Udostępnij za pośrednictwem

Implementowanie synchronizacji skrótów haseł za pomocą usługi Microsoft Entra Connect Sync

  • Artykuł

Ten artykuł zawiera informacje, które są potrzebne do zsynchronizowania haseł użytkowników z lokalnego wystąpienia usługi Active Directory do instancji Microsoft Entra opartej na chmurze.

Jak działa synchronizacja skrótów haseł

Usługa domenowa Active Directory przechowuje hasła w postaci reprezentacji wartości skrótu rzeczywistego hasła użytkownika. Wartość skrótu jest wynikiem jednokierunkowej funkcji matematycznej (algorytmu tworzenia skrótów). Nie ma metody przywracania wyniku jednokierunkowej funkcji do wersji hasła w postaci zwykłego tekstu.

Aby zsynchronizować hasło, usługa Microsoft Entra Connect Sync wyodrębnia skrót hasła z lokalnego wystąpienia usługi Active Directory. Dodatkowe przetwarzanie zabezpieczeń jest stosowane do skrótu hasła przed jego zsynchronizowaniem z usługą uwierzytelniania Microsoft Entra. Hasła są synchronizowane na podstawie poszczególnych użytkowników i w kolejności chronologicznej.

Rzeczywisty przepływ danych procesu synchronizacji skrótów haseł jest podobny do synchronizacji danych użytkownika. Hasła są jednak synchronizowane częściej niż standardowe okno synchronizacji katalogów dla innych atrybutów. Proces synchronizacji skrótów haseł jest uruchamiany co 2 minuty. Nie można zmodyfikować częstotliwości tego procesu. Podczas synchronizowania hasła zastępuje ono istniejące hasło w chmurze.

Gdy po raz pierwszy włączysz funkcję synchronizacji skrótów haseł, wykonuje ona początkową synchronizację haseł wszystkich użytkowników objętych zakresem. Etapowe wdrożenie umożliwia selektywne testowanie grup użytkowników z funkcjami uwierzytelniania w chmurze, takimi jak uwierzytelnianie wieloskładnikowe Microsoft Entra, Dostęp warunkowy, Ochrona tożsamości Microsoft Entra przed wyciekiem poświadczeń, Zarządzanie tożsamością i innymi, zanim przejdziesz do domen. Nie można jawnie zdefiniować podzestawu haseł użytkowników, które chcesz zsynchronizować. Jeśli jednak istnieje wiele łączników, można wyłączyć synchronizację skrótów haseł dla niektórych łączników, ale nie innych za pomocą polecenia cmdlet Set-ADSyncAADPasswordSyncConfiguration .

Po zmianie hasła lokalnego zaktualizowane hasło jest synchronizowane, najczęściej w ciągu kilku minut. Funkcja synchronizacji skrótów haseł automatycznie ponawia próby, gdy poprzednia synchronizacja się nie powiodła. Jeśli podczas próby zsynchronizowania hasła wystąpi błąd, w podglądzie zdarzeń zostanie zarejestrowany błąd.

Synchronizacja hasła nie ma wpływu na użytkownika, który jest obecnie zalogowany. Bieżąca sesja usługi w chmurze nie ma natychmiastowego wpływu na zsynchronizowaną zmianę hasła, która występuje podczas logowania do usługi w chmurze. Jeśli jednak usługa w chmurze wymaga ponownego uwierzytelnienia, musisz podać nowe hasło.

Użytkownik musi po raz drugi wprowadzić swoje poświadczenia firmowe, aby uwierzytelnić się w identyfikatorze Entra firmy Microsoft, niezależnie od tego, czy są zalogowani do sieci firmowej. Ten wzorzec można jednak zminimalizować, jeśli użytkownik wybierze pole wyboru Nie wylogowuj mnie (KMSI) podczas logowania. Ten wybór ustawia plik cookie sesji, który pomija uwierzytelnianie przez 180 dni. Zachowanie usługi KMSI można włączyć lub wyłączyć przez administratora firmy Microsoft Entra. Ponadto można zmniejszyć liczbę monitów o hasło, konfigurując dołączenie do Microsoft Entra lub dołączenie hybrydowe Microsoft Entra, co automatycznie loguje użytkowników, gdy znajdują się na urządzeniach firmowych połączonych z siecią firmową.

