實作管理密碼雜湊同步 (PHS)
密碼雜湊同步處理如何運作
密碼雜湊同步是一種用來完成混合式身分識別的登入方法。 Microsoft Entra Connect 將使用者密碼雜湊的雜湊碼從內部部署的 Active Directory 執行個體同步到雲端式 Microsoft Entra 執行個體。
Active Directory Domain Services 是以代表使用者實際密碼的雜湊值格式儲存密碼。 雜湊值是單向數學函數 (雜湊演算法) 的結果。 沒有任何方法能將單向函數的結果還原成純文字版本的密碼。 為了同步處理您的密碼,Microsoft Entra Connect 同步會從內部部署 Active Directory 執行個體擷取您的密碼雜湊。 系統會先對密碼雜湊套用額外的安全性處理,再將其同步至 Microsoft Entra 驗證服務。 密碼是以個別使用者為單位,依時間先後順序進行同步處理。
實際的密碼雜湊同步程序資料流程,與使用者資料的同步處理相似。 不過,密碼的同步處理頻率會高於其他屬性的標準目錄同步作業時程。 密碼雜湊同步流程每 2 分鐘就會執行一次。 您無法修改此流程的頻率。 當您同步處理密碼時,該密碼會覆寫現有的雲端密碼。
您第一次啟用密碼雜湊同步功能時,系統會對範圍內的所有使用者執行密碼的首次同步處理作業。 初次同步時,您無法明確定義一小組要同步處理的使用者密碼。 初始同步處理完成後,您可以設定選擇性密碼雜湊同步處理,以供日後同步處理。
如果有多個連接器,則可以停用某些連接器的密碼雜湊同步,而不是其他連接器。 當您變更內部部署密碼時,系統一般會在幾分鐘內同步更新後的密碼。 密碼雜湊同步功能會自動重試失敗的同步處理作業。 如果在嘗試同步處理密碼時發生錯誤,錯誤會記錄在您的事件檢視器中。
啟用密碼雜湊同步功能
當您透過 [快速設定] 選項安裝 Microsoft Entra Connect 時,就會自動啟用密碼雜湊同步功能。 若安裝 Microsoft Entra Connect 時使用自訂設定,您就能在使用者登入頁面上使用密碼雜湊同步功能。
密碼雜湊同步和同盟資訊處理標準
如果您的伺服器根據聯邦資訊處理標準 (FIPS) 鎖定,則會停用 MD5。
若要啟用密碼雜湊同步功能的 MD5,請執行下列步驟:
- 移至
%programfiles%\Azure A D Sync\Bin。 - 開啟 [Server.exe.config]。
- 前往檔案結尾處的 [設定/執行階段] 節點。
- 新增下列節點:
<enforceFIPSPolicy enabled="false"/> - 儲存您的變更。
做為參考,此片段應如下列所示:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
使用 PingFederate
使用 Microsoft Entra Connect 設定 PingFederate,以透過您要連線的網域設定同盟。 需要下列必要條件:
- PingFederate 8.4 或更新版本。
- 您想要使用之同盟服務名稱 (例如 sts.contoso.com) 的 TLS/SSL 憑證。
在您選擇使用 AD Connect 中的 PingFederate 來設定同盟之後,系統會要求您驗證要建立同盟的網域。 從下拉式功能表中選取網域。
將 PingFederate 設為每個同盟 Azure 網域的同盟伺服器。 然後選取 [匯出設定],以與您的 PingFederate 管理員共用此資訊。 同盟伺服器管理員會更新設定,然後提供 PingFederate 伺服器 URL 和連接埠號碼,以便 Microsoft Entra Connect 能夠驗證中繼資料設定。