Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, kullanıcı parolalarınızı bir şirket içi Active Directory örneğinden bulut tabanlı bir Microsoft Entra örneğine eşitlemek için ihtiyacınız olan bilgiler sağlanır.
Parola karması eşitleme nasıl çalışır?
Active Directory etki alanı hizmeti, parolaları gerçek kullanıcı parolasının karma değer gösterimi biçiminde depolar. Karma değer, tek yönlü bir matematiksel işlevin ( karma algoritması) sonucudur. Tek yönlü bir işlevin sonucunu parolanın düz metin sürümüne döndürmek için bir yöntem yoktur.
Microsoft Entra Connect Sync, parolanızı eşitlemek için yerel Active Directory örneğinden parola karmasını ayıklar. Parola karması, Microsoft Entra kimlik doğrulama hizmetiyle eşitlenmeden önce ek güvenlik işlemlerine tabi tutulur. Parolalar kullanıcı başına ve kronolojik sırayla eşitlenir.
Parola karması eşitleme işleminin gerçek veri akışı, kullanıcı verilerinin eşitlenmesine benzer. Ancak, parolalar diğer öznitelikler için standart dizin eşitleme penceresinden daha sık eşitlenir. Parola karması eşitleme işlemi 2 dakikada bir çalıştırılır. Bu işlemin sıklığını değiştiremezsiniz. Bir parolayı eşitlediğinizde, mevcut bulut parolasının yerine yazılır.
Parola karması eşitleme özelliğini ilk kez etkinleştirdiğinizde, tüm kapsam içi kullanıcıların parolalarının ilk eşitlemesini gerçekleştirir. Aşamalı Dağıtım, etki alanlarınızı kesmeden önce Microsoft Entra çok faktörlü kimlik doğrulaması, Koşullu Erişim, sızdırılan kimlik bilgileri, Kimlik İdaresi ve diğerleri için Microsoft Entra Kimlik Koruması gibi bulut kimlik doğrulaması özelliklerine sahip kullanıcı gruplarını seçmeli olarak test etmenizi sağlar. Eşitlemek istediğiniz kullanıcı parolalarının bir alt kümesini açıkça tanımlayamazsınız. Ancak, birden çok bağlayıcı varsa, bazı bağlayıcılar için parola karması eşitlemesini devre dışı bırakmak mümkündür, ancak diğerleri için devre dışı bırakmak Set-ADSyncAADPasswordSyncConfiguration cmdlet'ini kullanarak mümkün değildir.
Şirket içi parolayı değiştirdiğinizde, güncelleştirilmiş parola çoğunlukla birkaç dakika içinde eşitlenir. Parola karması eşitleme özelliği başarısız eşitleme girişimlerini otomatik olarak yeniden dener. Parola eşitleme girişimi sırasında bir hata oluşursa, olay görüntüleyicinize bir hata kaydedilir.
Parolanın eşitlenmesi, oturum açmış olan kullanıcıyı etkilemez. Geçerli bulut hizmeti oturumunuz, oturumunuz açıkken bir bulut hizmetinde gerçekleşen eşitlenmiş parola değişikliğinden hemen etkilenmez. Ancak bulut hizmeti yeniden kimlik doğrulamanızı gerektirdiğinde yeni parolanızı sağlamanız gerekir.
Bir kullanıcının, şirket ağında oturum açıp açmadığına bakılmaksızın Microsoft Entra Id'de kimlik doğrulaması yapmak için şirket kimlik bilgilerini ikinci kez girmesi gerekir. Ancak kullanıcı giriş sırasında Oturumumu açık bırak (KMSI) seçenek kutusunu seçerse bu kalıp azaltılabilir. Bu seçim, kimlik doğrulamasını 180 gün boyunca atlayan bir oturum tanımlama bilgisi belirler. KMSI davranışı Microsoft Entra yöneticisi tarafından etkinleştirilebilir veya devre dışı bırakılabilir. Buna ek olarak, Microsoft Entra join veya Microsoft Entra karma katılımını yapılandırarak parola istemlerini azaltabilirsiniz. Bu, kullanıcıları şirket ağınıza bağlı şirket cihazlarında olduklarında otomatik olarak oturum açar.
