Tutorial: Configuración de la sincronización de hash de contraseñas como copia de seguridad para los servicios de federación de Azure Directory

  • Artículo

Este tutorial lo guiará por los pasos necesarios para configurar la sincronización de hash de contraseñas como copia de seguridad y conmutación por error para los Servicios de federación de Azure Directory (AD FS) en Microsoft Entra Connect. En el tutorial también se muestra cómo establecer la sincronización de hash de contraseñas como método de autenticación principal si AD FS produce un error o deja de estar disponible.

Nota

Aunque estos pasos se realizan normalmente durante situaciones de interrupción o de emergencia, se recomienda probarlos y comprobar los procedimientos antes de que se produzca una interrupción.

Requisitos previos

Este tutorial se basa en el tutorial de Uso de la federación para la identidad híbrida en un único bosque de Active Directory. Completar ese tutorial es un requisito previo para completar los pasos de este tutorial.

Nota:

Si no tiene acceso a un servidor de Microsoft Entra Connect o el servidor no tiene acceso a Internet, puede ponerse en contacto con el Soporte técnico de Microsoft para ayudar con los cambios en Microsoft Entra ID.

Habilitar la sincronización del hash de contraseñas en Microsoft Entra Connect

En el Tutorial: Uso de la federación para la identidad híbrida en un único bosque de Active Directory, creó un entorno de Microsoft Entra Connect que usa la federación.

El primer paso para configurar la copia de seguridad para la federación es activar la sincronización de hash de contraseñas y establecer Microsoft Entra Connect para que sincronice los hashes:

  1. Haga doble clic en el icono de Microsoft Entra Connect que se creó en el escritorio durante la instalación.

  2. Seleccione Configurar.

  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y luego, haga clic en Siguiente.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Escriba el nombre de usuario y la contraseña de la Cuenta de administrador de identidad híbrida que creó en el tutorial para configurar la federación.

  5. En Conectar sus directorios, seleccione Siguiente.

  6. En Filtrado de dominios y unidades organizativas, seleccione Siguiente.

  7. En la pantalla Características opcionales, seleccione Sincronización de hash de contraseña y luego, seleccione Siguiente.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. En Listo para configurar, seleccione Configurar.

  9. Cuando finalice la configuración, seleccione Salir.

Eso es todo. Ya ha terminado. Ahora se producirá la sincronización de hash de contraseña, que se podrá usar como copia de seguridad si AD FS no está disponible.

Cambiar a sincronización de hash de contraseñas

Importante

  • Antes de cambiar a la sincronización de hash de contraseñas, cree una copia de seguridad del entorno de AD FS. Puede crear una copia de seguridad mediante la Herramienta de restauración rápida de AD FS.

  • Los hash de contraseña tardan algún tiempo en sincronizarse con Microsoft Entra ID. Podría tomar hasta tres horas antes de que finalice la sincronización y pueda empezar a autenticarse mediante los hash de contraseña.

A continuación, cambie a la sincronización de hash de contraseñas. Antes de comenzar, considere en qué condiciones debe realizar el cambio. No realice el cambio por motivos temporales, como una interrupción de la red, un problema de AD FS menor u otro que afecte a un subconjunto de usuarios.

Si decide realizar el cambio porque tardaría mucho en solucionar el problema, realice lo siguiente:

  1. En Microsoft Entra Connect, seleccione Configurar.
  2. Seleccione Cambiar inicio de sesión de usuario y, después, seleccione Siguiente.
  3. Escriba el nombre de usuario y la contraseña de la Cuenta de administrador de identidad híbrida que creó en el tutorial para configurar la federación.
  4. En Inicio de sesión de usuario, seleccione Sincronización de hash de contraseñas y, a continuación, active la casilla No convertir cuentas de usuario.
  5. Deje seleccionado el valor predeterminado Habilitar el inicio de sesión único y haga clic en Siguiente.
  6. En Habilitar el inicio de sesión único, seleccione Siguiente.
  7. En Listo para configurar, seleccione Configurar.
  8. Cuando finalice la configuración, seleccione Salir.

Los usuarios ya pueden usar sus contraseñas para iniciar sesión en Azure y servicios de Azure.

Inicie sesión con una cuenta de usuario para probar la sincronización

  1. En una nueva ventana del explorador, vaya a https://myapps.microsoft.com.

  2. Inicie sesión con una cuenta de usuario que se creó en su nuevo inquilino.

    Para el nombre de usuario, use el formato user@domain.onmicrosoft.com. Use la misma contraseña que utiliza el usuario para iniciar sesión en el Active Directory local.

    Screenshot that shows a successful message when testing the sign-in.

Vuelta a la federación

Ahora, vuelva a la federación:

  1. En Microsoft Entra Connect, seleccione Configurar.

  2. Seleccione Cambiar inicio de sesión de usuario y, después, seleccione Siguiente.

  3. Escriba el nombre de usuario y la contraseña de la cuenta de administrador de identidades híbridas.

  4. En Inicio de sesión de usuario, seleccione Federación con AD FS y, luego, seleccione Siguiente.

  5. En la página Credenciales de administrador de dominio, escriba el nombre de usuario de Contoso\Administrator y la contraseña, y haga clic en Siguiente.

  6. En la granja de AD FS, seleccione Siguiente.

  7. En el Dominio de Microsoft Entra, seleccione el dominio y seleccione Siguiente.

  8. En Listo para configurar, seleccione Configurar.

  9. Cuando finalice la configuración, seleccione Siguiente.

    Screenshot that shows the Configuration complete pane.

  10. En Comprobar la conectividad de federación, seleccione Comprobar. Es posible que deba configurar los registros DNS (agregar registros A y AAAA) para que la comprobación se complete correctamente.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Seleccione Salir.

Restablecimiento de la confianza de Azure y AD FS

La tarea final es restablecer la confianza entre AD FS y Azure:

  1. En Microsoft Entra Connect, seleccione Configurar.

  2. Seleccione Administrar federación y haga clic en Siguiente.

  3. Seleccione Restablecer confianza de Microsoft Entra ID y, a continuación, seleccione Siguiente.

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. En la pantalla Conectarse a Microsoft Entra ID, escriba el nombre de usuario y la contraseña de la cuenta de administrador global o del administrador de identidades híbridas.

  5. En Conectar a AD FS, escriba el nombre de usuario y la contraseña de Contoso\Administrador y, luego, seleccione Siguiente.

  6. En Certificados, seleccione Siguiente.

  7. Repita los pasos descritos en Iniciar sesión con una cuenta de usuario para probar la sincronización.

Ha configurado correctamente un entorno de identidad híbrida que puede usar para probar y familiarizarse con lo que le ofrece Azure.

Pasos siguientes