分享方式:


教學課程:在混合式環境中啟用 Microsoft Entra Domain Services 中的密碼同步處理

在混合式環境中,可以將 Microsoft Entra 租用戶設定為使用 Microsoft Entra Connect 與內部部署 Active Directory Domain Services (AD DS) 環境進行同步處理。 根據預設,Microsoft Entra Connect 不會同步處理 Microsoft Entra Domain Services 所需的舊版 NT LAN Manager (NTLM) 和 Kerberos 密碼雜湊。

若要搭配使用 Domain Services 與從內部部署 AD DS 環境同步處理的帳戶,您需要設定 Microsoft Entra Connect,以同步處理 NTLM 和 Kerberos 驗證所需的密碼雜湊。 設定 Microsoft Entra Connect 之後,內部部署帳戶的建立或密碼變更事件後續也會將舊版密碼雜湊同步處理至 Microsoft Entra ID。

如果您使用沒有內部部署 AD DS 環境的僅限雲端帳戶,則不需要執行這些步驟。

在此教學課程中,您將會學到:

  • 為何需要舊版 NTLM 和 Kerberos 密碼雜湊
  • 如何設定 Microsoft Entra Connect 的舊版密碼雜湊同步處理

如尚未擁有 Azure 訂用帳戶,請在開始之前先建立帳戶

必要條件

若要完成此教學課程,您需要下列資源:

使用 Microsoft Entra Connect 的使用密碼雜湊同步處理

Microsoft Entra Connect 用來將內部部署 AD DS 環境中的物件 (例如使用者帳戶和群組) 同步處理至 Microsoft Entra 租用戶。 在此程序期間,密碼雜湊同步處理可讓帳戶在內部部署 AD DS 環境和 Microsoft Entra ID 中使用相同的密碼。

若要在受控網域上驗證使用者,Domain Services 需要格式適用於 NTLM 和 Kerberos 驗證的密碼雜湊。 除非您針對租用戶啟用 Domain Services,否則 Microsoft Entra ID 不會以 NTLM 或 Kerberos 驗證所需的格式儲存密碼雜湊。 基於安全性考量,Microsoft Entra ID 也不會以清晰文字格式儲存任何密碼認證。 因此,Microsoft Entra ID 無法根據使用者現有的認證自動產生這些 NTLM 或 Kerberos 密碼雜湊。

Microsoft Entra Connect 可以設定為同步處理 Domain Services 所需的 NTLM 或 Kerberos 密碼雜湊。 請確定您已完成啟用 Microsoft Entra Connect 以進行密碼雜湊同步處理的步驟。 如果您有現有的 Microsoft Entra Connect 執行個體,則請下載並更新至最新版本,以確定您可以同步處理 NTLM 和 Kerberos 的舊版密碼雜湊。 此功能無法在舊版 Microsoft Entra 中使用,或與舊版 DirSync 工具搭配使用。 需要 Microsoft Entra Connect 1.1.614.0 版或更新版本。

重要

只應該針對與內部部署 AD DS 環境同步處理才安裝和設定 Microsoft Entra Connect。 不支援在 Domain Services 受控網域中安裝 Microsoft Entra Connect,以將物件同步處理回 Microsoft Entra ID。

啟用密碼雜湊的同步處理

已安裝和設定 Microsoft Entra Connect 以與 Microsoft Entra ID 同步處理,現在請設定 NTLM 和 Kerberos 的舊版密碼雜湊同步處理。 PowerShell 指令碼用來設定必要的設定,然後開始對 Microsoft Entra ID 進行完整密碼同步處理。 該 Microsoft Entra Connect 密碼雜湊同步處理程序完成時,使用者可以透過使用舊版 NTLM 或 Kerberos 密碼雜湊的 Domain Services 來登入應用程式。

  1. 在已安裝 Microsoft Entra Connect 的電腦上,從 [開始] 功能表中開啟 [Microsoft Entra Connect] > [同步處理服務]

  2. 選取 [連接器] 索引標籤。列出用來建立內部部署 AD DS 環境與 Microsoft Entra ID 之間的同步處理連線資訊。

    [類型] 指出 [Windows Microsoft Entra ID (Microsoft)] (用於 Microsoft Entra 連接器) 或 [Active Directory Domain Services] (用於內部部署 AD DS 連接器)。 請記下連接器名稱,以便在下一個步驟的 PowerShell 指令碼中使用。

    在 Sync Service Manager 中列出連接器名稱

    在此範例螢幕擷取畫面中,會使用下列連接器:

    • Microsoft Entra 連接器的名稱為 contoso.onmicrosoft.com - Microsoft Entra ID
    • 內部部署 AD DS 連接器的名稱為 onprem.contoso.com
  3. 將下列 PowerShell 指令碼複製並貼入已安裝 Microsoft Entra Connect 的電腦。 指令碼會觸發包含舊版密碼雜湊的完整密碼同步作業。 使用上一個步驟中的連接器名稱來更新 $azureadConnector$adConnector 變數。

    在每個 AD 樹系上執行此指令碼,以將內部部署帳戶 NTLM 和 Kerberos 密碼雜湊同步處理至 Microsoft Entra ID。

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    根據您的目錄大小 (取決於帳戶和群組數目),將舊版密碼雜湊同步處理至 Microsoft Entra ID 可能需要一些時間。 密碼在同步處理至 Microsoft Entra ID 之後,會接著同步處理至受控網域。

下一步

在本教學課程中,您已了解:

  • 為何需要舊版 NTLM 和 Kerberos 密碼雜湊
  • 如何設定 Microsoft Entra Connect 的舊版密碼雜湊同步處理