Więcej zalet

  • Ogólnie rzecz biorąc, synchronizacja skrótów haseł jest prostsza do zaimplementowania niż usługa federacyjna. Nie wymaga więcej serwerów i eliminuje zależność od usługi federacyjnej o wysokiej dostępności do uwierzytelniania użytkowników.
  • Oprócz federacji można również włączyć synchronizację skrótów haseł. Może być używane jako rezerwa, jeśli usługa federacyjna napotka awarię.

Uwaga

Synchronizacja haseł jest obsługiwana tylko dla użytkownika typu obiektu w usłudze Active Directory. Nie jest obsługiwany dla typu obiektu iNetOrgPerson.

Szczegółowy opis sposobu działania synchronizacji skrótów haseł

W poniższej sekcji opisano szczegółowo sposób działania synchronizacji skrótów haseł między usługą Active Directory i identyfikatorem Entra firmy Microsoft.

Szczegółowy przepływ haseł

  1. Co dwie minuty agent synchronizacji skrótów haseł na serwerze programu AD Connect żąda zapisanych skrótów haseł (atrybutu unicodePwd) od kontrolera domeny. To żądanie jest przetwarzane za pośrednictwem standardowego protokołu replikacji MS-DRSR, który jest używany do synchronizacji danych między kontrolerami domen. Aby uzyskać skróty haseł, konto łącznika usług AD DS musi mieć uprawnienia Replikuj zmiany katalogu i Replikuj wszystkie zmiany katalogu AD (przyznawane domyślnie podczas instalacji).

  2. Przed wysłaniem kontroler domeny szyfruje skrót hasła MD4 przy użyciu klucza, który jest skrótem MD5 klucza sesji RPC i soli. Następnie wysyła wynik do agenta synchronizacji skrótów haseł za pośrednictwem RPC. Kontroler domeny przekazuje również sól do agenta synchronizacji przy użyciu protokołu replikacji kontrolera domeny, więc agent może odszyfrować kopertę.

  3. Gdy agent synchronizacji skrótów haseł ma zaszyfrowaną kopertę, używa MD5CryptoServiceProvider i soli do wygenerowania klucza w celu odszyfrowania odebranych danych do oryginalnego formatu MD4. Agent synchronizacji skrótów haseł nigdy nie ma dostępu do hasła w formie niezaszyfrowanej. Stosowanie MD5 przez agenta synchronizacji skrótów haseł jest ograniczone wyłącznie do zapewnienia zgodności protokołu replikacji z kontrolerem domeny i jest stosowane tylko lokalnie między kontrolerem domeny a agentem synchronizacji skrótów haseł.

  4. Agent synchronizacji skrótów haseł rozszerza binarnego 16-bajtowego skrótu hasła do 64 bajtów, najpierw konwertując skrót na 32-bajtowy ciąg szesnastkowy, a następnie konwertując ten ciąg z powrotem na binarny przy użyciu kodowania UTF-16.

  5. Agent synchronizacji skrótów haseł dodaje na użytkownika sól składającą się z soli o długości 10 bajtów do pliku binarnego 64-bajtowego w celu dalszej ochrony oryginalnego skrótu.

  6. Następnie agent synchronizacji skrótów haseł łączy skrót MD4 oraz sól przypisaną do użytkownika i wprowadza je do funkcji PBKDF2. Używane są 1000 iteracji algorytmu wyznaczania wartości skrótu klucza HMAC-SHA256 . Aby uzyskać więcej informacji, zapoznaj się z dokumentem „Microsoft Entra Whitepaper”.

  7. Agent synchronizacji hashów haseł przyjmuje wynikowy 32-bajtowy hash, dodaje do niego sól na użytkownika oraz liczbę iteracji SHA256 (dla użycia przez Microsoft Entra ID), a następnie przesyła ciąg z Microsoft Entra Connect do Microsoft Entra ID przez protokół TLS.

  8. Gdy użytkownik próbuje zalogować się do identyfikatora Entra firmy Microsoft i wprowadza hasło, hasło jest uruchamiane przez ten sam proces MD4+salt+PBKDF2+HMAC-SHA256. Jeśli wynikowy skrót pasuje do skrótu przechowywanego w identyfikatorze Microsoft Entra ID, oznacza to, że użytkownik wprowadził poprawne hasło i jest uwierzytelniony.

