Partilhar via

Tutorial: Configurar a sincronização de hash de senha como backup para os Serviços de Federação de Diretório do Azure

  • Artigo

Este tutorial orienta você pelas etapas para configurar a sincronização de hash de senha como backup e failover para os Serviços de Federação de Diretório do Azure (AD FS) no Microsoft Entra Connect. O tutorial também demonstra como definir a sincronização de hash de senha como o método de autenticação principal se o AD FS falhar ou ficar indisponível.

Observação

Embora essas etapas geralmente sejam tomadas em uma situação de emergência ou interrupção, recomendamos que você teste essas etapas e verifique seus procedimentos antes que ocorra uma interrupção.

Pré-requisitos

Este tutorial baseia-se em Tutorial: Usar federação para identidade híbrida em uma única floresta do Ative Directory. Concluir o tutorial é um pré-requisito para concluir as etapas neste tutorial.

Observação

Se não tiver acesso a um servidor Microsoft Entra Connect ou se o servidor não tiver acesso à Internet, pode contactar o Suporte da Microsoft para ajudar com as alterações à ID do Microsoft Entra.

Ativar a sincronização de hash de senha no Microsoft Entra Connect

Em Tutorial: Usar federação para identidade híbrida em uma única floresta do Ative Directory, você criou um ambiente do Microsoft Entra Connect que está usando federação.

O primeiro passo para configurar o backup para federação é ativar a sincronização de hash de senha e configurar o Microsoft Entra Connect para sincronizar os hashes:

  1. Clique duas vezes no ícone do Microsoft Entra Connect que foi criado na área de trabalho durante a instalação.

  2. Selecione Configurar.

  3. Em Tarefas adicionais, selecione Personalizar opções de sincronização e, em seguida, selecione Seguinte.

    Captura de ecrã que mostra o painel Tarefas adicionais, com a opção Personalizar opções de sincronização selecionada.

  4. Digite o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.

  5. Em Conectar seus diretórios, selecione Avançar.

  6. Em Filtragem de domínio e UO, selecione Avançar.

  7. Em Recursos opcionais, selecione Sincronização de hash de senha e, em seguida, selecione Avançar.

    Captura de tela que mostra o painel Recursos opcionais, com a sincronização de hash de senha selecionada.

  8. Em Pronto para configurar, selecione Configurar.

  9. Quando a configuração estiver concluída, selecione Sair.

É isso! Está feito. A sincronização de hash de senha ocorrerá agora e poderá ser usada como backup se o AD FS ficar indisponível.

Mudar para sincronização de hash de palavra-passe

Importante

  • Antes de mudar para a sincronização de hash de palavra-passe, crie uma cópia de segurança do seu ambiente AD FS. Você pode criar um backup usando a Ferramenta de Restauração Rápida do AD FS.

  • Leva algum tempo para que os hashes de senha sejam sincronizados com o Microsoft Entra ID. Pode levar até três horas até que a sincronização termine e você pode começar a autenticar usando os hashes de senha.

Em seguida, alterne para a sincronização de hash de senha. Antes de começar, considere em que condições deve fazer a mudança. Não faça a mudança por motivos temporários, como uma interrupção de rede, um pequeno problema do AD FS ou um problema que afete um subconjunto de seus usuários.

Se você decidir fazer a mudança porque a correção do problema levará muito tempo, conclua estas etapas:

  1. No Microsoft Entra Connect, selecione Configurar.
  2. Selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte.
  3. Digite o nome de usuário e a senha da conta de Administrador de Identidade Híbrida que você criou no tutorial para configurar a federação.
  4. Em Login do usuário, selecione Sincronização de hash de senha e marque a caixa de seleção Não converter contas de usuário.
  5. Deixe a opção padrão Habilitar logon único selecionada e selecione Avançar.
  6. Em Habilitar logon único, selecione Avançar.
  7. Em Pronto para configurar, selecione Configurar.
  8. Quando a configuração estiver concluída, selecione Sair.

Os usuários agora podem usar suas senhas para entrar nos serviços do Azure e do Azure.

Iniciar sessão com uma conta de utilizador para testar a sincronização

  1. Em uma nova janela do navegador da Web, vá para https://myapps.microsoft.com.

  2. Inicie sessão com uma conta de utilizador que foi criada no seu novo inquilino.

    Para o nome de usuário, use o formato user@domain.onmicrosoft.com. Use a mesma senha que o usuário usa para entrar no Ative Directory local.

    Captura de ecrã que mostra uma mensagem bem-sucedida ao testar o início de sessão.

Voltar à federação

Agora, volte para a federação:

  1. No Microsoft Entra Connect, selecione Configurar.

  2. Selecione Alterar início de sessão do utilizador e, em seguida, selecione Seguinte.

  3. Introduza o nome de utilizador e a palavra-passe da sua conta de Administrador de Identidade Híbrida.

  4. Em Início de sessão de utilizador, selecione Federação com AD FS e, em seguida, selecione Seguinte.

  5. Em Credenciais de Administrador de Domínio, insira o nome de usuário e a senha contoso\Administrator e selecione Avançar.

  6. No farm do AD FS, selecione Avançar.

  7. No domínio Microsoft Entra, selecione o domínio e selecione Avançar.

  8. Em Pronto para configurar, selecione Configurar.

  9. Quando a configuração estiver concluída, selecione Avançar.

    Captura de tela que mostra o painel Configuração concluída.

  10. Em Verificar conectividade de federação, selecione Verificar. Talvez seja necessário configurar os registros DNS (adicionar registros A e AAAA) para que a verificação seja concluída com êxito.

    Captura de tela que mostra a caixa de diálogo Verificar conectividade de federação e o botão Verificar.

  11. Selecione Sair.

Redefinir a confiança do AD FS e do Azure

A tarefa final é redefinir a confiança entre o AD FS e o Azure:

  1. No Microsoft Entra Connect, selecione Configurar.

  2. Selecione Gerir federação e, em seguida, selecione Seguinte.

  3. Selecione Redefinir confiança do Microsoft Entra ID e, em seguida, selecione Avançar.

    Captura de ecrã que mostra o painel Gerir federação, com a opção Repor ID do Microsoft Entra selecionada.

  4. Em Ligar ao ID do Microsoft Entra, introduza o nome de utilizador e a palavra-passe da sua conta de Administrador de Identidade Híbrida.

  5. Em Ligar ao AD FS, introduza o nome de utilizador e a palavra-passe contoso\Administrator e, em seguida, selecione Seguinte.

  6. Em Certificados, selecione Avançar.

  7. Repita as etapas em Entrar com uma conta de usuário para testar a sincronização.

Você configurou com êxito um ambiente de identidade híbrida que pode usar para testar e se familiarizar com o que o Azure tem a oferecer.

Próximos passos