Kurz: Nastavení synchronizace hodnot hash hesel jako zálohy pro Azure Directory Federation Services

Tento kurz vás provede postupem nastavení synchronizace hodnot hash hesel jako zálohování a převzetí služeb při selhání pro službu Azure Directory Federation Services (AD FS) ve službě Microsoft Entra Connect. Tento kurz také ukazuje, jak nastavit synchronizaci hodnot hash hesel jako primární metodu ověřování v případě selhání nebo nedostupnosti služby AD FS.

Poznámka

I když se tyto kroky obvykle provádějí v nouzové situaci nebo výpadku, doporučujeme tyto kroky otestovat a ověřit postupy před výpadkem.

Požadavky

Tento kurz vychází z kurzu: Použití federace pro hybridní identitu v jedné doménové struktuře Active Directory. Dokončení kurzu je předpokladem pro dokončení kroků v tomto kurzu.

Poznámka

Pokud nemáte přístup k serveru Microsoft Entra Connect nebo server nemá přístup k internetu, můžete kontaktovat podpora Microsoftu a pomoct se změnami Microsoft Entra ID.

Povolení synchronizace hodnot hash hesel v Microsoft Entra Connect

V kurzu: Použití federace pro hybridní identitu v jedné doménové struktuře služby Active Directory jste vytvořili prostředí Microsoft Entra Connect, které používá federaci.

Prvním krokem při nastavování zálohování federace je zapnutí synchronizace hodnot hash hesel a nastavení služby Microsoft Entra Connect pro synchronizaci hodnot hash:

1. Poklikejte na ikonu Microsoft Entra Connect, která byla vytvořena na ploše během instalace.

2. Vyberte Konfigurovat.

3. V části Další úlohy vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.

   

4. Zadejte uživatelské jméno a heslo pro účet správce hybridní identity, který jste vytvořili v kurzu pro nastavení federace.

5. V části Připojit adresáře vyberte Další.

6. V části Filtrování domén a organizačních jednotek vyberte Další.

7. V volitelných funkcích vyberte Synchronizaci hodnot hash hesel a pak vyberte Další.

   

8. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.

9. Po dokončení konfigurace vyberte Ukončit.

To je to! Máte hotovo. K synchronizaci hodnot hash hesel teď dojde a dá se použít jako záloha, pokud služba AD FS přestane být k dispozici.

Přepnutí na synchronizaci hodnot hash hesel

Důležitý

• Před přepnutím na synchronizaci hodnot hash hesel vytvořte zálohu prostředí SLUŽBY AD FS. Zálohu můžete vytvořit pomocí nástroje AD FS Rapid Restore Tool.

• Synchronizace hodnot hash hesel s ID Microsoft Entra nějakou dobu trvá. Může to trvat až tři hodiny, než se synchronizace dokončí a můžete začít ověřovat pomocí hodnot hash hesel.

Pak přepněte na synchronizaci hodnot hash hesel. Než začnete, zvažte, ve kterých podmínkách byste měli přepnout. Přechod nevytvádejte z dočasných důvodů, jako je výpadek sítě, malý problém se službou AD FS nebo problém, který má vliv na podmnožinu uživatelů.

Pokud se rozhodnete přepnout, protože oprava problému bude trvat příliš dlouho, proveďte následující kroky:

1. V nástroji Microsoft Entra Connect vyberte Konfigurovat.
2. Vyberte Změnit přihlášení uživatele a pak vyberte Další.
3. Zadejte uživatelské jméno a heslo pro účet správce hybridní identity, který jste vytvořili v kurzu pro nastavení federace.
4. V přihlášení uživatele vyberte Synchronizaci hodnot hash hesel a pak zaškrtněte políčko Nepřevést uživatelské účty.
5. Ponechte vybranou možnost Povolit jednotné přihlašování a vyberte Další.
6. V části Povolit jednotné přihlašování vyberte Další.
7. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.
8. Po dokončení konfigurace vyberte Ukončit.

Uživatelé teď můžou používat svá hesla k přihlášení ke službám Azure a Azure.

Přihlášení pomocí uživatelského účtu k otestování synchronizace

1. V novém okně webového prohlížeče přejděte na https://myapps.microsoft.com.

2. Přihlaste se pomocí uživatelského účtu vytvořeného v novém tenantovi.

   Pro uživatelské jméno použijte formát user@domain.onmicrosoft.com. Použijte stejné heslo, které uživatel používá k přihlášení k místní Active Directory.

   

Přepnutí zpět na federaci

Teď přepněte zpět na federaci:

1. V nástroji Microsoft Entra Connect vyberte Konfigurovat.

2. Vyberte Změnit přihlášení uživatele a pak vyberte Další.

3. Zadejte uživatelské jméno a heslo pro účet správce hybridní identity.

4. V přihlášení uživatele vyberte Federace se službou AD FS a pak vyberte Další.

5. Do přihlašovacích údajů správce domény zadejte uživatelské jméno a heslo contoso\Administrator a pak vyberte Další.

6. Ve farmě služby AD FS vyberte Další.

7. V doméně Microsoft Entra vyberte doménu a vyberte Další.

8. V možnosti Připraveno ke konfiguraci vyberte Konfigurovat.

9. Po dokončení konfigurace vyberte Další.

   

10. V možnosti Ověřit připojení k federaci vyberte Ověřit. Možná budete muset nakonfigurovat záznamy DNS (přidat záznamy A a AAAA), aby se ověření úspěšně dokončilo.

    

11. Vyberte Ukončit.

Resetování vztahu důvěryhodnosti služby AD FS a Azure

Posledním úkolem je resetovat vztah důvěryhodnosti mezi AD FS a Azure:

1. V nástroji Microsoft Entra Connect vyberte Konfigurovat.

2. Vyberte Spravovat federaci a pak vyberte Další.

3. Vyberte Obnovit vztah důvěryhodnosti Microsoft Entra ID a pak vyberte Další.

   

4. Do pole Připojit k Microsoft Entra ID zadejte uživatelské jméno a heslo účtu správce hybridní identity.

5. V části Připojit ke službě AD FS zadejte uživatelské jméno a heslo contoso\Administrator a pak vyberte Další.

6. V části Certifikáty vyberte Další.

7. Opakováním kroků přihlášení pomocí uživatelského účtu otestujte synchronizaci.

Úspěšně jste nastavili hybridní prostředí identit, které můžete použít k otestování a seznámení s tím, co Azure nabízí.

Další kroky

• Projděte si hardware a požadavky microsoft Entra Connect.
• Naučte se používat expresní nastavení v Microsoft Entra Connect.
• Přečtěte si další informace o synchronizaci hodnot hash hesel s Microsoft Entra Connect.