Delen via

Zelfstudie: Wachtwoord-hashsynchronisatie instellen als back-up voor Azure Directory Federation Services

  • Artikel

In deze zelfstudie wordt u begeleid bij de stappen voor het instellen van wachtwoord-hashsynchronisatie als back-up en failover voor Azure Directory Federation Services (AD FS) in Microsoft Entra Connect. De zelfstudie laat ook zien hoe u wachtwoord-hashsynchronisatie instelt als de primaire verificatiemethode als AD FS mislukt of niet beschikbaar is.

Notitie

Hoewel deze stappen meestal worden uitgevoerd in een nood- of storingssituatie, raden we u aan deze stappen te testen en uw procedures te controleren voordat er een storing optreedt.

Vereisten

Deze zelfstudie bouwt voort op zelfstudie: Federatie gebruiken voor hybride identiteit in één Active Directory-forest. Het voltooien van de zelfstudie is een vereiste voor het voltooien van de stappen in deze zelfstudie.

Notitie

Als u geen toegang hebt tot een Microsoft Entra Connect-server of als de server geen internettoegang heeft, kunt u contact opnemen met Microsoft Ondersteuning om u te helpen bij de wijzigingen in Microsoft Entra ID.

Wachtwoord-hashsynchronisatie inschakelen in Microsoft Entra Connect

In de zelfstudie: Federatie gebruiken voor hybride identiteit in één Active Directory-forest, hebt u een Microsoft Entra Connect-omgeving gemaakt die gebruikmaakt van federatie.

De eerste stap bij het instellen van uw back-up voor federatie is het inschakelen van wachtwoord-hashsynchronisatie en het instellen van Microsoft Entra Connect om de hashes te synchroniseren:

  1. Dubbelklik op het Microsoft Entra Connect-pictogram dat tijdens de installatie op het bureaublad is gemaakt.

  2. Selecteer Configureren.

  3. Selecteer in Aanvullende taken de optie Synchronisatieopties aanpassen en selecteer vervolgens Volgende.

    Schermopname van het deelvenster Aanvullende taken, met Synchronisatieopties aanpassen geselecteerd.

  4. Voer de gebruikersnaam en het wachtwoord in voor het hybrid identity administrator-account dat u in de zelfstudie hebt gemaakt om federatie in te stellen.

  5. Selecteer Volgende in Uw mappen verbinden.

  6. Selecteer Volgende in het filteren van domeinen en OE's.

  7. Selecteer in Optionele functies wachtwoord-hashsynchronisatie en selecteer vervolgens Volgende.

    Schermopname van het deelvenster Optionele functies, met Wachtwoord-hashsynchronisatie geselecteerd.

  8. Selecteer bij Klaar om te configureren de optie Configureren.

  9. Wanneer de configuratie is voltooid, selecteert u Afsluiten.

Dat is het! Je bent klaar. Wachtwoord-hashsynchronisatie vindt nu plaats en kan worden gebruikt als back-up als AD FS niet meer beschikbaar is.

Overschakelen naar wachtwoord-hashsynchronisatie

Belangrijk

  • Voordat u overschakelt naar wachtwoord-hashsynchronisatie, maakt u een back-up van uw AD FS-omgeving. U kunt een back-up maken met behulp van de AD FS Rapid Restore Tool.

  • Het duurt even voordat de wachtwoordhashes zijn gesynchroniseerd met de Microsoft Entra-id. Het kan maximaal drie uur duren voordat de synchronisatie is voltooid en u kunt beginnen met verifiëren met behulp van de wachtwoordhashes.

Schakel vervolgens over naar wachtwoord-hashsynchronisatie. Voordat u begint, moet u overwegen in welke omstandigheden u de overstap moet maken. Schakel niet over voor tijdelijke redenen, zoals netwerkstoringen, een klein probleem met AD FS of een probleem dat betrekking heeft op een subset van uw gebruikers.

