra Id, kayıtlı etki alanı başına ayrı bir parola süre sonu ilkesini destekler.

Uyarı: Microsoft Entra Kimliği'nde süresi dolmayan parolalara sahip olması gereken eşitlenmiş hesaplar varsa, değeri Microsoft Entra Id'deki kullanıcı nesnesinin PasswordPolicies özniteliğine açıkça eklemeniz DisablePasswordExpiration gerekir. Aşağıdaki komutu çalıştırarak bunu yapabilirsiniz.

Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"

Not

PasswordPolicies değeri olarak ayarlanmış DisablePasswordExpirationkarma kullanıcılar için, bir parola değişikliği şirket içinde yürütüldükten sonra bu değere None geçer.

Not

Update-MgDomain PowerShell komutu federasyon etki alanlarında çalışmaz.

Not

Update-MgUser PowerShell komutu federasyon etki alanlarında çalışmaz.

Geçici parolalar ve "Sonraki Oturum Açmada Parola Değişikliğini Zorla" eşitleniyor

Özellikle yönetici parola sıfırlaması gerçekleştikten sonra, bir kullanıcıyı ilk oturum açma sırasında parolasını değiştirmeye zorlamak normaldir. Genellikle "geçici" parola ayarlama olarak bilinir ve Active Directory'deki (AD) bir kullanıcı nesnesinde "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" bayrağı denetlenerek tamamlanır.

Geçici parola işlevi, birden fazla kişinin bu kimlik bilgisi hakkında bilgi sahibi olduğu süreyi en aza indirmek için kimlik bilgilerinin sahiplik aktarımının ilk kullanımda tamamlanmasını sağlamaya yardımcı olur.

Eşitlenmiş kullanıcılar için Microsoft Entra Kimliği'nde geçici parolaları desteklemek için, Microsoft Entra Bağlan sunucunuzda aşağıdaki komutu çalıştırarak ForcePasswordChangeOnLogOn özelliğini etkinleştirebilirsiniz:

Set-ADSyncAADCompanyFeature -ForcePasswordChangeOnLogOn $true

Not

Bir kullanıcıyı bir sonraki oturum açmada parolasını değiştirmeye zorlamak için aynı anda parola değişikliği gerekir. Microsoft Entra Bağlan, parola değişikliğini zorla bayrağını kendi başına almayacaktır; parola karması eşitlemesi sırasında oluşan algılanan parola değişikliğine ek olarak sağlanır.

Kullanıcı Active Directory'de (AD) "Parolanın süresi hiç dolmaz" seçeneğine sahipse, parola değişikliğini zorla bayrağı Active Directory'de (AD) ayarlanmaz, bu nedenle kullanıcıdan bir sonraki oturum açma sırasında parolayı değiştirmesi istenmez.

Active Directory'de "Kullanıcı bir sonraki oturumda parolayı değiştirmelidir" bayrağıyla oluşturulan yeni bir kullanıcı, ForcePasswordChangeOnLogOn özelliğinin doğru veya yanlış olmasına bakılmadan, microsoft Entra ID'de her zaman "Sonraki oturum açmada parolayı değiştirmeye zorla" parola ilkesiyle sağlanır. Bu bir Microsoft Entra iç mantığıdır çünkü yeni kullanıcı parolasız sağlanırken ForcePasswordChangeOnLogOn özelliği yalnızca yönetici parola sıfırlama senaryolarını etkiler.

Özellik etkinleştirilmeden önce Active Directory'de bir kullanıcı "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" ile oluşturulduysa, kullanıcı oturum açarken bir hata alır. Bu sorunu düzeltmek için, Active Directory Kullanıcıları ve Bilgisayarları'da "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" alanını kaldırın ve yeniden denetleyin. Kullanıcı nesnesi değişiklikleri eşitledikten sonra, kullanıcı parolasını güncelleştirmek için Microsoft Entra Id'de beklenen istemi alır.

Dikkat

Bu özelliği yalnızca kiracıda SSPR ve Parola Geri Yazma etkinleştirildiğinde kullanmalısınız. Bu, bir kullanıcının parolasını SSPR aracılığıyla değiştirmesi durumunda Active Directory ile eşitlenmesine neden olur.

