Esercitazione: Configurare la sincronizzazione dell'hash delle password come backup per Azure Directory Federation Services

  • Articolo

Questa esercitazione illustra i passaggi per configurare la sincronizzazione dell'hash delle password come backup e failover per Azure Directory Federation Services (AD FS) in Microsoft Entra Connessione. L'esercitazione illustra anche come impostare la sincronizzazione dell'hash delle password come metodo di autenticazione principale se AD FS ha esito negativo o non è più disponibile.

Nota

Anche se questi passaggi vengono in genere eseguiti in una situazione di emergenza o interruzione, è consigliabile testare questi passaggi e verificare le procedure prima che si verifichi un'interruzione.

Prerequisiti

Questa esercitazione si basa su Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory. Il completamento dell'esercitazione è un prerequisito per completare i passaggi di questa esercitazione.

Nota

Se non si ha accesso a un server Microsoft Entra Connessione o il server non ha accesso a Internet, è possibile contattare supporto tecnico Microsoft per facilitare le modifiche apportate a Microsoft Entra ID.

Abilitare la sincronizzazione dell'hash delle password in Microsoft Entra Connessione

In Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory, è stato creato un ambiente microsoft Entra Connessione che usa la federazione.

Il primo passaggio nella configurazione del backup per la federazione consiste nell'attivare la sincronizzazione dell'hash delle password e impostare Microsoft Entra Connessione per sincronizzare gli hash:

  1. Fare doppio clic sull'icona di microsoft Entra Connessione creata sul desktop durante l'installazione.

  2. Seleziona Configura.

  3. In Attività aggiuntive selezionare Personalizza opzioni di sincronizzazione e quindi selezionare Avanti.

    Screenshot that shows the Additional tasks pane, with Customize synchronization options selected.

  4. Immettere il nome utente e la password per l'account hybrid identity Amministrazione istrator creato nell'esercitazione per configurare la federazione.

  5. In Connessione directory selezionare Avanti.

  6. In Filtro dominio e unità organizzativa selezionare Avanti.

  7. In Funzionalità facoltative selezionare Sincronizzazione dell'hash delle password e quindi selezionare Avanti.

    Screenshot that shows the Optional features pane, with Password hash synchronization selected.

  8. In Pronto per la configurazione selezionare Configura.

  9. Al termine della configurazione, selezionare Esci.

Ecco fatto! Hai finito. La sincronizzazione dell'hash delle password verrà ora eseguita e può essere usata come backup se AD FS non è disponibile.

Passare alla sincronizzazione dell'hash delle password

Importante

  • Prima di passare alla sincronizzazione dell'hash delle password, creare un backup dell'ambiente AD FS. È possibile creare un backup usando lo strumento di ripristino rapido di AD FS.

  • La sincronizzazione degli hash delle password con Microsoft Entra ID richiede tempo. Potrebbero essere fino a tre ore prima del completamento della sincronizzazione ed è possibile avviare l'autenticazione usando gli hash delle password.

Passare quindi alla sincronizzazione dell'hash delle password. Prima di iniziare, considerare in quali condizioni è necessario effettuare il passaggio. Non effettuare il passaggio per motivi temporanei, come un'interruzione della rete, un problema minore di AD FS o un problema che interessa un sottoinsieme di utenti.

Se si decide di effettuare l'opzione perché la correzione del problema richiederà troppo tempo, completare questi passaggi:

  1. In Microsoft Entra Connessione selezionare Configura.
  2. Selezionare Cambia l'accesso utente e quindi fare clic su Avanti.
  3. Immettere il nome utente e la password per l'account hybrid identity Amministrazione istrator creato nell'esercitazione per configurare la federazione.
  4. In Accesso utente selezionare Sincronizzazione dell'hash delle password e quindi selezionare la casella di controllo Non convertire gli account utente.
  5. Lasciare selezionata l'opzione Abilita accesso Single Sign-On predefinito e selezionare Avanti.
  6. In Abilita accesso Single Sign-On selezionare Avanti.
  7. In Pronto per la configurazione selezionare Configura.
  8. Al termine della configurazione, selezionare Esci.

Gli utenti possono ora usare le password per accedere ad Azure e Servizi di Azure.

Accedere con un account utente per testare la sincronizzazione

  1. In una nuova finestra del Web browser passare a https://myapps.microsoft.com.

  2. Accedere con un account utente creato nel nuovo tenant.

    Per il nome utente, usare il formato user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere a Active Directory locale.

    Screenshot that shows a successful message when testing the sign-in.

Tornare alla federazione

Tornare ora alla federazione:

  1. In Microsoft Entra Connessione selezionare Configura.

  2. Selezionare Cambia l'accesso utente e quindi fare clic su Avanti.

  3. Immettere il nome utente e la password per l'account hybrid identity Amministrazione istrator.

  4. In Accesso utente selezionare Federazione con AD FS e quindi selezionare Avanti.

  5. In Credenziali di domain Amministrazione istrator immettere il nome utente e la password contoso\Amministrazione istrator e quindi selezionare Avanti.

  6. Nella farm AD FS selezionare Avanti.

  7. In Dominio Microsoft Entra selezionare il dominio e selezionare Avanti.

  8. In Pronto per la configurazione selezionare Configura.

  9. Al termine della configurazione, selezionare Avanti.

    Screenshot that shows the Configuration complete pane.

  10. In Verificare la connettività federativa selezionare Verifica. Potrebbe essere necessario configurare i record DNS (aggiungere record A e AAAA) affinché la verifica venga completata correttamente.

    Screenshot that shows the Verify federation connectivity dialog and the Verify button.

  11. Selezionare Esci.

Reimpostare la relazione di trust tra AD FS e Azure

L'attività finale consiste nel reimpostare l'attendibilità tra AD FS e Azure:

  1. In Microsoft Entra Connessione selezionare Configura.

  2. Selezionare Gestisci federazione e quindi avanti.

  3. Selezionare Reset Microsoft Entra ID trust (Reimposta attendibilità ID Entra Microsoft) e quindi selezionare Next (Avanti).

    Screenshot that shows the Manage federation pane, with Reset Microsoft Entra ID selected.

  4. In Connessione all'ID Microsoft Entra immettere il nome utente e la password per l'account global Amministrazione istrator o l'account hybrid identity Amministrazione istrator.

  5. In Connessione ad AD FS immettere il nome utente e la password contoso\Amministrazione istrator e quindi selezionare Avanti.

  6. In Certificati selezionare Avanti.

  7. Ripetere i passaggi descritti in Accedere con un account utente per testare la sincronizzazione.

È stato configurato correttamente un ambiente di gestione delle identità ibrido che è possibile usare per testare e acquisire familiarità con le funzionalità offerte da Azure.

Passaggi successivi