Samouczek: konfigurowanie synchronizacji skrótów haseł jako kopii zapasowej dla usług Azure Directory Federation Services

  • Artykuł

Ten samouczek przeprowadzi Cię przez kroki konfigurowania synchronizacji skrótów haseł jako kopii zapasowej i trybu failover dla usług Azure Directory Federation Services (AD FS) w usłudze Microsoft Entra Połączenie. W tym samouczku pokazano również, jak ustawić synchronizację skrótów haseł jako podstawową metodę uwierzytelniania, jeśli usługi AD FS nie powiedzą się lub staną się niedostępne.

Uwaga

Chociaż te kroki zwykle są wykonywane w sytuacji awaryjnej lub awarii, zalecamy przetestowanie tych kroków i zweryfikowanie procedur przed wystąpieniem awarii.

Wymagania wstępne

Ten samouczek jest oparty na artykule Samouczek: używanie federacji do obsługi tożsamości hybrydowej w jednym lesie usługi Active Directory. Ukończenie samouczka jest wymaganiem wstępnym do wykonania kroków opisanych w tym samouczku.

Uwaga

Jeśli nie masz dostępu do serwera Microsoft Entra Połączenie lub serwer nie ma dostępu do Internetu, możesz skontaktować się z pomoc techniczna firmy Microsoft, aby uzyskać pomoc w zmianach w identyfikatorze Firmy Microsoft Entra.

Włączanie synchronizacji skrótów haseł w usłudze Microsoft Entra Połączenie

W samouczku: używanie federacji na potrzeby tożsamości hybrydowej w jednym lesie usługi Active Directory zostało utworzone środowisko microsoft Entra Połączenie korzystające z federacji.

Pierwszym krokiem podczas konfigurowania kopii zapasowej dla federacji jest włączenie synchronizacji skrótów haseł i skonfigurowanie Połączenie firmy Microsoft w celu zsynchronizowania skrótów:

  1. Kliknij dwukrotnie ikonę Microsoft Entra Połączenie, która została utworzona na pulpicie podczas instalacji.

  2. Wybierz Konfiguruj.

  3. W obszarze Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator utworzonego w samouczku, aby skonfigurować federację.

  5. W Połączenie katalogach wybierz pozycję Dalej.

  6. W obszarze Filtrowanie domen i jednostek organizacyjnych wybierz pozycję Dalej.

  7. W obszarze Funkcje opcjonalne wybierz pozycję Synchronizacja skrótów haseł, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

I już! Wszystko jest gotowe. Synchronizacja skrótów haseł będzie teraz dostępna i może być używana jako kopia zapasowa, jeśli usługi AD FS staną się niedostępne.

Przełączanie do synchronizacji skrótów haseł

Ważne

  • Przed przejściem do synchronizacji skrótów haseł utwórz kopię zapasową środowiska usług AD FS. Kopię zapasową można utworzyć za pomocą narzędzia AD FS szybkiego przywracania.

  • Synchronizacja skrótów haseł z identyfikatorem Entra firmy Microsoft zajmuje trochę czasu. Może to potrwać do trzech godzin przed zakończeniem synchronizacji i rozpocząć uwierzytelnianie przy użyciu skrótów haseł.

Następnie przejdź do synchronizacji skrótów haseł. Przed rozpoczęciem należy rozważyć, w jakich warunkach należy włączyć przełącznik. Nie rób tego z przyczyn tymczasowych, takich jak awaria sieci, pomniejszy problem z usługami AD FS lub problem wpływający na część użytkowników.

Jeśli zdecydujesz się na przełączenie, ponieważ rozwiązanie problemu potrwa zbyt długo, wykonaj następujące kroki:

  1. W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.
  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.
  3. Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator utworzonego w samouczku, aby skonfigurować federację.
  4. W obszarze Logowanie użytkownika wybierz pozycję Synchronizacja skrótów haseł, a następnie zaznacz pole wyboru Nie konwertuj kont użytkowników.
  5. Pozostaw wybraną opcję Włącz logowanie jednokrotne i wybierz pozycję Dalej.
  6. W obszarze Włącz logowanie jednokrotne wybierz pozycję Dalej.
  7. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
  8. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

Użytkownicy mogą teraz używać swoich haseł do logowania się do platformy Azure i usług platformy Azure.

Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację

  1. W nowym oknie przeglądarki internetowej przejdź do strony https://myapps.microsoft.com.

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.

    W przypadku nazwy użytkownika użyj formatu user@domain.onmicrosoft.com. Użyj tego samego hasła, które użytkownik używa do logowania się w celu lokalna usługa Active Directory.

    Screenshot that shows a successful message when testing the sign-in.

Przełącz się z powrotem do federacji

Teraz przełącz się z powrotem do federacji:

  1. W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.

  3. Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator.

  4. W obszarze Logowanie użytkownika wybierz pozycję Federacja z usługami AD FS, a następnie wybierz przycisk Dalej.

  5. W obszarze Poświadczenia Administracja istratora domeny wprowadź nazwę użytkownika i hasło contoso\Administracja istrator, a następnie wybierz przycisk Dalej.

  6. W farmie usług AD FS wybierz przycisk Dalej.

  7. W domenie Microsoft Entra wybierz domenę i wybierz przycisk Dalej.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz przycisk Dalej.

    Screenshot that shows the Configuration complete pane.

  10. W obszarze Weryfikowanie łączności federacyjnej wybierz pozycję Weryfikuj. Aby weryfikacja zakończyła się pomyślnie, może być konieczne skonfigurowanie rekordów DNS (dodawanie rekordów A i AAAA).

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Wybierz pozycję Zakończ.

Resetowanie zaufania usług AD FS i platformy Azure

Ostatnim zadaniem jest zresetowanie zaufania między usługami AD FS i platformą Azure:

  1. W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zarządzaj federacją, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Resetuj relację zaufania identyfikatora entra firmy Microsoft, a następnie wybierz pozycję Dalej.

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. W Połączenie do identyfikatora Entra firmy Microsoft wprowadź nazwę użytkownika i hasło dla konta globalnego Administracja istratora lub konta Administracja istratora tożsamości hybrydowej.

  5. W Połączenie do usług AD FS wprowadź nazwę użytkownika i hasło contoso\Administracja istrator, a następnie wybierz przycisk Dalej.

  6. W obszarze Certyfikaty wybierz pozycję Dalej.

  7. Powtórz kroki opisane w temacie Logowanie się przy użyciu konta użytkownika, aby przetestować synchronizację.

Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki