AD Connect: Password Hash Synchronization

Por Victor Matsumoto

Azure AD Connect é uma ferramenta da Microsoft projetada para atender e realizar seus objetivos de identidade híbrida. Ele permite conectar o seu Active Directory local ao Azure Active Directory, fornecendo os seguintes recursos:

Password hash synchronization – Um método de entrada que sincroniza um hash de senha do AD local de um usuário com o Azure AD.

Pass-through authentication – Um método de login que permite que os usuários usem a mesma senha no local e na nuvem, mas não requer a infraestrutura adicional de um ambiente federado.

Federation integration – Federação é uma parte opcional do Azure AD Connect e pode ser usada para configurar um ambiente híbrido usando uma infraestrutura AD FS local. Ele também fornece recursos de gerenciamento do AD FS, como renovação de certificado e implantações de servidor AD FS adicionais.

Synchronization – Responsável por criar usuários, grupos e outros objetos. Além disso, certificar-se de que as informações de identidade de seus usuários e grupos locais correspondam à nuvem. Essa sincronização também inclui hashes de senha.

Health Monitoring – o Azure AD Connect Health pode fornecer monitoramento robusto e fornecer um central no portal do Azure para exibir essa atividade.

Veja também:

[+] Azure AD Connect: Quais os benefícios da autenticação híbrida?

Pré-requisitos da instalação

Necessário um tenant do Azure AD;
Azure AD Connect deve ser instalado em um Windows Server 2012 ou superior e ingressado no domínio;
Azure AD Connect não pode ser instalado no Small Business Server ou no Windows Server Essentials antes de 2019 (há suporte para o Windows Server Essentials 2019). O servidor deve estar usando o Windows Server standard ou superior;
Active Directory local;
- A versão do esquema de Active Directory e o nível funcional da floresta devem ser Windows Server 2003 ou superior. Os controladores de domínio podem executar qualquer versão, desde que a versão do esquema e os requisitos de nível de floresta sejam atendidos.
- O controlador de domínio usado pelo Azure AD deve ser gravável. Não há suporte para o uso de um RODC (controlador de domínio somente leitura) e Azure AD Connect não segue redirecionamentos de gravação.
- Usando florestas ou domínios locais usando “pontilhado” (o nome contém um ponto “.”) Não há suporte para nomes NetBIOS.
- Recomendamos que você habilite a lixeira Active Directory.
O servidor do Azure AD Connect deve ter uma GUI completa instalada. Não há suporte para a instalação do Azure AD Connect no Windows Server Core;
Preparar seus dados locais
- Use IdFix para identificar erros como duplicatas e problemas de formatação em seu diretório antes de sincronizar para o Azure AD e Microsoft 365.
- Examine os recursos de sincronização opcionais que você pode habilitar no Azure AD e avalie quais recursos você deve habilitar.
O Azure AD Connect requer um banco de dados do SQL Server para armazenar dados de identidade. Por padrão, um SQL Server o LocalDB 2012 Express (uma versão leve do SQL Server Express) é instalado no Wizard do AD Connect. O SQL Server Express tem um limite de tamanho de 10 GB que permite gerenciar aproximadamente 100.000 objetos. Se você precisar gerenciar um volume maior de objetos de diretório, aponte o assistente de instalação para uma instalação diferente do SQL Server. O tipo de instalação SQL Server pode afetar o desempenho do Azure ad Connect;
O Azure AD Connect depende do Microsoft PowerShell e do .NET Framework 4.5.1. necessário dessa versão ou superior instalada em seu servidor;
Uma conta Global Administrator do Azure AD no tenant com o qual deseja se integrar. Deverá ser uma conta escolar ou organizacional Microsoft. Se optar em utilizar a configuração express ou atualizar o DirSync, deverá ter um usuário com permissões “Enterprise Administrator” para o Active Directory local.

Instruções passo a passo

1- É recomendado que a ferramenta Azure AD Connect esteja instalada em um servidor que não seja do Controlador de Domínio. Baixe a versão mais recente do Azure AD Connect: https://www.microsoft.com/en-us/download/details.aspx?id=47594.

2- Depois de baixar a ferramenta Azure AD Connect, abra o arquivo e concorde com os termos de licença e o aviso de privacidade marcando a caixa de seleção. Clique em “Continue”.

3- Na guia “Express Settings”, temos as opções “Use Express Settings” e “Customize”.

Use Express Settings: Configuração rápida, sincronizando todos os objetos do seu AD.
Customize: Permite personalizar as configurações do AD Connect referente aos serviços e objetos do seu servidor AD (Recomendado).

Nesse artigo vamos utilizar a opção “Customize”.

Na guia “Install required Components”, nesse cenário não iremos selecionar as opções apresentadas, mas caso queira saber mais sobre essas configurações clique nesse link e saiba mais.

Em seguida clique em “Instalar”.

5- Na guia “User sign-in”, precisará definir a seleção desejada do método de login único. Cada seleção pode adicionar mais etapas e requisitos. Nesse artigo, vamos utilizar o “Password Hash Synchronization”.

6- Na guia “Connect your directories”, você deve digitar suas credenciais do Active Directory, bem como credenciais do administrador global do Microsoft 365.

7- Na guia “Connect your directories”, você precisará inserir as informações do diretório de implantação atual.

8- Na sessão “Azure AD sign-in configuration”, nossa recomendação é definir o atributo local (neste caso, o seu local será sua implantação) a ser usado no Azure AD para “userPrincipalName”. Se o seu domínio ainda não foi verificado, poderá marcar a caixa de seleção “Continuar” para seguir para a próxima etapa.

9- Na filtragem de Domínio e OU, selecione os objetos desejados do diretório. Você também pode filtrar esses dados selecionando apenas no domínio para selecionar todos os itens.

10- Em “Uniquely identifying your users”, nossa recomendação é deixar as configurações padrões, de uma floresta, um domínio e Azure AD. Para configurações mais complexas, você pode desejar outras opções onde precisará corresponder seus usuários usando um atributo específico em todos os diretórios. Na opção de identificação do usuário no Azure AD, recomendamos o uso do atributo ‘ObjectGUID’.

11- Na guia “Filter users and devices”, você pode sincronizar todos os usuários e dispositivos ou pode especificar um grupo.

12- Na guia “Optional features”, selecione qualquer recurso adicional que você gostaria de ativar. Cada recurso possui um ícone para obter mais informações sobre a sua funcionalidade.

13- Na guia “Ready to Configure”, selecione “Start the synchronization process when configuration completes” para iniciar automaticamente.

14- Na visualização “Configure”, iniciará o processo de instalação e configuração sobre os itens definidos, aguarde até que a configuração seja concluída.

A partir desse ponto o serviço de sincronização entrará em ação, com o processo em andamento clique em “Exit” para sair do Wizard.

Conclusão

Depois de concluído os passos acima, verifique se os usuários foram sincronizados no Office 365. Após isso, quando um usuário tentar entrar no Azure AD ou Office 365, com o seu usuário e senha, e a hash resultante corresponder ao hash armazenado no Azure AD, esse usuário será autenticado, e quando a hash da senha é sincronizada com a nuvem, o usuário sempre poderá se autenticar nos recursos do Office 365.