Als u besluit om over te schakelen omdat het probleem te lang duurt, voert u de volgende stappen uit:

  1. Selecteer Configureren in Microsoft Entra Connect.
  2. Selecteer Gebruikersaanmelding wijzigen en vervolgens Volgende.
  3. Voer de gebruikersnaam en het wachtwoord in voor het hybrid identity administrator-account dat u in de zelfstudie hebt gemaakt om federatie in te stellen.
  4. Selecteer in gebruikersaanmelding wachtwoord-hashsynchronisatie en schakel vervolgens het selectievakje Gebruikersaccounts niet converteren in.
  5. Laat de standaardinstelling Eenmalige aanmelding inschakelen geselecteerd en selecteer Volgende.
  6. Selecteer Volgende in Enable voor eenmalige aanmelding.
  7. Selecteer bij Klaar om te configureren de optie Configureren.
  8. Wanneer de configuratie is voltooid, selecteert u Afsluiten.

Gebruikers kunnen nu hun wachtwoord gebruiken om zich aan te melden bij Azure en Azure-services.

Aanmelden met een gebruikersaccount om synchronisatie te testen

  1. Ga in een nieuw browservenster naar https://myapps.microsoft.com.

  2. Meld u aan met een gebruikersaccount dat is gemaakt in uw nieuwe tenant.

    Gebruik de notatie user@domain.onmicrosoft.comvoor de gebruikersnaam. Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om u aan te melden bij on-premises Active Directory.

    Schermopname van een geslaagd bericht bij het testen van de aanmelding.

Terug naar federatie

Ga nu terug naar federatie:

  1. Selecteer Configureren in Microsoft Entra Connect.

  2. Selecteer Gebruikersaanmelding wijzigen en vervolgens Volgende.

  3. Voer de gebruikersnaam en het wachtwoord in voor uw Hybrid Identity Administrator-account.

  4. Selecteer Federatie met AD FS in gebruikersaanmelding en selecteer vervolgens Volgende.

  5. Voer in domeinbeheerdersreferenties de gebruikersnaam en het wachtwoord van contoso\Administrator in en selecteer vervolgens Volgende.

  6. Selecteer Volgende in AD FS-farm.

  7. Selecteer in het Microsoft Entra-domein het domein en selecteer Volgende.

  8. Selecteer bij Klaar om te configureren de optie Configureren.

  9. Wanneer de configuratie is voltooid, selecteert u Volgende.

    Schermopname van het deelvenster Configuratie voltooid.

  10. Selecteer Controleren in Federatieconnectiviteit verifiëren. Mogelijk moet u DNS-records configureren (A- en AAAA-records toevoegen) om de verificatie te voltooien.

    Schermopname van het dialoogvenster Federatieve connectiviteit verifiëren en de knop Verifiëren.

  11. Selecteer Afsluiten.

De AD FS- en Azure-vertrouwensrelatie opnieuw instellen

De laatste taak is het opnieuw instellen van de vertrouwensrelatie tussen AD FS en Azure:

  1. Selecteer Configureren in Microsoft Entra Connect.

  2. Selecteer Federatie beheren en selecteer vervolgens Volgende.

  3. Selecteer Vertrouwensrelatie van Microsoft Entra-id opnieuw instellen en selecteer vervolgens Volgende.

    Schermopname van het deelvenster Federatie beheren, waarbij Microsoft Entra-id opnieuw instellen is geselecteerd.

  4. Voer in Verbinding maken met Microsoft Entra-id de gebruikersnaam en het wachtwoord in voor uw hybrid identity Administrator-account.

  5. Voer in Connect to AD FS de gebruikersnaam en het wachtwoord van contoso\Administrator in en selecteer vervolgens Volgende.

  6. Selecteer Volgende in Certificaten.

  7. Herhaal de stappen in Aanmelden met een gebruikersaccount om synchronisatie te testen.

U hebt een hybride identiteitsomgeving ingesteld die u kunt gebruiken om te testen en vertrouwd te raken met wat Azure te bieden heeft.

Volgende stappen