Implementace synchronizace hesel pomocí synchronizace Azure Active Directory
Aktualizováno: 22. července 2015
Důležité
Toto téma bude brzy archivováno.
Existuje nový produkt s názvem "Azure Active Directory Připojení", který nahrazuje AADSync a DirSync.
Azure AD Connect zahrnuje komponenty a funkce dříve vydávané jako Dirsync a AAD Sync.
V budoucnu skončí podpora nástroje Dirsync a AAD Sync.
Tyto nástroje se už neaktualizují jednotlivě s vylepšeními funkcí a všechna budoucí vylepšení budou zahrnuta v aktualizacích Azure AD Připojení.
Při synchronizaci hesel povolíte uživatelům používat stejné heslo, které používají k přihlášení k místní Active Directory pro přihlášení k Azure Active Directory.
Cílem tohoto tématu je poskytnout vám informace, které potřebujete, abyste pochopili, jak funguje synchronizace hesel a jak ji povolit ve vašem prostředí.
Co je synchronizace hesel
Synchronizace hesel je funkce synchronizační služby Azure Active Directory (Azure AD Sync), která synchronizuje uživatelská hesla z vašeho místní Active Directory do Azure Active Directory (" Azure AD"). Tato funkce umožňuje uživatelům přihlásit se ke svým Azure Active Directory službám (například Office 365, Microsoft Intune, CRM Online atd.) pomocí stejného hesla, jaké používají k přihlášení do místní sítě. Je důležité si uvědomit, že tato funkce neposkytuje jedno řešení Sign-On (SSO), protože v procesu založeném na synchronizaci hesel není žádné sdílení tokenů nebo výměna.
Poznámka
Další podrobnosti o Active Directory Domain Services nakonfigurovaných pro synchronizaci FIPS a hesel najdete v tématu Selhání synchronizace hesel v systémech kompatibilních se standardem FIPS.
Dostupnost synchronizace hesel
Každý zákazník Azure Active Directory má nárok na spuštění synchronizace hesel. Informace o kompatibilitě synchronizace hesel a dalších funkcích, jako je federované ověřování, najdete níže.
Pokud chcete povolit synchronizaci hesel (verze je k dispozici ve stažení instalačního programu .exe), musíte mít verzi Azure AD Sync nebo novější verzi Azure AD Sync. Nejnovější verzi Azure AD Sync si můžete stáhnout pomocí tohoto odkazu.
Jak funguje synchronizace hesel
Synchronizace hesel je rozšíření funkce synchronizace adresářů implementované nástrojem Synchronizace adresářů. V důsledku toho tato funkce vyžaduje synchronizaci adresářů mezi místním prostředím a vaší Azure Active Directory, která se má nakonfigurovat.
Služba Doména služby Active Directory ukládá hesla ve formě vyjádření hodnoty hash skutečného uživatelského hesla. Hodnotu hash hesla nelze použít k přihlášení k místní síti. Je také navržen tak, aby ho nelze vrátit zpět, aby bylo možné získat přístup k heslem uživatele ve formátu prostého textu. Pokud chcete synchronizovat heslo, Azure AD Sync extrahuje hodnotu hash uživatelského hesla z místní Active Directory. Před synchronizací do služby ověřování Azure Active Directory se na hodnotu hash hesel použije další zpracování zabezpečení. Skutečný tok dat procesu synchronizace hesel je podobný synchronizaci uživatelských dat, jako jsou DisplayName nebo E-mailové adresy.
Hesla se synchronizují častěji než standardní okno Synchronizace adresářů pro jiné atributy. Hesla se synchronizují podle jednotlivých uživatelů a obecně se synchronizují v chronologickém pořadí. Když se heslo uživatele synchronizuje z místní služby AD do cloudu, stávající cloudové heslo se přepíše.
Když poprvé povolíte funkci synchronizace hesel, provede se počáteční synchronizace hesel všech uživatelů v oboru z vašeho místní Active Directory na Azure Active Directory. Sadu uživatelů, kteří budou mít svá hesla synchronizovaná do cloudu, nemůžete explicitně definovat. Následně, když místní uživatel změnil heslo, funkce synchronizace hesel zjistí a synchronizuje změněné heslo, nejčastěji během několika minut. Funkce synchronizace hesel automaticky opakuje neúspěšné synchronizace uživatelských hesel. Pokud dojde k chybě při pokusu o synchronizaci hesla, chyba se zaprotokoluje v prohlížeči událostí.
Synchronizace hesla nemá žádný vliv na aktuálně přihlášené uživatele. Pokud uživatel, který je přihlášený do cloudové služby, změní také místní heslo, relace cloudové služby bude pokračovat bez přerušení. Jakmile ale cloudová služba vyžaduje, aby se uživatel znovu ověřil, je potřeba zadat nové heslo. V tomto okamžiku se vyžaduje, aby uživatel zadal nové heslo – heslo, které bylo nedávno synchronizováno z místní služby Active Directory do cloudu.
