Esercitazione: Configurare la sincronizzazione dell'hash delle password come backup per Azure Directory Federation Services

  • Articolo

Questa esercitazione illustra i passaggi per configurare la sincronizzazione dell'hash delle password come backup e il failover per Azure Directory Federation Services (AD FS) in Microsoft Entra Connect. Questa esercitazione spiega anche come impostare la sincronizzazione dell'hash delle password come metodo di autenticazione primario se AD FS restituisce un errore o non è più disponibile.

Nota

Anche se questi passaggi vengono in genere eseguiti in situazioni di emergenza o di interruzione del servizio, è consigliabile testarli e verificare le procedure prima che si verifichi un'interruzione.

Prerequisiti

Questa esercitazione si basa sull'argomento Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory. Il completamento di tale esercitazione è un prerequisito per completare la procedura descritta in questa esercitazione.

Nota

Nel caso in cui non si abbia accesso al server di Microsoft Entra Connect o che il server non abbia accesso a Internet, è possibile contattare il Supporto tecnico Microsoft per assistenza con le modifiche da apportare a Microsoft Entra ID.

Abilitare la sincronizzazione dell'hash delle password in Microsoft Entra Connect

In Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory è stato creato un ambiente di Microsoft Entra Connect che usa la federazione.

Il primo passaggio per configurare il backup per la federazione consiste nell'attivare la sincronizzazione dell'hash delle password e impostare Microsoft Entra Connect per sincronizzare gli hash:

  1. Fare doppio clic sull'icona Microsoft Entra Connect creata sul desktop durante l'installazione.

  2. Seleziona Configura.

  3. In Attività aggiuntive selezionare Personalizzazione delle opzioni di sincronizzazione e quindi Avanti.

    Screenshot che mostra il riquadro Attività aggiuntive con l'opzione Personalizzazione delle opzioni di sincronizzazione selezionata.

  4. Immettere il nome utente e la password per l'account amministratore delle identità ibride creato nell'esercitazione per configurare la federazione.

  5. In Connessione delle directory selezionare Avanti.

  6. In Filtro di domini e unità organizzative selezionare Avanti.

  7. In Funzionalità facoltative selezionare Sincronizzazione dell'hash delle password e quindi selezionare Avanti.

    Screenshot che mostra il riquadro Funzionalità facoltative con l'opzione Sincronizzazione dell'hash delle password selezionata.

  8. In Pronto per la configurazione selezionare Configura.

  9. Al termine della configurazione, selezionare Esci.

Ecco fatto! L'operazione è stata completata. La sincronizzazione dell'hash delle password a questo punto verrà eseguita e può essere usata come backup se AD FS non è più disponibile.

Passare alla sincronizzazione dell'hash delle password

Importante

  • Prima di passare alla sincronizzazione dell'hash delle password, creare un backup dell'ambiente AD FS. Per creare un backup, è possibile usare lo strumento di ripristino rapido di AD FS.

  • La sincronizzazione degli hash delle password con Microsoft Entra ID richiede tempo. Potrebbero essere necessario attendere fino a tre ore prima che la sincronizzazione venga completata e sia possibile avviare l'autenticazione usando gli hash delle password.

Effettuare quindi il passaggio alla sincronizzazione dell'hash delle password. Prima di iniziare, considerare in quali condizioni si deve effettuare il passaggio. Non effettuare il passaggio per motivi temporanei, come un'interruzione della rete, un problema minore di AD FS o un problema che interessa un sottoinsieme di utenti.

Se si decide di effettuare il passaggio perché la risoluzione del problema richiede troppo tempo, completare questa procedura:

  1. In Microsoft Entra Connect selezionare Configura.
  2. Selezionare Cambia l'accesso utente e quindi fare clic su Avanti.
  3. Immettere il nome utente e la password per l'account amministratore delle identità ibride creato nell'esercitazione per configurare la federazione.
  4. In Accesso utente selezionare Sincronizzazione dell'hash delle password e quindi la casella di controllo Non convertire gli account utente.
  5. Lasciare selezionata l'impostazione predefinita Abilita Single Sign-On e quindi selezionare Avanti.
  6. In Abilita Single Sign-On selezionare Avanti.
  7. In Pronto per la configurazione selezionare Configura.
  8. Al termine della configurazione, selezionare Esci.

Gli utenti possono ora usare le password per accedere ad Azure e Servizi di Azure.

Accedere con un account utente per testare la sincronizzazione

  1. In una nuova finestra del Web browser passare a https://myapps.microsoft.com.

  2. Accedere con uno degli account utente creati nel nuovo tenant.

    Per il nome utente usare il formato user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere ad Active Directory locale.

    Screenshot che mostra un messaggio di operazione riuscita durante il test dell'accesso.

Tornare alla federazione

Tornare quindi alla federazione:

  1. In Microsoft Entra Connect selezionare Configura.

  2. Selezionare Cambia l'accesso utente e quindi fare clic su Avanti.

  3. Immettere il nome utente e la password per l'account amministratore delle identità ibride.

  4. In Accesso utente selezionare Federazione tramite AD FS e quindi selezionare Avanti.

  5. In Credenziali dell'amministratore di dominio immettere il nome utente e la password di contoso\Administrator e selezionare Avanti.

  6. In Farm AD FS selezionare Avanti.

  7. In Dominio di Microsoft Entra selezionare il dominio e selezionare Avanti.

  8. In Pronto per la configurazione selezionare Configura.

  9. Al termine della configurazione, selezionare Avanti.

    Screenshot che mostra il riquadro di completamento della configurazione.

  10. In Verifica la connettività della federazione selezionare Verifica. Potrebbe essere necessario configurare i record DNS (aggiungere record A e AAAA) per il corretto completamento della verifica.

    Screenshot che mostra la finestra di dialogo Verifica la connettività della federazione e il pulsante Verifica.

  11. Selezionare Esci.

Reimpostare la relazione di trust tra AD FS e Azure

L'attività finale consiste nel reimpostare la relazione di trust tra AD FS e Azure:

  1. In Microsoft Entra Connect selezionare Configura.

  2. Selezionare Gestisci la federazione e quindi Avanti.

  3. Selezionare Reimposta il trust di Microsoft Entra ID e quindi Avanti.

    Screenshot che mostra il riquadro Gestisci la federazione con l'opzione Reimposta il trust di Microsoft Entra ID selezionata.

  4. In Connetti a Microsoft Entra ID immettere il nome utente e la password per l'account amministratore globale o per l'account amministratore delle identità ibride.

  5. In Connetti ad AD FS immettere il nome utente e la password di contoso\Administrator e selezionare Avanti.

  6. In Certificati selezionare Avanti.

  7. Ripetere la procedura descritta in Accedere con un account utente per testare la sincronizzazione.

La configurazione di un ambiente di gestione delle identità ibride è stata completata. A questo punto è possibile usare questo ambiente a scopo di test o per acquisire familiarità con le funzionalità di Azure.

Passaggi successivi