Samouczek: konfigurowanie synchronizacji skrótów haseł jako kopii zapasowej dla usług Azure Directory Federation Services
Ten samouczek przeprowadzi Cię przez kroki konfigurowania synchronizacji skrótów haseł jako kopii zapasowej i trybu failover dla usług Azure Directory Federation Services (AD FS) w usłudze Microsoft Entra Połączenie. W tym samouczku pokazano również, jak ustawić synchronizację skrótów haseł jako podstawową metodę uwierzytelniania, jeśli usługi AD FS nie powiedzą się lub staną się niedostępne.
Uwaga
Chociaż te kroki zwykle są wykonywane w sytuacji awaryjnej lub awarii, zalecamy przetestowanie tych kroków i zweryfikowanie procedur przed wystąpieniem awarii.
Wymagania wstępne
Ten samouczek jest oparty na artykule Samouczek: używanie federacji do obsługi tożsamości hybrydowej w jednym lesie usługi Active Directory. Ukończenie samouczka jest wymaganiem wstępnym do wykonania kroków opisanych w tym samouczku.
Uwaga
Jeśli nie masz dostępu do serwera Microsoft Entra Połączenie lub serwer nie ma dostępu do Internetu, możesz skontaktować się z pomoc techniczna firmy Microsoft, aby uzyskać pomoc w zmianach w identyfikatorze Firmy Microsoft Entra.
Włączanie synchronizacji skrótów haseł w usłudze Microsoft Entra Połączenie
W samouczku: używanie federacji na potrzeby tożsamości hybrydowej w jednym lesie usługi Active Directory zostało utworzone środowisko microsoft Entra Połączenie korzystające z federacji.
Pierwszym krokiem podczas konfigurowania kopii zapasowej dla federacji jest włączenie synchronizacji skrótów haseł i skonfigurowanie Połączenie firmy Microsoft w celu zsynchronizowania skrótów:
Kliknij dwukrotnie ikonę Microsoft Entra Połączenie, która została utworzona na pulpicie podczas instalacji.
Wybierz Konfiguruj.
W obszarze Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.
Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator utworzonego w samouczku, aby skonfigurować federację.
W Połączenie katalogach wybierz pozycję Dalej.
W obszarze Filtrowanie domen i jednostek organizacyjnych wybierz pozycję Dalej.
W obszarze Funkcje opcjonalne wybierz pozycję Synchronizacja skrótów haseł, a następnie wybierz pozycję Dalej.
W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
Po zakończeniu konfiguracji wybierz pozycję Zakończ.
I już! Wszystko jest gotowe. Synchronizacja skrótów haseł będzie teraz dostępna i może być używana jako kopia zapasowa, jeśli usługi AD FS staną się niedostępne.
Przełączanie do synchronizacji skrótów haseł
Ważne
Przed przejściem do synchronizacji skrótów haseł utwórz kopię zapasową środowiska usług AD FS. Kopię zapasową można utworzyć za pomocą narzędzia AD FS szybkiego przywracania.
Synchronizacja skrótów haseł z identyfikatorem Entra firmy Microsoft zajmuje trochę czasu. Może to potrwać do trzech godzin przed zakończeniem synchronizacji i rozpocząć uwierzytelnianie przy użyciu skrótów haseł.
Następnie przejdź do synchronizacji skrótów haseł. Przed rozpoczęciem należy rozważyć, w jakich warunkach należy włączyć przełącznik. Nie rób tego z przyczyn tymczasowych, takich jak awaria sieci, pomniejszy problem z usługami AD FS lub problem wpływający na część użytkowników.
Jeśli zdecydujesz się na przełączenie, ponieważ rozwiązanie problemu potrwa zbyt długo, wykonaj następujące kroki:
- W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.
- Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.
- Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator utworzonego w samouczku, aby skonfigurować federację.
- W obszarze Logowanie użytkownika wybierz pozycję Synchronizacja skrótów haseł, a następnie zaznacz pole wyboru Nie konwertuj kont użytkowników.
- Pozostaw wybraną opcję Włącz logowanie jednokrotne i wybierz pozycję Dalej.
- W obszarze Włącz logowanie jednokrotne wybierz pozycję Dalej.
- W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
- Po zakończeniu konfiguracji wybierz pozycję Zakończ.
Użytkownicy mogą teraz używać swoich haseł do logowania się do platformy Azure i usług platformy Azure.
Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację
W nowym oknie przeglądarki internetowej przejdź do strony https://myapps.microsoft.com.
Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.
W przypadku nazwy użytkownika użyj formatu
user@domain.onmicrosoft.com
. Użyj tego samego hasła, które użytkownik używa do logowania się w celu lokalna usługa Active Directory.
Przełącz się z powrotem do federacji
Teraz przełącz się z powrotem do federacji:
W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.
Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.
Wprowadź nazwę użytkownika i hasło dla konta usługi Hybrid Identity Administracja istrator.
W obszarze Logowanie użytkownika wybierz pozycję Federacja z usługami AD FS, a następnie wybierz przycisk Dalej.
W obszarze Poświadczenia Administracja istratora domeny wprowadź nazwę użytkownika i hasło contoso\Administracja istrator, a następnie wybierz przycisk Dalej.
W farmie usług AD FS wybierz przycisk Dalej.
W domenie Microsoft Entra wybierz domenę i wybierz przycisk Dalej.
W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
Po zakończeniu konfiguracji wybierz przycisk Dalej.
W obszarze Weryfikowanie łączności federacyjnej wybierz pozycję Weryfikuj. Aby weryfikacja zakończyła się pomyślnie, może być konieczne skonfigurowanie rekordów DNS (dodawanie rekordów A i AAAA).
Wybierz pozycję Zakończ.
Resetowanie zaufania usług AD FS i platformy Azure
Ostatnim zadaniem jest zresetowanie zaufania między usługami AD FS i platformą Azure:
W witrynie Microsoft Entra Połączenie wybierz pozycję Konfiguruj.
Wybierz pozycję Zarządzaj federacją, a następnie wybierz pozycję Dalej.
Wybierz pozycję Resetuj relację zaufania identyfikatora entra firmy Microsoft, a następnie wybierz pozycję Dalej.
W Połączenie do identyfikatora Entra firmy Microsoft wprowadź nazwę użytkownika i hasło dla konta globalnego Administracja istratora lub konta Administracja istratora tożsamości hybrydowej.
W Połączenie do usług AD FS wprowadź nazwę użytkownika i hasło contoso\Administracja istrator, a następnie wybierz przycisk Dalej.
W obszarze Certyfikaty wybierz pozycję Dalej.
Powtórz kroki opisane w temacie Logowanie się przy użyciu konta użytkownika, aby przetestować synchronizację.
Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.
Następne kroki
- Zapoznaj się z artykułem Microsoft Entra Połączenie sprzętu i wymagań wstępnych.
- Dowiedz się, jak używać ustawień ekspresowych w usłudze Microsoft Entra Połączenie.
- Dowiedz się więcej o synchronizacji skrótów haseł z Połączenie firmy Microsoft.