Diğer avantajlar
- Genellikle, parola karması eşitlemenin uygulanması federasyon hizmetinden daha kolaydır. Daha fazla sunucu gerektirmez ve kullanıcıların kimliğini doğrulamak için yüksek oranda kullanılabilir bir federasyon hizmetine bağımlılığı ortadan kaldırır.
- Parola karması eşitlemesi federasyona ek olarak da etkinleştirilebilir. Federasyon hizmetinizde kesinti yaşanırsa geri dönüş olarak kullanılabilir.
Not
Parola eşitleme yalnızca Active Directory'deki nesne türü kullanıcısı için desteklenir. iNetOrgPerson nesne türü için desteklenmez.
Parola karması eşitlemesinin nasıl çalıştığının ayrıntılı açıklaması
Aşağıdaki bölümde, Active Directory ile Microsoft Entra Id arasında parola karması eşitlemesinin nasıl çalıştığı ayrıntılı olarak açıklanmaktadır.
AD Connect sunucusundaki parola karması eşitleme aracısı iki dakikada bir DC'den depolanan parola karmaları (unicodePwd özniteliği) ister. Bu istek, DC'ler arasında verileri eşitlemek için kullanılan standart MS-DRSR çoğaltma protokolü aracılığıyla yapılır. AD DS Bağlayıcı hesabının, parola karmalarını almak için Dizin Değişikliklerini Çoğaltma ve Tüm Dizin Değişikliklerini Çoğaltma AD izinlerine (kurulumda varsayılan olarak verilir) sahip olması gerekir.
Göndermeden önce DC, MD4 parola karmasını, RPC oturum anahtarının MD5 karması olan bir anahtar ve bir tuzla şifreler. Ardından sonucu RPC üzerinden parola karması eşitleme aracısına gönderir. DC ayrıca DC çoğaltma protokolünü kullanarak bir eşitleme aracısına salt parametresini iletir, böylece aracı zarfın şifresini çözebilir.
Parola karması eşitleme aracısı şifrelenmiş zarfa sahip olduktan sonra, alınan verilerin şifresini orijinal MD4 formatına geri döndürmek için bir anahtar oluşturmak amacıyla MD5CryptoServiceProvider ve tuzu kullanır. Parola karması eşitleme aracısı hiçbir zaman düz metin parolasına erişemez. Parola karması eşitleme aracısının MD5 kullanımı, dc ile çoğaltma protokolü uyumluluğuna yöneliktir ve yalnızca DC ile parola karması eşitleme aracısı arasında şirket içinde kullanılır.
Parola karması eşitleme aracısı, önce karmayı 32 baytlık onaltılık dizeye dönüştürerek ve ardından utf-16 kodlaması ile bu dizeyi ikiliye dönüştürerek 16 baytlık ikili parola karması 64 bayt olarak genişletir.
Parola karması eşitleme aracısı, özgün karmayı daha fazla korumak için 64 baytlık ikili dosyaya 10 bayt uzunluğunda tuzdan oluşan kullanıcı başına bir tuz ekler.
Parola karması eşitleme aracı daha sonra MD4 karması ile kullanıcı başına tuzu birleştirir ve bunu PBKDF2 işlevine girer. HMAC-SHA256 anahtarlı karma algoritmasının 1.000 yinelemesi kullanılır. Daha fazla ayrıntı için Microsoft Entra Teknik İncelemesi'ne bakın.
Parola karması eşitleme aracısı, elde edilen 32 baytlık karmayı alır, hem kullanıcı başına tuzu hem de SHA256 yineleme sayısını birleştirir (Microsoft Entra ID tarafından kullanılmak üzere), ardından dizeyi Microsoft Entra Connect'ten TLS üzerinden Microsoft Entra Id'ye iletir.
Kullanıcı Microsoft Entra Id'de oturum açmayı denediğinde ve parolasını girdiğinde, parola aynı MD4+salt+PBKDF2+HMAC-SHA256 işlemiyle çalıştırılır. Sonuçta elde edilen karma, Microsoft Entra Kimliği'nde depolanan karmayla eşleşiyorsa, kullanıcının doğru parolayı girdiği ve kimliğinin doğrulandığı anlamına gelir.
Not
Özgün MD4 karması Microsoft Entra Id'ye iletilmez. Bunun yerine, özgün MD4 karmasının SHA256 karması iletilir. Sonuç olarak, Microsoft Entra ID'de depolanan karma elde edilirse, yerleşik bir karma geçişli saldırıda kullanılamaz.
Not
Parola karması değeri SQL'de ASLA depolanmaz. Bu değerler, Microsoft Entra Id'ye gönderilmeden önce yalnızca bellekte işlenir.
Güvenlik konuları
Parolalar eşitlenirken, parolanızın düz metin sürümü parola karması eşitleme özelliğine, Microsoft Entra Kimliği'ne veya ilişkili hizmetlerden herhangi birine gösterilmez.
Kullanıcı kimlik doğrulaması, kuruluşun kendi Active Directory örneğine karşı değil Microsoft Entra'ya karşı gerçekleştirilir. Microsoft Entra Id'de depolanan SHA256 parola verileri (özgün MD4 karması) Active Directory'de depolanandan daha güvenlidir. Ayrıca, bu SHA256 karması çözülemediğinden, kuruluşun Active Directory ortamına geri getirilemiyor ve karma geçiş saldırısında geçerli bir kullanıcı parolası olarak sunulamıyor.
Parola ilkesiyle ilgili dikkat edilmesi gerekenler
Parola karması eşitlemesini etkinleştirmeden etkilenen iki tür parola ilkesi vardır:
- Parola karmaşıklığı ilkesi
- Parola süre sonu ilkesi
Parola karmaşıklığı ilkesi
Parola karması eşitleme etkinleştirildiğinde, şirket içi Active Directory örneğinizdeki parola karmaşıklık ilkeleri eşitlenmiş kullanıcılar için buluttaki karmaşıklık ilkelerini geçersiz kılar. Microsoft Entra hizmetlerine erişmek için şirket içi Active Directory örneğinizdeki tüm geçerli parolaları kullanabilirsiniz.
Not
Doğrudan bulutta oluşturulan kullanıcıların parolaları, bulutta tanımlandığı gibi yine de parola ilkelerine tabidir.
Parola süre sonu ilkesi
Kullanıcı parola karması eşitleme kapsamındaysa, varsayılan olarak bulut hesabı parolası Hiçbir Zaman Sona Ermez olarak ayarlanır.
Şirket içi ortamınızda süresi dolan eşitlenmiş bir parola kullanarak bulut hizmetlerinizde oturum açmaya devam edebilirsiniz. Bulut parolanız, şirket içi ortamda parolayı bir sonraki değiştirişinizde güncelleştirilir.
Buluta Senkronize Edilmiş Kullanıcılar İçin Parola Politikası Etkin
Yalnızca Microsoft Entra tümleşik hizmetleriyle etkileşim kuran eşitlenmiş kullanıcılar varsa ve parola süre sonu ilkesiyle de uyumlu olması gerekiyorsa, CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliğini etkinleştirerek (kullanım dışı bırakılan MSOnline PowerShell modülünde EnforceCloudPasswordPolicyForPasswordSyncedUsers olarak adlandırılıyordu) Microsoft Entra parola süre sonu ilkenize uymaya zorlayabilirsiniz.
CloudPasswordPolicyForPasswordSyncedUsersEnabled devre dışı bırakıldığında (varsayılan ayardır), Microsoft Entra Connect eşitlenen kullanıcıların PasswordPolicies özniteliğini "DisablePasswordExpiration" olarak güncelleştirir. Bu güncelleştirme, bir kullanıcının parolası her eşitlendiğinde gerçekleştirilir ve Microsoft Entra ID'ye söz konusu kullanıcının parola süresi dolma ilkesini geçersiz kılmasını emreder. Aşağıdaki komutla Microsoft Graph PowerShell modülünü kullanarak özniteliğin değerini de kontrol edebilirsiniz:
(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies
CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliğini etkinleştirmek için Graph PowerShell modülünü kullanarak aşağıdaki komutları çalıştırın:
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Not
Önceki betiğin çalışması için MSGraph PowerShell modülünü yüklemeniz gerekir. Yetersiz ayrıcalıklarla ilgili hatalar alırsanız, bağlanırken aşağıdaki komutu kullanarak API kapsamını doğru onayladığınızdan emin olun Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
Etkinleştirildikten sonra, Microsoft Entra ID, PasswordPolicies özniteliğinden DisablePasswordExpiration
değerini kaldırmak için eşitlenen her bir kullanıcıya gitmez. Bunun yerine, DisablePasswordExpiration
değeri, her kullanıcı için yerel AD'de bir sonraki parola değişikliğinden sonra yapılan bir sonraki parola karma eşitlemesinde PasswordPolicies'ten kaldırılır.
