Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour les environnements hybrides, un locataire Microsoft Entra peut être configuré pour se synchroniser avec un environnement Active Directory Domain Services (AD DS) local à l’aide de Microsoft Entra Connect. Par défaut, Microsoft Entra Connect ne synchronise pas les hachages de mot de passe NTLM hérités et ceux de Kerberos nécessaires au fonctionnement des services de domaine Microsoft Entra.
Pour utiliser les services de domaine avec des comptes synchronisés à partir d’un environnement AD DS local, vous devez configurer Microsoft Entra Connect pour synchroniser ces hachages de mot de passe requis pour l’authentification NTLM et Kerberos. Une fois Microsoft Entra Connect configuré, un événement de création de compte local ou de modification de mot de passe synchronise également les hachages de mot de passe hérités avec l’ID Microsoft Entra.
Vous n’avez pas besoin d’effectuer ces étapes si vous utilisez des comptes cloud uniquement sans environnement AD DS local.
Dans ce tutoriel, vous allez apprendre à :
- Pourquoi les hachages de mot de passe NTLM et Kerberos hérités sont nécessaires
- Comment configurer la synchronisation de hachage de mot de passe ancien pour Microsoft Entra Connect
Si vous n’avez pas d’abonnement Azure, créez un compte avant de commencer.
Prerequisites
Pour effectuer ce didacticiel, vous avez besoin des ressources suivantes :
- Un abonnement Azure actif.
- Si vous n’avez pas d’abonnement Azure, créez un compte.
- Client Microsoft Entra associé à votre abonnement qui est synchronisé avec un annuaire local à l’aide de Microsoft Entra Connect.
- Un domaine managé Microsoft Entra Domain Services activé et configuré dans votre locataire Microsoft Entra.
Synchronisation de hachage de mot de passe à l’aide de Microsoft Entra Connect
Microsoft Entra Connect est utilisé pour synchroniser des objets tels que des comptes d’utilisateur et des groupes à partir d’un environnement AD DS local dans un locataire Microsoft Entra. Dans le cadre du processus, la synchronisation de hachage de mot de passe permet aux comptes d’utiliser le même mot de passe dans l’environnement AD DS local et l’ID Microsoft Entra.
Pour authentifier les utilisateurs sur le domaine managé, Domain Services a besoin de hachages de mot de passe dans un format adapté à l’authentification NTLM et Kerberos. L’ID Microsoft Entra ne stocke pas les hachages de mot de passe au format requis pour l’authentification NTLM ou Kerberos tant que vous n’avez pas activé les services de domaine pour votre locataire. Pour des raisons de sécurité, Microsoft Entra ID ne stocke pas non plus d’informations d’identification par mot de passe sous forme de texte en clair. Par conséquent, Microsoft Entra ID ne peut pas générer automatiquement ces codes de hachage de mot de passe NTLM ou Kerberos en fonction des informations d’identification existantes des utilisateurs.
Microsoft Entra Connect peut être configuré pour synchroniser les hachages de mot de passe NTLM ou Kerberos requis pour les services de domaine. Vérifiez que vous avez effectué les étapes permettant d’activer la synchronisation de hachage de mot de passe Microsoft Entra Connect. Si vous disposez d’une instance existante de Microsoft Entra Connect, téléchargez et mettez à jour vers la dernière version pour vous assurer que vous pouvez synchroniser les hachages de mot de passe hérités pour NTLM et Kerberos. Cette fonctionnalité n’est pas disponible dans les premières versions de Microsoft Entra Connect ou avec l’outil DirSync hérité. Microsoft Entra Connect version 1.1.614.0 ou ultérieure est requis.
Important
Microsoft Entra Connect doit uniquement être installé et configuré pour la synchronisation avec des environnements AD DS locaux. Il n'est pas possible d'installer Microsoft Entra Connect dans un domaine géré par Domain Services pour synchroniser les objets vers l'ID Microsoft Entra.
Activer la synchronisation des hachages de mot de passe
Avec Microsoft Entra Connect installé et configuré pour la synchronisation avec l’ID Microsoft Entra, configurez maintenant la synchronisation de hachage de mot de passe héritée pour NTLM et Kerberos. Un script PowerShell est utilisé pour configurer les paramètres requis, puis démarrer une synchronisation de mot de passe complète avec l’ID Microsoft Entra. Lorsque le processus de synchronisation de hachage de mot de passe Microsoft Entra Connect est terminé, les utilisateurs peuvent se connecter aux applications via les services de domaine qui utilisent des hachages de mot de passe NTLM ou Kerberos hérités.
Sur l’ordinateur sur lequel Microsoft Entra Connect est installé, dans le menu Démarrer, ouvrez le service de synchronisation Microsoft Entra Connect>.
Sélectionnez l’onglet Connecteurs . Les informations de connexion utilisées pour établir la synchronisation entre l’environnement AD DS local et l’ID Microsoft Entra sont répertoriées.
Le Type indique soit Microsoft Entra ID Windows (Microsoft) pour le connecteur Microsoft Entra ou les Services de domaine Active Directory pour le connecteur AD DS local. Notez les noms de connecteurs à utiliser dans le script PowerShell à l’étape suivante.
Dans cet exemple de capture d’écran, les connecteurs suivants sont utilisés :
- Le connecteur Microsoft Entra est nommé contoso.onmicrosoft.com - ID Microsoft Entra
- Le connecteur AD DS local est nommé onprem.contoso.com
Copiez et collez le script PowerShell suivant sur l’ordinateur avec Microsoft Entra Connect installé. Le script déclenche une synchronisation complète de mot de passe qui inclut des hachages de mot de passe hérités. Mettez à jour les variables
$azureadConnectoret les noms de connecteurs$adConnectorde l’étape précédente.Exécutez ce script sur chaque forêt AD pour synchroniser les hachages de mot de passe NTLM et Kerberos du compte local avec l’ID Microsoft Entra.
# Define the Azure AD Connect connector names and import the required PowerShell module $azureadConnector = "<CASE SENSITIVE AZURE AD CONNECTOR NAME>" $adConnector = "<CASE SENSITIVE AD DS CONNECTOR NAME>" Import-Module "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1" Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # Create a new ForceFullPasswordSync configuration parameter object then # update the existing connector with this new configuration $c = Get-ADSyncConnector -Name $adConnector $p = New-Object Microsoft.IdentityManagement.PowerShell.ObjectModel.ConfigurationParameter "Microsoft.Synchronize.ForceFullPasswordSync", String, ConnectorGlobal, $null, $null, $null $p.Value = 1 $c.GlobalParameters.Remove($p.Name) $c.GlobalParameters.Add($p) $c = Add-ADSyncConnector -Connector $c # Disable and re-enable Azure AD Connect to force a full password synchronization Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $false Set-ADSyncAADPasswordSyncConfiguration -SourceConnector $adConnector -TargetConnector $azureadConnector -Enable $trueSelon la taille de votre annuaire en termes de nombre de comptes et de groupes, la synchronisation des hachages de mot de passe hérités avec l’ID Microsoft Entra peut prendre un certain temps. Les mots de passe sont ensuite synchronisés avec le domaine managé après leur synchronisation avec l’ID Microsoft Entra.
Étapes suivantes
Dans ce tutoriel, vous avez appris :
- Pourquoi les hachages de mots de passe anciens NTLM et Kerberos sont nécessaires
- Comment configurer la synchronisation du hachage des anciens mots de passe pour Microsoft Entra Connect