Compartir a través de

Tutorial: Configuración de la sincronización de hash de contraseñas como copia de seguridad para los servicios de federación de Azure Directory

  • Artículo

Este tutorial lo guiará por los pasos necesarios para configurar la sincronización de hash de contraseñas como copia de seguridad y conmutación por error para los Servicios de federación de Azure Directory (AD FS) en Microsoft Entra Connect. En el tutorial también se muestra cómo establecer la sincronización de hash de contraseñas como método de autenticación principal si AD FS produce un error o deja de estar disponible.

Nota

Aunque estos pasos se realizan normalmente durante situaciones de interrupción o de emergencia, se recomienda probarlos y comprobar los procedimientos antes de que se produzca una interrupción.

Requisitos previos

Este tutorial se basa en el tutorial de Uso de la federación para la identidad híbrida en un único bosque de Active Directory. Completar ese tutorial es un requisito previo para completar los pasos de este tutorial.

Nota

Si no tiene acceso a un servidor de Microsoft Entra Connect o el servidor no tiene acceso a Internet, puede ponerse en contacto con el Soporte técnico de Microsoft para ayudar con los cambios en Microsoft Entra ID.

Habilitar la sincronización del hash de contraseñas en Microsoft Entra Connect

En el Tutorial: Uso de la federación para la identidad híbrida en un único bosque de Active Directory, creó un entorno de Microsoft Entra Connect que usa la federación.

El primer paso para configurar la copia de seguridad para la federación es activar la sincronización de hash de contraseñas y establecer Microsoft Entra Connect para que sincronice los hashes:

  1. Haga doble clic en el icono de Microsoft Entra Connect que se creó en el escritorio durante la instalación.

  2. Seleccione Configurar.

  3. En la página Tareas adicionales, seleccione Personalizar las opciones de sincronización y luego, haga clic en Siguiente.

    Captura de pantalla que muestra el panel Tareas adicionales, con la opción Personalizar la sincronización seleccionada.

  4. Escriba el nombre de usuario y la contraseña de la Cuenta de administrador de identidad híbrida que creó en el tutorial para configurar la federación.

  5. En Conectar sus directorios, seleccione Siguiente.

  6. En Filtrado de dominios y unidades organizativas, seleccione Siguiente.

  7. En la pantalla Características opcionales, seleccione Sincronización de hash de contraseña y luego, seleccione Siguiente.

    Captura de pantalla que muestra el panel Características opcionales con la opción Sincronización de hash de contraseña seleccionada.

  8. En Listo para configurar, seleccione Configurar.

  9. Cuando finalice la configuración, seleccione Salir.

Eso es todo. Ya ha terminado. Ahora se producirá la sincronización de hash de contraseña, que se podrá usar como copia de seguridad si AD FS no está disponible.

Cambiar a sincronización de hash de contraseñas

Importante

  • Antes de cambiar a la sincronización de hash de contraseñas, cree una copia de seguridad del entorno de AD FS. Puede crear una copia de seguridad mediante la Herramienta de restauración rápida de AD FS.

  • Los hash de contraseña tardan algún tiempo en sincronizarse con Microsoft Entra ID. Podría tomar hasta tres horas antes de que finalice la sincronización y pueda empezar a autenticarse mediante los hash de contraseña.

A continuación, cambie a la sincronización de hash de contraseñas. Antes de comenzar, considere en qué condiciones debe realizar el cambio. No realice el cambio por motivos temporales, como una interrupción de la red, un problema de AD FS menor u otro que afecte a un subconjunto de usuarios.

Si decide realizar el cambio porque tardaría mucho en solucionar el problema, realice lo siguiente:

  1. En Microsoft Entra Connect, seleccione Configurar.
  2. Seleccione Cambiar inicio de sesión de usuario y, después, seleccione Siguiente.
  3. Escriba el nombre de usuario y la contraseña de la Cuenta de administrador de identidad híbrida que creó en el tutorial para configurar la federación.
  4. En Inicio de sesión de usuario, seleccione Sincronización de hash de contraseñas y, a continuación, active la casilla No convertir cuentas de usuario.
  5. Deje seleccionado el valor predeterminado Habilitar el inicio de sesión único y haga clic en Siguiente.
  6. En Habilitar el inicio de sesión único, seleccione Siguiente.
  7. En Listo para configurar, seleccione Configurar.
  8. Cuando finalice la configuración, seleccione Salir.

Los usuarios ya pueden usar sus contraseñas para iniciar sesión en Azure y servicios de Azure.

Inicie sesión con una cuenta de usuario para probar la sincronización

  1. En una nueva ventana del explorador, vaya a https://myapps.microsoft.com.

  2. Inicie sesión con una cuenta de usuario que se creó en su nuevo inquilino.

    Para el nombre de usuario, use el formato user@domain.onmicrosoft.com. Use la misma contraseña que utiliza el usuario para iniciar sesión en el Active Directory local.

    Captura de pantalla que muestra un mensaje correcto al probar el inicio de sesión.

Vuelta a la federación

Ahora, vuelva a la federación:

  1. En Microsoft Entra Connect, seleccione Configurar.

  2. Seleccione Cambiar inicio de sesión de usuario y, después, seleccione Siguiente.

  3. Escriba el nombre de usuario y la contraseña de la cuenta de administrador de identidades híbridas.

  4. En Inicio de sesión de usuario, seleccione Federación con AD FS y, luego, seleccione Siguiente.

  5. En la página Credenciales de administrador de dominio, escriba el nombre de usuario de Contoso\Administrator y la contraseña, y haga clic en Siguiente.

  6. En la granja de AD FS, seleccione Siguiente.

  7. En el Dominio de Microsoft Entra, seleccione el dominio y seleccione Siguiente.

  8. En Listo para configurar, seleccione Configurar.

  9. Cuando finalice la configuración, seleccione Siguiente.

    Captura de pantalla que muestra el panel Configuración completada.

  10. En Comprobar la conectividad de federación, seleccione Comprobar. Es posible que deba configurar los registros DNS (agregar registros A y AAAA) para que la comprobación se complete correctamente.

    Captura de pantalla que muestra el diálogo Comprobar la conectividad de la federación y el botón Comprobar.

  11. Seleccione Salir.

Restablecimiento de la confianza de Azure y AD FS

La tarea final es restablecer la confianza entre AD FS y Azure:

  1. En Microsoft Entra Connect, seleccione Configurar.

  2. Seleccione Administrar federación y haga clic en Siguiente.

  3. Seleccione Restablecer confianza de Microsoft Entra ID y, a continuación, seleccione Siguiente.

    Captura de pantalla que muestra el panel Administrar federación, con la opción Restablecer Microsoft Entra ID seleccionada.

  4. En Conectar a Microsoft Entra ID, escriba el nombre de usuario y la contraseña del administrador de cuenta de identidad híbrida.

  5. En Conectar a AD FS, escriba el nombre de usuario y la contraseña de Contoso\Administrador y, luego, seleccione Siguiente.

  6. En Certificados, seleccione Siguiente.

  7. Repita los pasos descritos en Iniciar sesión con una cuenta de usuario para probar la sincronización.

Ha configurado correctamente un entorno de identidad híbrida que puede usar para probar y familiarizarse con lo que le ofrece Azure.

Pasos siguientes