CloudPasswordPolicyForPasswordSyncedUsersEnabled özelliği etkinleştirildikten sonra, yeni kullanıcılar herhangi bir PasswordPolicies değeri olmadan oluşturulur.
İpucu
Parola karması eşitlemesini etkinleştirmeden önce CloudPasswordPolicyForPasswordSyncedUsersEnabled'ın etkinleştirilmesi
Varsayılan Microsoft Entra parola ilkesi, kullanıcıların parolalarını değiştirmesini gerektirmez. Şirket içi Active Directory'nizdeki ilke farklıysa, Update-MgDomain PowerShell komutunu kullanarak Microsoft Entra parola ilkesini eşleşecek şekilde güncelleştirebilirsiniz.
Microsoft Entra Id, kayıtlı etki alanı başına ayrı bir parola süre sonu ilkesini destekler.
Uyarı: Microsoft Entra ID'de süresi dolmayan parolalara ihtiyaç duyan eşitlenmiş hesaplar varsa, DisablePasswordExpiration
değerini Microsoft Entra ID'deki kullanıcı nesnesinin PasswordPolicies özniteliğine açıkça eklemeniz gerekir. Aşağıdaki komutu çalıştırarak bu değeri ekleyebilirsiniz:
Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"`
Not
Şirket içinde parola değişikliği yürütüldüğünde, hybrid kullanıcıların PasswordPolicies değeri DisablePasswordExpiration
'dan None
'a geçer.
Not
Update-MgDomain PowerShell komutu federasyon etki alanlarında çalışmaz.
Not
Update-MgUser PowerShell komutu federasyon etki alanlarında çalışmaz.
Geçici parolaların ve "Sonraki Oturum Açmada Parola Değişikliğini Zorla" seçeneğinin eşitlenmesi
Özellikle yönetici parola sıfırlaması gerçekleştikten sonra, bir kullanıcıyı ilk oturum açma sırasında parolasını değiştirmeye zorlamak normaldir. Genellikle "geçici" parola ayarlama olarak bilinir ve Active Directory'deki (AD) bir kullanıcı nesnesinde "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" bayrağı denetlenerek tamamlanır.
Geçici parola işlevi, birden fazla kişinin bu kimlik bilgisi hakkında bilgi sahibi olduğu süreyi en aza indirmek için kimlik bilgilerinin sahiplik aktarımının ilk kullanımda tamamlanmasını sağlamaya yardımcı olur.
Eşitlenen kullanıcılar için Microsoft Entra Id'de geçici parolaları desteklemek için, Graph PowerShell modülünü kullanarak aşağıdaki komutları çalıştırarak ForcePasswordChangeOnLogOn özelliğini etkinleştirebilirsiniz:
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Not
Active Directory'de "Kullanıcı bir sonraki oturumda parolayı değiştirmelidir" bayrağıyla oluşturulan yeni bir kullanıcı, ForcePasswordChangeOnLogOn özelliğinin doğru veya yanlış olmasına bakılmadan, microsoft Entra ID'de her zaman "Sonraki oturum açmada parolayı değiştirmeye zorla" parola ilkesiyle sağlanır. Bu bir Microsoft Entra iç mantığıdır çünkü yeni kullanıcı parolasız sağlanırken ForcePasswordChangeOnLogOn özelliği yalnızca yönetici parola sıfırlama senaryolarını etkiler.
Özellik etkinleştirilmeden önce Active Directory'de bir kullanıcı "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" ile oluşturulduysa, kullanıcı oturum açarken bir hata alır. Bu sorunu düzeltmek için, Active Directory Kullanıcıları ve Bilgisayarları'da "Kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir" alanını kaldırın ve yeniden denetleyin. Kullanıcı nesnesi değişiklikleri eşitlendikten sonra, kullanıcı parolasını güncellemek için Microsoft Entra ID'de beklenen istemi alır.