Uwaga

Oryginalny skrót MD4 nie jest przesyłany do identyfikatora Entra firmy Microsoft. Zamiast tego jest przesyłany skrót SHA256 oryginalnego skrótu MD4. W związku z tym, jeśli skrót przechowywany w Microsoft Entra ID zostanie przechwycony, nie można go użyć w ataku typu pass-the-hash w środowisku lokalnym.

Uwaga

Wartość skrótu hasła nigdy nie jest przechowywana w języku SQL. Te wartości są przetwarzane tylko w pamięci przed wysłaniem do Microsoft Entra ID.

Zagadnienia dotyczące zabezpieczeń

Podczas synchronizowania haseł wersja zwykłego tekstu hasła nie jest widoczna dla funkcji synchronizacji skrótów haseł, identyfikatora Entra firmy Microsoft ani żadnej ze skojarzonych usług.

Uwierzytelnianie użytkowników odbywa się za pomocą Microsoft Entra, a nie własnej instancji Active Directory organizacji. Dane hasła SHA256 przechowywane w identyfikatorze Entra firmy Microsoft (skrót oryginalnego skrótu MD4) są bezpieczniejsze niż dane przechowywane w usłudze Active Directory. Ponadto, ponieważ nie można odszyfrować tego skrótu SHA256, nie można go przywrócić do środowiska usługi Active Directory organizacji i przedstawić jako prawidłowe hasło użytkownika w ataku typu pass-the-hash.

Zagadnienia dotyczące zasad haseł

Istnieją dwa typy zasad haseł, których dotyczy włączanie synchronizacji skrótów haseł:

  • Zasady złożoności hasła
  • Zasady wygasania haseł

Zasady złożoności hasła

Po włączeniu synchronizacji haszy haseł, polityki złożoności haseł w lokalnym wystąpieniu usługi Active Directory zastępują polityki złożoności w chmurze dla zsynchronizowanych użytkowników. ** Aby uzyskać dostęp do Microsoft Entra, możesz użyć wszystkich prawidłowych haseł z wystąpienia lokalnego Active Directory.

Uwaga

Hasła użytkowników utworzonych bezpośrednio w chmurze nadal podlegają zasadom haseł zdefiniowanym w chmurze.

Zasady wygasania haseł

Jeśli użytkownik znajduje się w zakresie synchronizacji skrótów haseł, domyślnie hasło konta w chmurze jest ustawione na Nigdy nie wygasa.

Możesz nadal logować się do usług w chmurze przy użyciu zsynchronizowanego hasła, które wygasło w środowisku lokalnym. Hasło do chmury zostanie zaktualizowane przy następnej zmianie hasła w środowisku lokalnym.

PolitykaChmuryDlaUżytkownikówZSynchronizowanymiHasłamiWłączona

Jeśli są zsynchronizowani użytkownicy, którzy korzystają tylko z usług zintegrowanych firmy Microsoft Entra i muszą być zgodni z zasadami wygasania haseł, możesz wymusić ich zgodność z zasadami wygasania haseł firmy Microsoft, włączając funkcję CloudPasswordPolicyForPasswordSyncedUsersEnabled (w przestarzałym module MSOnline programu PowerShell nosi nazwę EnforceCloudPasswordPolicyForPasswordSyncedUsers).

Gdy właściwość CloudPasswordPolicyForPasswordSyncedUsersEnabled jest wyłączona (czyli ustawienie domyślne), program Microsoft Entra Connect aktualizuje atrybut PasswordPolicies synchronizowanych użytkowników na wartość "DisablePasswordExpiration". Ta aktualizacja jest wykonywana za każdym razem, gdy hasło użytkownika jest synchronizowane i instruuje identyfikator Entra firmy Microsoft, aby zignorował zasady wygasania haseł w chmurze dla tego użytkownika. Wartość atrybutu można sprawdzić przy użyciu modułu Microsoft Graph PowerShell za pomocą następującego polecenia:

(Get-MgUser -UserId <User Object ID> -Property PasswordPolicies).PasswordPolicies

Aby włączyć funkcję CloudPasswordPolicyForPasswordSyncedUsersEnabled, uruchom następujące polecenia przy użyciu modułu Graph PowerShell:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.CloudPasswordPolicyForPasswordSyncedUsersEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features

Uwaga

Aby poprzedni skrypt działał, musisz zainstalować moduł MSGraph PowerShell. Jeśli wystąpią jakiekolwiek błędy związane z niewystarczającymi uprawnieniami, upewnij się, że wyraziłeś zgodę na zakres interfejsu API poprawnie, używając następującego polecenia podczas łączenia Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

Po włączeniu, Microsoft Entra ID nie zmienia atrybutu PasswordPolicies u każdego zsynchronizowanego użytkownika, aby usunąć wartość DisablePasswordExpiration. Zamiast tego, wartość DisablePasswordExpiration zostanie usunięta z zasad PasswordPolicies podczas następnej synchronizacji skrótów haseł dla każdego użytkownika, przy ich kolejnej zmianie hasła w lokalnej usłudze AD.

