教學課程:在混合式環境中啟用 Microsoft Entra Domain Services 中的密碼同步處理
針對混合式環境,您可以使用 Microsoft Entra 連線,將 Microsoft Entra 租使用者設定為與 內部部署的 Active Directory Domain Services (AD DS) 環境同步處理。 根據預設,Microsoft Entra 連線不會同步處理 Microsoft Entra Domain Services 所需的舊版 NT LAN Manager (NTLM) 和 Kerberos 密碼雜湊。
若要搭配從內部部署 AD DS 環境同步處理的帳戶使用 Domain Services,您必須設定 Microsoft Entra 連線同步處理 NTLM 和 Kerberos 驗證所需的密碼雜湊。 設定 Microsoft Entra Connect 之後,內部部署帳戶的建立或密碼變更事件後續也會將舊版密碼雜湊同步處理至 Microsoft Entra ID。
如果您使用不含內部部署 AD DS 環境的僅限雲端帳戶,則不需要執行這些步驟。
在本教學課程中,您將瞭解:
- 為何需要舊版 NTLM 和 Kerberos 密碼雜湊
- 如何設定 Microsoft Entra 連線的舊版密碼雜湊同步處理
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶。
必要條件
若要完成本教學課程,您需要下列資源:
- 啟用中的 Azure 訂用帳戶。
- 如果您沒有 Azure 訂用帳戶, 請建立帳戶 。
- 與您的訂用帳戶相關聯的 Microsoft Entra 租使用者,會使用 Microsoft Entra 連線與內部部署目錄同步處理。
- 如有需要, 請建立 Microsoft Entra 租使用者 ,或 建立 Azure 訂用帳戶與您的帳戶 的關聯。
- 如有需要, 請啟用 Microsoft Entra 連線以進行密碼雜湊同步處理 。
- 在您的 Microsoft Entra 租使用者中啟用和設定 Microsoft Entra Domain Services 受控網域。
使用 Microsoft Entra 連線的密碼雜湊同步處理
Microsoft Entra 連線可用來將使用者帳戶和群組等物件從內部部署 AD DS 環境同步處理至 Microsoft Entra 租使用者。 在程式中,密碼雜湊同步處理可讓帳戶在內部部署 AD DS 環境和 Microsoft Entra ID 中使用相同的密碼。
若要驗證受控網域上的使用者,Domain Services 需要密碼雜湊,其格式適用于 NTLM 和 Kerberos 驗證。 在您為租使用者啟用 Domain Services 之前,Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式儲存密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。
Microsoft Entra 連線可以設定為同步處理網域服務所需的 NTLM 或 Kerberos 密碼雜湊。 請確定您已完成啟用 Microsoft Entra 連線以進行密碼雜湊同步 處理的步驟 。 如果您有現有的 Microsoft Entra 實例連線,請下載並更新至最新版本 , 以確保您可以同步處理 NTLM 和 Kerberos 的舊版密碼雜湊。 此功能不適用於舊版 DirSync 工具的 Microsoft Entra 連線或舊版 DirSync 工具。 需要 Microsoft Entra 連線 1.1.614.0 版或更新版本。
重要
Microsoft Entra 連線應該只安裝並設定為與內部部署 AD DS 環境同步處理。 不支援在 Domain Services 受控網域中安裝 Microsoft Entra 連線,以將物件同步處理回 Microsoft Entra ID。
啟用密碼雜湊的同步處理
安裝並設定為與 Microsoft Entra 識別碼同步處理的 Microsoft Entra 連線,現在請設定 NTLM 和 Kerberos 的舊版密碼雜湊同步處理。 PowerShell 腳本可用來設定必要的設定,然後啟動 Microsoft Entra 識別碼的完整密碼同步處理。 當 Microsoft Entra 連線密碼雜湊同步處理常式完成時,使用者可以透過使用舊版 NTLM 或 Kerberos 密碼雜湊的 Domain Services 登入應用程式。
在已安裝 Microsoft Entra 連線 的電腦上,從[開始] 功能表開啟 Microsoft Entra 連線 > Synchronization Service 。
選取 [連線ors] 索引 標籤。列出用來建立內部部署 AD DS 環境與 Microsoft Entra ID 之間的同步處理連線資訊。
Type 表示 Microsoft Entra 連接器的 Windows Microsoft Entra ID (Microsoft), 或 內部部署 AD DS 連接器Active Directory 網域服務 。 記下下一個步驟中 PowerShell 腳本中要使用的連接器名稱。
在此範例螢幕擷取畫面中,會使用下列連接器:
- Microsoft Entra 連接器的名稱為 contoso.onmicrosoft.com - Microsoft Entra ID
- 內部部署 AD DS 連接器名為 onprem.contoso.com
將下列 PowerShell 腳本複製並貼到已安裝 Microsoft Entra 連線的電腦。 腳本會觸發包含舊版密碼雜湊的完整密碼同步處理。 使用
$azureadConnector上一個步驟中的連接器名稱更新 和$adConnector變數。在每個 AD 樹系上執行此腳本,以將內部部署帳戶 NTLM 和 Kerberos 密碼雜湊同步處理至 Microsoft Entra ID。
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true根據帳戶和群組數目的目錄大小,將舊版密碼雜湊同步處理至 Microsoft Entra ID 可能需要一些時間。 然後在密碼同步處理至 Microsoft Entra 識別碼之後,同步處理至受控網域。
下一步
在本教學課程中,您已瞭解:
- 為何需要舊版 NTLM 和 Kerberos 密碼雜湊
- 如何設定 Microsoft Entra 連線的舊版密碼雜湊同步處理