Dikkat
Bu özelliği yalnızca kiracıda SSPR ve Parola Geri Yazma etkinleştirildiğinde kullanmalısınız. Bu, bir kullanıcının parolasını SSPR aracılığıyla değiştirmesi durumunda Active Directory ile eşitlenmesine neden olur.
Hesap süre sonu
Kuruluşunuz kullanıcı hesabı yönetiminin bir parçası olarak accountExpires özniteliğini kullanıyorsa, bu öznitelik Microsoft Entra Id ile eşitlenmez. Sonuç olarak, parola karması eşitlemesi için yapılandırılmış bir ortamda süresi dolan bir Active Directory hesabı Microsoft Entra Id'de etkin olmaya devam eder. Süresi dolduktan sonra kullanıcıların AD hesaplarını devre dışı bırakmaya yönelik zamanlanmış bir PowerShell betiği kullanmanızı öneririz (Set-ADUser cmdlet'ini kullanın). Buna karşılık, bir AD hesabından süre sonunu kaldırma işlemi sırasında hesabın yeniden etkinleştirilmesi gerekir.
Parola karması eşitleme ve akıllı kart kimlik doğrulaması
Müşteriler, kullanıcılarının CaC/PIV fiziksel akıllı kartıyla Windows etki alanlarında oturum açmasını gerektirebilir. Bunu, Active Directory'de Etkileşimli Oturum Açma (SCRIL) için Gerekli Akıllı Kart kullanıcı özelliği ayarını yapılandırarak yapar.
Bir kullanıcı nesnesinde SCRIL etkinleştirildiğinde, kullanıcının AD parolası etki alanı denetleyicisi tarafından kimsenin bilmediği bir değere rastgele oluşturulur ve kullanıcının akıllı kart aracılığıyla Windows etki alanına kaydolması ve ardından kimlik doğrulamasından geçer.
Parola karması eşitlemesi etkinleştirildiğinde, bu AD parola karması Bulut kimlik doğrulaması için de kullanılabilmesi için Microsoft Entra Id ile eşitlenir.
Not
Microsoft Entra Connect Sync'in 2.4.18.0 sürümünün yayımlanmasıyla birlikte, bir kullanıcı nesnesinde SCRIL yeniden etkinleştirildiğinde oluşan bir sorunu düzeltdik. ScRIL'in yeniden etkinleştirilmesi, kullanıcının akıllı kartını kaybettiği, SCRIL'in devre dışı bırakıldığı ve kullanıcıya yeni bir akıllı kart verilene kadar geçici bir parola sağlandığı senaryolarda yaygındır
Daha önce SCRIL yeniden etkinleştirildiğinde ve yeni bir rastgele AD parolası oluşturulduğunda, kullanıcı Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak için eski parolasını kullanmaya devam edebiliyordu. Artık Connect Sync, yeni rastgele AD parolasının Microsoft Entra Id ile eşitlenmesi ve akıllı kart oturum açma etkinleştirildikten sonra eski parolanın kullanılamaması için güncelleştirildi.
AD Etki Alanında SCRIL biti olan kullanıcıları varsa yöneticilerin aşağıdaki eylemlerden herhangi birini gerçekleştirmesini öneririz
- bu kılavuz göre tüm SCRIL kullanıcılarının parolalarının karıştırıldığından emin olmak için tam PHS senkronizasyonu gerçekleştirin
- SCRIL ayarlarını kapatıp yeniden açarak veya kullanıcının parolasını doğrudan değiştirerek tek bir kullanıcının parolasını karıştırın.
- SCRIL kullanıcıları için parolaları düzenli aralıklarla döndürün. Sonunda bu tür tüm kullanıcıların parolaları karıştırılır
Senkronize edilmiş parolaların üzerine yaz
Yönetici, PowerShell kullanarak (kullanıcı federasyon etki alanında olmadığı sürece) doğrudan Microsoft Entra ID'de parolanızı el ile sıfırlayabilir.