Hesap süre sonu

Kuruluşunuz kullanıcı hesabı yönetiminin bir parçası olarak accountExpires özniteliğini kullanıyorsa, bu öznitelik Microsoft Entra Id ile eşitlenmez. Sonuç olarak, parola karması eşitlemesi için yapılandırılmış bir ortamda süresi dolan bir Active Directory hesabı Microsoft Entra Id'de etkin olmaya devam eder. Süresi dolduktan sonra kullanıcıların AD hesaplarını devre dışı bırakmaya yönelik zamanlanmış bir PowerShell betiği kullanmanızı öneririz (Set-ADUser cmdlet'ini kullanın). Buna karşılık, bir AD hesabından süre sonunu kaldırma işlemi sırasında hesabın yeniden etkinleştirilmesi gerekir.

Eşitlenmiş parolaların üzerine yazma

Yönetici, PowerShell kullanarak (kullanıcı federasyon etki alanında olmadığı sürece) doğrudan Microsoft Entra ID'de parolanızı el ile sıfırlayabilir.

Bu durumda, yeni parola eşitlenmiş parolanızı geçersiz kılar ve bulutta tanımlanan tüm parola ilkeleri yeni parolaya uygulanır.

Şirket içi parolanızı yeniden değiştirirseniz, yeni parola buluta eşitlenir ve el ile güncelleştirilmiş parolayı geçersiz kılar.

Parola eşitlemesi, oturum açan Azure kullanıcısını etkilemez. Geçerli bulut hizmeti oturumunuz, bir bulut hizmetinde oturum açtığınızda gerçekleşen eşitlenmiş parola değişikliğinden hemen etkilenmez. KMSI bu farkın süresini uzatır. Bulut hizmeti yeniden kimlik doğrulamanızı gerektirdiğinde yeni parolanızı sağlamanız gerekir.

Microsoft Entra Domain Services için parola karması eşitleme işlemi

Kerberos, LDAP veya NTLM kullanması gereken uygulamalar ve hizmetler için eski kimlik doğrulaması sağlamak üzere Microsoft Entra Domain Services kullanıyorsanız, bazı ek işlemler parola karması eşitleme akışının bir parçasıdır. Microsoft Entra Bağlan, parola karmalarını Microsoft Entra Domain Services'da kullanılmak üzere Microsoft Entra Id ile eşitlemek için aşağıdaki ek işlemi kullanır:

Önemli

Microsoft Entra Bağlan yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Kimliği'ne eşitlemek için Microsoft Entra etki alanı hizmetleri tarafından yönetilen bir etki alanına Microsoft Entra Bağlan yüklenmesi desteklenmez.

Microsoft Entra Bağlan yalnızca Microsoft Entra kiracınız için Microsoft Entra Domain Services'i etkinleştirdiğinizde eski parola karmalarını eşitler. Aşağıdaki adımlar yalnızca şirket içi AD DS ortamını Microsoft Entra Kimliği ile eşitlemek için Microsoft Entra Bağlan kullanıyorsanız kullanılmaz.

Eski uygulamalarınız NTLM kimlik doğrulaması veya LDAP basit bağlamaları kullanmıyorsa, Microsoft Entra Domain Services için NTLM parola karması eşitlemesini devre dışı bırakmanızı öneririz. Daha fazla bilgi için bkz . Zayıf şifreleme paketlerini ve NTLM kimlik bilgisi karması eşitlemesini devre dışı bırakma.

