Implementar a sincronização de hash de senha de gerenciamento (PHS)

Concluído

Como funciona a sincronização de hash de palavra-passe

A Sincronização do hash de palavras-passe é um dos métodos de início de sessão utilizados para obter a identidade híbrida. O Microsoft Entra Connect sincroniza um hash, do hash, da senha de um usuário de uma instância do Ative Directory local para uma instância do Microsoft Entra baseada em nuvem.

Diagram of Microsoft Entra Connect passes a password hash for a user between on-premises and in the cloud.

Os Serviços de Domínio Ative Directory armazenam senhas na forma de uma representação de valor de hash da senha de usuário real. Os valores de hash são o resultado de uma função matemática unidirecional (o algoritmo hash). Não existe nenhum método para reverter o resultado de uma função unidirecional para a versão de texto simples de uma palavra-passe. Para sincronizar sua senha, a sincronização do Microsoft Entra Connect extrai seu hash de senha da instância local do Ative Directory. O processamento de segurança extra é aplicado ao hash de senha antes de ser sincronizado com o serviço de autenticação do Microsoft Entra. As senhas são sincronizadas por usuário e em ordem cronológica.

O fluxo de dados real do processo de sincronização do hash de palavras-passe é semelhante à sincronização dos dados do utilizador. No entanto, as senhas são sincronizadas com mais frequência do que a janela de sincronização de diretórios padrão para outros atributos. O processo de sincronização do hash de palavras-passe é executado a cada 2 minutos. Não é possível modificar a frequência deste processo. Quando você sincroniza uma senha, ela substitui a senha de nuvem existente.

A primeira vez que ativa a funcionalidade de sincronização do hash de palavras-passe, é executada uma sincronização inicial das palavras-passe de todos os utilizadores no âmbito. Não é possível definir explicitamente um subconjunto de senhas de usuário que deseja sincronizar durante a primeira sincronização. Quando a sincronização inicial for concluída, você poderá configurar uma sincronização de hash de senha seletiva para sincronizações futuras.

Se houver vários conectores, é possível desativar a sincronização de hash de senha para alguns conectores, mas não para outros. Quando você altera uma senha local, a senha atualizada é sincronizada, na maioria das vezes em questão de minutos. A funcionalidade de sincronização do hash de palavras-passe tenta novamente e de forma automática sincronizar as tentativas falhadas. Se ocorrer um erro durante uma tentativa de sincronizar uma palavra-passe, é registado um erro no visualizador de eventos.

Ativar a sincronização do hash de palavras-passe

Quando você instala o Microsoft Entra Connect usando a opção Configurações Expressas, a sincronização de hash de senha é habilitada automaticamente. Se você usar configurações personalizadas ao instalar o Microsoft Entra Connect, a sincronização de hash de senha estará disponível na página de entrada do usuário.

Screenshot of Microsoft Entra Connect with the Password Hash Synchronization option selected.

Sincronização de hash de senha e padrão de processamento de informações federais

Se o servidor estiver bloqueado de acordo com o Federal Information Processing Standard (FIPS), o MD5 será desativado.

Para ativar o MD5 para a sincronização do hash de palavras-passe, execute os seguintes passos:

  1. Aceder a %programfiles%\Azure A D Sync\Bin.
  2. Abra miiserver.exe.config.
  3. Vá para o nó de configuração/tempo de execução no final do arquivo.
  4. Adicione o seguinte nó: <enforceFIPSPolicy enabled="false"/>
  5. Guardar as suas alterações.

Para referência, este trecho é o que deve parecer:

    <configuration>
        <runtime>
            <enforceFIPSPolicy enabled="false"/>
        </runtime>
    </configuration>




Usando o PingFederate

Configure o PingFederate com o Microsoft Entra Connect para configurar a federação com o domínio que você deseja conectar. Os seguintes pré-requisitos são necessários:

  • PingFederate 8.4 ou posterior.
  • Um certificado TLS/SSL para o nome do serviço de federação que você pretende usar (por exemplo, sts.contoso.com).

Depois de optar por configurar a federação usando o PingFederate no AD Connect, você será solicitado a verificar o domínio que deseja federar. Selecione o domínio no menu suspenso.

Screenshot of Microsoft Entra Connect interface showing the domain you want to create a federation with.

Configure o PingFederate como o servidor de federação para cada domínio federado do Azure. Em seguida, selecione Configurações de exportação para compartilhar essas informações com o administrador do PingFederate. O administrador do servidor de federação atualiza a configuração e fornece a URL do servidor PingFederate e o número da porta para que o Microsoft Entra Connect possa verificar as configurações de metadados.