Bu durumda, yeni parola eşitlenmiş parolanızı geçersiz kılar ve bulutta tanımlanan tüm parola ilkeleri yeni parolaya uygulanır.
Şirket içi parolanızı yeniden değiştirirseniz, yeni parola buluta eşitlenir ve el ile güncelleştirilmiş parolayı geçersiz kılar.
Parola eşitlemesi, oturum açan Azure kullanıcısını etkilemez. Geçerli bulut hizmeti oturumunuz, bir bulut hizmetinde oturum açtığınızda gerçekleşen eşitlenmiş parola değişikliğinden hemen etkilenmez. KMSI bu farkın süresini uzatır. Bulut hizmeti yeniden kimlik doğrulamanızı gerektirdiğinde yeni parolanızı sağlamanız gerekir.
Microsoft Entra Domain Services için parola karması eşitleme işlemi
Kerberos, LDAP veya NTLM kullanması gereken uygulamalar ve hizmetler için eski kimlik doğrulaması sağlamak üzere Microsoft Entra Domain Services kullanıyorsanız, bazı ek işlemler parola karması eşitleme akışının bir parçasıdır. Microsoft Entra Connect, parola karmalarını Microsoft Entra Domain Services'da kullanılmak üzere Microsoft Entra Id ile eşitlemek için aşağıdaki işlemi kullanır:
Önemli
Microsoft Entra Connect yalnızca şirket içi AD DS ortamlarıyla eşitleme için yüklenip yapılandırılmalıdır. Nesneleri Microsoft Entra Id ile yeniden eşitlemek için Microsoft Entra Connect'in Microsoft Entra Domain Services tarafından yönetilen bir etki alanına yüklenmesi desteklenmez.
Microsoft Entra Connect yalnızca Microsoft Entra kiracınız için Microsoft Entra Domain Services'i etkinleştirdiğinizde eski parola karmalarını eşitler. Aşağıdaki adımlar yalnızca şirket içi AD DS ortamını Microsoft Entra Id ile eşitlemek için Microsoft Entra Connect kullanıyorsanız kullanılmaz.
Eski uygulamalarınız NTLM kimlik doğrulaması veya LDAP basit bağlamaları kullanmıyorsa, Microsoft Entra Domain Services için NTLM parola karması eşitlemesini devre dışı bırakmanızı öneririz. Daha fazla bilgi için, Zayıf şifreleme paketlerini ve NTLM kimlik bilgisi karması eşitlemesini devre dışı bırakma konusuna bakın.
- Microsoft Entra Connect, kiracının Microsoft Entra Domain Services örneği için ortak anahtarı alır.
- Kullanıcı parolasını değiştirdiğinde, şirket içi etki alanı denetleyicisi parola değişikliğinin (karmalar) sonucunu iki öznitelikte depolar:
- NTLM parola karması için unicodePwd.
- Kerberos parola karması için supplementalCredentials .
- Microsoft Entra Connect, dizin çoğaltma kanalı aracılığıyla parola değişikliklerini algılar (diğer etki alanı denetleyicilerine çoğaltılması gereken öznitelik değişiklikleri).
- Parolası değiştirilen her kullanıcı için Microsoft Entra Connect aşağıdaki adımları gerçekleştirir:
- Rastgele bir AES 256 bit simetrik anahtar oluşturur.
- şifrelemenin ilk turu için gereken rastgele bir başlatma vektörünün oluşturulmasını sağlar.
- SupplementalCredentials özniteliklerinden Kerberos parola karmalarını ayıklar.
- Microsoft Entra Domain Services güvenlik yapılandırması SyncNtlmPasswords ayarını denetler.
- Bu ayar devre dışı bırakılırsa, rastgele, yüksek entropili bir NTLM karması oluşturur (kullanıcının parolasından farklıdır). Bu karma daha sonra supplementalCredentials özelliğinden alınan Kerberos parola karmalarıyla tek bir veri yapısında birleştirilir.
- Etkinleştirilirse, unicodePwd özniteliğinin değerini supplementalCredentials özniteliğinden ayıklanan Kerberos parola karmalarıyla tek bir veri yapısında birleştirir.
- AES simetrik anahtarını kullanarak tek veri yapısını şifreler.
