Implementar sincronização de palavras-passe com Azure Ative Directory Sync
Atualizado: 22 de julho de 2015
Importante
Este tópico será arquivado em breve.
Há um novo produto chamado "Azure Ative Directory Ligação" que substitui AADSync e DirSync.
O Azure AD Connect inclui os componentes e as funcionalidades já disponibilizadas como o Dirsync e o AAD Sync.
Em algum momento no futuro, o apoio a Dirsync e AAD Sync terminará.
Estas ferramentas já não estão a ser atualizadas individualmente com melhorias de funcionalidades, e todas as melhorias futuras serão incluídas em atualizações para Azure AD Ligação.
Com a sincronização da palavra-passe, permite que os seus utilizadores utilizem a mesma palavra-passe que estão a usar para se apresentar em início de s Ative Directory no local para Azure Ative Directory.
O objetivo deste tópico é fornecer-lhe as informações necessárias para entender como funciona a sincronização da palavra-passe e como capacitá-la no seu ambiente.
O que é a sincronização da palavra-passe
A sincronização de palavras-passe é uma característica do Serviço de Sincronização Azure Ative Directory (Azure AD Sync) que sincroniza as palavras-passe dos utilizadores desde o seu Ative Directory no local até à Azure Ative Directory (" Azure AD"). Esta funcionalidade permite que os seus utilizadores iniciem sessão nos seus serviços de Azure Ative Directory (como Office 365, Microsoft Intune, CRM Online, etc.) utilizando a mesma palavra-passe que utilizam para iniciar sessão na sua rede de acesso ao local. É importante notar que esta funcionalidade não fornece uma solução de Sign-On única (SSO) porque não existe partilha/troca de fichas no processo baseado na sincronização de palavras-passe.
Nota
Para obter mais detalhes sobre Ative Directory Domain Services configurados para sincronização de FIPS e password, consulte o Sync de Palavra-Passe falhando em sistemas compatíveis com FIPS.
Disponibilidade de Sincronização de Passwords
Qualquer cliente de Azure Ative Directory é elegível para executar a sincronização de palavras-passe. Consulte abaixo informações sobre a compatibilidade da sincronização de passwords e outras funcionalidades, como a Autenticação Federada.
Tem de estar a executar a versão de outubro ou maior de Azure AD Sync para permitir a sincronização de passwords (a versão está disponível no download do instalador .exe). Você pode baixar a versão mais recente de Azure AD Sync usando este link.
Como funciona a sincronização da palavra-passe
A sincronização de palavras-passe é uma extensão da funcionalidade de sincronização do diretório implementada pela ferramenta Diretório Sync. Como consequência disso, esta funcionalidade requer sincronização de diretórios entre o seu local e o seu Azure Ative Directory a ser configurado.
O Serviço Domínio do Ative Directory armazena senhas sob a forma de uma representação de valor hash da senha do utilizador real. O hash password não pode ser usado para iniciar sessão na sua rede no local. Também foi concebido para que não possa ser revertido para ter acesso à palavra-passe de texto simples do utilizador. Para sincronizar uma palavra-passe, Azure AD Sync extrai o hash da palavra-passe do utilizador do Ative Directory no local. O processamento adicional de segurança é aplicado ao hash da palavra-passe antes de ser sincronizado com o serviço de autenticação Azure Ative Directory. O fluxo real de dados do processo de sincronização de palavras-passe é semelhante à sincronização de dados do utilizador, tais como DisplayName ou Endereços de E-mail.
As palavras-passe são sincronizadas com mais frequência do que a janela padrão do Diretório Sync para outros atributos. As palavras-passe são sincronizadas por utilizador e são geralmente sincronizadas por ordem cronológica. Quando a palavra-passe de um utilizador é sincronizada do AD no local para a nuvem, a palavra-passe em nuvem existente será substituída.
Quando ativar pela primeira vez a funcionalidade de sincronização de palavras-passe, irá realizar uma sincronização inicial das palavras-passe de todos os utilizadores em alcance, desde o seu Ative Directory no local até ao Azure Ative Directory. Não é possível definir explicitamente o conjunto de utilizadores que terão as suas palavras-passe sincronizadas na nuvem. Posteriormente, quando uma palavra-passe foi alterada por um utilizador no local, a função de sincronização de palavras-passe deteta e sincroniza a palavra-passe alterada, na maioria das vezes em questão de minutos. A função de sincronização de palavra-passe automaticamente retribra sincronizações de palavras-passe do utilizador falhadas. Se ocorrer um erro durante uma tentativa de sincronizar uma palavra-passe, o erro é registado no seu visualizador de eventos.
A sincronização de uma palavra-passe não tem qualquer impacto nos utilizadores atualmente registados. Se um utilizador que está registado num serviço de cloud também alterar a palavra-passe no local, a sessão de serviço na nuvem continuará ininterrupta. No entanto, assim que o serviço na nuvem exigir que o utilizador reautena, a nova palavra-passe precisa de ser fornecida. Neste momento, o utilizador é obrigado a fornecer a nova palavra-passe – a palavra-passe que foi recentemente sincronizada desde o Ative Directory no local até à nuvem.
Considerações de segurança
Ao sincronizar palavras-passe, a versão de texto simples da palavra-passe de um utilizador não está exposta à funcionalidade de sincronização de palavras-passe nem a Azure AD ou a qualquer dos serviços associados.
