Руководство. Настройка синхронизации хэша паролей в качестве резервного копирования для служб федерации Azure Directory

В этом руководстве описаны шаги по настройке синхронизации хэша паролей в качестве резервной копии и отработки отказа для служб федерации Azure (AD FS) в Microsoft Entra Connect. В этом руководстве также показано, как настроить синхронизацию хэша паролей в качестве основного метода проверки подлинности, если AD FS завершается сбоем или становится недоступным.

Примечание.

Хотя эти действия обычно выполняются в чрезвычайных ситуациях или сбоях, рекомендуется протестировать эти действия и проверить процедуры перед сбоем.

Необходимые компоненты

В этом руководстве описано руководство. Использование федерации для гибридного удостоверения в одном лесу Active Directory. Выполнение учебника является обязательным условием для выполнения действий, описанных в этом руководстве.

Примечание.

Если у вас нет доступа к серверу Microsoft Entra Connect или серверу нет доступа к Интернету, вы можете связаться с служба поддержки Майкрософт, чтобы помочь с изменениями идентификатора Microsoft Entra.

Включение синхронизации хэша паролей в Microsoft Entra Connect

В руководстве по использованию федерации для гибридного удостоверения в одном лесу Active Directory вы создали среду Microsoft Entra Connect, использующую федерацию.

Первым шагом в настройке резервного копирования для федерации является включение синхронизации хэша паролей и настройка Microsoft Entra Connect для синхронизации хэшей:

1. Дважды щелкните значок Microsoft Entra Connect, созданный на рабочем столе во время установки.

2. Выберите Настроить.

3. В разделе "Дополнительные задачи" выберите "Настройка параметров синхронизации" и нажмите кнопку "Далее".

   

4. Введите имя пользователя и пароль для учетной записи администратора гибридной идентификации, созданной в руководстве по настройке федерации.

5. В разделе "Подключение каталогов" нажмите кнопку "Далее".

6. В области фильтрации домена и подразделения нажмите кнопку "Далее".

7. В дополнительных функциях выберите синхронизацию хэша паролей и нажмите кнопку "Далее".

   

8. На странице Готово к настройке нажмите кнопку Настроить.

9. После завершения настройки нажмите кнопку "Выйти".

Вот и все! Ты все готово. Синхронизация хэша паролей будет происходить, и ее можно использовать в качестве резервной копии, если AD FS становится недоступной.

Переключение на синхронизацию хэша паролей

Внимание

• Перед переходом на синхронизацию хэша паролей создайте резервную копию среды AD FS. Вы можете создать резервную копию с помощью средства быстрого восстановления AD FS.

• Для синхронизации хэшей паролей с идентификатором Microsoft Entra занимает некоторое время. До завершения синхронизации может потребоваться до трех часов, и вы можете начать проверку подлинности с помощью хэшей паролей.

Затем переключитесь на синхронизацию хэша паролей. Прежде чем начать, рассмотрите условия, в которых следует выполнить переключение. Не используйте переключение для решения временных проблем, например сбоя сети, небольших проблем с AD FS или проблемы, которая влияет на группу пользователей.

Если вы решили сделать переключатель, так как устранение проблемы займет слишком много времени, выполните следующие действия:

1. В Microsoft Entra Connect выберите "Настроить".
2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.
3. Введите имя пользователя и пароль для учетной записи администратора гибридной идентификации, созданной в руководстве по настройке федерации.
4. Войдите в систему пользователя, выберите синхронизацию хэша паролей и установите флажок "Не преобразовывать учетные записи пользователей ".
5. Оставьте флажок "Включить единый вход" по умолчанию и нажмите кнопку "Далее".
6. В разделе "Включить единый вход" нажмите кнопку "Далее".
7. На странице Готово к настройке нажмите кнопку Настроить.
8. После завершения настройки нажмите кнопку "Выйти".

Теперь пользователи могут использовать пароли для входа в Azure и служб Azure.

Вход с помощью учетной записи пользователя для тестирования синхронизации

1. В новом окне веб-браузера перейдите в раздел https://myapps.microsoft.com.

2. Войдите с помощью учетной записи пользователя, созданной в новом клиенте.

   Для имени пользователя используйте формат user@domain.onmicrosoft.com. Используйте тот же пароль, что и пользователь, используемый для входа в локальная служба Active Directory.

   

Переключение обратно на федерацию

Теперь переключитесь на федерацию:

1. В Microsoft Entra Connect выберите "Настроить".

2. Выберите Смена имени пользователя для входа и нажмите кнопку Далее.

3. Введите имя пользователя и пароль для учетной записи администратора гибридного удостоверения.

4. Войдите в систему пользователя, выберите "Федерация с AD FS" и нажмите кнопку "Далее".

5. В учетных данных администратора домена введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".

6. В ферме AD FS нажмите кнопку "Далее".

7. В домене Microsoft Entra выберите домен и нажмите кнопку "Далее".

8. На странице Готово к настройке нажмите кнопку Настроить.

9. После завершения настройки нажмите кнопку "Далее".

   

10. В разделе "Проверка подключения федерации" нажмите кнопку "Проверить". Возможно, потребуется настроить записи DNS (добавить записи A и AAAA) для успешной проверки.

    

11. Щелкните Выход.

Сброс отношения доверия Azure и AD FS

Последняя задача — сбросить доверие между AD FS и Azure:

1. В Microsoft Entra Connect выберите "Настроить".

2. Выберите " Управление федерацией" и нажмите кнопку "Далее".

3. Выберите "Сброс доверия идентификатора записи Майкрософт" и нажмите кнопку "Далее".

   

4. В разделе "Подключение к идентификатору Microsoft Entra" введите имя пользователя и пароль для учетной записи администратора гибридного удостоверения.

5. В разделе "Подключение к AD FS" введите имя пользователя и пароль contoso\Administrator, а затем нажмите кнопку "Далее".

6. В сертификатах нажмите кнопку "Далее".

7. Повторите действия, описанные в разделе "Вход с помощью учетной записи пользователя" для проверки синхронизации.

Вы успешно настроили среду гибридных удостоверений, которую можно использовать для тестирования и ознакомления с предложением Azure.

Следующие шаги

• Просмотрите оборудование и предварительные требования Microsoft Entra Connect.
• Узнайте, как использовать параметры Express в Microsoft Entra Connect.
• Дополнительные сведения о синхронизации хэша паролей с Помощью Microsoft Entra Connect.