- Kiracının Microsoft Entra Domain Services ortak anahtarını kullanarak AES simetrik anahtarını şifreler.
- Microsoft Entra Connect şifrelenmiş AES simetrik anahtarını, parola karmalarını içeren şifrelenmiş veri yapısını ve başlatma vektörlerini Microsoft Entra Id'ye iletir.
- Microsoft Entra ID şifrelenmiş AES simetrik anahtarını, şifrelenmiş veri yapısını ve kullanıcı için başlatma vektörlerini depolar.
- Microsoft Entra ID şifrelenmiş AES simetrik anahtarını, şifrelenmiş veri yapısını ve bir iç eşitleme mekanizmasını kullanarak başlatma vektörlerini şifrelenmiş bir HTTP oturumu üzerinden Microsoft Entra Domain Services'e gönderir.
- Microsoft Entra Domain Services, kiracı örneğinin özel anahtarını Azure Key Vault'tan alır.
- Şifrelenmiş her veri kümesi için (tek bir kullanıcının parola değişikliğini temsil eden), Microsoft Entra Domain Services aşağıdaki adımları gerçekleştirir:
- AES simetrik anahtarının şifresini çözmek için özel anahtarını kullanır.
- Parola karmalarını içeren şifrelenmiş veri yapısının şifresini çözmek için başlatma vektörlü AES simetrik anahtarını kullanır.
- Aldığı Kerberos parola karmalarını Microsoft Entra Domain Services etki alanı denetleyicisine kaydeder. Karmalar, Microsoft Entra Domain Services etki alanı denetleyicisinin ortak anahtarıyla şifrelenmiş olan kullanıcı nesnesinin supplementalCredentials özniteliğine kaydedilir.
- Microsoft Entra Domain Services, aldığı NTLM parola karmasını Microsoft Entra Domain Services etki alanı denetleyicisine yazar. Karma, kullanıcı nesnesinin unicodePwd özniteliğine kaydedilir ve bu öznitelik, Microsoft Entra Domain Services etki alanı denetleyicisinin ortak anahtarıyla şifrelenir.
Parola karması eşitlemeyi etkinleştirme
Önemli
AD FS'den (veya diğer federasyon teknolojilerinden) Parola Karması Eşitleme'ye geçiriyorsanız, Uygulamaları Microsoft Entra Id'ye geçirmeye yönelik kaynakları görüntüleyin.
Microsoft Entra Connect'i Hızlı Ayarlar seçeneğini kullanarak yüklediğinizde parola karması eşitlemesi otomatik olarak etkinleştirilir. Daha fazla bilgi için bkz . Hızlı ayarları kullanarak Microsoft Entra Connect'i kullanmaya başlama.
Microsoft Entra Connect'i yüklerken özel ayarlar kullanıyorsanız, kullanıcı oturum açma sayfasında parola karması eşitlemesi kullanılabilir. Daha fazla bilgi için bkz . Microsoft Entra Connect'in özel yüklemesi.
Parola özeti eşitleme ve FIPS
Sunucunuz Federal Bilgi İşleme Standardı'na (FIPS) göre kilitlenmişse MD5 devre dışı bırakılır.
Parola karması eşitlemesi için MD5'i etkinleştirmek için aşağıdaki adımları gerçekleştirin:
- %programfiles%\Microsoft Azure AD Eşitleme\Bin konumuna gidin.
- miiserver.exe.config dosyasını açın.
- Dosyanın sonundaki yapılandırma/çalışma zamanı düğümüne gidin.
- Aşağıdaki düğümü ekleyin:
<enforceFIPSPolicy enabled="false" />
- Değişikliklerinizi kaydedin.
- Değişikliklerin etkili olması için yeniden başlatın.
Referans için, bu kod parçacığı şu şekilde görünmelidir:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false" />
</runtime>
</configuration>
Güvenlik ve FIPS hakkında bilgi için bkz . Microsoft Entra parola karması eşitleme, şifreleme ve FIPS uyumluluğu.
Parola hash eşitleme sorunlarını giderme
Parola karması senkronizasyonu ile ilgili sorunlarınız varsa, Parola karması senkronizasyonu sorunlarını giderme bölümüne bakınız.