51CTO 博客地址: https://blog.51cto.com/14669127
Azure培训视频地址: https://space.bilibili.com/2000820534
凭借密码哈希同步,可将用户密码的哈希从本地 Active Directory 同步到 Azure AD,在本地更改或重置 密码时,新的密码哈希将立即同步到 Azure AD,以便用户始终可使用相同密码访问云资源与本地资源,密码绝不会被发送到 Azure AD,也不会以明文的形式存储在 Azure AD 中,你可将密码哈希同步与密码 写回一起使用,以在 Azure AD 中启用自助式密码重置。
此外,还可以对公司网络中已加入域的计算机上的用户启用无缝 SSO。通过单一登录,受支持的用户只需输入用户名即可安全访问云资源。
Active Directory 域服务以实际用户密码的哈希值表示形式存储密码,哈希值是单向数学函数(哈希算 法)的计算结果。没有任何方法可将单向函数的结果还原为纯文本版本的密码。
为了同步密码,Azure AD Connect 同步将从本地 Active Directory 实例提取密码哈希,同步到 Azure Active Directory 身份验证服务之前,已对密码哈希应用其他安全处理。密码将基于每个用户按时间顺序 同步。
密码哈希同步过程的实际数据流类似于用户数据的同步。但是,密码的同步频率高于其他属性的标准目录同步窗口,密码哈希同步过程每隔 2 分钟运行一次。无法修改此过程的运行频率。同步某个密码时,该密码将覆盖现有的云密码。
首次启用密码哈希同步功能时,它将对范围内的所有用户执行初始密码同步。无法显式定义一部分要同步 的用户密码。但是,如果有多个连接器,可使用 Set-ADSyncAADPasswordSyncConfiguration cmdlet 为某些连接器禁用密码哈希同步,但无法为另一些连接器禁用。
更改本地密码时,更新后的密码会同步,此操作基本上在几分钟内就可完成。密码哈希同步功能会自动重 试失败的同步尝试。如果尝试同步密码期间出现错误,该错误会被记录在事件查看器中。
同步密码不会对当前已登录的用户造成影响。当前的云服务会话不会立即受到已同步密码更改的影响,而是在登录云服务时才受到影响。但是,当云服务要求你再次进行身份验证时,你需要提供新密码。
无论用户是否已登录到其公司网络,都必须再次输入其公司凭据,以便向 Azure AD 进行身份验证。但是,如果用户在登录时选择了“使我保持登录状态(KMSI)”复选框,则可最大限度地避开此模式。此选项会设置一个会话 Cookie 来绕过身份验证 180 天。Azure AD 管理员可以启用或禁用 KMSI 行为。此外, 可以通过启用无缝 SSO 来减少密码提示,该无缝 SSO 可使连接到企业网络的企业设备上的用户自动登录。
密码几乎实时同步,具体是每两分钟同步一次。目录同步计划程序不负责执行密码同步。若要完成所有密 码的完全同步,必须通过 PowerShell 进行手动请求。 可通过 Microsoft 提供的 PowerShell 脚本大致了解密码哈希同步配置。以下屏幕截图显示了密码同步配置示例:
如果某个对象出现问题,请确保 Active Directory 用户和计算机中的用户对象未选择以下设置:用户在下 次登录时必须更改密码。不得选择此选项,因为临时密码不会同步到 Azure AD。此外,如果某入站规则 的 PasswordSync 设置为 True,则可选中 Azure AD Connect Synchronization Service Manager 中 的“In from AD - User AccountEnabled”规则,必须对“Out to Azure AD - User Join”同步出站规 则进行相同配置。