  1. Microsoft Entra Bağlan, kiracının Microsoft Entra Domain Services örneği için ortak anahtarı alır.
  2. Kullanıcı parolasını değiştirdiğinde, şirket içi etki alanı denetleyicisi parola değişikliğinin (karmalar) sonucunu iki öznitelikte depolar:
    • NTLM parola karması için unicodePwd .
    • Kerberos parola karması için supplementalCredentials .
  3. Microsoft Entra Bağlan, dizin çoğaltma kanalı aracılığıyla parola değişikliklerini algılar (diğer etki alanı denetleyicilerine çoğaltılması gereken öznitelik değişiklikleri).
  4. Parolası değiştirilen her kullanıcı için Microsoft Entra Bağlan aşağıdaki adımları gerçekleştirir:
    • Rastgele bir AES 256 bit simetrik anahtar oluşturur.
    • şifrelemenin ilk turu için gereken rastgele bir başlatma vektörünün oluşturulmasını sağlar.
    • SupplementalCredentials özniteliklerinden Kerberos parola karmalarını ayıklar .
    • Microsoft Entra Domain Services güvenlik yapılandırması SyncNtlmPasswords ayarını denetler.
      • Bu ayar devre dışı bırakılırsa, rastgele, yüksek entropili bir NTLM karması oluşturur (kullanıcının parolasından farklıdır). Bu karma daha sonra supplementalCrendetials özniteliğinden alınan tam Kerberos parola karmalarıyla tek bir veri yapısında birleştirilir.
      • Etkinleştirilirse, unicodePwd özniteliğinin değerini supplementalCredentials özniteliğinden ayıklanan Kerberos parola karmalarıyla tek bir veri yapısında birleştirir.
    • AES simetrik anahtarını kullanarak tek veri yapısını şifreler.
    • Kiracının Microsoft Entra Domain Services ortak anahtarını kullanarak AES simetrik anahtarını şifreler.
  5. Microsoft Entra Bağlan şifrelenmiş AES simetrik anahtarını, parola karmalarını içeren şifrelenmiş veri yapısını ve başlatma vektörlerini Microsoft Entra ID'ye iletir.
  6. Microsoft Entra ID şifrelenmiş AES simetrik anahtarını, şifrelenmiş veri yapısını ve kullanıcı için başlatma vektörlerini depolar.
  7. Microsoft Entra ID şifrelenmiş AES simetrik anahtarını, şifrelenmiş veri yapısını ve bir iç eşitleme mekanizmasını kullanarak başlatma vektörlerini şifrelenmiş bir HTTP oturumu üzerinden Microsoft Entra Domain Services'e gönderir.
  8. Microsoft Entra Domain Services, kiracı örneğinin özel anahtarını Azure Key Vault'tan alır.
  9. Şifrelenmiş her veri kümesi için (tek bir kullanıcının parola değişikliğini temsil eden), Microsoft Entra Domain Services aşağıdaki adımları gerçekleştirir:
    • AES simetrik anahtarının şifresini çözmek için özel anahtarını kullanır.
    • Parola karmalarını içeren şifrelenmiş veri yapısının şifresini çözmek için başlatma vektörlü AES simetrik anahtarını kullanır.
    • Aldığı Kerberos parola karmalarını Microsoft Entra Domain Services etki alanı denetleyicisine yazar. Karmalar, Microsoft Entra Domain Services etki alanı denetleyicisinin ortak anahtarıyla şifrelenmiş olan kullanıcı nesnesinin supplementalCredentials özniteliğine kaydedilir.
    • Microsoft Entra Domain Services aldığı NTLM parola karması Microsoft Entra Domain Services etki alanı denetleyicisine yazar. Karma, kullanıcı nesnesinin Microsoft Entra Domain Services etki alanı denetleyicisinin ortak anahtarıyla şifrelenmiş unicodePwd özniteliğine kaydedilir.

Parola karması eşitlemeyi etkinleştirme

Önemli

AD FS'den (veya diğer federasyon teknolojilerinden) Parola Karması Eşitleme'ye geçiriyorsanız, Uygulamaları Microsoft Entra Id'ye geçirmeye yönelik kaynakları görüntüleyin.

Express Ayarlar seçeneğini kullanarak Microsoft Entra Bağlan yüklediğinizde, parola karması eşitlemesi otomatik olarak etkinleştirilir. Daha fazla bilgi için bkz. Hızlı ayarları kullanarak Microsoft Entra Bağlan kullanmaya başlama.

Microsoft Entra Bağlan yüklerken özel ayarlar kullanıyorsanız, kullanıcı oturum açma sayfasında parola karması eşitlemesi kullanılabilir. Daha fazla bilgi için bkz. Özel Microsoft Entra Bağlan yüklemesi.

Parola karmasını eşitlemeyi etkinleştirme

Parola karması eşitleme ve FIPS

Sunucunuz Federal Bilgi İşleme Standardı'na (FIPS) göre kilitlendiyse MD5 devre dışı bırakılır.

Parola karması eşitlemesi için MD5'i etkinleştirmek için aşağıdaki adımları gerçekleştirin:

  1. %programfiles%\Microsoft Azure AD Eşitleme\Bin konumuna gidin.
  2. miiserver.exe.config dosyasını açın.
  3. Dosyanın sonundaki yapılandırma/çalışma zamanı düğümüne gidin.
  4. Aşağıdaki düğümü ekleyin: <enforceFIPSPolicy enabled="false" />
  5. Değişikliklerinizi kaydedin.
  6. Değişikliklerin etkili olması için yeniden başlatın.

Başvuru için bu kod parçacığı şöyle görünmelidir:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false" />
        </runtime>
    </configuration>

Güvenlik ve FIPS hakkında bilgi için bkz . Microsoft Entra parola karması eşitleme, şifreleme ve FIPS uyumluluğu.

Parola karması eşitleme sorunlarını giderme

Parola karması eşitlemesi ile ilgili sorunlarınız varsa bkz . Parola karması eşitleme sorunlarını giderme.

Sonraki adımlar