Além disso, não existe qualquer requisito no Ative Directory no local para armazenar a palavra-passe num formato reversivelmente encriptado. É utilizada uma digestão do Windows hash de senha do Ative Directory para a transmissão entre a AD no local e a Azure Ative Directory. A digestão do hash da palavra-passe não pode ser usada para aceder a recursos no ambiente do cliente no local.
Considerações de Política de Palavra-Passe
Existem 2 tipos de políticas de palavra-passe que são afetadas por permitir a sincronização da palavra-passe:
Política de Complexidade de Palavras-Passe
Política de expiração da palavra-passe
Política de Complexidade de Palavras-Passe
Quando ativa a sincronização da palavra-passe, as políticas de complexidade da palavra-passe configuradas no Ative Directory no local sobrepõem quaisquer políticas de complexidade que possam ser definidas na nuvem para utilizadores sincronizados. Isto significa que qualquer palavra-passe válida no ambiente Ative Directory no local do cliente pode ser utilizada para aceder a serviços Azure AD.
Nota
As palavras-passe para os utilizadores que são criados diretamente na nuvem ainda estão sujeitas a políticas de senhas, tal como definidas na nuvem.
Política de expiração da palavra-passe
Se um utilizador estiver no âmbito da sincronização da palavra-passe, a palavra-passe da conta na nuvem é definida como "Nunca Expire". Isto significa que é possível que a palavra-passe de um utilizador expire no ambiente no local, mas eles podem continuar a iniciar sessão nos serviços na nuvem usando esta senha expirada.
A palavra-passe em nuvem será atualizada da próxima vez que o utilizador alterar a palavra-passe no ambiente no local.
Palavras-passe sincronizadas de sobreposição
Um administrador pode redefinir manualmente a palavra-passe de um utilizador utilizando o Azure Ative Directory PowerShell.
Neste caso, a nova palavra-passe irá sobrepor-se à palavra-passe sincronizada do utilizador e todas as políticas de palavra-passe definidas na nuvem serão aplicadas à nova palavra-passe.
Se o utilizador voltar a alterar a palavra-passe no local, a nova palavra-passe será sincronizada na nuvem e substituirá a palavra-passe atualizada manualmente.
Preparação para sincronização de palavras-passe
O seu Azure Ative Directory inquilino deve ser habilitado para sincronização de diretórios antes que o inquilino possa ser habilitado para sincronização de palavras-passe.
Ativar a sincronização da palavra-passe
Ativa a sincronização da palavra-passe ao executar o assistente de configuração Azure AD Sync.
Na página de diálogo de funcionalidades opcionais , selecione a caixa de verificação "Sincronização de palavras-passe".
.jpg "Optional features")
Nota
Este processo desencadeia uma sincronização completa. Os ciclos de sincronização completos geralmente demoram mais tempo do que outros ciclos de sincronização para ser concluído.
Gestão da sincronização de palavras-passe
Pode monitorizar o progresso da sincronização da palavra-passe através do registo de eventos da máquina que está a funcionar Azure AD Sync.
Determinação do estado de sincronização da palavra-passe
Pode determinar quais os utilizadores que tiveram as suas palavras-passe sincronizadas com sucesso, revendo os eventos que correspondem aos seguintes critérios:
| Origem | ID do Evento |
|---|---|
Sincronização do Diretório |
656 |
Sincronização do Diretório |
657 |
Os eventos com o ID 656 do Evento fornecem um relatório de pedidos de alteração de senha processada:
.jpg "Event ID 656")
Os eventos correspondentes com o ID 657 fornecem o resultado destes pedidos:
.jpg "Event ID 657")
Nos eventos, os objetos afetados são identificados pela sua âncora e pelo valor DN. O valor de âncora corresponde ao valor ImuttableId que é devolvido a um utilizador pelo cmdlet Get-MsoUser .
Além dos identificadores de objetos, o ID 656 do Evento fornece a data em que a palavra-passe do utilizador foi alterada no Ative Directory no local::
.jpg "Password Change Request")
O ID 657 do evento tem um campo resultado para além dos identificadores de objetos de origem para indicar o estado de sincronização desse objeto do utilizador.
Uma palavra-passe sincronizada com sucesso está num evento com o ID 657 do Evento indicado por um valor de Sucesso para o atributo Resultado . Quando uma tentativa de sincronização de palavra-passe falhou, o valor do atributo Resultado é Falha:
.jpg "Password Change Result")
Desativar a sincronização da palavra-passe
Desativa a sincronização da palavra-passe re-executando o Assistente de Configuração Azure AD Sync.
Quando solicitado pelo Assistente, desescoda a caixa de verificação "Sincronização de palavras-passe".
Nota
Este processo desencadeia uma sincronização completa. Os ciclos de sincronização completos geralmente demoram mais tempo do que outros ciclos de sincronização para ser concluído.
Depois de executar o Assistente de Configuração, o seu inquilino deixará de sincronizar palavras-passe. As novas alterações de palavra-passe não sincronizarão a nuvem. Os utilizadores que anteriormente tivessem as suas palavras-passe sincronizadas poderão continuar a iniciar sessão com essas palavras-passe até que alterem manualmente as suas palavras-passe na nuvem.