Aspekty zabezpečení
Při synchronizaci hesel není verze hesla uživatele ve formátu prostého textu vystavena funkci synchronizace hesel ani Azure AD ani žádné z přidružených služeb.
Kromě toho není nutné, aby místní Active Directory ukládal heslo do oboustranně šifrovaného formátu. Hodnota hash hesla služby Active Directory Windows se používá pro přenos mezi místní službou AD a Azure Active Directory. Hodnotu hash hesla nelze použít pro přístup k prostředkům v místním prostředí zákazníka.
Důležité informace o zásadách hesel
Existují 2 typy zásad hesel, které jsou ovlivněné povolením synchronizace hesel:
Zásady složitosti hesel
Zásady vypršení platnosti hesla
Zásady složitosti hesel
Když povolíte synchronizaci hesel, zásady složitosti hesel nakonfigurované v místní Active Directory přepíší všechny zásady složitosti, které se můžou definovat v cloudu pro synchronizované uživatele. To znamená, že všechna hesla platná v prostředí místní Active Directory zákazníka se dají použít pro přístup ke službám Azure AD.
Poznámka
Hesla pro uživatele, kteří jsou vytvořená přímo v cloudu, stále podléhají zásadám hesel definovaným v cloudu.
Zásady vypršení platnosti hesla
Pokud je uživatel v oboru synchronizace hesel, heslo cloudového účtu je nastavené na "Nikdy nevyprší". To znamená, že platnost hesla uživatele může vypršet v místním prostředí, ale může se dál přihlásit ke cloudovým službám pomocí tohoto hesla s vypršenou platností.
Cloudové heslo se aktualizuje při příštím změně hesla v místním prostředí.
Přepsání synchronizovaných hesel
Správce může heslo uživatele resetovat ručně pomocí Azure Active Directory PowerShellu.
V takovém případě se nové heslo přepíše synchronizované heslo uživatele a všechny zásady hesel definované v cloudu budou platit pro nové heslo.
Pokud uživatel znovu změní místní heslo, nové heslo se synchronizuje do cloudu a přepíše ručně aktualizované heslo.
Příprava synchronizace hesel
Aby bylo možné povolit synchronizaci adresářů, musí být váš Azure Active Directory tenant povolený pro synchronizaci hesel.
Povolení synchronizace hesel
Synchronizaci hesel povolíte při spuštění průvodce konfigurací Azure AD Sync.
Na stránce Dialogové okno Volitelné funkce zaškrtněte políčko Synchronizace hesel.
.jpg "Optional features")
Poznámka
Tento proces aktivuje úplnou synchronizaci. Úplné synchronizační cykly obvykle trvá déle než jiné synchronizační cykly.
Správa synchronizace hesel
Průběh synchronizace hesel můžete monitorovat prostřednictvím protokolu událostí počítače, na kterém běží Azure AD Sync.
Určení stavu synchronizace hesel
Můžete určit, kteří uživatelé mají úspěšně synchronizovaná hesla, a to kontrolou událostí, které odpovídají následujícím kritériím:
| Zdroj | ID události |
|---|---|
Synchronizace adresářů |
656 |
Synchronizace adresářů |
657 |
Události s ID události 656 poskytují sestavu zpracovaných žádostí o změnu hesla:
.jpg "Event ID 656")
Odpovídající události s ID 657 poskytují výsledek pro tyto požadavky:
.jpg "Event ID 657")
V událostech jsou ovlivněné objekty identifikovány jejich ukotvením a hodnotou DN. Hodnota ukotvení odpovídá hodnotě ImmutableId , která je vrácena pro uživatele rutinou Get-MsoUser .
Kromě identifikátorů objektů poskytuje ID události 656 datum změny hesla uživatele v místní Active Directory::
.jpg "Password Change Request")
ID události 657 má kromě identifikátorů zdrojového objektu pole Výsledek , které označuje stav synchronizace daného objektu uživatele.
Úspěšně synchronizované heslo je v události s ID události 657 označenou hodnotou Úspěchatributu Result . Při neúspěšném pokusu o synchronizaci hesel je hodnota atributu Result chyba:
.jpg "Password Change Result")
Zakázání synchronizace hesel
Synchronizaci hesel zakážete opětovným spuštěním průvodce konfigurací Azure AD Sync.
Po zobrazení výzvy průvodce zrušte zaškrtnutí políčka Synchronizace hesel.
Poznámka
Tento proces aktivuje úplnou synchronizaci. Úplné synchronizační cykly obvykle trvá déle než jiné synchronizační cykly.
Po spuštění Průvodce konfigurací už váš tenant nebude synchronizovat hesla. Nové změny hesla se nesynchronizují do cloudu. Uživatelé, kteří dříve měli svá hesla synchronizovaná, budou moct pokračovat v přihlašování s těmito hesly, dokud ručně nezmění svá hesla v cloudu.
Viz také
Koncepty
synchronizace Azure Active Directory