Po włączeniu funkcji CloudPasswordPolicyForPasswordSyncedUsersEnabled nowi użytkownicy są aprowizowani bez wartości PasswordPolicies.

Napiwek

Zaleca się włączenie funkcji CloudPasswordPolicyForPasswordSyncedUsersEnabled przed włączeniem synchronizacji skrótów haseł, aby początkowa synchronizacja skrótów haseł nie dodała DisablePasswordExpiration wartości do atrybutu PasswordPolicies dla użytkowników.

Domyślne zasady haseł firmy Microsoft Entra nie wymagają od użytkowników zmiany haseł. Jeśli zasady w lokalnej usłudze Active Directory są inne, możesz zaktualizować zasady haseł firmy Microsoft w celu dopasowania za pomocą polecenia Update-MgDomain PowerShell.

Identyfikator entra firmy Microsoft obsługuje oddzielne zasady wygasania haseł dla zarejestrowanej domeny.

Zastrzeżenie: jeśli istnieją zsynchronizowane konta, które muszą mieć hasła niewygasające w Microsoft Entra ID, musisz jawnie dodać wartość DisablePasswordExpiration do atrybutu PasswordPolicies obiektu użytkownika w Microsoft Entra ID. Tę wartość można dodać, uruchamiając następujące polecenie:

Update-MgUser -UserID <User Object ID> -PasswordPolicies "DisablePasswordExpiration"`

Uwaga

W przypadku użytkowników hybrydowych, którzy mają ustawioną PasswordPolicies na DisablePasswordExpiration, ta wartość przełącza się na None po zmianie hasła w środowisku lokalnym.

Uwaga

Polecenie Update-MgDomain programu PowerShell nie działa w domenach federacyjnych.

Uwaga

Polecenie Update-MgUser programu PowerShell nie działa w domenach federacyjnych.

Synchronizowanie haseł tymczasowych i "Wymuszanie zmiany hasła podczas następnego logowania"

Typowe jest wymuszanie na użytkowniku zmiany hasła podczas jego pierwszego logowania, zwłaszcza po zresetowaniu hasła przez administratora. Jest on powszechnie znany jako ustawienie "tymczasowego" hasła i jest wykonywany przez sprawdzenie flagi "Użytkownik musi zmienić hasło przy następnym logowaniu" na obiekcie użytkownika w usłudze Active Directory (AD).

Funkcja tymczasowego hasła pomaga zagwarantować, że przeniesienie własności poświadczeń zostanie ukończone przy pierwszym użyciu, aby zminimalizować czas, w którym więcej niż jedna osoba ma wiedzę o tym poświadczeniu.

Aby obsługiwać tymczasowe hasła w identyfikatorze Entra firmy Microsoft dla zsynchronizowanych użytkowników, możesz włączyć funkcję ForcePasswordChangeOnLogOn , uruchamiając następujące polecenia przy użyciu modułu Graph PowerShell:

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.UserForcePasswordChangeOnLogonEnabled = $true

Update-MgDirectoryOnPremiseSynchronization `
  -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
  -Features $OnPremSync.Features

Uwaga

Nowy użytkownik utworzony w usłudze Active Directory z flagą "Użytkownik musi zmienić hasło przy następnym logowaniu" będzie zawsze provisionowany w Microsoft Entra ID z polityką haseł ustawioną na "Wymuś zmianę hasła podczas następnego logowania", niezależnie od tego, czy funkcja ForcePasswordChangeOnLogOn jest włączona, czy wyłączona. Jest to wewnętrzna logika firmy Microsoft Entra, ponieważ nowy użytkownik jest aprowizowany bez hasła, natomiast funkcja ForcePasswordChangeOnLogOn ma wpływ tylko na scenariusze resetowania hasła administratora.

