Udostępnij za pośrednictwem

Samouczek: konfigurowanie synchronizacji skrótów haseł jako kopii zapasowej dla usług Azure Directory Federation Services

  • Artykuł

W tym samouczku przedstawiono procedurę konfigurowania synchronizacji skrótów haseł jako kopii zapasowej i trybu failover dla usług Azure Directory Federation Services (AD FS) w programie Microsoft Entra Connect. W tym samouczku pokazano również, jak ustawić synchronizację skrótów haseł jako podstawową metodę uwierzytelniania, jeśli usługi AD FS nie powiedzą się lub staną się niedostępne.

Uwaga

Chociaż te kroki zwykle są wykonywane w sytuacji awaryjnej lub awarii, zalecamy przetestowanie tych kroków i zweryfikowanie procedur przed wystąpieniem awarii.

Wymagania wstępne

Ten samouczek jest oparty na artykule Samouczek: używanie federacji do obsługi tożsamości hybrydowej w jednym lesie usługi Active Directory. Ukończenie samouczka jest wymaganiem wstępnym do wykonania kroków opisanych w tym samouczku.

Uwaga

Jeśli nie masz dostępu do serwera Microsoft Entra Connect lub serwer nie ma dostępu do Internetu, możesz skontaktować się z pomoc techniczna firmy Microsoft, aby uzyskać pomoc w zmianie identyfikatora Microsoft Entra.

Włączanie synchronizacji skrótów haseł w programie Microsoft Entra Connect

W samouczku: używanie federacji dla tożsamości hybrydowej w jednym lesie usługi Active Directory zostało utworzone środowisko Microsoft Entra Connect korzystające z federacji.

Pierwszym krokiem konfigurowania kopii zapasowej dla federacji jest włączenie synchronizacji skrótów haseł i ustawienie programu Microsoft Entra Connect w celu zsynchronizowania skrótów:

  1. Kliknij dwukrotnie ikonę Microsoft Entra Connect, która została utworzona na pulpicie podczas instalacji.

  2. Wybierz Konfiguruj.

  3. W obszarze Dodatkowe zadania wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Dodatkowe zadania z wybraną opcją Dostosuj synchronizację.

  4. Wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej utworzonego w samouczku, aby skonfigurować federację.

  5. W obszarze Połącz katalogi wybierz pozycję Dalej.

  6. W obszarze Filtrowanie domen i jednostek organizacyjnych wybierz pozycję Dalej.

  7. W obszarze Funkcje opcjonalne wybierz pozycję Synchronizacja skrótów haseł, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Funkcje opcjonalne z wybraną synchronizacją skrótów haseł.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

I już! Wszystko jest gotowe. Synchronizacja skrótów haseł będzie teraz dostępna i może być używana jako kopia zapasowa, jeśli usługi AD FS staną się niedostępne.

Przełączanie do synchronizacji skrótów haseł

Ważne

  • Przed przejściem do synchronizacji skrótów haseł utwórz kopię zapasową środowiska usług AD FS. Kopię zapasową można utworzyć za pomocą narzędzia AD FS szybkiego przywracania.

  • Synchronizacja skrótów haseł z identyfikatorem Entra firmy Microsoft zajmuje trochę czasu. Może to potrwać do trzech godzin przed zakończeniem synchronizacji i rozpocząć uwierzytelnianie przy użyciu skrótów haseł.

Następnie przejdź do synchronizacji skrótów haseł. Przed rozpoczęciem należy rozważyć, w jakich warunkach należy włączyć przełącznik. Nie rób tego z przyczyn tymczasowych, takich jak awaria sieci, pomniejszy problem z usługami AD FS lub problem wpływający na część użytkowników.

Jeśli zdecydujesz się na przełączenie, ponieważ rozwiązanie problemu potrwa zbyt długo, wykonaj następujące kroki:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.
  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.
  3. Wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej utworzonego w samouczku, aby skonfigurować federację.
  4. W obszarze Logowanie użytkownika wybierz pozycję Synchronizacja skrótów haseł, a następnie zaznacz pole wyboru Nie konwertuj kont użytkowników.
  5. Pozostaw wybraną opcję Włącz logowanie jednokrotne i wybierz pozycję Dalej.
  6. W obszarze Włącz logowanie jednokrotne wybierz pozycję Dalej.
  7. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
  8. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

Użytkownicy mogą teraz używać swoich haseł do logowania się do platformy Azure i usług platformy Azure.

Zaloguj się przy użyciu konta użytkownika, aby przetestować synchronizację

  1. W nowym oknie przeglądarki internetowej przejdź do strony https://myapps.microsoft.com.

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie.

    W przypadku nazwy użytkownika użyj formatu user@domain.onmicrosoft.com. Użyj tego samego hasła, które użytkownik używa do logowania się w celu lokalna usługa Active Directory.

    Zrzut ekranu przedstawiający komunikat informujący o pomyślnym zakończeniu testowania logowania.

Przełącz się z powrotem do federacji

Teraz przełącz się z powrotem do federacji:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zmień logowanie użytkownika, a następnie wybierz pozycję Dalej.

  3. Wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej.

  4. W obszarze Logowanie użytkownika wybierz pozycję Federacja z usługami AD FS, a następnie wybierz przycisk Dalej.

  5. W obszarze Poświadczenia administratora domeny wprowadź nazwę użytkownika i hasło contoso\Administrator, a następnie wybierz przycisk Dalej.

  6. W farmie usług AD FS wybierz przycisk Dalej.

  7. W domenie Microsoft Entra wybierz domenę i wybierz przycisk Dalej.

  8. W obszarze Gotowe do skonfigurowania wybierz pozycję Konfiguruj.

  9. Po zakończeniu konfiguracji wybierz przycisk Dalej.

    Zrzut ekranu przedstawiający okienko Zakończono konfigurację.

  10. W obszarze Weryfikowanie łączności federacyjnej wybierz pozycję Weryfikuj. Aby weryfikacja zakończyła się pomyślnie, może być konieczne skonfigurowanie rekordów DNS (dodawanie rekordów A i AAAA).

    Zrzut ekranu przedstawiający okno dialogowe Weryfikowanie łączności federacyjnej i przycisk Weryfikuj.

  11. Wybierz pozycję Zakończ.

Resetowanie zaufania usług AD FS i platformy Azure

Ostatnim zadaniem jest zresetowanie zaufania między usługami AD FS i platformą Azure:

  1. W aplikacji Microsoft Entra Connect wybierz pozycję Konfiguruj.

  2. Wybierz pozycję Zarządzaj federacją, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Resetuj relację zaufania identyfikatora entra firmy Microsoft, a następnie wybierz pozycję Dalej.

    Zrzut ekranu przedstawiający okienko Zarządzanie federacją z wybraną pozycją Resetuj identyfikator entra firmy Microsoft.

  4. W obszarze Połącz z identyfikatorem entra firmy Microsoft wprowadź nazwę użytkownika i hasło dla konta administratora tożsamości hybrydowej.

  5. W obszarze Nawiązywanie połączenia z usługami AD FS wprowadź nazwę użytkownika i hasło contoso\Administrator, a następnie wybierz przycisk Dalej.

  6. W obszarze Certyfikaty wybierz pozycję Dalej.

  7. Powtórz kroki opisane w temacie Logowanie się przy użyciu konta użytkownika, aby przetestować synchronizację.

Pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki