首页 > 其他分享 >Microsoft Azure 解决方案:小议 Azure AD Connect 密码哈希同步

Microsoft Azure 解决方案:小议 Azure AD Connect 密码哈希同步

时间:2023-03-06 23:31:59浏览次数:58  
标签:同步 AD 用户 密码 Connect 哈希 Azure

51CTO 博客地址:​ ​​​​https://blog.51cto.com/14669127​​​

Azure培训视频地址:​ ​​​https://space.bilibili.com/2000820534​

凭借密码哈希同步,可将用户密码的哈希从本地 Active Directory 同步到 Azure AD,在本地更改或重置 密码时,新的密码哈希将立即同步到 Azure AD,以便用户始终可使用相同密码访问云资源与本地资源,密码绝不会被发送到 Azure AD,也不会以明文的形式存储在 Azure AD 中,你可将密码哈希同步与密码 写回一起使用,以在 Azure AD 中启用自助式密码重置。

此外,还可以对公司网络中已加入域的计算机上的用户启用无缝 SSO。通过单一登录,受支持的用户只需输入用户名即可安全访问云资源。

Microsoft Azure 解决方案:小议 Azure AD Connect 密码哈希同步_哈希密码同步

Active Directory 域服务以实际用户密码的哈希值表示形式存储密码,哈希值是单向数学函数(哈希算 法)的计算结果。没有任何方法可将单向函数的结果还原为纯文本版本的密码。

为了同步密码,Azure AD Connect 同步将从本地 Active Directory 实例提取密码哈希,同步到 Azure Active Directory 身份验证服务之前,已对密码哈希应用其他安全处理。密码将基于每个用户按时间顺序 同步。

密码哈希同步过程的实际数据流类似于用户数据的同步。但是,密码的同步频率高于其他属性的标准目录同步窗口,密码哈希同步过程每隔 2 分钟运行一次。无法修改此过程的运行频率。同步某个密码时,该密码将覆盖现有的云密码。

首次启用密码哈希同步功能时,它将对范围内的所有用户执行初始密码同步。无法显式定义一部分要同步 的用户密码。但是,如果有多个连接器,可使用 Set-ADSyncAADPasswordSyncConfiguration cmdlet 为某些连接器禁用密码哈希同步,但无法为另一些连接器禁用。

更改本地密码时,更新后的密码会同步,此操作基本上在几分钟内就可完成。密码哈希同步功能会自动重 试失败的同步尝试。如果尝试同步密码期间出现错误,该错误会被记录在事件查看器中。

同步密码不会对当前已登录的用户造成影响。当前的云服务会话不会立即受到已同步密码更改的影响,而是在登录云服务时才受到影响。但是,当云服务要求你再次进行身份验证时,你需要提供新密码。

无论用户是否已登录到其公司网络,都必须再次输入其公司凭据,以便向 Azure AD 进行身份验证。但是,如果用户在登录时选择了“使我保持登录状态(KMSI)”复选框,则可最大限度地避开此模式。此选项会设置一个会话 Cookie 来绕过身份验证 180 天。Azure AD 管理员可以启用或禁用 KMSI 行为。此外, 可以通过启用无缝 SSO 来减少密码提示,该无缝 SSO 可使连接到企业网络的企业设备上的用户自动登录。

密码几乎实时同步,具体是每两分钟同步一次。目录同步计划程序不负责执行密码同步。若要完成所有密 码的完全同步,必须通过 PowerShell 进行手动请求。 可通过 Microsoft 提供的 PowerShell 脚本大致了解密码哈希同步配置。以下屏幕截图显示了密码同步配置示例:

Microsoft Azure 解决方案:小议 Azure AD Connect 密码哈希同步_AD Connect_02

如果某个对象出现问题,请确保 Active Directory 用户和计算机中的用户对象未选择以下设置:用户在下 次登录时必须更改密码。不得选择此选项,因为临时密码不会同步到 Azure AD。此外,如果某入站规则 的 PasswordSync 设置为 True,则可选中 Azure AD Connect Synchronization Service Manager 中 的“In from AD - User AccountEnabled”规则,必须对“Out to Azure AD - User Join”同步出站规 则进行相同配置。

标签:同步,AD,用户,密码,Connect,哈希,Azure
From: https://blog.51cto.com/u_14669127/6104097

相关文章