Jeśli użytkownik został utworzony w usłudze Active Directory z komunikatem "Użytkownik musi zmienić hasło przy następnym logowaniu", zanim funkcja została włączona, podczas logowania zostanie wyświetlony błąd. Aby rozwiązać ten problem, usuń zaznaczenie i ponownie zaznacz pole "Użytkownik musi zmienić hasło przy następnym logowaniu" w Użytkownicy i komputery usługi Active Directory. Po zsynchronizowaniu zmiany obiektu użytkownika użytkownik otrzyma oczekiwany monit w identyfikatorze Entra firmy Microsoft w celu zaktualizowania hasła.

Uwaga

Tej funkcji należy używać tylko wtedy, gdy SSPR i zapisywanie zwrotne haseł są włączone u dzierżawcy. Dzieje się tak, aby po zmianie hasła przez użytkownika za pośrednictwem samoobsługowego resetowania hasła (SSPR), hasło zostało zsynchronizowane z usługą Active Directory.

Wygaśnięcie konta

Jeśli Organizacja używa atrybutu accountExpires w ramach zarządzania kontami użytkowników, ten atrybut nie jest synchronizowany z identyfikatorem Entra firmy Microsoft. W związku z tym wygasłe konto usługi Active Directory w środowisku skonfigurowanym do synchronizacji skrótów haseł będzie nadal aktywne w identyfikatorze Entra firmy Microsoft. Zalecamy użycie zaplanowanego skryptu programu PowerShell, który wyłącza konta AD użytkowników, gdy wygasną (użyj polecenia cmdlet Set-ADUser). Z drugiej strony, podczas procesu usuwania daty wygaśnięcia z konta AD, konto powinno zostać ponownie aktywowane.

Synchronizacja skrótów haseł i uwierzytelnianie za pomocą karty inteligentnej

Klienci mogą wymagać, aby użytkownicy logowali się do domen systemu Windows przy użyciu fizycznej karty inteligentnej CAC/PIV. Aby to zrobić, należy skonfigurować w usłudze Active Directory ustawienie właściwości użytkownika Smart Card Required for Interactive Logon (SCRIL).

Gdy funkcja SCRIL jest włączona w obiekcie użytkownika, hasło użytkownika w usłudze AD jest zrandomizowane przez kontroler domeny do wartości, której nikt nie zna, a użytkownik musi się zarejestrować, a następnie uwierzytelnić się w domenie systemu Windows za pomocą karty inteligentnej.

Po włączeniu synchronizacji skrótów haseł ten skrót hasła usługi AD jest synchronizowany z identyfikatorem Entra firmy Microsoft, dzięki czemu można go również używać do uwierzytelniania w chmurze.

Uwaga

Wraz z wydaniem wersji 2.4.18.0 programu Microsoft Entra Connect Sync rozwiązaliśmy problem, który wystąpił, gdy funkcja SCRIL została ponownie włączona w obiekcie użytkownika. Ponowne włączanie funkcji SCRIL jest typowe w scenariuszach, w których użytkownik traci kartę inteligentną, co wymaga wyłączenia funkcji SCRIL, a użytkownik jest dostarczany z tymczasowym hasłem do momentu wystawienia nowej karty inteligentnej

Wcześniej, gdy funkcja SCRIL została ponownie włączona i wygenerowano nowe losowe hasło usługi AD, użytkownik nadal mógł używać swojego starego hasła do uwierzytelniania w identyfikatorze Entra firmy Microsoft. Teraz funkcja Connect Sync została zaktualizowana, aby nowe losowe hasło usługi AD zostało zsynchronizowane z identyfikatorem Firmy Microsoft Entra i nie można używać starego hasła po włączeniu logowania do karty inteligentnej.

Zalecamy, aby administratorzy wykonali dowolną z poniższych akcji, jeśli mają użytkowników z bitem SCRIL w domenie AD.

  1. Wykonaj pełną synchronizację PHS zgodnie z tym przewodnikiem, aby upewnić się, że hasła wszystkich użytkowników SCRIL są zaszyfrowane.
  2. Zamieszaj hasło pojedynczego użytkownika, wyłączając, a następnie włączając ustawienia SCRIL lub bezpośrednio zmieniając hasło użytkownika.
  3. Okresowo obracaj hasła dla użytkowników SCRIL. W końcu wszyscy tacy użytkownicy będą mieli swoje hasła zakodowane

Nadpisz zsynchronizowane hasła

Administrator może ręcznie zresetować hasło bezpośrednio w usłudze Microsoft Entra ID przy użyciu programu PowerShell (chyba że użytkownik znajduje się w domenie federacyjnej).

