Tutorial: Habilitar a sincronização de senha no Microsoft Entra Domain Services para ambientes híbridos

Em ambientes híbridos, um locatário do Microsoft Entra pode ser configurado para sincronização com um ambiente do AD DS (Active Directory Domain Services) local usando o Microsoft Entra Connect. Por padrão, o Microsoft Entra Connect não sincroniza hashes de senha herdados do NTLM (NT LAN Manager) e do Kerberos necessários para o Microsoft Entra Domain Services.

Para usar o Domain Services com as contas sincronizadas de um ambiente do AD DS local, é necessário configurar o Microsoft Entra Connect para sincronizar esses hashes de senha necessários para a autenticação NTLM e Kerberos. Depois que o Microsoft Entra Connect é configurado, uma criação de conta ou evento de alteração de senha local também sincroniza os hashes de senha herdados com a ID do Microsoft Entra.

Você não precisará seguir estas etapas se usar contas somente de nuvem sem nenhum ambiente do AD DS local.

Neste tutorial, você aprenderá:

  • Por que são necessários hashes de senha herdada do Kerberos e NTLM
  • Como configurar a sincronização de hash de senha herdado para o Microsoft Entra Connect

Caso não tenha uma assinatura do Azure, crie uma conta antes de começar.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos:

Sincronização de hash de senha usando o Microsoft Entra Connect

O Microsoft Entra Connect é usado para sincronizar objetos como grupos e contas e usuário de um ambiente do AD DS local com um locatário do Microsoft Entra. Como parte do processo, a sincronização do hash de senha permite que as contas usem a mesma senha no ambiente do AD DS local e na ID do Microsoft Entra.

Para autenticar os usuários no domínio gerenciado, o Domain Services precisa dos hashes de senha em um formato adequado para a autenticação NTLM e Kerberos. O Microsoft Entra ID só armazena os hashes de senha no formato necessário para a autenticação NTLM ou Kerberos quando você habilita o Domain Services para seu locatário. Por motivos de segurança, a ID do Microsoft Entra também não armazena nenhuma credencial de senha no formato de texto não criptografado. Portanto, o Microsoft Entra ID não pode gerar automaticamente essas hashes de senha NTLM ou Kerberos com base nas credenciais existentes dos usuários.

O Microsoft Entra Connect pode ser configurado para sincronizar os hashes de senha NTLM ou Kerberos necessários para o Domain Services. Lembre-se de concluir as etapas para habilitar o Microsoft Entra Connect para a sincronização de hash de senha. Caso você tenha uma instância do Microsoft Entra Connect, baixe e atualize para a última versão para verificar se poderá sincronizar os hashes de senha herdados para o NTLM e o Kerberos. Essa funcionalidade não está disponível nas versões anteriores do Microsoft Entra Connect nem na Ferramenta de Sincronização do Microsoft Azure Active Directory herdada. A versão 1.1.614.0 ou superior do Microsoft Entra Connect é necessária.

Importante

O Microsoft Entra Connect só deve ser instalado e configurado para sincronização com ambientes do AD DS local. Não há suporte para instalar o Microsoft Entra Connect em um domínio gerenciado do Domain Services para sincronizar objetos de volta para o Microsoft Entra ID.

Habilitar sincronização de hashes de senha

Com o Microsoft Entra Connect instalado e configurado para sincronização com a ID do Microsoft Entra, agora configure a sincronização de hash de senha herdado para o NTLM e o Kerberos. Um script do PowerShell é usado para definir as configurações necessárias e, em seguida, iniciar uma sincronização de senha completa com a ID do Microsoft Entra. Quando o processo de sincronização de hash de senha do Microsoft Entra Connect for concluído, os usuários poderão entrar nos aplicativos por meio do Domain Services que usam os hashes de senha herdados do NTLM ou do Kerberos.

  1. No computador com o Microsoft Entra Connect instalado, no menu Iniciar, abra o Microsoft Entra Connect> Serviço de Sincronização.

  2. Selecione a guia Conectores. As informações de conexão usadas para estabelecer a sincronização entre o ambiente do AD DS local e a ID do Microsoft Entra são listadas.

    O Tipo indica o ID do Microsoft Entra do Windows (Microsoft) do conector do Microsoft Entra ou o Active Directory Domain Services do conector do AD DS local. Anota os nomes de conector a serem usados no script do PowerShell na próxima etapa.

    List the connector names in Sync Service Manager

    Nesta captura de tela de exemplo, os conectores a seguir são usados:

    • O conector do Microsoft Entra é chamado contoso.onmicrosoft.com – ID do Microsoft Entra
    • O conector do AD DS local é denominado onprem.contoso.com
  3. Copie e cole o script do PowerShell a seguir no computador com o Microsoft Entra Connect instalado. O script dispara uma sincronização de senha completa que inclui hashes de senha herdados. Atualize as variáveis $azureadConnector e $adConnector com os nomes de conector da etapa anterior.

    Execute esse script em cada floresta do AD para sincronizar os hashes de senha do NTLM e do Kerberos da conta local com a ID do Microsoft Entra.

    # Define the Azure AD Connect connector names and import the required PowerShell module
    $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>"
    $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>"
    
    Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1"
    Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
    
    # Create a new ForceFullPasswordSync configuration parameter object then
    # update the existing connector with this new configuration
    $c = Get-ADSyncConnector -Name $adConnector
    $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null
    $p.Value = 1
    $c.GlobalParameters.Remove($p.Name)
    $c.GlobalParameters.Add($p)
    $c = Add-ADSyncConnector -Connector $c
    
    # Disable and re-enable Azure AD Connect to force a full password synchronization
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false
    Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $true
    

    Dependendo do tamanho do diretório em termos do número de contas e grupos, a sincronização dos hashes de senha herdados com a ID do Microsoft Entra pode levar algum tempo. Em seguida, as senhas são sincronizadas com o domínio gerenciado depois de serem sincronizadas com a ID do Microsoft Entra.

Próximas etapas

Neste tutorial, você aprendeu:

  • Por que são necessários hashes de senha herdada do Kerberos e NTLM
  • Como configurar a sincronização de hash de senha herdado para o Microsoft Entra Connect