Руководство. Настройка синхронизации хэша паролей в качестве резервного копирования для служб федерации Azure Directory
В этом руководстве описаны действия по настройке синхронизации хэша паролей в качестве резервной копии и отработки отказа для служб федерации Azure (AD FS) в Microsoft Entra Подключение. В этом руководстве также показано, как настроить синхронизацию хэша паролей в качестве основного метода проверки подлинности, если AD FS завершается сбоем или становится недоступным.
Примечание.
Хотя эти действия обычно выполняются в чрезвычайных ситуациях или сбоях, рекомендуется протестировать эти действия и проверить процедуры перед сбоем.
Необходимые компоненты
В этом руководстве описано руководство. Использование федерации для гибридного удостоверения в одном лесу Active Directory. Выполнение учебника является обязательным условием для выполнения действий, описанных в этом руководстве.
Примечание.
Если у вас нет доступа к серверу Microsoft Entra Подключение или серверу нет доступа к Интернету, вы можете связаться с служба поддержки Майкрософт, чтобы помочь с изменениями идентификатора Microsoft Entra.
Включение синхронизации хэша паролей в Microsoft Entra Подключение
В руководстве по использованию федерации для гибридного удостоверения в одном лесу Active Directory вы создали среду Microsoft Entra Подключение, использующую федерацию.
Первым шагом в настройке резервного копирования для федерации является включение синхронизации хэша паролей и настройка Microsoft Entra Подключение для синхронизации хэшей:
Дважды щелкните значок Microsoft Entra Подключение, созданный на рабочем столе во время установки.
Выберите Настроить.
В разделе "Дополнительные задачи" выберите "Настройка параметров синхронизации" и нажмите кнопку "Далее".
Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator, созданной в руководстве по настройке федерации.
В Подключение каталогов нажмите кнопку "Далее".
В области фильтрации домена и подразделения нажмите кнопку "Далее".
В дополнительных функциях выберите синхронизацию хэша паролей и нажмите кнопку "Далее".
На странице Готово к настройке нажмите кнопку Настроить.
После завершения настройки нажмите кнопку "Выйти".
Вот и все! Ты все готово. Синхронизация хэша паролей будет происходить, и ее можно использовать в качестве резервной копии, если AD FS становится недоступной.
Переключение на синхронизацию хэша паролей
Важно!
Перед переходом на синхронизацию хэша паролей создайте резервную копию среды AD FS. Вы можете создать резервную копию с помощью средства быстрого восстановления AD FS.
Для синхронизации хэшей паролей с идентификатором Microsoft Entra занимает некоторое время. До завершения синхронизации может потребоваться до трех часов, и вы можете начать проверку подлинности с помощью хэшей паролей.
Затем переключитесь на синхронизацию хэша паролей. Прежде чем начать, рассмотрите условия, в которых следует выполнить переключение. Не используйте переключение для решения временных проблем, например сбоя сети, небольших проблем с AD FS или проблемы, которая влияет на группу пользователей.
Если вы решили сделать переключатель, так как устранение проблемы займет слишком много времени, выполните следующие действия:
- В Подключение Microsoft Entra выберите "Настроить".
- Выберите Смена имени пользователя для входа и нажмите кнопку Далее.
- Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator, созданной в руководстве по настройке федерации.
- Войдите в систему пользователя, выберите синхронизацию хэша паролей и выберите поле "Не преобразовывать учетные записи пользователей" проверка box.
- Оставьте флажок "Включить единый вход" по умолчанию и нажмите кнопку "Далее".
- В разделе "Включить единый вход" нажмите кнопку "Далее".
- На странице Готово к настройке нажмите кнопку Настроить.
- После завершения настройки нажмите кнопку "Выйти".
Теперь пользователи могут использовать пароли для входа в Azure и служб Azure.
Вход с помощью учетной записи пользователя для тестирования синхронизации
В новом окне веб-браузера перейдите в раздел https://myapps.microsoft.com.
Войдите с помощью учетной записи пользователя, созданной в новом клиенте.
Для имени пользователя используйте формат
user@domain.onmicrosoft.com
. Используйте тот же пароль, что и пользователь, используемый для входа в локальная служба Active Directory.
Переключение обратно на федерацию
Теперь переключитесь на федерацию:
В Подключение Microsoft Entra выберите "Настроить".
Выберите Смена имени пользователя для входа и нажмите кнопку Далее.
Введите имя пользователя и пароль для учетной записи гибридного удостоверения Администратор istrator.
Войдите в систему пользователя, выберите "Федерация с AD FS" и нажмите кнопку "Далее".
В учетных данных домена Администратор istrator введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".
В ферме AD FS нажмите кнопку "Далее".
В домене Microsoft Entra выберите домен и нажмите кнопку "Далее".
На странице Готово к настройке нажмите кнопку Настроить.
После завершения настройки нажмите кнопку "Далее".
В разделе "Проверка подключения федерации" нажмите кнопку "Проверить". Возможно, потребуется настроить записи DNS (добавить записи A и AAAA) для успешной проверки.
Щелкните Выход.
Сброс отношения доверия Azure и AD FS
Последняя задача — сбросить доверие между AD FS и Azure:
В Подключение Microsoft Entra выберите "Настроить".
Выберите " Управление федерацией" и нажмите кнопку "Далее".
Выберите "Сброс доверия идентификатора записи Майкрософт" и нажмите кнопку "Далее".
В Подключение идентификатору Microsoft Entra введите имя пользователя и пароль для учетной записи глобального Администратор istrator или учетной записи гибридного удостоверения Администратор istrator.
В Подключение в AD FS введите имя пользователя и пароль contoso\Администратор istrator, а затем нажмите кнопку "Далее".
В сертификатах нажмите кнопку "Далее".
Повторите действия, описанные в разделе "Вход с помощью учетной записи пользователя" для проверки синхронизации.
Вы успешно настроили среду гибридных удостоверений, которую можно использовать для тестирования и ознакомления с предложением Azure.
Следующие шаги
- Ознакомьтесь с Подключение оборудованием и предварительными условиями Microsoft Entra.
- Узнайте, как использовать параметры Express в Microsoft Entra Подключение.
- Дополнительные сведения о синхронизации хэша паролей с Подключение Microsoft Entra.