W takim przypadku nowe hasło zastępuje zsynchronizowane hasło, a wszystkie zasady haseł zdefiniowane w chmurze są stosowane do nowego hasła.

Jeśli ponownie zmienisz hasło lokalne, nowe hasło zostanie zsynchronizowane z chmurą i zastąpi ręcznie zaktualizowane hasło.

Synchronizacja hasła nie ma wpływu na zalogowanego użytkownika platformy Azure. Bieżąca sesja usługi w chmurze nie ma natychmiastowego wpływu na zsynchronizowaną zmianę hasła, która występuje podczas logowania się do usługi w chmurze. KMSI wydłuża czas trwania tej różnicy. Gdy usługa w chmurze wymaga ponownego uwierzytelnienia, musisz podać nowe hasło.

Proces synchronizacji skrótów haseł dla usług Microsoft Entra Domain Services

Jeśli używasz usług Microsoft Entra Domain Services do zapewnienia starszego uwierzytelniania dla aplikacji i usług, które muszą używać protokołu Kerberos, LDAP lub NTLM, niektóre dodatkowe procesy są częścią przepływu synchronizacji skrótów haseł. Program Microsoft Entra Connect używa następującego procesu do synchronizowania skrótów haseł z identyfikatorem Entra firmy Microsoft do użycia w usługach Microsoft Entra Domain Services:

Ważne

Program Microsoft Entra Connect powinien być zainstalowany i skonfigurowany tylko do synchronizacji z lokalnymi środowiskami usług AD DS. Nie jest obsługiwane instalowanie programu Microsoft Entra Connect w domenie zarządzanej przez usługi Microsoft Entra Domain Services w celu synchronizowania obiektów z powrotem do Microsoft Entra ID.

Microsoft Entra Connect synchronizuje starsze skróty haseł tylko wtedy, gdy włączysz usługi Microsoft Entra Domain Services dla dzierżawy Microsoft Entra. Poniższe kroki nie są używane, jeśli używasz programu Microsoft Entra Connect tylko do synchronizowania lokalnego środowiska usług AD DS z identyfikatorem Microsoft Entra ID.

Jeśli starsze aplikacje nie korzystają z uwierzytelniania NTLM ani prostych powiązań LDAP, zalecamy wyłączenie synchronizacji skrótów haseł NTLM dla usług Microsoft Entra Domain Services. Aby uzyskać więcej informacji, zobacz Wyłączanie słabych zestawów szyfrowania i synchronizację skrótów poświadczeń NTLM.

  1. Program Microsoft Entra Connect pobiera klucz publiczny dla instancji usługi Microsoft Entra Domain Services należącej do dzierżawcy.
  2. Gdy użytkownik zmieni hasło, lokalny kontroler domeny przechowuje wynik zmiany hasła (skrótów) w dwóch atrybutach:
    • unicodePwd dla skrótu hasła NTLM.
    • supplementalCredentials dla skrótu hasła Kerberos.
  3. Program Microsoft Entra Connect wykrywa zmiany haseł za pośrednictwem kanału replikacji katalogów (zmiany atrybutów, które muszą być replikowane do innych kontrolerów domeny).
  4. Dla każdego użytkownika, którego hasło uległo zmianie, program Microsoft Entra Connect wykonuje następujące kroki:
    • Generuje losowy klucz symetryczny AES 256-bitowy.
    • Generuje losowy wektor inicjowania wymagany do pierwszej rundy szyfrowania.
    • Wyodrębnia skróty haseł Kerberos z atrybutów supplementalCredentials.
    • Sprawdza ustawienie konfiguracji zabezpieczeń SyncNtlmPasswords w usłudze Microsoft Entra Domain Services.
      • Jeśli to ustawienie jest wyłączone, generuje losowy skrót NTLM o wysokiej entropii, który różni się od hasła użytkownika. Ten skrót jest następnie łączony z dokładnymi skrótami haseł Kerberos z atrybutu supplementalCrendetials w jedną strukturę danych.
      • Jeśli to ustawienie jest włączone, łączy wartość atrybutu unicodePwd z wyodrębnionym skrótem hasła Kerberos z atrybutu supplementalCredentials w jedną strukturę danych.
    • Szyfruje pojedynczą strukturę danych przy użyciu klucza symetrycznego AES.
    • Szyfruje klucz symetryczny AES za pomocą klucza publicznego usługi Microsoft Entra Domain Services należącej do dzierżawcy.
  5. Program Microsoft Entra Connect przesyła zaszyfrowany klucz symetryczny AES, zaszyfrowaną strukturę danych zawierającą skróty haseł i wektor inicjowania do identyfikatora Firmy Microsoft Entra.
  6. Microsoft Entra ID przechowuje zaszyfrowany klucz symetryczny AES, zaszyfrowaną strukturę danych i wektor inicjowania użytkownika.
  7. Microsoft Entra ID przesyła zaszyfrowany klucz symetryczny AES, zaszyfrowaną strukturę danych oraz wektor inicjujący, korzystając z wewnętrznego mechanizmu synchronizacji, za pośrednictwem zaszyfrowanej sesji HTTP do usług Microsoft Entra Domain Services.
  8. Usługa Microsoft Entra Domain Services pobiera klucz prywatny dla wystąpienia dzierżawy z usługi Azure Key Vault.
  9. Dla każdego zaszyfrowanego zestawu danych (reprezentującego zmianę hasła pojedynczego użytkownika) usługi Microsoft Entra Domain Services wykonują następujące kroki:
    • Używa klucza prywatnego do odszyfrowania klucza symetrycznego AES.
    • Używa klucza symetrycznego AES z wektorem inicjowania, aby odszyfrować zaszyfrowaną strukturę danych zawierającą skróty haseł.
    • Zapisuje skróty haseł protokołu Kerberos odbierane do kontrolera domeny usług Microsoft Entra Domain Services. Skróty są zapisywane w atrybucie supplementalCredentials obiektu użytkownika, który jest zaszyfrowany za pomocą klucza publicznego kontrolera domeny usług Microsoft Entra Domain Services.
    • Usługa Microsoft Entra Domain Services zapisuje odebrany skrót hasła NTLM na kontrolerze domeny usług Microsoft Entra Domain Services. Skrót jest zapisywany w atrybucie unicodePwd obiektu użytkownika, który jest zaszyfrowany za pomocą klucza publicznego kontrolera domeny usług Microsoft Entra Domain Services.

Włącz synchronizację skrótów haseł

Ważne

Jeśli przeprowadzasz migrację z usług AD FS (lub innych technologii federacyjnych) do synchronizacji skrótów haseł, wyświetl zasoby migracji aplikacji do identyfikatora Entra firmy Microsoft.

Podczas instalowania programu Microsoft Entra Connect przy użyciu opcji Ustawienia ekspresowej synchronizacja skrótów haseł jest automatycznie włączona. Aby uzyskać więcej informacji, zobacz Wprowadzenie do programu Microsoft Entra Connect przy użyciu ustawień ekspresowych.

Jeśli używasz ustawień niestandardowych podczas instalowania programu Microsoft Entra Connect, synchronizacja skrótów haseł jest dostępna na stronie logowania użytkownika. Aby uzyskać więcej informacji, zobacz Niestandardowa instalacja programu Microsoft Entra Connect.

Włączanie synchronizacji skrótów haseł

Synchronizacja skrótów haseł i fiPS

Jeśli serwer jest zablokowany zgodnie z Federal Information Processing Standard (FIPS), md5 jest wyłączony.

Aby włączyć funkcję MD5 na potrzeby synchronizacji skrótów haseł, wykonaj następujące kroki:

  1. Przejdź do folderu %programfiles%\Microsoft Azure AD Sync\Bin.
  2. Otwórz plik miiserver.exe.config.
  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego na końcu pliku.
  4. Dodaj następujący węzeł: <enforceFIPSPolicy enabled="false" />
  5. Zapisz zmiany.
  6. Uruchom ponownie, aby zmiany zaczęły obowiązywać.

Do celów referencyjnych ten fragment kodu powinien wyglądać następująco:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false" />
        </runtime>
    </configuration>

Aby uzyskać informacje o zabezpieczeniach i zgodności ze standardami FIPS, zobacz synchronizację skrótu hasła Microsoft Entra, szyfrowanie i zgodność z FIPS.

Rozwiązywanie problemów z synchronizacją skrótów haseł

Jeśli masz problemy z synchronizacją skrótów haseł, zobacz Rozwiązywanie problemów z synchronizacją skrótów haseł.

Następne kroki